вече имаме сигурна връзка - ssl

November 11, 2015 17:33
po_taka
Малко сложно, но ...
Когато ползвате криптирана връзка ще е доста по-трудно да ви откраднат потребителски данни.
Т.е. желателно е да я ползвате.
Ето как става
отваряте
http[color]s[/color]://tekstove.info/

Светва ви нотификация за невалиден сертификат (да, сами си го направихме, защото иначе стува $ )



Избирате "I understand technical risks", т.е. че сте ок че сами си направихме сертификат. Червента стрелка горе маркира какво трябва да цъкнете.

Тук трябва да добавите "изключение" че този сертификат е собственоръчо направен (add exception)


Показвт ви се детайли за сертификата. Може да изберете "Remember..." за да запомни избраните неща. Иначе ще ви пита всеки път
След това натиската "Confirm Security Exception"


Накрая https://tekstove.info/ работи :)
February 11, 2016 08:28
Orbi.Pwn
Нали се сещаш, че това на практика е self-signed сертификат и няма никаква ама никаква полза от него? :)
SSL сертификатът на cloudflare.com е много по-добър, по-удачно е да използваш него, не да се излагаш. Освен това, сертификатът изобщо не касае личните данни на потребител, който не е наясно как да се пази.

// Предполагам и се сещаш какво е unknown issuer, демек този сертификат нито е потвърден, нито е верифициран за съответният домейн, нищо.
February 14, 2016 23:42
po_taka
Признавам, че не съм много запознат със сертификатите.
Но ако дам fingerprint, например sha1 на сертификатът, тогава какви са дупките в сигурността ?

Ще проверя как стоят нещата с cloudflare!

Сертификатът касае личните данни, защото без ssl може да снифнеш сешън кукито доста лесно :)

Това го пуснах главно за да видя какви проблеми може да има при ssl, открихме няколко, фиксваме ги.
За по-нататък се насочихме към https://www.namecheap.com
February 15, 2016 13:25
Orbi.Pwn
Занимавам се кибер-сигурност, да не говоря, че от части с това си вадя хлябът. :)

Удачно е сертификатът да е верифициран и създаден специално за твоят домейн, в случая tekstove.info (говорим за публичен и частен ключ, създадени и верифицирани от съответната фирма, предлагаща сертификатът) - ръчно генериран сертификат не е никакъв сертификат, просто защото ще прави проблеми под множество браузъри, да не говорим, че ще пречи на Гугъл бота. :) Освен това подобна връзка вместо да е криптирана, в случая няма да е (не гледай, че минава през 443 порта)

Повечето сертификати са със sha256 и 128-битово криптиране. Дали има шанс да се открадне информация, когато имаш и SSL? Да, може.

Би отнело години дешифрирането на криптирана информация. Да не говорим, че има сертификати със супер-мощно криптиране, но струват майка си и баща си. Давам ти пример с този на paypal - там се ползва 256-битово криптиране, да не говорим, че трафикът минава през няколко сървъра, дори не се знае дали ползват TLSv.1 или TLSv.2, защото пък TLSv.3 е уязвим и е грешно да се ползва, затова трябва да бъдеш внимателен.

Освен това зависи какви ciphers използваш. :) Ако нещо не ти е ясно, при настройката, пиши ми лично, ще помагам.

Забравих да допълня за снифа - това, което си написал може да се случи, само ако сайта е уязвим към XSS, чрез него може да се откраднат поребителски сесии, но пак да не се стигне до успешен вход. :)
February 15, 2016 14:24
Orbi.Pwn
Сега ще ти дам линкове от теста на SSL на моя и твоят сайт. Ясно ще видиш какво съм имал предвид под self-singed сертификат - не е потвърден и не върши никаква работа.

Това е тестът на tekstove.info - https://www.ssllabs.com/ssltest/analyze.html?d=tekstove.info
Това е тестът на rootsoc.info - https://www.ssllabs.com/ssltest/analyze.html?d=rootsoc.info&s=104.27.189.171&latest
February 15, 2016 21:49
po_taka
Добре, прав си.

Но все още не разбирам защо да не е сигурно след като имаш "правилният" сертификат ?
Като оставим настрана че 99.999% от потребителите няма да сравнят дадения от мен fingerprint ;)

нали на този принцип работят почти всички (v)ps-и, те си генерират някакъв ключ, хостинга ти праща fingetprint да знаеш че че е техния и така... Какво не му е сигурното на това ?

Малко реторорични отговори:
Накратко, тази версия, на стайта, работи ли с SSL - не. Не изцяло. Няма да се влагат $ в това.
Следващата версия ще има ли "истински" сертификат - да.
Кой от тези https://www.namecheap.com/security/ssl-certificates.aspx според теб е най-добър за сайта ?
cloudflare.com върши ли ни работа - не. Дали за следващата версия ще ни върши работа - да, може да се направи. Но предпочитам да си вземем собствен сертификат.
February 15, 2016 22:38
Orbi.Pwn
Виртуалният сървър генерира ключ за FTP или SSH протоколите (порт 21/22). Той дори не се генерира сам - генерира се ако ти пожелаеш.

Разликата между генериран ключ, 128-битов примерно (от теб) и този на платеният сертификат е мега, гига, свръх-голяма. Платеният предлага TRUSTED опция и верификация, както и два ключа, даже три, в зависимост за каква цел е сертификатът. Освен това се поддържа от ВСИЧКИ браузъри и браузърите няма да пищят, че еди си кое било КОФТИ.

Имай предвид, че вече всички нови браузъри следят въпросният сайт дали е с кадърен криптиран протокол или не е.

На този етап не те съветвам да ползваш безплатни боклуци - едно че е безмислено, визирам този сайт и второ не виждам логика да ползваш SSL.

Не виждам някъде сайтът да е уязвим към XSS, че да се открадне потребителска сесия.

Спомена cloudflare? Сертификатът на cloudflare също е безплатен, но е TRUSTED, защото те са фирма. Дали е по-добър от този, който ти ще генерираш? Да, определено е по-добър.

February 15, 2016 22:43
Orbi.Pwn
Иначе - https://www.namecheap.com/security/ssl-certificates/domain-validation.aspx

Първият е само с домейн валидация, не става зелен, както този на PayPal примерно - такъв сертификат е страшно скъп + трябва да имаш фирма и се чака поне месец за успешна валидация, докато този само с домейн валидация става в рамките на 24/48 часа.
February 16, 2016 09:01
po_taka
ок, мерси ;)
December 18, 2016 21:01
po_taka
както @Orbi.Pwn предложи, временно преминаваме към cloudflare.com, считано то вчера :)
ново мнение
www.tekstove.info 2008-2019, връзка с нас, правила