Certyfikaty SSL

[theqkash]

Cześć,

 

Jakie macie zdanie na temat certyfikatów SSL?

Czy darmowe certyfikaty LetsEncrypt/Comodo Free SSL/StartSSL są wystarczające do "zabezpieczenia" strony?

 

Kiedy Waszym zdaniem należy stosować certyfikaty EV?

 

Gdzie najlepiej zamawiać certyfikaty SSL, jeśli już decydujemy się na korzystanie z płatnych?

[milosz]

W przyszłym rok wychodzi zaufanie certów z rodziny Symanteca (rapidy itp) przez Chroma (a raczej Google). Także będzie się działo

 

StartSSL czy coś podobnego już chyba na początku roku straciło zaufanie w przeglądarkach

[SomeGuy]

Od niedawna przeglądarki internetowe ostrzegają nas przed wysłanie formularza na niezabezpieczanej stronie. 

 

 

Certyfikat płatny brałbym tylko wtedy, gdy przez formularze na stronie przewijałby się setki danych wrażliwych dziennie (wystawca daje gwarancję),  w przeciwnym wypadku LE wystarczy. Bo de facto, jeśli szyfrowanie jest identyczne to nie ma znaczenia kto jest wystawcą. Niektórzy może mają pieniądze i nie chcą być kojarzeni z "darmochą" dlatego też wybierają rozwiązania płatne. 

Edytowane 17 Września 2017 przez SomeGuy

[Espen]

Niedawno wdrożyłem LE na własnej stronie i częściowo na stronach użytkowników. Przez strony nie przechodzą tony tajnych danych ale zdecydowałem się na wdrożenie LE w zasadzie tylko dlatego żeby nie nękały mnie komunikaty dotyczące zabezpieczeń, "miljardów rubli" które mogę stracić etc. Za jakiś czas Google będzie umieszczało w gorszych wynikach strony bez szyfrowania więc lepiej być wcześniej przygotowanym.

[blfr]

5 godzin temu, SomeGuy napisał:

Certyfikat płatny brałbym tylko wtedy, gdy przez formularze na stronie przewijałby się setki danych wrażliwych dziennie (wystawca daje gwarancję)

 

OK, ale na co wystawca daje gwarancję?

 

Jeśli ktoś chce pokazać, że taniochy nie używa to oczywiście EV ma sens. Ponoć też gdzieś komuś konwersję podniósł zielony pasek, więc przynajmniej można próbować to jakoś uzasadniać. Ale płatny DV wziąłbym tylko, jeśli Let's Encrypt się nie sprawdzi (bo trzeba gdzieś certa ręcznie wgrywać na przykład).

[SomeGuy]

@blfr W przypadku złamania  szyfru  wystawca zobowiązany jest wypłacić Ci odszkodowanie.

Edytowane 17 Września 2017 przez SomeGuy

[blfr]

No OK, ale złamanie szyfru to nie jest droga, którą wypłyną dane moich userów. Szyfr jest pewny, a na implementację już (oczywiście) gwarancji nie dają.

[SomeGuy]

1 minutę temu, blfr napisał:

No OK, ale złamanie szyfru to nie jest droga, którą wypłyną dane moich userów. Szyfr jest pewny, a na implementację już (oczywiście) gwarancji nie dają.

 

W to już nie wnikam  Wszystko zależy od systemu, sposobu przechowywane i typu danych.

[nnd.newbie]

Ja używam Let's Encrypt. Starsze przeglądarki nas nie interesują, szyfrowanie jest takie samo , a komunikaty ostrzegające przed logowaniem na stronie znikają. Jak certyfikat zostanie złamany to kasa z ubezpieczenia będzie ostatnią rzeczą o jaką będę się troszczył.

 

Płatne DV brałbym gdybym musiał wgrywać certyfikat ręcznie lub zlecać supportowi, wtedy jakiś o dłuższym czasie ważności byłby mile widziany.

 

EV tylko do celów wizerunkowych lub na naprawdę poważne witryny: banki, instytucje finansowe itp 

Edytowane 17 Września 2017 przez nnd.newbie

[szarik]

 

38 minut temu, blfr napisał:

No OK, ale złamanie szyfru to nie jest droga, którą wypłyną dane moich userów. [...]  

 

Nie za bardzo zrozumiałem... @blfr  jakbyś mi mógł wytłumaczyć...   najpierw napiszę to co wiem:

 

Certyfikacja SSL zapewnia poufność transmisji danych przesyłanych przez sieć... wystawca zapewnia, a właściwie daje gwarancje wypłaty odszkodowania w sytuacji kiedy  certyfikat zostanie złamany... lub inaczej: gdy  padniemy ofiarą ataku, który wykorzystał luki w zabezpieczeniach danego wystawcy, mamy możliwość ubiegania się o odszkodowanie...  i teraz pytanie:

 

Czy 'złamanie   szyfru certyfikacji SSL' nie zapewnia możliwości 'podsłuchu' transmitowanych danych, a co za tym idzie dostępu do nich?  Chce się upewnić bo nie do końca jest to dla mnie jasne z Twojej wypowiedzi.

