SSL certifikát pre moju stranku s magazinem clankov?

it47

17. 2. 2016 12:55:42

Ahojte,

moj webhosting mi ponuka moznost vytvorit SSL certifikát, myslite si, ze to mam vyuzit?

Ide o to, ze moj web nie je e-shop, ale magazin clankov, tak neviem, ci by to pomohlo.

Zaujimali by ma vyhody/nevyhody mat SSL certifikat.

Vopred dakujem velmi pekne.

17. 2. 2016 12:55:42

https://webtrh.cz/diskuse/ssl-certifikat-pre-moju-stranku-s-magazinem-clankov#reply1175667

i-PRESS

(2 hodnocení)

17. 2. 2016 13:08:05

Já bych do toho určitě šel. Je to otázka 2 stovek ročně a když už nic, ochrání alespoň email při přihlášení. Pokud tedy nejde o nesmysl typu LE...

17. 2. 2016 13:08:05

https://webtrh.cz/diskuse/ssl-certifikat-pre-moju-stranku-s-magazinem-clankov#reply1175666

TomasX

(4 hodnocení)

17. 2. 2016 13:25:21

SSL kromě toho, že chrání přenášená citlivá data, chrání i proti změně obsahu stránku při přenosu. Řada "free wifi" jsou free za cenu toho, že ti do stránek dávají vlastní reklamu, časté třeba v USA na letištích. U nás se to začíná objevovat u třeba zdarma wifi u restaurací atd. Do stránek se nemusí přidávat jen "nezávadná" reklama, ale jakýkoliv nebezpečný kód vč. virů atd.

Takže ssl rozhodně doporučuji i na stránky, která neobsahují důvěrné informace.

17. 2. 2016 13:25:21

https://webtrh.cz/diskuse/ssl-certifikat-pre-moju-stranku-s-magazinem-clankov#reply1175665

Pavol-s

17. 2. 2016 14:26:33

Určite to ber. Asi je to Lets Encrypt, ten je zadarmo.

17. 2. 2016 14:26:33

https://webtrh.cz/diskuse/ssl-certifikat-pre-moju-stranku-s-magazinem-clankov#reply1175664

i-PRESS

(2 hodnocení)

17. 2. 2016 14:37:57

Napsal Pavol-s;1268144
Asi je to Lets Encrypt, ten je zadarmo.

Tak tomu bych se právě obloukem vyhnul.. Zajímal jste se o to? Stručně:

-Krátká platnost vylučuje zařazení na HSTS preload list

-Krátká platnost komplikuje přišpendlení certifikátu k doméně (TLSA záznam)

-Nemožnost revokace certifikátu = při ztrátě PK bude platit do konce doby platnosti.

Atd, atd.. Je to totální šílenost.

17. 2. 2016 14:37:57

https://webtrh.cz/diskuse/ssl-certifikat-pre-moju-stranku-s-magazinem-clankov#reply1175663

TomasX

(4 hodnocení)

17. 2. 2016 15:14:27

asi bych nebyl k lets encrypt tak jednoznačně odmítavý.

- HSTS preload list asi není v tomhle případě nutný, HSTS pořád funguje. Dá se vyřešit přes koupení standardního certu (či jiného zdarma), s tím se zapsat do preload listu a poté nahodit lets encrypt

- "přišpěndlení", pokud jde o HPKP tomu to nedělá problém, špišpendlit můžeš jakýkoliv public key v chainu, tj. klidně i intermediate, což je mimochodem častější případ použití. DANE/TLSA nic nebrání, ale prohlížeče to zatím nepodporují, změnu záznamů si můžeš zautomatizovat. Každopádně ani HPKP ani DANE nedoporučuji používat pokud tomu opravdu nerozumíte, je nutné mít i do zásoby náhradní certifikáty a není snadné to bezchybně implementovat a provozovat

- revoke lets encrypt podporuje, ACME ho umí. Máš nějaké informace, proč to nejde?

Doplnění: Spíše bych ale viděl nevýhodu v nekompatibilitě s Windows XP kvůli pravidlům kvůli cross signed. Snad se najde workaround nebo se do budoucna zruší cross signed nebo umřou XP :)

17. 2. 2016 15:14:27

https://webtrh.cz/diskuse/ssl-certifikat-pre-moju-stranku-s-magazinem-clankov#reply1175662

i-PRESS

(2 hodnocení)

17. 2. 2016 15:30:32

No.. Já osobně mám LE vyřazen ze stromu důvěryhodných certifikátů, je to pro mne lepší než falešný pocit bezpečí a vyjímky uděluji explicitně pouze webům, bez kterých se nedá žít :-)))

HSTS sice použít jde, ale to chrání pouze v případě již navázané komunikace. Jestliže dojde k únosu třeba DNS dotazu nepodporováním DNSSES a již první request míří na fake server, nemá se klient (browser) jak o existenci certu dozvědět. Preload list právě řeší to, že má browser k dispozici seznam serverů s HSTS, obdobně jako 13 kořenových DNS serverů.

