Vyzkoušejte TLS/SSL zabezpečení webu

15. 3. 2018 18:07:35

Zdravím,

spustili jsme bezplatný https://tls.arodax.com jako alternativu ke známějšímu SSL LABS. Vyzkoušet si můžete jak dobře máte zabezpečený server po stránce kryptografické komunikace.

Připomínám jenom, že Chrome s červnovou aktualizací bude všechny weby, které neběží na HTTPS, označovat jako nezabezpečené, proto není žádnů důvod otálet nasadit TLS.

Další bezplatné testy:

- https://www.ssllabs.com/ssltest

- https://securityheaders.io

15. 3. 2018 18:07:35

https://webtrh.cz/diskuse/vyzkousejte-tls-ssl-zabezpeceni-webu#reply1335321

Jan Horák (Gransy)

(22 hodnocení)

15. 3. 2018 19:28:58

Tohle je stejne uchylna picovina.

Reknete mi jedinej duvod proc by mel byt trebas MFA web, atlas motylu, nebo blogysek jedne blondyny na HTTPS? Komu to co prinese?

15. 3. 2018 19:28:58

https://webtrh.cz/diskuse/vyzkousejte-tls-ssl-zabezpeceni-webu#reply1335320

ARODAX a.s.

(6 hodnocení)

15. 3. 2018 19:32:46

Přinese minimálně podporu HTTP2, což u atlasu motýlů nebo blogu blogu jedné blondýny, kde mohou být stovky obrázků zrychlí jejich načítání díky lepšímu paralelnímu přenosu dat. V dnešní době neexistuje žádný důvod proč nepoužívat HTTPS.

15. 3. 2018 19:32:46

https://webtrh.cz/diskuse/vyzkousejte-tls-ssl-zabezpeceni-webu#reply1335319

TomasX

(4 hodnocení)

15. 3. 2018 19:34:10

s dovolením jsem mrkl na váš web, jsem v tom začátečník, avšak hsts preload list jako maličkost by byl dobrá volba, když už to ostatním hodnotíte.

Server máte ale nějaký ukecaný, avšak aktualizovaný, provozujete na něm ale až příliš moc služeb, to není dobrá strategie, letsencrypt koukám jste aktivně nasadili na vše vč. emailů, copak tam ale dělá ten bitcoin? To vypadá, že máte na jediném serveru všechny vaše hračky. Trochu bych schoval to ftp, kterému ani nevadí, když ho zkouším hrubou silou zdolat.

Největší fail považuji to, že to vlastně je k ničemu, člověk si nechá otestovat server bez webového serveru na https a dostane F s informací, že ten server je zranitelný a nebezpečný. Zobrazené chybové kódy a stavy jsou takové příliš technické, sám občas nevím co vám na něčem vadí (chyba "security headers" je vynikající).

Tak nějak mi to připadá jako studenstký projekt, který se rozhodně nemůže stavět vedle těch dospělých odkazovaných webů.

Edit: HTTP2 není podmíněno TLS a lze jej provozovat i bez něj.

15. 3. 2018 19:34:10

https://webtrh.cz/diskuse/vyzkousejte-tls-ssl-zabezpeceni-webu#reply1335318

Jan Horák (Gransy)

(22 hodnocení)

15. 3. 2018 19:36:27

Napsal ARODAX a.s.;1450663
Přinese minimálně podporu HTTP2, což u atlasu motýlů nebo blogu blogu jedné blondýny, kde mohou být stovky obrázků zrychlí jejich načítání díky lepšímu paralelnímu přenosu dat. V dnešní době neexistuje žádný důvod proč nepoužívat HTTPS.

Zbytecna prace navic, ktera nema prakticky uzitek? Bavim se o vynucovani na webech kde neni jediny formular, ci cokoliv.

15. 3. 2018 19:36:27

https://webtrh.cz/diskuse/vyzkousejte-tls-ssl-zabezpeceni-webu#reply1335317

TomasX

(4 hodnocení)

15. 3. 2018 19:38:41

Napsal gransy;1450666
Zbytecna prace navic, ktera nema prakticky uzitek? Bavim se o vynucovani na webech kde neni jediny formular, ci cokoliv.

doba je zlá, https zajistí, že návštěvníkovi se do prohlížeče dostane přesně to co zamýšlel autor, žádný letišní spam v podobě reklam, žádné nebezpečné či těžící kódy na veřejných wifinách, žádné ddos útoky z js přes stránky, které si útočník modifikovat na nějaké větší bráně. Šifrování je bonus, vedlejší důsledek šifrování je nemožnost změnit obsah načítaného webu.

15. 3. 2018 19:38:41

https://webtrh.cz/diskuse/vyzkousejte-tls-ssl-zabezpeceni-webu#reply1335316

Jan Horák (Gransy)

(22 hodnocení)

15. 3. 2018 20:13:02

Napsal TomášX;1450667
doba je zlá, https zajistí, že návštěvníkovi se do prohlížeče dostane přesně to co zamýšlel autor, žádný letišní spam v podobě reklam, žádné nebezpečné či těžící kódy na veřejných wifinách, žádné ddos útoky z js přes stránky, které si útočník modifikovat na nějaké větší bráně. Šifrování je bonus, vedlejší důsledek šifrování je nemožnost změnit obsah načítaného webu.

