вече имаме сигурна връзка - ssl

# 8826
November 11, 2015 19:33
po_taka
Малко сложно, но ...
Когато ползвате криптирана връзка ще е доста по-трудно да ви откраднат потребителски данни.
Т.е. желателно е да я ползвате.
Ето как става
отваряте
[url=https://tekstove.info/]http[b][color=#FF0000]s[/color][/b]://tekstove.info/[/url]

Светва ви нотификация за невалиден сертификат (да, сами си го направихме, защото иначе стува $ )

[url=http://postimg.org/image/oo6hqvsvj/][img]http://s3.postimg.org/oo6hqvsvj/ssl.jpg[/img][/url]

Избирате "I understand technical risks", т.е. че сте ок че сами си направихме сертификат. Червента стрелка горе маркира какво трябва да цъкнете.

Тук трябва да добавите "изключение" че този сертификат е собственоръчо направен (add exception)
[url=http://postimg.org/image/nqr8ahv8v/][img]http://s27.postimg.org/nqr8ahv8v/ssl1.png[/img][/url]

Показвт ви се детайли за сертификата. Може да изберете "Remember..." за да запомни избраните неща. Иначе ще ви пита всеки път
След това натиската "Confirm Security Exception"
[url=http://postimg.org/image/ycb3mi1kf/][img]http://s27.postimg.org/ycb3mi1kf/ssl2.png[/img][/url]

Накрая [url=https://tekstove.info/]https://tekstove.info/[/url] работи :)
[url=http://postimg.org/image/ak1sayzjj/][img]http://s27.postimg.org/ak1sayzjj/ssl3.png[/img][/url]
# 8890
February 11, 2016 10:28
Orbi.Pwn
Нали се сещаш, че това на практика е self-signed сертификат и няма никаква ама никаква полза от него? :)
SSL сертификатът на cloudflare.com е много по-добър, по-удачно е да използваш него, не да се излагаш. Освен това, сертификатът изобщо не касае личните данни на потребител, който не е наясно как да се пази.

// Предполагам и се сещаш какво е unknown issuer, демек този сертификат нито е потвърден, нито е верифициран за съответният домейн, нищо.
# 8895
February 15, 2016 01:42
po_taka
Признавам, че не съм много запознат със сертификатите.
Но ако дам fingerprint, например sha1 на сертификатът, тогава какви са дупките в сигурността ?

Ще проверя как стоят нещата с cloudflare!

Сертификатът касае личните данни, защото без ssl може да снифнеш сешън кукито доста лесно :)

Това го пуснах главно за да видя какви проблеми може да има при ssl, открихме няколко, фиксваме ги.
За по-нататък се насочихме към [url=https://www.namecheap.com]https://www.namecheap.com[/url]
# 8897
February 15, 2016 15:25
Orbi.Pwn
Занимавам се кибер-сигурност, да не говоря, че от части с това си вадя хлябът. :)

Удачно е сертификатът да е верифициран и създаден специално за твоят домейн, в случая tekstove.info (говорим за публичен и частен ключ, създадени и верифицирани от съответната фирма, предлагаща сертификатът) - ръчно генериран сертификат не е никакъв сертификат, просто защото ще прави проблеми под множество браузъри, да не говорим, че ще пречи на Гугъл бота. :) Освен това подобна връзка вместо да е криптирана, в случая няма да е (не гледай, че минава през 443 порта)

Повечето сертификати са със sha256 и 128-битово криптиране. Дали има шанс да се открадне информация, когато имаш и SSL? Да, може.

Би отнело години дешифрирането на криптирана информация. Да не говорим, че има сертификати със супер-мощно криптиране, но струват майка си и баща си. Давам ти пример с този на paypal - там се ползва 256-битово криптиране, да не говорим, че трафикът минава през няколко сървъра, дори не се знае дали ползват TLSv.1 или TLSv.2, защото пък TLSv.3 е уязвим и е грешно да се ползва, затова трябва да бъдеш внимателен.

Освен това зависи какви ciphers използваш. :) Ако нещо не ти е ясно, при настройката, пиши ми лично, ще помагам.

Забравих да допълня за снифа - това, което си написал може да се случи, само ако сайта е уязвим към XSS, чрез него може да се откраднат поребителски сесии, но пак да не се стигне до успешен вход. :)
# 8898
February 15, 2016 16:24
Orbi.Pwn
Сега ще ти дам линкове от теста на SSL на моя и твоят сайт. Ясно ще видиш какво съм имал предвид под self-singed сертификат - не е потвърден и не върши никаква работа.

Това е тестът на tekstove.info - https://www.ssllabs.com/ssltest/analyze.html?d=tekstove.info
Това е тестът на rootsoc.info - https://www.ssllabs.com/ssltest/analyze.html?d=rootsoc.info&s=104.27.189.171&latest
# 8901
February 15, 2016 23:49
po_taka
Добре, прав си.

Но все още не разбирам защо да не е сигурно след като имаш "правилният" сертификат ?
Като оставим настрана че 99.999% от потребителите няма да сравнят дадения от мен fingerprint ;)

нали на този принцип работят почти всички (v)ps-и, те си генерират някакъв ключ, хостинга ти праща fingetprint да знаеш че че е техния и така... Какво не му е сигурното на това ?

Малко реторорични отговори:
Накратко, тази версия, на стайта, работи ли с SSL - не. Не изцяло. Няма да се влагат $ в това.
Следващата версия ще има ли "истински" сертификат - да.
Кой от тези [url=https://www.namecheap.com/security/ssl-certificates.aspx]https://www.namecheap.com/security/ssl-certificates.aspx[/url] според теб е най-добър за сайта ?
cloudflare.com върши ли ни работа - не. Дали за следващата версия ще ни върши работа - да, може да се направи. Но предпочитам да си вземем собствен сертификат.
# 8902
February 16, 2016 00:38
Orbi.Pwn
Виртуалният сървър генерира ключ за FTP или SSH протоколите (порт 21/22). Той дори не се генерира сам - генерира се ако ти пожелаеш.

Разликата между генериран ключ, 128-битов примерно (от теб) и този на платеният сертификат е мега, гига, свръх-голяма. Платеният предлага TRUSTED опция и верификация, както и два ключа, даже три, в зависимост за каква цел е сертификатът. Освен това се поддържа от ВСИЧКИ браузъри и браузърите няма да пищят, че еди си кое било КОФТИ.

Имай предвид, че вече всички нови браузъри следят въпросният сайт дали е с кадърен криптиран протокол или не е.

На този етап не те съветвам да ползваш безплатни боклуци - едно че е безмислено, визирам този сайт и второ не виждам логика да ползваш SSL.

Не виждам някъде сайтът да е уязвим към XSS, че да се открадне потребителска сесия.

Спомена cloudflare? Сертификатът на cloudflare също е безплатен, но е TRUSTED, защото те са фирма. Дали е по-добър от този, който ти ще генерираш? Да, определено е по-добър.

# 8903
February 16, 2016 00:43
Orbi.Pwn
Иначе - https://www.namecheap.com/security/ssl-certificates/domain-validation.aspx

Първият е само с домейн валидация, не става зелен, както този на PayPal примерно - такъв сертификат е страшно скъп + трябва да имаш фирма и се чака поне месец за успешна валидация, докато този само с домейн валидация става в рамките на 24/48 часа.
# 8904
February 16, 2016 11:01
po_taka
ок, мерси ;)
# 9150
December 18, 2016 23:01
po_taka
както @Orbi.Pwn предложи, временно преминаваме към cloudflare.com, считано то вчера :)
ново мнение
www.tekstove.info 2008-2017, връзка с нас, правила