 

38 minut temu, blfr napisał:

  [...] Szyfr jest pewny, a na implementację już (oczywiście) gwarancji nie dają.

 

Zgadza się odszkodowanie nie będzie   należne w przypadku zaniechań po stronie nabywcy lub firmy, która odpowiada za utrzymanie usług.

 

Edytowane 17 Września 2017 przez szarik

[blfr]

Czyli to jedno z tych ubezpieczeń obejmujących najbardziej nieprawdopodobne przypadki. Wątpliwa wartość za te kilkadziesiąt złotych i czas zmarnowany na przebijanie się przez interfejs jakiegoś CA, kiedy można użyć Let's Encrypt z klientem w systemowym repozytorium.

[SomeGuy]

3 minuty temu, blfr napisał:

Czyli to jedno z tych ubezpieczeń obejmujących najbardziej nieprawdopodobne przypadki. Wątpliwa wartość za te kilkadziesiąt złotych i czas zmarnowany na przebijanie się przez interfejs jakiegoś CA, kiedy można użyć Let's Encrypt z klientem w systemowym repozytorium.

 

Dokładnie  

 

[kafi]

Jeżeli przyjmiemy podstawowe założenia bezpieczeństwa przy generowaniu certyfikatu, czyli:

- klucz prywatny generujemy (prawie)doskonałym generatorem (pseudo)losowym na lokalnej bezpiecznej maszynie,

- urzędowi certyfikacyjnemu przekażemy jedynie skrót klucza, a nie cały klucz ,

to wtedy pod względem bezpieczeństwa transmisji KAŻDY certyfikat dokładnie tak samo zabezpiecza transmisję

(choć samo pojęcie "zabezpieczenia transmisji" przez certyfikat jest lekko naciągane i uproszczone)

niezależnie od tego, czy jest to selfsigned, czy Let's Encrypt, Comodo czy też Verisign.

 

Bo elementem "zabezpieczającym" transmisję jest modulus/klucz publiczny, który strukturalnie certyfikacie jakiegokolwiek wystawcy jest po prostu tym, co użytkownik prześle, żeby wystawca tam wstawił.

 

Tyle jeśli chodzi o same aspekty kryptograficzne.

 

Natomiast pytanie - czym zatem różnią się poszczególne urzędy certyfikacji? Właściwie to jednym aspektem, wynikającym wprost z tego, po co zostały powołane - czyli ZAUFANIEM.  I to różnymi poziomami tego zaufania.  Pierwszy to poziom dostawców technologii, którzy stwierdzają, że ich klienci mogą zaufać certyfikatom wydanym z tego i tamtego źródła. Drugi poziom to sam użytkownik, który może własnoocznie sprawdzić, kto wystawił certyfikat i mu zaufać lub nie.

 

Taki Let's Encrypt na przykład, ze względu także na swój crossign, nie jest zaufany na szczególnie starszych platformach.

WoSign / StartCom przez swoje "szwindle" przestał być zaufany na nowych platformach.

 

A jeśli chodzi o to własnooczne sprawdzenie - świadomy użytkownik widząc Let's Encrypt przy logowaniu do serwisu transakcyjnego banku intuicyjnie sprawdzi, czy nie padł ofiarą jakiegoś szwindlu (np. ataku MITM albo jakiejś unicodowej "homoglyphowej" - nie wiem jak to przetłumaczyć na język polski - odmiany nazwy domeny zabezpieczonej prawidłowym (kryptograficznie) certyfikatem - bo ranga wystawcy nie będzie pasowała do rangi serwisu docelowego.

[Poziomecki]

Do szyfrowania strony wizytówki itp to uznaję lets encrypt, ale nie wyobrażam sobie podawania danych karty kredytowej czy innych danych wrażliwych na tym certyfikacie.

[Przemek Jagielski]

No dobra, mamy LetsEncrypt, mamy płatne certy - a co z SelfSigned? Można je autoryzować na tyle, że nie będzie wyskakiwał nigdzie monit o niezaufanej stronie? 

[theqkash]

12 minut temu, Przemek Jagielski napisał:

No dobra, mamy LetsEncrypt, mamy płatne certy - a co z SelfSigned? Można je autoryzować na tyle, że nie będzie wyskakiwał nigdzie monit o niezaufanej stronie? 

 

W zasadzie to nie ma takiej możliwości.

[SomeGuy]

Jedynie w jakimś intranecie z polityką grup w sieci, gdzie cert byłby z góry dodany do zaufanych. 

