Kirjautuminen

Haku

Tehtävät

Keskustelu: Yleinen keskustelu: Onko itse allekirjoitettu SSL-sertifikaatti turvallinen?

Sivun loppuun

ajv [12.09.2015 21:44:38]

#

Pikaisella googletuksella en löytänyt tähän yksinkertaiseen asiaan selkeää vastausta. Eli jos mulla nettisivu omalla palvelimella, niin onko yhteys salattu jos käytän IIS:n kehityssertifikaattia (tai teen oman). Selainhan tästä varoittaa, mutta jos "ymmärrän riskit" ja lataan sertifikaatin, niin olen ymmärtänyt, että data kulkee sen jälkeen salattuna.

Tätä kyseistä sivua ei käytä kukaan muu kun minä, niin en viitsi maksaa sertifikaatista, jos vaan voin "luottaa itseeni" :)

Metabolix [12.09.2015 22:10:51]

#

Data kulkee salattuna. Kysymys on, pystyykö hakkeri purkamaan salauksen.

Valmis esimerkkisertifikaatti ei ole missään suhteessa turvallinen, koska sen yksityinen avain on julkisesti tiedossa. Siis vaikka data on salattua, kuka tahansa voi purkaa sen.

Itse allekirjoitettu sertifikaatti on pelkän salauksen kannalta aivan turvallinen. Salauksessa olennaista on, että yksityinen avain on tiedossa vain sinulla.

Itse allekirjoitetun sertifikaatin ongelma on, että asiakas ei voi tietää, kuka sen on tehnyt: joku muu voi tehdä samanlaisen sertifikaatin, ja se näyttää yhtä aidolta kuin omasi (ts. kumpikaan ei näytä aidolta). Mies välissä -hyökkäyksessä hakkeri voi siis esittää asiakkaalle samanlaisen sertifikaatin, lukea asiakkaan liikenteen ja välittää sen palvelimellesi, jolloin yhteys on näennäisesti salattu mutta oikeasti kulkeekin hakkerin kautta. Ongelman voi välttää, kun asentaa sertifikaatin valmiiksi asiakkaille, jolloin asiakas tietää, mikä on oikea sertifikaatti. Toki ongelma on harvinainen, jos netti toimii oikein eli nimipalvelut ovat kunnossa jne.

CAcert.org antaa domaineille ilmaisia sertifikaatteja (tietyn tunnistautumisen jälkeen), mutta monet järjestelmät eivät kelpuuta niitä, ellei CAcert.orgin juurisertifikaattia erikseen asenneta. Lisäksi Let's Encrypt -hanke alkaa tämän vuoden lopussa jakaa ilmaisia sertifikaatteja domaineille (tietyn tunnistautumisen jälkeen), ja tarkoitus ilmeisesti on, että nämä toimisivat laajemminkin.

ajv [12.09.2015 22:23:36]

#

Kiitokset Metabolix tyhjentävästä vastauksesta! - ei muuta kysyttävää :)

Grez [13.09.2015 18:31:53]

#

Startcomilta saa ilmaisia sertifikaatteja, joita selaimet yleisesti tukevat.

The Alchemist [13.09.2015 22:55:57]

#

Itse signeerattu sertifikaatti on kaikista turvallisin, koska tällöin salausavain ei päädy NSA:lle tai muille terroristeille, toisin kuin aika monessa muussa tapauksessa.

Metabolix [14.09.2015 08:10:35]

#

The Alchemist, kai tiedät, että omaa salausavainta ei tarvita sertifikaatin allekirjoittamiseen? Allekirjoituspyyntö sisältää vain julkiset tiedot, jotka päätyvät myös sertifikaattiin. NSA saa siis ihan saman verran tietoa ostetusta kuin omatekoisestakin sertifikaatista.

Olli [27.09.2015 12:01:39]

#

Hieman vanha ketju, mutta vinkkinä että Cloudflaren avulla saa käyttöön SSL-sertifikaatin ilmaiseksi ja se lisäksi suojaa sivustoa hyökkäyksiltä.

Metabolix [02.10.2015 17:17:32]

#

CloudFlaren kautta mahdollistuu kylläkin The Alchemistin uhkakuva NSA:n vakoilusta, koska CloudFlaren mallissa sivuston liikenne kiertää heidän palvelimensa kautta ja salaus puretaan välillä. Ilmaisissa versioissa pitää antaa yksityinen avain CloudFlaren käyttöön, maksusta saa systeemin, jossa avain sentään pysyy tallessa mutta CloudFlare saa silti kaiken datan salaamattomana.

Grez [06.10.2015 17:37:53]

#

SSL:n suurin etu on, että liikennettä ei saa salakuunneltua (esimerkiksi avoimessa WLAN-verkossa) pelkästään kuuntelmalla. MitM-hyökkäyksen todennäköisesti pystyy NSA monessa tapauksessa toteuttamaan vaikka käyttäisi mitä sertifikaattia tahansa. Uskon että NSA:lla on mahdollisuus luoda mille vaan domainille sertifikaatti jonka selaimet hyväksyvät.

Toki jos NSA:lla on suoraan kytkentä Cloudflareen niin sitten se onnistuu todella helposti :D


Sivun alkuun

Vastaus

Aihe on jo aika vanha, joten et voi enää vastata siihen.

Tietoa sivustosta