Ad přišpendlení.. Bavím se samozřejmě o otisku konkrétního certifikátu v TLSA záznamu. Pišpendlit třeba pouze zmíněnou autoritu je nesmysl, to je jako důvěřovat všem self-sign by default. Jinak ze spolehlivostí nemám absolutně problém, mám DANE (samozřejmě společně s DNSSEC) nasazen na více než 10 doménách a problém jsem nikdy neřešil, není proč.. Průser může být nějaká nutnost rychlého zneplatnění a výměny crt, ale v případě ztráty PK bude asi TLSA ta nejmenší starost :-)

S revokací se možná pletu, měl jsem za to, že zneplatnit nejde. Ověřit to nemohu, protože nemá LE na svém webu pro můj browser validní cert :-)))

S tou krátkou paltností se pojí mnoho dalších potenciálních problémů, prakticky není možná jiná cesta, než proces obnovení automatizovat narozdíl od 3 leté platností komerčních certů. To ale znamená napsat si na nasazování utilitku, nebo využít tu jejich šílenou, nebo některý klon. Určitě bych ale neriskoval u jakéhokoliv jiného projektu než osobní blog/testovací web změnu konfigurace produkčního serveru nějakou utilitou :p

17. 2. 2016 15:30:32

https://webtrh.cz/diskuse/ssl-certifikat-pre-moju-stranku-s-magazinem-clankov#reply1175661

Pavol-s

17. 2. 2016 15:30:45

Napsal i-PRESS;1268150
Tak tomu bych se právě obloukem vyhnul.. Zajímal jste se o to? Stručně:
-Krátká platnost vylučuje zařazení na HSTS preload list
-Krátká platnost komplikuje přišpendlení certifikátu k doméně (TLSA záznam)
-Nemožnost revokace certifikátu = při ztrátě PK bude platit do konce doby platnosti.
Atd, atd.. Je to totální šílenost.

O tom počujem prvý krát (vôbec, že také technológie existujú).

Jedinú kritiku, ktorú registrujem, je ohľadom WinXP, kde by nemal fungovať. Podľa mojej skúsenosti na Chrómiu nefunguje a na Firefoxe ide. Ale musím sa priznať, že som už natrafil aj na portál o Linuxe, kde nestihli aktualizovať po troch mesiacoch a mali nefunkčnú stránku :-D

17. 2. 2016 15:30:45

https://webtrh.cz/diskuse/ssl-certifikat-pre-moju-stranku-s-magazinem-clankov#reply1175660

premiumhosting

17. 2. 2016 15:34:27

No, nefunkcnu ju zrejme nemali, akurat navstevnikom prehliadac pri pokuse o pristup na https hlasil nefunkcny certifikat. Vela hostingov (vratane nas) vsak ma poriesene uz i automaticke predlzovenie Lets encrypt SSL. Pokial chcete mat istotu, zakupte si nejaky komercny lacny SSL certifikat - napr. RapidSSL, Comodo SSL a pod., na pouzitie, ktore vsak popisujete, by mohol byt Lets encrypt v poriadku.

17. 2. 2016 15:34:27

https://webtrh.cz/diskuse/ssl-certifikat-pre-moju-stranku-s-magazinem-clankov#reply1175659

TomasX

(4 hodnocení)

17. 2. 2016 15:48:28

bavíme se o malém webu, kterému hosting nabídl cert zdarma, mimochodem.

S preload list máš pravdu, first visit je rizikové, pořád ale platí, že většina domén v něm není a ani na to není navrhnutý, už teď obsahuje stovky tisíc záznamů. Každopádně v tomhle případě nevidím přidanou hodnotu.

Samozřejmě, že se musí počítat i se situací, kdy musíš mimořádně revokovat certifikáty, v ten moment odřízneš návštěvníky od webu a trvá hodiny až dny to napravit. S Dane samozřejmě problém nemáš, protože podle něj validuje minimum subjektů a u řady implementací chyby tiše procházejí, prozatím.

V automatizaci je právě síle lets encrypt, nikdo nechce certifikáty hlídat ručně, v tom se dělá nejvíce chyb a ve spojení s DANE odřízneš web :). HPKP pro meziležící cert není blbost, používá se to, tím zajistím, že ikdyž jiná autorita vydá na mojí doménu certifikát, nebude ho moci použít. Autoritě tak nebo tak věřit musím. Někdy není snadné řádně přišpěndlit jednotlivé certifikáty, které se mohou měnit až příliš rychle (klidně denně).

