Certyfikaty SSL

[elcct 159]

Kiedy już wiemy, że w USA bez naszej wiedzy władze mogą pobrać nasze klucze SSL.

Jakie znacie firmy w EU, najlepiej w Łotwie, które dostarczają rozpoznawalne klucze?

 

Dzięki

[Insider 43]

http://en.wikipedia.org/wiki/Comparison_of_SSL_certificates_for_web_servers

Ja bym kupił od GlobalSign via Home.pl - i to mimo głośnego fuckupu tej pierwszej.

Edytowano Październik 4, 2013 przez Insider (zobacz historię edycji)

[Gość patrys]

certum ?

[mmmm21 98]

Po raz kolejny na forum w ostatnim czasie https://www.gogetssl.com

[elcct 159]

A gdyby w obecnej sytuacji wymusić na Twórcach przeglądarek zamiast ostrzeżenia o samodzielnie podpisanym certyfikacie ostrzeżenie, że certyfikat został wydany w USA?

 

Obecnie samodzielnie podpisane certyfikaty są najbezpieczniejsze (ironia)

[Gość patrys]

Nie przesadzajmy aż tak

 

Z drugiej strony gdy certyfikat miałby służyć do jakiegoś wewnętrznego projektu w firmie, to można stworzyć CA i pododawać do przeglądarek

[kafi 2425]

 

 

Kiedy już wiemy, że w USA bez naszej wiedzy władze mogą pobrać nasze klucze SSL.

Co to za brednie? Klucz prywatny jak sama nazwa wskazuje, jest prywatny i znikąd poza prywatnym poletkiem pobrać się go nie powinno dać. Przynajmniej z urzędu certyfikacji. Inna sprawa jest taka, że zaufanym CA można wygenerować inny certyfikat dla CN, no ale wtedy fingerprint rsa się nie będzie zgadzał, więc stricte pedantyczne sprawdzanie modulusa to jest w stanie wychwycić. No i jeszcze inna sprawa,, że większość daemonów (czy to http, czy inne) wymaga, aby owy klucz prywatny był dostępny dla nich, więc hostingodawca może go zainteresowanym udostępnić. Ale to jest i tak niezależne od tego, czy certyfikat jest selfsigned, czy podpisany w Zimbabwe, czy nawet i sam Verisign go podpisał.

[Miłosz 2311]

Podepne się pod temat.. Czy jest dostępne połączenie wildcarda z certyfikatem EV?

[mmmm21 98]

Podepne się pod temat.. Czy jest dostępne połączenie wildcarda z certyfikatem EV?

 

Wygląda na to że możliwe https://www.gogetssl.com/extended-validation/comodo-ev-multi-domain-ssl/

[Gość patrys]

Idea EV zabrania wildcard...

[kafi 2425]

MultiDomain to nie wildcard! Skończoną liczbę alternatywnych CN można zweryfikować.

Wildcarda nie bardzo... Bo co, jak ktoś (bardziej lub mniej) niechcący użyje EV sklep.pl

na domenie paypal.sklep.pl i zrobi tam lekkiego frauda?

 

[Misiek08 285]

@kafi - wejdź w link, a zobaczysz "Secured sub-domains: YES"

[kafi 2425]

Jak w ping-ponga normalnie. @Misiek08 - wejdź w link i przeczytaj całą stronę a nie wyrywaj urywki bez kontekstu.

Dla ułatwienia - znajduje się tam kawałek opisu (podkreślenia moje):

 

 

The Comodo EV Multi-Domain SSL certificate will allow you to secure between 2 and 200 domains or subdomains and give you a green address bar. This means that you will not need to manage multiple certificates so things are very much easier as well as being more cost effective.

 

Coś tu jest niezrozumiałego?

Po prostu jest możliwe zdefiniowanie od 2 do 200 SAN przy certyfikacie.

Gdzie warto dodać - trzy są wliczone w cenę, każda następna to 90 dolarów.

Edytowano Październik 5, 2013 przez kafi (zobacz historię edycji)

[Misiek08 285]

Ok, to przepraszam, nie zrozumiałem, bo myślałem, że jak się zdefiniuje 1 domenę to "secured sub-domains" znaczy wildcard dla niej i tak samo dla każdej następnej. Myślałem, że ten zapis 2-200 dotyczy tak jakby 1-poziomowego wildcarda.

[spindritf 240]

Kiedy już wiemy, że w USA bez naszej wiedzy władze mogą pobrać nasze klucze SSL.

Jakie znacie firmy w EU, najlepiej w Łotwie, które dostarczają rozpoznawalne klucze?

Wydaje mi się, że nie rozumiesz, jak działa PKI (Public-Key Infrastructure). CA (Certificate Authority), które podpisuje Twój klucz publiczny nie musi i nie powinno znać Twojego klucza prywatnego.

 

Jednocześnie, dowolne CA może podpisać dowolny klucz dla dowolnej domeny. To zależy tylko od użytkownika, który łączy się z serwerem, czy jego oprogramowanie akceptuje dane CA. Jest wiele amerykańskich CA, które są powszechnie akceptowane. Nic na to nie poradzisz.

 

Wybór konkretnego, zaufanego CA ma sens tylko, jeśli jesteś w jakiś sposób w stanie "przypiąć" (ceritificate pinning) to CA do swojej nazwy. Wtedy oprogramowanie klienckie będzie oczekiwało i zaakceptuje tylko certyfikat wystawiony przez to konkretne CA. Ale najprawdopodobniej nie jesteś tego w stanie zrobić.

