Aloin tuossa nikkaroimaan SSL yhteyttä palvelimeeni, ja vastaan tuli googlettelujen myötä asiaa SSL sertifikaateista.
Ilmeni että moiset ovat maksullisia ja kysyisin, onko näissä jotain eroja, kun hinta haarukka näyttää vaihtelevan muutamista euroista aina satoihin euroihin.
On. Jotkut toimivat "melkien kaikkialla", toiset kaikkialla, osa vahvistaa identiteetin varmemmin ja se näkyy selaimessa, osa vain antaa sertifikaatin sen suurempia tarkistuksia tekemättä jne jne. Eli riippuu ihan siitä miten suurta varmuutta haluaa hakea ja miten haluaa näkyä ulospäin. Halvimmillakin saa hoidettua liikenteen suojatuksi (ilman kyselyitä luotetaanko vai ei), jos vastapäälle ei ole mitenkään tarpeellista erityisesti vahvistaa, että kyse on juuri oikeasta tahosta.
Feenixin viestiin vielä jatkoksi, että jos olet itse ainoa käyttäjä (tai käyttäjiä on vähän ja ne ovat tiedossa, ja saat toimitettua tarvittavan matskun heille), niin saman asian saat hoidettua myös self-signed sertifikaatilla.
Tietoturvan kannalta tuossa ei siis ole eroa, sitten kun itsesi luoma (self-signed) sertifikaatti on turvallisesti importattu clienteille.
Vaikka käyttäjiä olisi enemmänkin, oman sertifikaatin käyttö tuhoaa vain puolet tietoturvasta: palvelinta ei voida tunnistaa luotettavasti, joten joku voi tehdä man-in-the-middle-hyökkäyksen eli esiintyä väärällä nimellä. Varsinainen salaus ei tästä kärsi, eli data liikkuu johdoissa salattuna eikä satunnainen henkilö voi sitä matkalla purkaa.
Jos päätyy maksamaan certistä saadakseen selaimet hiljaisiksi, niin pitää muistaa se, että kaikkien jenkkifirmojen tarjoamat certit ovat roskaa, koska NSA:lla on niihin avaimet ja NSA voi väärentää ja murtaa minkä tahansa niistä.
Päädyin ostamaan GoDaddylta sertin. Tarvitsin tätä lähinnä sen takia, koska Facebook applikaatiot vaatii tuon suojatun yhteyden.
Aihe on jo aika vanha, joten et voi enää vastata siihen.