Skrevet av Emne: Er det noen interresse for SSL på forumet?  (Lest 9457 ganger)

Utlogget Floyd-ATC

  • Livstidsdiktator
  • Administrator
  • Guru
  • *****
  • Innlegg: 542
  • Karma: +12/-0
    • MSN Messenger - floyd@atc.no
    • Vis profil
    • floyd.atc.no
    • E-post
Er det noen interresse for SSL på forumet?
« på: 29. Oktober 2015, 19:26 pm »
  • [applaud]0
  • [smite]0
  • Jeg vurderer å bruke $59 på et SSL-sertifikat for forumet, er det noe som kan være av interresse? Kjører i dag HTTPS med et self-signed sertifikat men dette er kun ment for testing. (Prøv gjerne https://forums.atc.no)


    -Floyd.

    --
    Det finnes 10 typer mennesker;
    de som forstår binærtall, de som ikke gjør det, og de som forstår Grey code.

    Utlogget Cybersyn

    • n00b
    • *
    • Innlegg: 2
    • Karma: +1/-0
      • Vis profil
      • localhost
    Sv: Er det noen interresse for SSL på forumet?
    « Svar #1 på: 29. Oktober 2015, 21:25 pm »
  • [applaud]0
  • [smite]0
  • Jeg er veldig for dette, men jeg synes det bør være valgfritt. Det finnes faktisk fortsatt dingsebumser som ikke støtter SSL eller TLS.

    Men hvis det skal være valgfritt, holder det ikke med et self-signed sertifikat? Når det gjelder et lite forum som dette, er det ingen "kunder" å tape på at man manuelt må godkjenne sertifikatet. I tillegg stoler i hvert fall jeg mer på deg enn på enn autoritet som selger sertifikater til $59.



    Utlogget Floyd-ATC

    • Livstidsdiktator
    • Administrator
    • Guru
    • *****
    • Innlegg: 542
    • Karma: +12/-0
      • MSN Messenger - floyd@atc.no
      • Vis profil
      • floyd.atc.no
      • E-post
    Sv: Er det noen interresse for SSL på forumet?
    « Svar #2 på: 30. Oktober 2015, 10:39 am »
  • [applaud]0
  • [smite]0
  • Valgfritt selvfølgelig.

    Når det gjelder self-signed så er det dessverre ikke relevant hvorvidt du stoler på meg, problemet er at hvem som helst kan lage et self-signed sertifikat for *.atc.no, ikke bare jeg. Det vil si at du har ingen måte å vite sikkert at et self-signed sertifikat faktisk er laget av meg self om det står mitt navn på det.

    En CA brukes for å bekrefte at sertifikatet faktisk er utstedt av dem og at de har sjekket at det er samme person (eller firma) som eier domenet og sertifikatet. Dette er arbeidet de tar betalt for.


    -Floyd.

    --
    Det finnes 10 typer mennesker;
    de som forstår binærtall, de som ikke gjør det, og de som forstår Grey code.

    Utlogget Emilpoika

    • Moderator
    • Guru
    • *****
    • Innlegg: 1.278
    • Karma: +12/-0
    • #Emilpoika
      • Vis profil
      • Emilpoikas Facebookside
    Sv: Er det noen interresse for SSL på forumet?
    « Svar #3 på: 30. Oktober 2015, 14:16 pm »
  • [applaud]0
  • [smite]0
  • Aner ikke hva det er en gang :P
    Men hvis dette handler om sikkerheten på forumet, så er det vel naturlig å spørre om dette er noe vi har hatt problemer med tidligere?


    "So much time on ATC alone, and yet I've never been to me."
    "Half a bee, philosophically, must ipso facto half not be. But half the bee has got to be, vis-à-vis its entity - d'you see? But can a bee be said to be or not to be an entire bee when half the bee is not a bee, due to some ancient injury?

    Utlogget Cybersyn

    • n00b
    • *
    • Innlegg: 2
    • Karma: +1/-0
      • Vis profil
      • localhost
    Sv: Er det noen interresse for SSL på forumet?
    « Svar #4 på: 31. Oktober 2015, 00:54 am »
  • [applaud]0
  • [smite]0
  • Men noen andre klarer vel ikke å lage en privat nøkkel som er likt ditt? Så hvis man krypterer data med din offentlige nøkkel, vil kun din private nøkkel kunne dekryptere det? Man må vel bare passe på at man bruker den riktige offentlige nøkkelen? Eller misforstår jeg?
    http://stackoverflow.com/a/514243/1981338

    Aner ikke hva det er en gang :P
    I dette tilfellet er det en klient (nettleser) som skal kommunisere med en server (forumet). Med SSL/TLS har begge hvert sitt nøkkelpar, som består av en offentlig og en privat nøkkel. Først utveksler klienten og serveren offentlige nøkler. Så, når klienten sender data til serveren, krypterer klienten det med serverens offentlige nøkkel. Dataen kan dekrypteres kun med serverens private nøkkel, som det bare er serveren som har. På samme måte krypteres data fra serveren til klienten med klientens offentlige nøkkel, og dekrypteres av klienten med klientens private nøkkel. Dette kalles asymmetrisk kryptering, når man bruker forskjellig nøkkel for å kryptere og dekryptere. På denne måten kan ikke en "man in the middle" late som om han er klienten eller serveren, fordi han ikke vil kunne dekryptere dataene, siden han ikke har den riktige private nøkkelen. Han vil heller aldri få tak i den private nøkkelen, siden den ikke utveksles, bare den offentlige nøkkelen.
    ...AFAIK

