Weblabor

Ha tudtok emaileket fogadni a kérdéses domainen a StartSSL cég ingyen ad nektek certeket amiknek a root CA-jaban a legtöbb böngésző / oprendszer megbízik és így nincs vele self-signed mizéria.

Amit tudni kell róla, hogy a domain név és az emailcímen kívül amire küldik a certet semmi sincs igazán ellenőrizve, arra nem jelent garanciát felhasználóid felé. hogy valóban az vagy akinek állítod magad (kétlem, hogy ez többséget zavarná (-: )

Én ahol az ügyfél nem kér külön ssl kulcsot, vagy nem akar áldozni $50 se költeni (személy szerint rapidssl-től szoktam vásárolni) ott ez eddig bevált.

Fu sracok, megint rengeteg itt a felinformacio. Tegyuk tisztaba a gyereket.

SSL cert

Az SSL cert egy digitalis alairas a ketkulcsos titkositassal mukodo kapcsolatra, ami a szerver neve alapjan validalja a masik felet. A tanusitvanyba (certbe) bele lehet irni a tulajdonos nevet, ezt azonban csak akkor csinalja igy, ha az adott tulajdonost a kiallito szervezet ellenorizte.

Ennek megfeleloen a szervernek ahhoz, hogy ne legyen hibauzenet, a megfelelo certet kell kiszolgalnia. Mivel az SSL protokoll regebben nem rendelkezett semmifele mechanizmussal arra, hogy a szerver nevet bemondja, SSL certenkent egy kulon IP cim kellett. Ehhez jott egy kiegeszites SNI (Server Name Indication) neven, amit azonban nem minden bongeszo tamogat. A kovetkezo bongeszok nem tamogatnak SNI-t:

• Barmilyen Internet Explorer es Safari Windows XP-n
  
• A Windows 7 es 8 beepitett WebDAV kliense
  
• A Java 6 platformra epulo kliensek
  
• Android 2.x
  
• A Yandex bot
  
• A Bing Bot 2013 verzio
  
• BlackBerry OS 7.1-ig bezarolag
  
• Windows Mobile 6.5-ig bezarolag
  
• Csomo egyeb, kevesbe fontos kliens.
  

Ezen kliensek barmelyike hisztizni fog, ha nincs dedikalt IP cim az SSL certhez.

CA

Barki lehet alairo szolgaltato, azonban ahhoz, hogy bekeruljon a bongeszok alapertelmezetten kiszallitott keystore-jaba, teljesiteni kell a CAB Forum kovetelmenyeit es az ezzel jaro papirmunkat.

Ez nem csak annyit jelent, hogy megfelelo biztonsaggal kell ellenorizni az SSL certert jelentkezok azonossagat, hanem pl. biztositast is kell adni hozza. Tehat ha az SSL cert hibas es ezert kar eri az SSL cert tulajdonosat, fizetni kell.

A kulonbozo szolgaltatok kulonbozo uzleti modelleket kovetnek az arazas tekinteteben, igy pl a StartSSL ingyenesen csinal domain ellenorzest (hostmaster@, postmaster@, stb e-mail cimek alapjan) es allit ki ez alapjan a domainedre www-s es www nelkuli certeket, azonban ezen felul mast nem. A level 2 szemelyes validacio 59 USD, a ceges validacio meg egyszer 59 USD, amivel a sajat nevre szolo domainekre korlatlan szamban allithatunk ki SSL certeket a kovetkezo egy evben. (Ez eleg meno.) Az egyetlen hatulutoje amit eddig tapasztaltam az, hogy eleg nyogvenyelos az ugyintezes es sokszor labbal hajtos a certmaster, de ez megoldhato ha az ember kepes angolul kommunikalni.

Szerver

Az, hogy van egy SSL cert nem eleg, ezt a Heartbleed eleg jol meg is mutatta. Hacsak nem mutibol tartunk SSL certet, a szervert megfeleloen fel is kell konfiguralni. Erre kivalo eszkoz lehet peldaul a Qualys SSL Labs szerver teszteloje. Hogy mondjak egy rossz peldat, itt van pl az otpbank.hu, ami nem tamogat forward secrecyt, tehat ha kikerulne az SSL kulcsuk, mondjuk egy Heartbleed-hez hasonlo serulekenyseg kapcsan, az osszes addigi SSL-es tranzakcio visszafejtheto lenne. Mas oldalak meg rosszabbak, vannak olyanok, ahol meg SSLv2-t is tamogatnak, ami eleg sulyos biztonsagi hiba.