Problém s SSL certifikátem – CSR klíč

12. 12. 2013 08:57:24

Dobrý den WebTržníci,

řeším problém, kdy jsem si objednal přes Zoner RapidSSL certifikát k hostingu , který běží na Wedosu. Zoner po mě chce, aby mi Wedos vygeneroval CSR klíč, ale Wedos mi jej odmítl s odůvodněním, že není certifikační autorita.

Protože jsem nikdy SSL neřešil a jsem v tomto ohledu technický laik, můžete mi prosím poradit jak postupovat, tak abych využil zaplacený RapidSSl ceritikát, zaplacenou pevnou IP adresu u Wedosu, zaplacený hosting u Wedosu....

Budu vděčný za každou radu.

Díky. Aleš

12. 12. 2013 08:57:24

https://webtrh.cz/diskuse/problem-s-ssl-certifikatem-csr-klic#reply975700

Jiří Adámek

(20 hodnocení)

12. 12. 2013 09:02:17

CSR je veřejný požadavek pro podpis, na základě kterého je vygenerován certifikát. Pokud chceš, tak ti jej vygeneruji - zadarmo. Kdyžtak PM.

Pošli mi rovnou tyto údaje:

Common name: přesný název domény

Organization: jméno firmy, majitele domény

Organizational unit: jednotka, účel

City/locality: město

---------- Příspěvek doplněn 12.12.2013 v 09:03 ----------

pozor na název domény:

Musí být opravdu přesně. Tzn. pokud budou lidi přistupovat přes www.neco.tld musí být včetně www

Pokud budou přistupovat jen přes neco.tld, musí být bez www

12. 12. 2013 09:02:17

https://webtrh.cz/diskuse/problem-s-ssl-certifikatem-csr-klic#reply975699

Martin Schlemmer

(36 hodnocení)

12. 12. 2013 09:59:13

Mytrix to určitě myslí dobře, ale součástí vygenerování CSR, tedy požadavku na podepsání certifikátu, je vygenerování soukromého klíče, který je právě tím, co rozšifrovává komunikaci přes SSL. Soukromý klíč byste nikdy neměl dát z ruky a proto by vám ho měl vygenerovat váš vlastní hosting či administrátor.

Zoner by vám ho klidně vygeneroval, ale pak bude znát váš soukromý klíč.

Vysvětlete tedy situaci podpoře vašeho hostingu. CSR musí vygenerovat ona, nebo vy.

http://www.rackspace.com/knowledge_center/article/generate-a-csr-with-openssl

12. 12. 2013 09:59:13

https://webtrh.cz/diskuse/problem-s-ssl-certifikatem-csr-klic#reply975698

elbia

(3 hodnocení)

12. 12. 2013 10:06:23

My v nasom administracnom rozrhani ponukame funkciu na generovanie CSR pre ucely objednavky certifiaktu avsak pridana bola len na tlak nasich klientov. V tomto smere urcite suhlasime s Wedosom, generovanie CSR absolutne nie je ulohou webhostingu ale priamo certifikacnej autority (a tie lepsie ho aj pre klientov generuju, skuste napr. www.StartSSL.com ). CSR je prakticky objednavka certifikatu, tak je myslim logicke, ze ju bude generovat priamo poskytovatel sluzby, v tomto pripade certifikacna autorita.

12. 12. 2013 10:06:23

https://webtrh.cz/diskuse/problem-s-ssl-certifikatem-csr-klic#reply975697

Martin Schlemmer

(36 hodnocení)

12. 12. 2013 10:16:35

CSR se musí podepsat soukromým klíčem. Proč byste ho dával z ruky certifikační autoritě? Proč byste ho vůbec dával z ruky?

CSR by měl z bezpečnostních důvodů vygenerovat hosting nebo správce serveru.

12. 12. 2013 10:16:35

https://webtrh.cz/diskuse/problem-s-ssl-certifikatem-csr-klic#reply975696

elbia

(3 hodnocení)

12. 12. 2013 10:37:25

Certifikacna autorita je subjekt, ktoremu doverujete, kedze si od neho davate vygenerovat certifikat, ktory potvrdzuje Vasu identitu a zverujete mu sifrovanie Vasich udajov. Ak mu doverujete, tak z akeho dovodu by Vam nemal vygenerovat aj sukromny kluc? Navyse, certifikacna autorita vlastni korenovy certifikat a aj sukromny kluc, takze ak by chcela citat Vasu komunikaciu zasifrovanu certifikatom vydanym nou, tak to urobi aj bez Vasho sukromneho klucu.

12. 12. 2013 10:37:25

https://webtrh.cz/diskuse/problem-s-ssl-certifikatem-csr-klic#reply975695

Martin Schlemmer

(36 hodnocení)

12. 12. 2013 11:03:17

Certifikační autorita podepisuje váš SSL certifikát svým klíčem a ověřuje, že váš certifikát je "pravý".

Kořenový certifikát CA neumožňuje číst komunikaci šifrovanou vašim certifikátem. Umožňuje "pouze" útok typu MITM, tedy vydání zfalšovaného certifikátu, který se tváří jako pravý.

Svěřit soukromý klíč CA je zcela nová úroveň bezpečnostního pekla a velmi se divím, že to jako hostingový profesionál doporučujete.

12. 12. 2013 11:03:17

https://webtrh.cz/diskuse/problem-s-ssl-certifikatem-csr-klic#reply975694

Jiří Adámek

(20 hodnocení)

12. 12. 2013 11:05:20

Napsal Martin Schlemmer;1032547
CSR se musí podepsat soukromým klíčem. Proč byste ho dával z ruky certifikační autoritě? Proč byste ho vůbec dával z ruky?
CSR by měl z bezpečnostních důvodů vygenerovat hosting nebo správce serveru.

