Gå til innhold

HTTPS - kva sertifikat bør eg velje?


Anbefalte innlegg

Hei kjære vener! Lenge siden eg har vært på forumet no, har travle dager men kjekt å sjå at det framleis ulmar av liv her inne!

 

Eg har berre nokre spørsmål om HTTPS. Litt usikker på kva sertifikatleverandør eg bør velje, og kva som eventuelt er nokre potensielle fallgruver med å vere kjip på pengene. Eg driv å skriv eit interområde/sosial arena for studentane på skulen eg går på no, og hovudproblemet er vel egentleg at token nøklane våre går i klartekst. Kort forklart skjer innlogginga (som eg ser som det største problemet) slik:

 

- Ein logger inn med Google kontoen sin og får token herfrå.

- Token sendes inn til eit API som sjekker gyldigheita og returnerer ein ny token som er gyldig nokre timar før denne må fornyast.

 

Problemet er berre at eg kan snappe opp desse nøklane med pakkesniffingsverkty som Wireshark. Ikkje så kjekt når mange sitt på same skulenettverk mtp session hijacking.. :p

 

Så har nokon sjeler peiling på kva sertifikat eg bør velje - og kvifor? Me er studentar og har ikkje allverda av penger å ta frå. Eg har sett på fleire, mellom anna VeriSign, Comodo, og RapidSSL (sistenemnte var utvilsomt billigast). Og kva er dette EV (Extended Validation?) greiene? Eg forstår ein må ha dette for å få "greenbar" men kva meir innebærer det? Mykje av koden vart gjort i javascript, men frå lokale PHP filer som utgjer seg som JSON når ein er logga inn.

 

Takker for alle svar, dei er fantastiske :)

Lenke til kommentar
Videoannonse
Annonse

Self signed sertifikat er gratis, det er mykje brukt internt i bedriftar. Minuset er nettlesar som skriker om potensiell sikkerheitsfare. Men alle veit jo at ein som utstede sertifikatar er jo eigentleg ikkje noko meir sikrare.

Jo, om sertifikatet er utstedet av en seriøs part er det mye sikrere, et self-signed sertifikat gjør at du aldri har peiling på om du snakker med serveren eller med en man-in-the-middle som sender deg sitt eget sertifikat (self signet) som bare ligner på sertifikatet til serveren du prøver å kontakte.

 

Selv signed fungerer detimot fint om man på forhånd kan sette opp sin egen CA, hvor man deler sertifikatet til denne CAen gjennom en sikker kanal på forhånd. F.eks. at den følger med programmet eller at denne blir sendt med en minnepenn gjennom posten. Og så signerer man sertifikatet med denne CAen.

Endret av etse
Lenke til kommentar

Selv om banker har blitt ranet, betyr det ikke at en lås på døra du er helt ubrukelig. Selv om banken har betydelig bedre mekanismer enn din lås.

 

Poenget mitt er, om du lurte, at det er forskjell mellom selfsigned, som HVEM SOM HELST kan lage, og et skikkelig signert sertifikat, som bare et fåtall kan lage. Selv om et par av det fåtallet er kriminelle.

 

Og SSH har litt av samme problemet, ja. Men UI'et er laget annerledes der, og du får ikke samme propagandaen du får i en nettleser. Og i tillegg bruker man keys for SSH (du bruker keys for auth, right? :whistle: ), som ikke har helt det samme problemet om man kobler seg mot "feil" host.

 

Forresten, sett prosjektene Perspectives og Convergence? Tror de kanskje vil interessere deg.

Lenke til kommentar

Hei! Takker for mykje gode svar! Då tar eg ein kikk på StartSSL Free i første omgang. Sertifikatet må vere gyldig ettersom at eg prater med eit API i bakgrunnen (JS kaller på eit PHP script som genererer ei JSON fil som vart stoppa om ikkje sertfikatet er gyldig). Bruker får altså ikkje noko åtvarsel, noko som er problematisk. Dei må då vitje API-sida og godta at sertfikatet ikkje er truverdig.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...