Oki, dobre, beru.

Nicmene mi jde o ten trend. Trebas ty novy TLD .app a .dev budou vyzadovat HSTS. Je ltazkou casu, kdy se k tomu pridaj prohlizece, protoze vse uz prece pujde po HTTPS.

Mno a ted trebas ja mam desitky ruznych malych veci na svych vlastnich sub/domenach s IP restrikcema, nebo pro vyvoj v praxi i bez a najednou musim zacit resit HTTPS ktere je me k nicemu na serveru ktery nepotrebuju zasirat vykonove.

To je to co se mi nelibi - tlaceni bez moznosti vyberu :(

15. 3. 2018 20:13:02

https://webtrh.cz/diskuse/vyzkousejte-tls-ssl-zabezpeceni-webu#reply1335315

TomasX

(4 hodnocení)

15. 3. 2018 21:03:58

S tím trendem také moc nesouhlasím, přidělává mi práci :). Dokud někteří "podnikatelé" nezačali využívat nešifrované http ke svému obohacení, ve hře byla pouze anonymita a byla to věcí volby. Dnes pokud nemáš stránku pod https, vystavuješ riziku své návštěvníky a starost o bezpečnost dáváš na jejich rámě, což je vůči nim nefér. Web primárně děláš pro návštěvníky, přeci.

Https zase není tak velký technický problém, hostingy to začínají nabízet sami v administraci, webové servery začínají sami získávat lestencrypt bez práce administrátora. Není to nic co bychom už spousty let nevěděli a na přípravu máme dostatek času.

Spotřeba zdrojů na serveru není vysoká a jakákoliv sql dotaz do databáze je dražší. Teď s tím moc neuděláme, leda se přizpůsobíme. Kdysi jsme měli šanci udělat http a weby protokol lépe, ale kdo to mohlo tušit.

15. 3. 2018 21:03:58

https://webtrh.cz/diskuse/vyzkousejte-tls-ssl-zabezpeceni-webu#reply1335314

Jan Horák (Gransy)

(22 hodnocení)

15. 3. 2018 21:15:45

Napsal TomášX;1450687
S tím trendem také moc nesouhlasím, přidělává mi práci :). Dokud někteří "podnikatelé" nezačali využívat nešifrované http ke svému obohacení, ve hře byla pouze anonymita a byla to věcí volby. Dnes pokud nemáš stránku pod https, vystavuješ riziku své návštěvníky a starost o bezpečnost dáváš na jejich rámě, což je vůči nim nefér. Web primárně děláš pro návštěvníky, přeci.
Https zase není tak velký technický problém, hostingy to začínají nabízet sami v administraci, webové servery začínají sami získávat lestencrypt bez práce administrátora. Není to nic co bychom už spousty let nevěděli a na přípravu máme dostatek času.
Spotřeba zdrojů na serveru není vysoká a jakákoliv sql dotaz do databáze je dražší. Teď s tím moc neuděláme, leda se přizpůsobíme. Kdysi jsme měli šanci udělat http a weby protokol lépe, ale kdo to mohlo tušit.

Jako admin jiste znas situaci - vemu produkt/web sluzbu co me zaujala pro testing .. at uz single instalaci nebo pres docker. Nainstaluju, vyzkousim, smazu :) ja osobne pouzivam trebas dvouznakou domenu pro IP.xx.tld pristup kde IP je posledni cast. Az se prohlizece nauci zcela blokovat a nepoustet na nonHTTPs weby, pak jakykoliv takovyhle testovani/hrani bude velice obtezujici.

Snad az to nastane bude nekde porad k dispozici “enterprise” mode :D

15. 3. 2018 21:15:45

https://webtrh.cz/diskuse/vyzkousejte-tls-ssl-zabezpeceni-webu#reply1335313

TomasX

(4 hodnocení)

15. 3. 2018 21:18:58

já nejsem admin, jsem fotograf :).

Wildcart certifikát a reverzní proxy tvůj problém řeší s nákldy na pár stovek ročně, či pro sebe si udělej vlastní CA a hoď si jí do svého prohlížeče. VPN a Chrome trochu zmlkne na interní síti.

Pořád tady máme spoustu jiných prohlížečů, na podobné testování klidně můžeš mít extra prohlížeč, extra firewall, pořád to půjde při malé snaze nějak udělat.

15. 3. 2018 21:18:58

https://webtrh.cz/diskuse/vyzkousejte-tls-ssl-zabezpeceni-webu#reply1335312

Deaktivovany ucet

(21 hodnocení)

15. 3. 2018 22:07:04

Napsal gransy;1450661
Tohle je stejne uchylna picovina.
Reknete mi jedinej duvod proc by mel byt trebas MFA web, atlas motylu, nebo blogysek jedne blondyny na HTTPS? Komu to co prinese?

