Autor Zpráva
Enko
Profil
Ahoj,
mám doménu a na ní diskuzní fórum. Chci však kvůli vyšší bezpečnosti přejít na šifrovanou komunikaci. Je nějaký zásadní rozdíl mezi například free certifikátem ze startssl.com nebo nějakým jiným placeným? Jedná se mi o větší bezpečnost. Webové forum je neveřejné jen pro vybrané jedince. S vlastníkem serveru jsem již domluvený a instalace certifikátu bude možná.
A teď moje otázky:
1. Je nějaký praktický bezpečnostní rozdíl mezi free certifikátem ze startssl.com nebo nějaký jiným, placeným?
2. Jaký certifikát vybrat pro největší bezpečnost?
3. Jsou placené nejdražsí certifikáty opravdu o tolik lepší než ty levné nebo zdarma?
4. Přináší přechod na HTTPS nějaká nečekaná úskalí?

Děkuji za každý názor :-)
smitka
Profil
"Fyzická" bezpečnost certifikátu záleží na šifrách, kterými je certifikát vytvořen (aby nešel zfalšovat) a šifrách, které používá samotná komunikace (aby nešla dekódovat po odposlechnutí - nastavuje ji server).

Samotný certifikát by tedy měl používat alespoň SHA256 a být dlouhý alespoň 2048 bit. SHA-1 je považováno stále za bezpečné, ale vzhledem ke zvyšujícímu se výpočetnímu výkonu tomu tak brzo být nemusí. Při generování žádosti o podpis je tedy třeba se tím řídit.

Na serveru je nutné vypnout protokoly SSL2, SSL3 a používat pouze TLS. Dále vypnout šifry, které již nejsou považovány za bezpečné (RC4,...).

Při nákupu certifikátu záleží na důvěryhodnosti autority, která ti ji podepíše. Dražší certifikáty mohou mít o něco širší podporu (hlavně ve starších prohlížečích), pro moderní prohlížeče je ale startssl myslím v pohodě. Pokud nějaký prohlížeč nebude tvoji certifikační autoritu podporovat, tak i přesto, že se jedná o koupený certifikát, se bude jevit jako nedůvěryhodný (dotyčný si však může nainstalovat příslušnou certifikační autoritu jako důvěryhodnou - to platí i pro self-signed certifikáty).

Dále jsou k dispozici extended validation certifikáty, které nestačí zaplatit, ale je třeba ještě ověřit existenci subjektu. U těchto certifikátu prohlížeče většinou více zazelenají řádek, aby indikovali, že se jedná o někoho ověřeného - česká spořitelna má servis24.cz a protože má rozšířený certifikát, lze vidět, že portál opravdu patří české spořitelně. Kdybych si založil servis25.cz a koupil si k němu ssl certifikát, tak by stránka byla sice pro prohlížeč důvěryhodná, ale nebylo by zde vidět, že se jedná o portál, který se ověřil pro spořitelnu.

Úskalí většinou moc není, někdo může narazit na to, že se při odkazu z HTTPS na HTTP nepřenáší http referer (aby případná nezabezpečená stránka nemohla odchytnou session id, pokud by bylo nedejbože v adrese), to lze však částečně napravit pomocí meta tagu, kdy lze přenést alespoń jméno domény.

Bezpečnost HTTPS však upadá hlavně s uživatelem, který i když mu hlásí prohlížeč nedůvěryhodný certifikát, tak bez ostychu pokračuje. Co se týká startssl, tak zde oproti placeným certifikátům může být problém, že fungují pouze pro kořenovou doménu a subdoménu www. Pokud bych měl adresu forum.nejakadomena.cz, tak startssl nejde vytvořit (alespoň dříve to tak bývalo, delší dobu jsem zde certifikát nedělal). A pak už jde jen o již zmíněnou podporu prohlížečů (ale třeba i mailových klientů, prohlížečů v telefonech), které mají v základu autoritu nainstalovanou jako důvěryhodnou. Určitě půjdou vygooglit nějaká srovnání, jaká autorita je kde podporována.


Ještě bych zmínil zajímavý projekt: https://letsencrypt.org/, ve kterém je zaangažovaná mozilla, cisco a akamai a má za cíl vyhladit HTTP. Dosáhnout toho má i ssl certifikáty zdarma.


A ještě bych zmínil možnou alternativu k startssl - http://www.cacert.org/, zkušenosti s nimi ale nemám. Pokud někdo zkušenosti má, mohl by je sem napsat.
smitka
Profil
Tak jsem sám trošku zapátral, jak jsou na tom zmíněné free autority.

CAcert je špatně podporovaný, organizace se snaží šířit svou certifikační autoritu pomocí instalátorů. Obecně není tedy aktuálně pro všeobecné použití na webu vhodný.

StartSSL - poměrně dost lidí nadává na podporu a také na to, že chtějí za zneplatnění poplatek 25$ a také to, že nový certifikát jde vystavit až po skončení původního = než se vyřídí nový, je doména nedůvěryhodná. Přesto je to aktuálně asi jedniná bezplatná cesta, jak mít použitelný certifikát.

Zvážil bych také nákup nějakého základního certifikátu od Comodo nebo RapidSSL, stojí to 2-3 stovky za rok (osobně nejvíce využívám asi AlphaSSL).
Enko
Profil
Děkuji za skvěle popsaný a vysvětlený článek. K těm postřehům, taky jsem zapátral a je to tak, jak píšeš. Raději tedy zainvestuji těch pár stovek ročně. Vypadá to, že toto https://www.sslmarket.cz/ssl/rapidssl/ je přesně to, co hledám.

Děkuju za pomoc :-)
smitka
Profil
Enko:
Případně můžeš nakoupit třeba na https://www.namecheap.com/security/ssl-certificates/domain-validation.aspx

Levné jsou také na ssls.cz

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: