Archief - https usage

Dubbelpunt · 26 aug 2010

Wanneer moet je https gebruiken?

Moet dit voor een registratie formulier?
Moet dit voor elke pagina na een login?

En sorry voor het vragen, maar waarom? Ok, voor security en veiligheid, maar kan er mij iemand een vb geven van wat er kan misgaan als ik geen https gebruik?

Tyfius · 26 aug 2010

Kantoor PC -> Kantoor Firewall -> gmail met persoonlijk account.

Zonder HTTPS kan uw server admin op uwe firewall al uw data loggen, het wachtwoord wordt als plain tekst doorgestuurd en alles kan dus in principe onderschept worden.
Met HTTPS wordt alles op uw PC al versleuteld dus kan uw server admin die data wel onderscheppen, maar volledig versleuteld kan die daar niets mee doen.

Dubbelpunt · 26 aug 2010

een bekende, grote, internationale website zoals facebook heeft al zijn pagina's in http en niet https? waarom en wanneer moet ik voor mijn website https gebruiken? of gewoon nooit?

thanks voor de uitleg trouwens

dJeez · 26 aug 2010

Je moet het nooit doen, maar als je gevoelige informatie wil versturen dan kan je het veel beter wel via https (SSL/TLS) doen, anders kan om 't even wie die informatie onderweg onderscheppen. Een facebookaccount zou ik nu niet echt onder gevoelige informatie plaatsen (nu ja, afhankelijk van wat je er op zet natuurlijk), je kredietkaartgegevens daarentegen... Ik zou alvast nooit mijn kredietkaartnummer invullen op een onbeveiligde pagina

.

krulle3 · 26 aug 2010

Mja, https staat voor hypertext transport protocol safe dusja.
Staat voor het beveiligen van websites door alles versleutelt door te sturen, net zoals bankgegevens dus.
Is nodig voor gevoelige websites. Is eigenlijk niet nodig bij gewone websites want certificaten voor https dus voor de safe secure language (SSL) kosten redelijk wat geld hoor. Gebruik het als je bv. iets wilt verkopen via je website online en daarbij een banktransfer laat uitvoeren op je site met bv paypal enz.

enticore · 26 aug 2010

SSL staat wel voor Secure Sockets Layer, niet Safe Secure Language.

shadowstep0705 · 27 aug 2010

enticore zei:
SSL staat wel voor Secure Sockets Layer, niet Safe Secure Language.

Lol

Dozzeh · 27 aug 2010

Zijn er mogelijkheden om dit zonder kosten te implementeren?
(StartCom Free SSL Certification Authority bv?)

Radiance · 27 aug 2010

Je kan zelfs je eigen CA starten, zit in elke Window Server in, op Linux bestaat er ongetwijfeld ook een package voor. Het grote nadeel van die CAs is dat je browser standaard het root certificate er niet van heeft.

I.e., IE, Firefox, Safari etc.. hebben al lange tijd de root certificates van Verisign, Thawte etc. ingebouwd. Als je naar een website gaat die een cert van een van die grote CAs gebruikt, dan krijg je geen security warnings etc.. Gebruik je een eigen cert dan gaat je browser zeggen : this certificate is valid, but the CA is not trusted. Als je dan even het root certificate importeert (i.e. je bevestigt dat je die CA vertrouwt) dan krijg je geen warnings meer. En daar wringt het schoentje, dat klinkt voor thuisgebruikers erg onveilig, zij weten immers niet welke CAs te vertrouwen zijn als ze er niet standaard in zitten. StartCom kende ik niet, maar check zeker ook Welcome to CAcert.org eens, zij zijn aan het proberen om hun root certificate in Firefox te krijgen, maar zijn daar nog altijd niet. Microsoft vraagt bakken geld, wat moeilijk is voor een open project.

Maar in short, al het voorgaande heeft meer te maken met het voorkomen van phishing, een toegevoegd voordeel van certificaten is immers dat je de host uniek kan identificeren. De eigenlijk encryptie is perfect ok zonder een trusted CA.

wonko · 27 aug 2010

Wanneer data (site, logingegevens,...) via HTTPS doorgestuurd wordt, wordt alles eerst versleuteld op de server of de client, en dan pas doorgestuurd. Door de methodiek van opzet van SSL (waarvan Secure HTTP gebruik maakt) krijg je er gratis en voor niets ook de unieke identificatie van de "andere kant" bij. Meestal is dit maar in één richting (je browser checkt dat je wel degelijk bezig met communiceren met de juiste server), maar het kan in beide richtingen (Tax-on-web werkt grofweg zo; de technische details zijn iets uitgebreider).

Ofwel koop je een certificaat bij een gekende, vertrouwde partij, en gaat het onmiddellijk werken in elke browser, zonder een pop-up te tonen dat het certificaat niet geverifiëerd kan worden (let op, het is niet ongeldig, enkel niet controleerbaar); of je maakt je eigen, maar dan moet elke bezoeker een eerste maal het certificaat manueel goedkeuren...

dJeez · 28 aug 2010

[-Driss.aE-];13779628 zei:
Zijn er mogelijkheden om dit zonder kosten te implementeren?

Natuurlijk, via een self-signed certificate. Het enige nadeel is dat de eindgebruikers dan nog een extra bevestiging dienen te geven (in de courante browsers), tenzij ze eerst je root certificate installeren natuurlijk. Maar dat is op zich niet onoverkomelijk.

Een andere optie - zoals Radiance al aanhaalde - is CAcert.org, maar ook daar moet je dan eerst het root certificate van installeren. Ik weet niet of die ooit effectief in Firefox zal raken (ik heb al sedert 2005 een account op CAcert.org, buiten de jaarlijkse keysigning sessies op FOSDEM zie ik weinig vooruitgang).

Radiance zei:
Je kan zelfs je eigen CA starten, zit in elke Window Server in, op Linux bestaat er ongetwijfeld ook een package voor.

Op Linux gebruik je uiteraard OpenSSL voor je self-signed certificates

.

Creating Certificate Authorities and self-signed SSL certificates

wonko · 28 aug 2010

als je zelf je CA wil beheren, en je vindt al de commando's veel te moeilijk, kijk dan even naar het easy-rsa pakketje dat bij OpenVPN zit - zeer gemakkelijk.

RSA Key Management

Archief - https usage

Dubbelpunt

Legacy Member

Tyfius

Legacy Member

Dubbelpunt

Legacy Member

dJeez

Legacy Member

krulle3

Legacy Member

enticore

Legacy Member

shadowstep0705

Legacy Member

Dozzeh

Legacy Member

Radiance

Legacy Member

wonko

Legacy Member

dJeez

Legacy Member

wonko

Legacy Member