Zadejte hledaný výraz...

Problém s SSL certifikátem – CSR klíč

Ales Kuklinek
verified
rating uzivatele
12. 12. 2013 08:57:24
Dobrý den WebTržníci,
řeším problém, kdy jsem si objednal přes Zoner RapidSSL certifikát k hostingu , který běží na Wedosu. Zoner po mě chce, aby mi Wedos vygeneroval CSR klíč, ale Wedos mi jej odmítl s odůvodněním, že není certifikační autorita.
Protože jsem nikdy SSL neřešil a jsem v tomto ohledu technický laik, můžete mi prosím poradit jak postupovat, tak abych využil zaplacený RapidSSl ceritikát, zaplacenou pevnou IP adresu u Wedosu, zaplacený hosting u Wedosu....
Budu vděčný za každou radu.
Díky. Aleš
12. 12. 2013 08:57:24
https://webtrh.cz/diskuse/problem-s-ssl-certifikatem-csr-klic/#reply975700
Jiří Adámek
verified
rating uzivatele
(20 hodnocení)
12. 12. 2013 09:02:17
CSR je veřejný požadavek pro podpis, na základě kterého je vygenerován certifikát. Pokud chceš, tak ti jej vygeneruji - zadarmo. Kdyžtak PM.
Pošli mi rovnou tyto údaje:
Common name: přesný název domény
Organization: jméno firmy, majitele domény
Organizational unit: jednotka, účel
City/locality: město
---------- Příspěvek doplněn 12.12.2013 v 09:03 ----------
pozor na název domény:
Musí být opravdu přesně. Tzn. pokud budou lidi přistupovat přes www.neco.tld musí být včetně www
Pokud budou přistupovat jen přes neco.tld, musí být bez www
12. 12. 2013 09:02:17
https://webtrh.cz/diskuse/problem-s-ssl-certifikatem-csr-klic/#reply975699
Mytrix to určitě myslí dobře, ale součástí vygenerování CSR, tedy požadavku na podepsání certifikátu, je vygenerování soukromého klíče, který je právě tím, co rozšifrovává komunikaci přes SSL. Soukromý klíč byste nikdy neměl dát z ruky a proto by vám ho měl vygenerovat váš vlastní hosting či administrátor.
Zoner by vám ho klidně vygeneroval, ale pak bude znát váš soukromý klíč.
Vysvětlete tedy situaci podpoře vašeho hostingu. CSR musí vygenerovat ona, nebo vy.
http://www.rackspace.com/knowledge_center/article/generate-a-csr-with-openssl
12. 12. 2013 09:59:13
https://webtrh.cz/diskuse/problem-s-ssl-certifikatem-csr-klic/#reply975698
elbia
verified
rating uzivatele
(3 hodnocení)
12. 12. 2013 10:06:23
My v nasom administracnom rozrhani ponukame funkciu na generovanie CSR pre ucely objednavky certifiaktu avsak pridana bola len na tlak nasich klientov. V tomto smere urcite suhlasime s Wedosom, generovanie CSR absolutne nie je ulohou webhostingu ale priamo certifikacnej autority (a tie lepsie ho aj pre klientov generuju, skuste napr. www.StartSSL.com ). CSR je prakticky objednavka certifikatu, tak je myslim logicke, ze ju bude generovat priamo poskytovatel sluzby, v tomto pripade certifikacna autorita.
12. 12. 2013 10:06:23
https://webtrh.cz/diskuse/problem-s-ssl-certifikatem-csr-klic/#reply975697
CSR se musí podepsat soukromým klíčem. Proč byste ho dával z ruky certifikační autoritě? Proč byste ho vůbec dával z ruky?
CSR by měl z bezpečnostních důvodů vygenerovat hosting nebo správce serveru.
12. 12. 2013 10:16:35
https://webtrh.cz/diskuse/problem-s-ssl-certifikatem-csr-klic/#reply975696
elbia
verified
rating uzivatele
(3 hodnocení)
12. 12. 2013 10:37:25
Certifikacna autorita je subjekt, ktoremu doverujete, kedze si od neho davate vygenerovat certifikat, ktory potvrdzuje Vasu identitu a zverujete mu sifrovanie Vasich udajov. Ak mu doverujete, tak z akeho dovodu by Vam nemal vygenerovat aj sukromny kluc? Navyse, certifikacna autorita vlastni korenovy certifikat a aj sukromny kluc, takze ak by chcela citat Vasu komunikaciu zasifrovanu certifikatom vydanym nou, tak to urobi aj bez Vasho sukromneho klucu.
12. 12. 2013 10:37:25
https://webtrh.cz/diskuse/problem-s-ssl-certifikatem-csr-klic/#reply975695
Certifikační autorita podepisuje váš SSL certifikát svým klíčem a ověřuje, že váš certifikát je "pravý".
Kořenový certifikát CA neumožňuje číst komunikaci šifrovanou vašim certifikátem. Umožňuje "pouze" útok typu MITM, tedy vydání zfalšovaného certifikátu, který se tváří jako pravý.
Svěřit soukromý klíč CA je zcela nová úroveň bezpečnostního pekla a velmi se divím, že to jako hostingový profesionál doporučujete.
12. 12. 2013 11:03:17
https://webtrh.cz/diskuse/problem-s-ssl-certifikatem-csr-klic/#reply975694
Jiří Adámek
verified
rating uzivatele
(20 hodnocení)
12. 12. 2013 11:05:20
Napsal Martin Schlemmer;1032547
CSR se musí podepsat soukromým klíčem. Proč byste ho dával z ruky certifikační autoritě? Proč byste ho vůbec dával z ruky?