[blfr]

W dniu 9/18/2017 o 12:04, Poziomecki napisał:

Do szyfrowania strony wizytówki itp to uznaję lets encrypt, ale nie wyobrażam sobie podawania danych karty kredytowej czy innych danych wrażliwych na tym certyfikacie.

 

Dlaczego?

 

Procedura weryfikacji przy DV jest wszędzie praktycznie taka sama. Parametry samego połączenia zależą od konfiguracji serwera, na którą wystawca certyfikatu nie ma wpływu. Co za różnica, którego certyfikatu używa operator strony?

 

W dniu 9/21/2017 o 22:32, Przemek Jagielski napisał:

No dobra, mamy LetsEncrypt, mamy płatne certy - a co z SelfSigned? Można je autoryzować na tyle, że nie będzie wyskakiwał nigdzie monit o niezaufanej stronie? 

 

Można, jeśli kontrolujesz klienta. Na przykład, jeśli użytkownicy wykorzystują Twoją aplikację mobilną do łączenia się z Twoim serwerem. W tej sutacji własny certyfikat albo własne CA zaszyte w aplikacji jest najbezpieczniejszym rozwiązaniem.

[Poziomecki]

Wyobrażasz sobie paypala czy bank z lets encrypt?

[nnd.newbie]

Wyobrażasz sobie paypala czy bank z lets encrypt?

Tu powinno być pytanie: czy wyobrażasz sobie PayPal czy bank z ceryfikatem DV?

Więc nie, po to są EV. Natomiast jeśli chodzi o to gdzie wystarczy DV to ja nie widzę wielkiej różnicy pomiędzy Let's Encrypt a innymi certyfikatami DV. Poziom bezpieczeństwa ten sam, weryfikacja podobna.

Czemu dyskusje na temat Let's Encrypt szybko się zamieniają w dyskusję Let's Encrypt kontra EV?

[Poziomecki]

Różnica między DV a lets encrypt jest taka że masz gwarancję i nie pierdzielisz się co 3 miesiące z odnowieniem czy problemami, które mogą z niej wyniknąć i nagle jest przerwa w dostępie do strony. Naprawdę lets encrypt nie zawsze działa idealnie (samo odnowienie). Czasami zdarza się że weryfikacja jest nieudana przez htaccess sklepu, zdaje się że przy preście tak się czasem zdarza a przynajmniej ja na takie przypadki trafiłem.

 

Sklepy internetowe moim zdaniem też powinny mieć EV, ale większość ma DV albo właśnie lets encrypt do którego nie jestem przekonany.

[theqkash]

12 minut temu, Poziomecki napisał:

Czasami zdarza się że weryfikacja jest nieudana przez htaccess sklepu, zdaje się że przy preście tak się czasem zdarza a przynajmniej ja na takie przypadki trafiłem.

 

Wszystko chyba zależy od tego w jaki sposób robisz weryfikację, czy tworząc fizycznie plik w folderze strony, czy robisz to przez dyrektywy w plikach konfiguracyjnych vhosta.

[blfr]

39 minut temu, Poziomecki napisał:

Różnica między DV a lets encrypt jest taka że masz gwarancję i nie pierdzielisz się co 3 miesiące z odnowieniem czy problemami, które mogą z niej wyniknąć i nagle jest przerwa w dostępie do strony. Naprawdę lets encrypt nie zawsze działa idealnie (samo odnowienie). Czasami zdarza się że weryfikacja jest nieudana przez htaccess sklepu, zdaje się że przy preście tak się czasem zdarza a przynajmniej ja na takie przypadki trafiłem.

 

Dlatego odnowienie robisz automatycznie miesiąc przed wygaśnięciem certyfikatu, monitorujesz i reagujesz, jeśli nie zadziała, mając cztery tygodnie zapasu i żadnej przerwy w dostępie do strony. Ale zazwyczaj działa, więc nie ma żadnego "pierdzielenia się". Całość nie wymaga w ogóle żadnej ręcznej interwencji.

Edytowane 24 Września 2017 przez blfr

[Poziomecki]

Nie wiem nie pasują mi i tyle. Moja opinia jest taka jak wygłosiłem na początku Na wizytówki, bloga, forum, stronę z pornosami to tak. Dla sklepów itp. już nie

A takie monitorowanie i dbanie co 2 miesiące o ten certyfikat jest dla mnie pierdzieleniem

[SomeGuy]

DirectAdmin dodaje alias, więc nawet .htaccessy klientów mu nie straszne. Certyfikat zawsze można ręcznie też przedłużyć, raczej "pierdzielenia się" z tym nie ma. Ale to jak kto woli, DVki od comodo czy rapida na rok to tak naprawdę grosze, więc jak ktoś chce mieć święty spokój na rok, to nie widzę w tym nic złego.