    Men hvis dette handler om sikkerheten på forumet, så er det vel naturlig å spørre om dette er noe vi har hatt problemer med tidligere?
    Det handler mest om brukerens sikkerhet, så jeg mener det blir litt feil å spørre om dette er noe vi har hatt problemer med. Hvis man er koblet til et usikret trådløst nettverk (for eksempel mange trådløse soner) kan hvem som helst se hva som overføres (også passord, i mange tilfeller, men jeg er ikke sikker på hva SMF gjør med dem). Det kan være vanskelig å oppdage, og selv om man kanskje ikke utsettes for det, er det greit å kunne føle seg trygg selv om man bruker et usikret nettverk.
    « Siste redigering: 31. Oktober 2015, 11:09 am av BrutalOst »



    Utlogget Floyd-ATC

    • Livstidsdiktator
    • Administrator
    • Guru
    • *****
    • Innlegg: 542
    • Karma: +12/-0
      • MSN Messenger - floyd@atc.no
      • Vis profil
      • floyd.atc.no
      • E-post
    Sv: Er det noen interresse for SSL på forumet?
    « Svar #5 på: 02. November 2015, 06:41 am »
  • [applaud]0
  • [smite]0
  • Men noen andre klarer vel ikke å lage en privat nøkkel som er likt ditt? Så hvis man krypterer data med din offentlige nøkkel, vil kun din private nøkkel kunne dekryptere det? Man må vel bare passe på at man bruker den riktige offentlige nøkkelen? Eller misforstår jeg?
    http://stackoverflow.com/a/514243/1981338
    Nei, de kan ikke gjette min private nøkkel, men det trenger de heller ikke så lenge jeg kjører self-signed.

    Mot meg presenterer en angriper sin public key akkurat som du gjør når du besøker siden. De etablerer en SSL-forbindelse på samme måte som en hvilken som helst nettleser og dekrypterer innholdet. Mot deg (offeret) behøver de bare å presentere et NYTT sertifikat med en helt annen private key.

    Din nettleser har kun en måte å sikre seg mot forfalskede sertifikater og det er ved å sjekke at CA-signaturen stemmer kryptografisk overens med CA-sertifikatet som nettleseren din allerede har. På et self-signed sertifikat har nettleseren ingen mulighet til å gjøre dette og du har akseptert at det er greit.


    Men hvis dette handler om sikkerheten på forumet, så er det vel naturlig å spørre om dette er noe vi har hatt problemer med tidligere?
    Ikke som jeg kjenner til. Passordet sendes riktignok i plaintext men det er ikke akkurat rikets sikkerhet vi snakker om her. Jeg er ikke i tvil om at de fleste kontoer blir "hacket" ved at folk logger inn hos kompiser og ikke bryr seg om å fjerne passordet etterpå.

    På den annen side så beveger verden seg i retning av at flere og flere nettsteder bruker SSL og Mozilla har offisielt gått ut og sagt at de ønsker å bevege seg bort fra HTTP og mot HTTPS rett og slett ved å stenge for en del funksjonalitet i Firefox:
    https://blog.mozilla.org/security/2015/04/30/deprecating-non-secure-http/

    Jeg for min del har akkurat fått SSL-offloading til å fungere sammen med forumet så rent teknisk er alt klart. Spørsmålet er bare om jeg skal gidde å kaste $59 på en feature hvis det ikke kommer til å bli brukt.


    -Floyd.

    --
    Det finnes 10 typer mennesker;
    de som forstår binærtall, de som ikke gjør det, og de som forstår Grey code.

    Utlogget Cybersyn

    • n00b
    • *
    • Innlegg: 2
    • Karma: +1/-0
      • Vis profil
      • localhost
    Sv: Er det noen interresse for SSL på forumet?
    « Svar #6 på: 02. November 2015, 07:39 am »
  • [applaud]0
  • [smite]0
  • Mot deg (offeret) behøver de bare å presentere et NYTT sertifikat med en helt annen private key.
    Men da må jo jeg godkjenne dette nye sertifikatet?



    Utlogget Floyd-ATC

    • Livstidsdiktator
    • Administrator
    • Guru
    • *****
    • Innlegg: 542
    • Karma: +12/-0
      • MSN Messenger - floyd@atc.no
      • Vis profil
      • floyd.atc.no
      • E-post
    Sv: Er det noen interresse for SSL på forumet?
    « Svar #7 på: 02. November 2015, 15:24 pm »
  • [applaud]0
  • [smite]0
  • Ja, det er korrekt. Men skal du da anta at noen forsøker på noe lurt eller skal du anta at jeg har byttet sertifikat for f.eks. å bytte fra 1024 til 2048 bits? Du må bare gjette :-)

    Korreksjon: Nja. I noen nettlesere klarerer man URL og ikke sertifikat. Her vil man ikke få varsel dersom sertifikatet er endret heller.
    « Siste redigering: 02. November 2015, 17:23 pm av Floyd-ATC »


    -Floyd.

    --
    Det finnes 10 typer mennesker;
    de som forstår binærtall, de som ikke gjør det, og de som forstår Grey code.

    Utlogget Floyd-ATC

    • Livstidsdiktator
    • Administrator
    • Guru
    • *****
    • Innlegg: 542
    • Karma: +12/-0
      • MSN Messenger - floyd@atc.no
      • Vis profil
      • floyd.atc.no
      • E-post
    Sv: Er det noen interresse for SSL på forumet?
    « Svar #8 på: 09. November 2015, 22:22 pm »
  • [applaud]0
  • [smite]0
  • I dag klarte jeg å konfigurere HAPROXY med SNI sånn at jeg slipper å bruke wildcard-sertifikat (som koster penger). Dermed har jeg plutselig CA-signerte sertifikater på plass gitt :-)


    -Floyd.

    --
    Det finnes 10 typer mennesker;
    de som forstår binærtall, de som ikke gjør det, og de som forstår Grey code.