CSR by měl z bezpečnostních důvodů vygenerovat hosting nebo správce serveru.
Máš naprostou pravdu. Nicméně pokud hosting nechce tuto službu udělat a sám tazatel to neumí, pak jinou možnost nemá. :) Navíc zde se předpokládám jedná jen o ověření domény, takže v tomto případě slouží spíše jako technický prostředek pro šifrování, než jako ověření totožnosti.
Jinak všeobecně vzato, na tom to stojí, že privátní klíč zná jen vlastník. Neměl by jej znát nikdo jiný.
12. 12. 2013 11:05:20
https://webtrh.cz/diskuse/problem-s-ssl-certifikatem-csr-klic/#reply975693
elbia
verified
rating uzivatele
(3 hodnocení)
12. 12. 2013 11:10:11
Napsal Martin Schlemmer;1032582
Umožňuje "pouze" útok typu MITM, tedy vydání zfalšovaného certifikátu, který se tváří jako pravý.
O tom presne hovorim a ak si myslite, ze je to nieco nemozne, tak zrejme nesledujete aktualne dianie - tu nejde o utok na webhosting ale napr. priamo na domaci router koncovych pouzivatelov. CA si kludne vyda certifikat, ktory bude mat aj rovnake seriove cislo ako ten Vas 'pravy'. Ak za bezpecnejsie povazujete vygenerovanie klucov nahodnym zamestnancom webhostingu, ktory mozno ani nevie, co presne robi a s akymi udajmi naraba (CA to, naopak, velmi dobre vie), tak to je minimalne na zamyslenie.
12. 12. 2013 11:10:11
https://webtrh.cz/diskuse/problem-s-ssl-certifikatem-csr-klic/#reply975692
Stávající systém je náchylný k MITM při zneužití autority CA. MITM se ale dá detekovat, například pomocí certificate pinning. Neumožňuje taky rozšifrovat dřívější komunikaci.
Když ale dáte z ruky soukromý klíč, veškerá komunikace je potichu a zpětně napadnutelná kýmkoliv, kdo se ke klíči dostane.
K serveru mají fyzický přístup ostatní lidé, takže nakonec někomu věřit musíte. A čím méně jich je a čím blíže vám jsou, tím lépe.
Proto je lepší varianta nechat soukromý klíč a CSR vygenerovat hosting - ano, i "náhodného zaměstnance, který možná neví, co přesně dělá", pokud je to případ daného hostingu - než třetí stranu, která není ve vaší jurisdikci a pravděpodobně je ze zákona podřízená místní rozvědce.
12. 12. 2013 11:19:05
https://webtrh.cz/diskuse/problem-s-ssl-certifikatem-csr-klic/#reply975691
elbia
verified
rating uzivatele
(3 hodnocení)
12. 12. 2013 11:28:59
Pripady, o ktorych pisete, su uplne mimo klasickeho webhostingu. Ak naozaj potrebujete takuto uroven bezpecnosti, tak si CSR generujte sami a taktiez prevadzkujte vlastny HW, na ktory nema nikto iny pristup. Ak vyuzivate kalsicky webhosting, tak je uplne jedno, ci Vam CSR vygeneruje CA alebo webhoster (pricom webhoster nema ziadny dovod, aby Vam nieco taketo generoval, nie je to jeho uloha ani povinnost). Snazite sa zavadzat vysoko bezpecnostne prvky do prostredia, kde vobec nemaju zmysel, pretoze taka uroven bezpecnosti tam nie je realna uz z principu fungovania - to je ako keby ste si do bytu na prvom poschodi namontovali pancierove dvere avsak okna nechali bez mrezi.
12. 12. 2013 11:28:59
https://webtrh.cz/diskuse/problem-s-ssl-certifikatem-csr-klic/#reply975690
Abych pokračoval ve vaší metafoře, vy si necháte nainstalovat pancéřové dveře*, dáte klíč pod rohožku a řeknete o něm prodejci dveří.
* Dveře nejsou nejlepší metafora pro šifrování, ale budiž.
12. 12. 2013 13:19:20
https://webtrh.cz/diskuse/problem-s-ssl-certifikatem-csr-klic/#reply975689
cakes
verified
rating uzivatele
12. 12. 2013 16:55:14
http://www.blog.sslmarket.cz/ssl/zaklady-prace-s-openssl-privatni-klic-a-csr/ - jednoduchý návod (openSSL pod win)
12. 12. 2013 16:55:14
https://webtrh.cz/diskuse/problem-s-ssl-certifikatem-csr-klic/#reply975688
elbia
verified
rating uzivatele
(3 hodnocení)
12. 12. 2013 18:27:13
Martin Schlemmer ja som neprirovnaval dvere k sifrovaniu ale narazal na to, ze Vy si dokonale zabezpecite jednu cestu avsak ostatne uz nie, takze to cele nema zmysel.
12. 12. 2013 18:27:13
https://webtrh.cz/diskuse/problem-s-ssl-certifikatem-csr-klic/#reply975687
Šifrování webu není zabezpečení pro provozovatele, ale pro návštěvníky a jejich údaje.
Říkáte: "Pokud nelze web a komunikaci zabezpečit na 100%, nemá smysl se vůbec snažit".
"SSL lze prolomit, proč tedy rovnou nedat soukromý klíč neznámé třetí straně, abych si ulehčil práci."
Nesouhlasím s takovým postojem, je nebezpečný.
Risk nemůžete nikdy odstranit, ale můžete ho zmenšit nebo minimalizovat.
12. 12. 2013 20:36:18
https://webtrh.cz/diskuse/problem-s-ssl-certifikatem-csr-klic/#reply975686
Pro odpověď se přihlašte.
Přihlásit