Máš naprostou pravdu. Nicméně pokud hosting nechce tuto službu udělat a sám tazatel to neumí, pak jinou možnost nemá. :) Navíc zde se předpokládám jedná jen o ověření domény, takže v tomto případě slouží spíše jako technický prostředek pro šifrování, než jako ověření totožnosti.

Jinak všeobecně vzato, na tom to stojí, že privátní klíč zná jen vlastník. Neměl by jej znát nikdo jiný.

12. 12. 2013 11:05:20

https://webtrh.cz/diskuse/problem-s-ssl-certifikatem-csr-klic#reply975693

elbia

(3 hodnocení)

12. 12. 2013 11:10:11

Napsal Martin Schlemmer;1032582
Umožňuje "pouze" útok typu MITM, tedy vydání zfalšovaného certifikátu, který se tváří jako pravý.

O tom presne hovorim a ak si myslite, ze je to nieco nemozne, tak zrejme nesledujete aktualne dianie - tu nejde o utok na webhosting ale napr. priamo na domaci router koncovych pouzivatelov. CA si kludne vyda certifikat, ktory bude mat aj rovnake seriove cislo ako ten Vas 'pravy'. Ak za bezpecnejsie povazujete vygenerovanie klucov nahodnym zamestnancom webhostingu, ktory mozno ani nevie, co presne robi a s akymi udajmi naraba (CA to, naopak, velmi dobre vie), tak to je minimalne na zamyslenie.

12. 12. 2013 11:10:11

https://webtrh.cz/diskuse/problem-s-ssl-certifikatem-csr-klic#reply975692

Martin Schlemmer

(36 hodnocení)

12. 12. 2013 11:19:05

Stávající systém je náchylný k MITM při zneužití autority CA. MITM se ale dá detekovat, například pomocí certificate pinning. Neumožňuje taky rozšifrovat dřívější komunikaci.

Když ale dáte z ruky soukromý klíč, veškerá komunikace je potichu a zpětně napadnutelná kýmkoliv, kdo se ke klíči dostane.

K serveru mají fyzický přístup ostatní lidé, takže nakonec někomu věřit musíte. A čím méně jich je a čím blíže vám jsou, tím lépe.

Proto je lepší varianta nechat soukromý klíč a CSR vygenerovat hosting - ano, i "náhodného zaměstnance, který možná neví, co přesně dělá", pokud je to případ daného hostingu - než třetí stranu, která není ve vaší jurisdikci a pravděpodobně je ze zákona podřízená místní rozvědce.

12. 12. 2013 11:19:05

https://webtrh.cz/diskuse/problem-s-ssl-certifikatem-csr-klic#reply975691

elbia

(3 hodnocení)

12. 12. 2013 11:28:59

Pripady, o ktorych pisete, su uplne mimo klasickeho webhostingu. Ak naozaj potrebujete takuto uroven bezpecnosti, tak si CSR generujte sami a taktiez prevadzkujte vlastny HW, na ktory nema nikto iny pristup. Ak vyuzivate kalsicky webhosting, tak je uplne jedno, ci Vam CSR vygeneruje CA alebo webhoster (pricom webhoster nema ziadny dovod, aby Vam nieco taketo generoval, nie je to jeho uloha ani povinnost). Snazite sa zavadzat vysoko bezpecnostne prvky do prostredia, kde vobec nemaju zmysel, pretoze taka uroven bezpecnosti tam nie je realna uz z principu fungovania - to je ako keby ste si do bytu na prvom poschodi namontovali pancierove dvere avsak okna nechali bez mrezi.

12. 12. 2013 11:28:59

https://webtrh.cz/diskuse/problem-s-ssl-certifikatem-csr-klic#reply975690

Martin Schlemmer

(36 hodnocení)

12. 12. 2013 13:19:20

Abych pokračoval ve vaší metafoře, vy si necháte nainstalovat pancéřové dveře*, dáte klíč pod rohožku a řeknete o něm prodejci dveří.

* Dveře nejsou nejlepší metafora pro šifrování, ale budiž.

12. 12. 2013 13:19:20

https://webtrh.cz/diskuse/problem-s-ssl-certifikatem-csr-klic#reply975689

cakes

12. 12. 2013 16:55:14

http://www.blog.sslmarket.cz/ssl/zaklady-prace-s-openssl-privatni-klic-a-csr/ - jednoduchý návod (openSSL pod win)

12. 12. 2013 16:55:14

https://webtrh.cz/diskuse/problem-s-ssl-certifikatem-csr-klic#reply975688

elbia

(3 hodnocení)

12. 12. 2013 18:27:13

Martin Schlemmer ja som neprirovnaval dvere k sifrovaniu ale narazal na to, ze Vy si dokonale zabezpecite jednu cestu avsak ostatne uz nie, takze to cele nema zmysel.

12. 12. 2013 18:27:13

https://webtrh.cz/diskuse/problem-s-ssl-certifikatem-csr-klic#reply975687

Martin Schlemmer

(36 hodnocení)

12. 12. 2013 20:36:18

Šifrování webu není zabezpečení pro provozovatele, ale pro návštěvníky a jejich údaje.

Říkáte: "Pokud nelze web a komunikaci zabezpečit na 100%, nemá smysl se vůbec snažit".

"SSL lze prolomit, proč tedy rovnou nedat soukromý klíč neznámé třetí straně, abych si ulehčil práci."

Nesouhlasím s takovým postojem, je nebezpečný.

Risk nemůžete nikdy odstranit, ale můžete ho zmenšit nebo minimalizovat.

12. 12. 2013 20:36:18

https://webtrh.cz/diskuse/problem-s-ssl-certifikatem-csr-klic#reply975686