Cloud – ako na SSL certifikaty?

25. 3. 2016 14:42:18

Ahojte, ako riesite SSL certifikaty v cloude?

Napr mam 100 domen ktore cez load balancer obsluhuje 10 webserverov. Kazdy webserver teda musi mat certifikat pre kazdu domenu ktoru obsluhuje(=100). Kopirujete certifikaty(100) na kazdy webserver(10) alebo to riesite nejak centralne?

Nieco som cital o tom ze SSL pojde iba po LB a z LB na webserver pojde ciste HTTP, ale to aj tak ide iba s jednou domenou + nejak sa mi nepaci ze by komunikacia mala byt nezabezpecena, aj ked iba vo vnutornej sieti, pride mi to divne a nechce sa mi to riesit v aplikacii.

Napadlo ma roztriedit odmeny na konkretne webservery a odstranit LB ale tak mi zanika redundancia a musel by som znacne viac monitorovat kazdy webserver zvlast(vykon), co sa mi nepaci.

Ako to riesit vy?

25. 3. 2016 14:42:18

https://webtrh.cz/diskuse/cloud-ako-na-ssl-certifikaty/#reply1185395

Flipixo LTD

25. 3. 2016 14:47:54

Zdravim, zalezi jakym zpusobem balancovani resite. Pokud mate vlastni HaProxy napr. na VPS je mozne certifikat instalovat na urovni balanceru, tim padem nemusite instalovat certifikat na kazdem nodu. Do implementace HaProxy muzete nastavit klidne 20 certifikatu, ktere budou pouzite.

25. 3. 2016 14:47:54

https://webtrh.cz/diskuse/cloud-ako-na-ssl-certifikaty/#reply1185394

i-PRESS

(2 hodnocení)

25. 3. 2016 14:48:22

Pokud mají být certifikáty na 1 místě, proč je problém třeba SAN? Comodo (PositiveSSL) běžně vystavuje SAN certifikáty i pro 200 domén... V případě přidání další domény/změny stávající se prostě přegeneruje ten 1 certifikát..

25. 3. 2016 14:48:22

https://webtrh.cz/diskuse/cloud-ako-na-ssl-certifikaty/#reply1185393

Flipixo LTD

25. 3. 2016 14:54:44

Nebo tak jak rika i-PRESS je to mozne take a dobre reseni, pokud tuto moznost nemate vytvorte si .pem certifikat, slozeny z: certifikatu a klice napr. takto:

a nasledne muzete .pem certifikat pouzit v haproxy pro vice doment takto:

---------- Příspěvek doplněn 25.03.2016 v 15:13 ----------

Nieco som cital o tom ze SSL pojde iba po LB a z LB na webserver pojde ciste HTTP, ale to aj tak ide iba s jednou domenou + nejak sa mi nepaci ze by komunikacia mala byt nezabezpecena, aj ked iba vo vnutornej sieti, pride mi to divne a nechce sa mi to riesit v aplikacii.

Komunikace na privatni siti neni nebezpecna, protoze nedosahuje ven, v takovem pripade vse za load balancerem je musi byt na privatni siti, tzn. Sifrovana komunikace probiha k HaProxy a na privatni jiz muze byt nesifrovana. Dale je zde pak moznost self-signed certifikatu ktery muzete implementovat pro komunikaci s loadbalancerem a ignorovat neovereny certifikat na balanceru, pokud mate nejake duvody proc komunikace musi byt sifrovana i na privatni siti.

25. 3. 2016 14:54:44

https://webtrh.cz/diskuse/cloud-ako-na-ssl-certifikaty/#reply1185392

node

(5 hodnocení)

25. 3. 2016 15:22:06

SAN - chcem vyuzit Let's Encrypt certifikaty, cize pre kazdu domenu samostatny. HaProxy je alternativa, akurat som nechcel riesit nieco sam ak mi to ako sluzbu ponuka cloud samotny.