Bys mel byt rad, i ty par certifikatu na subregu prodas, ne? :)

Napsal ARODAX a.s.;1450663
Přinese minimálně podporu HTTP2, což u atlasu motýlů nebo blogu blogu jedné blondýny, kde mohou být stovky obrázků zrychlí jejich načítání díky lepšímu paralelnímu přenosu dat. V dnešní době neexistuje žádný důvod proč nepoužívat HTTPS.

Jenze nepodpora http2 u http je ciste umela prekazka vyrobena umyslne.

---------- Příspěvek doplněn 15.03.2018 v 22:10 ----------

Napsal ARODAX a.s.;1450644
spustili jsme bezplatný

"Nezobrazovat moje výsledky v přehledu výsledků" nefunguje, muj web se v seznamu objevil.

15. 3. 2018 22:07:04

https://webtrh.cz/diskuse/vyzkousejte-tls-ssl-zabezpeceni-webu#reply1335311

Smazaný účet hvLPwPN09D

(3 hodnocení)

15. 3. 2018 22:23:12

Trošku vám tu všem uniká, že HTTPS má i jiné přednosti než-li bezpečnost.

Na co se chci ale zeptat já, v čem je lepší tenhle certifikát než třeba bezplatný Lets encrypt? Podotýkám, že Lets Encrypt má díky počtu uživatelů o dost větší důvěryhodnost než mnohá placená řešení.

15. 3. 2018 22:23:12

https://webtrh.cz/diskuse/vyzkousejte-tls-ssl-zabezpeceni-webu#reply1335310

ARODAX a.s.

(6 hodnocení)

15. 3. 2018 23:14:51

Napsal AdamH;1450709
"Nezobrazovat moje výsledky v přehledu výsledků" nefunguje, muj web se v seznamu objevil.

Díky za upozornění, opraveno.

Napsal Tomáš Maňhal;1450712

Na co se chci ale zeptat já, v čem je lepší tenhle certifikát než třeba bezplatný Lets encrypt? Podotýkám, že Lets Encrypt má díky počtu uživatelů o dost větší důvěryhodnost než mnohá placená řešení.

Pokud se ptáte na EV certifikát (tj. certifikát "se zeleným řádkem") tak po technické stránce, dá se říci, není lepší než Let's Encrypt v ničem. Jeho výhoda spočívá především v tom, víte, že certifikační autorita ověřila nejenom doménu ale i společnost a vy víte, web na které jste má vystavený certifikát na tu společnost - které by měl patřit.

Příklad: https://www.vlada.cz/cz/urad-vlady vidíte, že certifikát skutečně patří Úřadu vlády jako organizaci a vystavila jej osoba, která za něj jedná.

Nelze to samozřejmě také brát jako 100% záruku bezpečnosti, i zde jsou k dispozici různé možnosti podvodů s nepravými názvy společností a podobně.

15. 3. 2018 23:14:51

https://webtrh.cz/diskuse/vyzkousejte-tls-ssl-zabezpeceni-webu#reply1335309

Vladimír Smitka

(4 hodnocení)

17. 3. 2018 10:08:18

Často se zapomíná na jeden velmi důležitý článek po cestě a tím je router doma/u poskytovatele. Nové řady soho routerů se objevují jak na běžícím páse a stejně rychle další ztrácejí podporu. A mnoho uživatelů svůj router ani neaktualizuje... Kdy naposled jste koukali, zda není pro váš router dostupný bezpečnostní update?

Hacknutý router může pozměnit váš HTTP provoz a přidat do webů reklamy, těžící skripty i horší věci. Tato zařízení se zatím nejčastěji používají k provádění DDoS útoků na další služby, což je strašně trapný útokl, ale doba se pomalu mění...

Je dobré si občas otevřít https://www.routersecurity.org/bugs.php

17. 3. 2018 10:08:18

https://webtrh.cz/diskuse/vyzkousejte-tls-ssl-zabezpeceni-webu#reply1335308

TomasX

(4 hodnocení)

17. 3. 2018 20:48:03

v tom případě https je jen záplata ne roztrhané džíny, dalšímu trhání nezabrání a jen chvilku máš dobrý pocit. Nasadit https a zabezpečit web proti mitm jsou trochu rozdílné věci, hsts funguje jen když už jsem na webu byl a nepoužívám anonymní režim, preload list je už trochu vyšší dívčí a nelze ho používat příliš pasivně, key pinning je složitá věc i pro velké firmy, dnssec doma "nikdo" nemá, dane zatím není živé, punycode domény se dají generovat realtime, zabránit člověku, aby neodklikl neplatný certifikát je také čím dál obtížnější.

V ČR je situace relativně lepší než ve světě, díky všudepřítomnému NATu, tyhle domácí krabičky nejsou atraktivní pro masivní zneužívání, velcí operátoři nepřímo to řeší poměrně nízkou životností jejich routerů, které je nutné často měnit.

S routery situace není růžová a https tyhle útoky znesnadňuje, ale bohužel stačí jediný web na http a problém je na světě.

17. 3. 2018 20:48:03

https://webtrh.cz/diskuse/vyzkousejte-tls-ssl-zabezpeceni-webu#reply1335307