Podle googlu revoke funguje, zkoušet to teď nebudu :).

Každopádně k původnímu dotazu, pokud tyhle všechny automatizační věci zajistí hosting, není se čeho bát a jen s tím získáš.

PS: je to na tobě, kterým CA budeš věřit. Lets encrypt rozbil starý model, kdy SSL se dalo věřit, ač už moc nefungoval, stejně to je devalvace SSL. Na drobné soukromé projekty ho rád používám, na komerční ne, tam si koupít osvědčený cert.

17. 2. 2016 15:48:28

https://webtrh.cz/diskuse/ssl-certifikat-pre-moju-stranku-s-magazinem-clankov#reply1175658

i-PRESS

(2 hodnocení)

17. 2. 2016 16:04:39

@TomášX:

Oukej, já tu nechci rozpoutávat flame a ještě méně motat tazateli hlavu. Ostatně ozval se tu i @premiumhosting. Můj problém s LE není nedůvěra jako vlastníka serverů, ale nedůvěra jako běžného uživatele internetu.

I komerční EV certifikát lze nasadit jako hovado (PK přístupný z webu, jeho zálohování někde na nešifrovaný Google Drive, atd), nicméně mám alespoň jakžtakž šanci, že to nasadil někdo, kdo nad tím přemýšlel. Ale to, že user v aplikaci, u které ani vzdáleně netuší co dělá, klikne 3x na tlačítko "další" ve mě nějak zvlášť důvěru, že request skutečně míří na aplikaci kterou dotyčný sám zamýšlel moc nevzbuzuje.

Takže mě ani tak netrápí implemenatce webhostingů, věřím že to možná mají udělané i poctivě a relativně bezpečně, problém ale mám s tím, že 98% uživatelů LE vůbc nemá šajnu co dělají a tím to u části nebude dělat to, co chtěli. Proto jsem autoritu odebral z důvěryhodných a budu explicitně přidávat pouze konkrétní sajty kde věím jejich implementaci, nebo bez ních nejde přežít :-)))

Z pohledu vlastníka projektů na to zase koukám i jinak.. Komerční cert je otázka 150 kaček na rok a jakékoliv byť nepatrné riziko mi za nasazení LE nestojí. Jestliže mi projekt za těch stopade nestojí, asi bych jej měl spíše vypnout :-)

Vše ostatní za mě platí to, co jsem psal výše. S DANE je to pravda, ale pouze částečně. Jestliže potřebuji provést změnu v DNS, nastavím s předstihem dostatečně malé TTL, provedu změnu a zase jej vrátím. Nikde ale není napsané, že musí být TTL u TLSA záznamu 5 hodin.

17. 2. 2016 16:04:39

https://webtrh.cz/diskuse/ssl-certifikat-pre-moju-stranku-s-magazinem-clankov#reply1175657

marat

(2 hodnocení)

17. 2. 2016 17:13:58

Já to řeším taky a LE je úplně nahouby. Kvůli úspoře dvou stovek, tím člověk zabije dva dny a to každé tři měsíce. V podstatě mi uniká důvod existence toho certifikátu. Je to jedině pro programátory, co si umí všechny kroky automatizovat.

17. 2. 2016 17:13:58

https://webtrh.cz/diskuse/ssl-certifikat-pre-moju-stranku-s-magazinem-clankov#reply1175656

TomasX

(4 hodnocení)

17. 2. 2016 19:33:52

marat: nebo to je pro hosting, které mohou zdarma automaticky nabízet základní ssl certifikát, což do teď byl problém. Pro jednotlivce to nic nepřináší.

i-PRESS: lets encrypt není pro jednotlivce, ať si to programátoři používají jak chtějí a jak chtějí špatně. Přináší to obrovské výhody pro automatizované nasazení jako nezbytné minimum a přináší to ssl do míst, kde doteď jednoduše nemohlo být, ale náhrada rapidssl to není, toť vše.

150 za jeden projekt, mám desítky soukromých stránek povětšinou pro mě nějaké poloveřejné nástroje, jednak nechci utrácet za ssl (jasně, může to klidně běžet na jedné doméně), ale hlavně se o to nechci každý rok starat. Tohle jednou naprogramuji, hodím na to monitoring a nechávám to žít a ne si každý rok posílat s CA certifikáty po emailech a ručně nahrávat na server. Ne každý má přístup na API CA pro renew certifikátů.

17. 2. 2016 19:33:52

https://webtrh.cz/diskuse/ssl-certifikat-pre-moju-stranku-s-magazinem-clankov#reply1175655

Pro odpověď se přihlašte.

Přihlásit