25. 3. 2016 15:22:06

https://webtrh.cz/diskuse/cloud-ako-na-ssl-certifikaty/#reply1185391

Flipixo LTD

25. 3. 2016 15:39:06

Napsal node;1279697
SAN - chcem vyuzit Let's Encrypt certifikaty, cize pre kazdu domenu samostatny. HaProxy je alternativa, akurat som nechcel riesit nieco sam ak mi to ako sluzbu ponuka cloud samotny.

Nezapomente vyuzit SNI podminky pro roztridovani mezi spravne nody ( nebo jednotlive backendy ), pokud budete resit vlastni HaProxy.

25. 3. 2016 15:39:06

https://webtrh.cz/diskuse/cloud-ako-na-ssl-certifikaty/#reply1185390

TomasX

(4 hodnocení)

25. 3. 2016 15:45:37

používáme dvě řešení.

Preferované je, že ssl řeší pouze vnější balancer a ten je má všechny k dispozici, máme zároveň dobrou kontrolu nad bezpečností a routováním.

Druhé spočítává v tom, že ssl certifikáty spravuje puppet a hází je podle nastavení na odpovídající servery. Zároveň se stará o jejich invalidaci.

Vymyslet by se dalo i několik dalších řešení. V labs máme třeba teď pokus s ukládání certifikátu v https://www.vaultproject.io/, před spuštění webserveru je namountujeme přes fuse, spustíme webserver a pak je zase odmountujeme, aby zbytečně nezůstavaly ve filesystému.

25. 3. 2016 15:45:37

https://webtrh.cz/diskuse/cloud-ako-na-ssl-certifikaty/#reply1185389

i-PRESS

(2 hodnocení)

25. 3. 2016 15:50:07

Napsal TomášX;1279711
Vymyslet by se dalo i několik dalších řešení. V labs máme třeba teď pokus s ukládání certifikátu v https://www.vaultproject.io/, před spuštění webserveru je namountujeme přes fuse, spustíme webserver a pak je zase odmountujeme, aby zbytečně nezůstavaly ve filesystému.

Zajímavé, privátní klíče ale předpokládám držíte sami, ne?

25. 3. 2016 15:50:07

https://webtrh.cz/diskuse/cloud-ako-na-ssl-certifikaty/#reply1185388

TomasX

(4 hodnocení)

25. 3. 2016 15:53:58

i-PRESS: teď nevím jak to myslíš. Privátní klíče jsou právě uložené ve vault, ten to perzistuje zašifrované v zookeeperu. Zpřístupní je až deploy script, který je namountuje dočasně pro webserver a pak si je zase vezme. Webserver si je drží v paměti a už na soubory nehrabá

25. 3. 2016 15:53:58

https://webtrh.cz/diskuse/cloud-ako-na-ssl-certifikaty/#reply1185387

Flipixo LTD

25. 3. 2016 15:56:31

Napsal TomášX;1279714
i-PRESS: teď nevím jak to myslíš. Privátní klíče jsou právě uložené ve vault, ten to perzistuje zašifrované v zookeeperu. Zpřístupní je až deploy script, který je namountuje dočasně pro webserver a pak si je zase vezme. Webserver si je drží v paměti a už na soubory nehrabá

Zde vidim problem, kdyz se webserver zamrazi, zaseka je potreba namountovat znova a server zresetovat. Tzn. pokud to ma byt plne automatizovvane je potreba mit vlastni skript na reset webserveru, pripadne my resime na urovni monitoringu, v pripade "mrtveho" serveru, pokus obnovy, zotaveni vlastnim skriptem pro pokus kontaktovani serveru, v pripade ze je nejaka sluzba mrtva, pokus o jeji restart, v pripade ze hazi chybu odeslani chyby s pokusem o obnoveni.

Ve vasem pripade by jste musel v tomto skriptu provadet i mountovani a dismountovani externiho uloziste.

