HTTPS - kva sertifikat bør eg velje?

[4588pkdkrikue5c]

Hei kjære vener! Lenge siden eg har vært på forumet no, har travle dager men kjekt å sjå at det framleis ulmar av liv her inne!

 

Eg har berre nokre spørsmål om HTTPS. Litt usikker på kva sertifikatleverandør eg bør velje, og kva som eventuelt er nokre potensielle fallgruver med å vere kjip på pengene. Eg driv å skriv eit interområde/sosial arena for studentane på skulen eg går på no, og hovudproblemet er vel egentleg at token nøklane våre går i klartekst. Kort forklart skjer innlogginga (som eg ser som det største problemet) slik:

 

- Ein logger inn med Google kontoen sin og får token herfrå.

- Token sendes inn til eit API som sjekker gyldigheita og returnerer ein ny token som er gyldig nokre timar før denne må fornyast.

 

Problemet er berre at eg kan snappe opp desse nøklane med pakkesniffingsverkty som Wireshark. Ikkje så kjekt når mange sitt på same skulenettverk mtp session hijacking..

 

Så har nokon sjeler peiling på kva sertifikat eg bør velje - og kvifor? Me er studentar og har ikkje allverda av penger å ta frå. Eg har sett på fleire, mellom anna VeriSign, Comodo, og RapidSSL (sistenemnte var utvilsomt billigast). Og kva er dette EV (Extended Validation?) greiene? Eg forstår ein må ha dette for å få "greenbar" men kva meir innebærer det? Mykje av koden vart gjort i javascript, men frå lokale PHP filer som utgjer seg som JSON når ein er logga inn.

 

Takker for alle svar, dei er fantastiske

[Terrasque]

Har brukt StartSSL Free uten problemer før. EV er hovedsaklig for banker og andre ting som jobber med penger Det betyr basically at SSL provideren gjør ekstra sjekking at du er den du er, tar ekstra betalt for det, og du får en ekstra flagg i slutt-sertifikatet.

[siDDis]

Self signed sertifikat er gratis, det er mykje brukt internt i bedriftar. Minuset er nettlesar som skriker om potensiell sikkerheitsfare. Men alle veit jo at ein som utstede sertifikatar er jo eigentleg ikkje noko meir sikrare.

[etse]

Self signed sertifikat er gratis, det er mykje brukt internt i bedriftar. Minuset er nettlesar som skriker om potensiell sikkerheitsfare. Men alle veit jo at ein som utstede sertifikatar er jo eigentleg ikkje noko meir sikrare.

Jo, om sertifikatet er utstedet av en seriøs part er det mye sikrere, et self-signed sertifikat gjør at du aldri har peiling på om du snakker med serveren eller med en man-in-the-middle som sender deg sitt eget sertifikat (self signet) som bare ligner på sertifikatet til serveren du prøver å kontakte.

 

Selv signed fungerer detimot fint om man på forhånd kan sette opp sin egen CA, hvor man deler sertifikatet til denne CAen gjennom en sikker kanal på forhånd. F.eks. at den følger med programmet eller at denne blir sendt med en minnepenn gjennom posten. Og så signerer man sertifikatet med denne CAen.

Endret 13. juni 2012 av etse

[siDDis]

Hallo, har du aldri høyrd om dei som utstede sertifikatet har blitt hacka? https://www.networkw...ims-250256.html

 

Heile opplegget er latterleg dårleg og lagt til rette for å suge ut meir pengar. Ingen klager på SSH sin sikkerheit som eigentleg har det same problemet.

[Terrasque]

Selv om banker har blitt ranet, betyr det ikke at en lås på døra du er helt ubrukelig. Selv om banken har betydelig bedre mekanismer enn din lås.

 

Poenget mitt er, om du lurte, at det er forskjell mellom selfsigned, som HVEM SOM HELST kan lage, og et skikkelig signert sertifikat, som bare et fåtall kan lage. Selv om et par av det fåtallet er kriminelle.

 

Og SSH har litt av samme problemet, ja. Men UI'et er laget annerledes der, og du får ikke samme propagandaen du får i en nettleser. Og i tillegg bruker man keys for SSH (du bruker keys for auth, right? ), som ikke har helt det samme problemet om man kobler seg mot "feil" host.

 

Forresten, sett prosjektene Perspectives og Convergence? Tror de kanskje vil interessere deg.

[4588pkdkrikue5c]

Hei! Takker for mykje gode svar! Då tar eg ein kikk på StartSSL Free i første omgang. Sertifikatet må vere gyldig ettersom at eg prater med eit API i bakgrunnen (JS kaller på eit PHP script som genererer ei JSON fil som vart stoppa om ikkje sertfikatet er gyldig). Bruker får altså ikkje noko åtvarsel, noko som er problematisk. Dei må då vitje API-sida og godta at sertfikatet ikkje er truverdig.