 

Jeśli rozprowadzasz własne oprogramowanie, które potrzebuje bezpiecznego połączenia z Twoim serwerem, to najsensowniej byłoby zaszyć w pakiecie swój certyfikat i w ogóle nie polegać na PKI.

 

Jeśli natomiast potrzebujesz tylko jakiegoś rozpoznawalnego certyfikatu, żeby użytkownicy nie narzekali, to najwygodniej użyć darmowego od StartSSL i nie karmić bestii. Gdyby to nie było możliwe (bo np. przyjmujesz na tej stronie płatności), wybierz najtańszy, który zostanie zaakceptowany przez ludzi odwiedzających Twoją witrynę.

Edytowano Październik 6, 2013 przez spindritf (zobacz historię edycji)

[piratdrogowy 0]

Co niektórzy popadają chyba w zbyt dużą paranoję Zatem po kolei – żeby wygenerować certyfikat potrzebujesz CSRa i klucza prywatnego (oba generowane równolegle). Na podstawie CSRa, wystawca (np. Globalsign) generuje Twój certyfikat i, teraz, NIE MA ŻADNEJ możliwości, aby zabezpieczona takim certyfikatem transmisja została podsłuchana (no, przynajmniej jeszcze na razie nikomu nie udało się złamać zabezpieczeń). To nie Windows, iOS czy inny Android - tutaj nie ma żadnego backdoora, który pozwoliłby wystawcy certa wejść ‘bez masła’ i przechwycić dane, które przekazujesz. Żeby certyfikat w ogóle działał potrzebujesz klucza prywatnego, który sam sobie wygenerujesz. Jeżeli tylko Ty posiadasz klucz, to TYLKO TY będziesz mógł sobie zainstalować certyfikat i go uruchomić. Żadne NSA, CIA, KGB czy inny James Bond ‘nie zobaczy’ danych, które wprowadzasz w formularzu (np. podczas jakiejś rejestracji czy zakupów).

I tutaj należy się też wyjaśnienie, bo takie sugestie chyba też padły lub padną – NIE MA MOŻLIWOŚCI, aby administrator takiego serwera w Polsce (nazwa, home, az czy jakikolwiek inny) przekazał Twój klucz prywatny NSA czy komukolwiek innemu. NIE MA I KONIEC! Co robią w ‘Murrice’ czy innym, kapitalistycznym kraju o milionie możliwości – możesz dopowiedzieć sobie sam. Pamiętaj jednak, że niezależnie od tego czy certa zamówisz w Polsce, od polskiego wystawcy (certum), czy zagranicznego (Geotrust, Globalsign, Comodo, Thawte itd.), wystawca NIGDY nie zna Twojego klucza prywatnego, więc guzik zrobi jak się do niego NSA zgłosi Pokaże im środkowy palec i tyle.

Padła tu sugestia, aby samemu wystawić sobie certa i z niego korzystać; owszem – można, żaden problem. Pytanie tylko jak chcesz dodać siebie, jako zaufanego wystawcę, do przeglądarek użytkowników na całym Świecie? Bez tego każda próba wyświetlenia strony zabezpieczonej takim certem opatrzona zostanie pięknym komunikatem błędu, a to – jeżeli np. prowadzisz sklep – odstraszy klientów. Stracisz tylko potencjalne kontrakty na miliardy petrodolarów…

Jeżeli serwisu używasz tylko Ty – spoko, powiedzmy, że taki półśrodek jest ok. Jeżeli jednak strona dostępna jest dla wszystkich – wrzucenie takiego certa to nieporozumienie i świadczy jedynie o dziadowaniu, bo certa możesz kupić za grosze.

 

 

 

[kafi 2425]

I tutaj należy się też wyjaśnienie, bo takie sugestie chyba też padły lub padną – NIE MA MOŻLIWOŚCI, aby administrator takiego serwera w Polsce (nazwa, home, az czy jakikolwiek inny) przekazał Twój klucz prywatny NSA czy komukolwiek innemu. NIE MA I KONIEC!

Pytanie, czy mówisz o administratorze centrum certyfikacji, czy o administratorze platformy hostingowej.

O ile ten pierwszy faktycznie nie ma takiej możliwości* - zarówno prawnie, jak i technicznie,

to ten drugi - techniczną ma jak najbardziej. Bo konfigurując usługę klucz prywatny (i ewentualne hasło go chroniące) musi posiadać.

 

* - pod warunkiem, że uzytkownik końcowy klucz prywatny i CSR generuje sam po swojej stronie.

Bo tak niekoniecznie musi być - żeby użyszkodnikowi ułatwić zadanie, to są przecież gotowe kreatory,

w których podajesz CN (adres strony) i one automatycznie wygenerują klucz, csr i po chwili podpisany certyfikat,

a owy końcowy użytkownik dostaje na końcu zestaw pliczków crt, key, bundle

 

Taki jeszcze PS na koniec - CSR i klucz prywatny nie są generowane równolegle.

Najpierw generujesz klucz, a potem wykorzystując ten wygenerowany klucz - tworzysz CSR.

 

A jeśli się tworzy serwisy, z których korzysta tylko autor, to warto zastanowić się... po co mają być widoczne w publicznej sieci? Można zrobić przecież dostęp przez VPN. Ewentualnie jak już sieć publiczna, to obustronna wymiana certyfikatów. Wtedy to już nawet mysz się nie prześlizgnie przez takie połączenie

Edytowano Październik 8, 2013 przez kafi (zobacz historię edycji)