25. 3. 2016 15:56:31

https://webtrh.cz/diskuse/cloud-ako-na-ssl-certifikaty/#reply1185386

i-PRESS

(2 hodnocení)

25. 3. 2016 16:02:26

@TomášX: Aha, no tu službu neznám, ale přišlo mi celkem nebezpečné je posílat po síti, byť zabezpečeně..

Chápu, že jsou mé obavy možná zbytečné, obzvláště když třeba CA comodo se k certifikátům staví tak, že mi cert pro podpis emailu pošle mailem, ale... No zkusím se na to podívat já právě nechápal, proč držet veřejné certifikáty v cizí storage :)

25. 3. 2016 16:02:26

https://webtrh.cz/diskuse/cloud-ako-na-ssl-certifikaty/#reply1185385

TomasX

(4 hodnocení)

25. 3. 2016 16:02:40

pokud webserver přestane pracovat, jde pryč z clusteru. Jakmile puppet zjistí, že něco není v očekávaném stavu, napraví to, tj. provede na daném serveru znovu deploy se vším všudy.

Občas se v aws stane, že jsou třeba chybné disky nebo jiný HW. Povětšinou to více neřešíme, puppet to vzdá a deployne nový server. Na ten chybný většinou chvilku necháme, aby ho admin mohl prozkoumat.

Nestává se ale moc často, že by spadl webserver, je to hodně vyjímečné. Aplikace ale padají daleko častěji, ty stačí jen otočit a vše je zase sluníčkové.

---------- Příspěvek doplněn 25.03.2016 v 16:06 ----------

i-PRESS: mrkní na to, není to služba, ale aplikace. Data jsou v paměti chráněná, zašifrovaná a mohou se synchronizovat přes etcd, s3, consul, zookeeper nebo jen na disku. Při spouštění vaultu je nutné zadat několik částí hesla. Má relativně slušné api a dobře se s ním pracuje, mám plán s tím nahradit ldap, s kterým jsou akorát problémy

Zatím je to relativně mladá aplikace (ccca 2 roky), ale právě její smysl je v bezpečném uchování citlivých údajů. Data putují pouze po sítí hostingu, v našem případě v aws za firewallem, je možné samozřejmě je nechat putovat i pod vpn.

25. 3. 2016 16:02:40

https://webtrh.cz/diskuse/cloud-ako-na-ssl-certifikaty/#reply1185384

i-PRESS

(2 hodnocení)

25. 3. 2016 16:07:41

@TomášX: Aha, tak to pak jo, díky za tip, určitě to prozkoumám ;)

25. 3. 2016 16:07:41

https://webtrh.cz/diskuse/cloud-ako-na-ssl-certifikaty/#reply1185383

Petr Soukup

(5 hodnocení)

25. 3. 2016 16:11:54

Pozor na to, že v případě SAN se 100 doménami ten certifikát není zrovna malý a už to má znatelný dopad na výkon - musí se zbytečně navyšovat ssl buffer a podobně.

Loadbalancery navíc ještě neumí HTTP/2, což má dost zásadní vliv na rychlost.

Mít certifikát na balanceru má tak jen dvě výhody:

- lze použít ssl cache (zanedbatelné)

- nemusí se používat SNI (dnes už je to asi jedno a lze případně mít SAN jako fallback)

U nás kvůli tomu terminaci řešíme až na instanci. Jediné co na tom je otravné je deploy privátních klíčů na všechny instance.

25. 3. 2016 16:11:54

https://webtrh.cz/diskuse/cloud-ako-na-ssl-certifikaty/#reply1185382

i-PRESS

(2 hodnocení)

25. 3. 2016 18:46:24

@Souki: Můžeš trošku rozvést, v čem je SAN větší? Pokud jde o 1 certifikát s 1 pk, pak by pouhé uvedení altenative names nemělo mít na výkon dopad, ne?

Ad loadbalancer, tak třeba NGINX HTTP2 podporuje, otázka tedy je, co jako LB používáte...

25. 3. 2016 18:46:24

https://webtrh.cz/diskuse/cloud-ako-na-ssl-certifikaty/#reply1185381