FinWX Foorumi

Moikkelis.
Kirjoitan tämän tänne koska monet foorumilaiset pyörittävät omaa web saittia, ja saattavat olla kiinnostuneita aiheesta.
Lyhyesti sanottuna syyskuun alusta on saatavilla ilmainen helposti implementoitava virallinen ssl certti myös jokamiehen websaiteille.

Vaikka säätietoja tarjoavat sivustot eivät salausta liiemmin kaipaa, projektin tarkoituksena on siirtyä interwebissä
standardiin joka tekisi https protokollasta defacton. Esim. FinWX foorumi voisi tarvittaessa siirtyä salattuun liikenteeseen nyt (syyskussa)  ;)
Tämä siis ilman satojen eurojen kuluja.

Tähän asti certifikaatin josta webselaimet eivät anna varoituksia, eli varmennetun root ca certifikaatin, on saanut monilta eri cert authorityiltä = Verisign, Thawte, Godaddy, etc, etc.
Kysymys on minun näkökulmastani ollut älyttömästä rahastuksesta. Siksi melkein kaikki yksityiset sivustot ovat luopuneet automaattisesti
ajatuksesta tarjota clienteille https yhteys.
Vai kiinnostaisiko esim. Verisignin EV certti 1750$ 2 vuotta ? Toki noita halvemmallakin on saanut. Mutta ssl tekniikan tuntien, rahastusta yhtäkaikki.
Israelissa toimiva StartSSL (http://www.startssl.com) on tarjonnut jonkin aikaa ilmaista class1 certtiä. Käyttöönotto on kuitenkin tuossa tehty yllättävän haasteelliseksi, varmaan siksi että firma tarjoaa myös maksullisia certifikaatteja.

Projektin sivuille ja julkaisuajankohtaa käsittelevälle sivulle pääset vaikka klikkaamalla tätä. (http://www.eff.org/deeplinks/2015/06/lets-encrypt-launch-plan-week-september-14-2015)

Tämä nyt vaan näin tiedoksi ja jos kiinnostaa.

t:k

LainaaVai kiinnostaisiko esim. Verisignin EV certti 1750$ 2 vuotta ? Toki noita halvemmallakin on saanut. Mutta ssl tekniikan tuntien, rahastusta yhtäkaikki.

Tuohon sen verran korjausta että halvimmat SSL-certit lähtee muutamalla kympillä vuodessa, ei tonneilla. Esmex dedin kotopaikasta Hetzneriltä, joka tuskin on halvin tässä asiassa, Thawte SSL 123 Certificate 256 Bit lähtee 47€:llä.

Toisaalta, en näe mitään syystä miksi normi websivu, jossa ei ole mitään erikoista, tarvisi SSL-certin.

Lainaus käyttäjältä: weatherc - lauantai, 27.06.2015, 23:00

LainaaVai kiinnostaisiko esim. Verisignin EV certti 1750$ 2 vuotta ? Toki noita halvemmallakin on saanut. Mutta ssl tekniikan tuntien, rahastusta yhtäkaikki.

Tuohon sen verran korjausta että halvimmat SSL-certit lähtee muutamalla kympillä vuodessa, ei tonneilla. Esmex dedin kotopaikasta Hetzneriltä, joka tuskin on halvin tässä asiassa, Thawte SSL 123 Certificate 256 Bit lähtee 47€:llä.

Toisaalta, en näe mitään syystä miksi normi websivu, jossa ei ole mitään erikoista, tarvisi SSL-certin.

Onhan nuo kyllä halventunut näköjään juu. Tuossa ihan itsekin yllätyin kun kattelin noita hintoja. Toisaalta pakkokin kun on tuo tarjonta lisääntynyt, ja kohta järkiperäistetään peräti ilmaiseksi tuo hinta.

Niin, kuten jo totesin aiemmin quote*) ( Vaikka säätietoja tarjoavat sivustot eivät salausta liiemmin kaipaa ).
Ei ssl salausta kauheesti kaipaa "normi webbiservu" joka vaikkapa jakaa tietoa kanttarellikastikkeen valmistuksen saloihin.
Mutta jos sivustolla on vielä vaikkapa kanttarellikastike foorumi, niin jo kulkee vaikkapa käyttäjien kirjautumistiedot ja "yksityisviestit" rekisteröintilomakkeiden yms. data, jonka usein jostainsyystä oletetaan olevan salattua, pitkin maailmaa täysin salaamattomana.

Valitettavan monessa tapauksessa käyttäjillä on samat tunnarit ja passut jokapuolella. Yhestä paikasta kun ne sniffataan on ovet auki moneen paikkaan.
All in all, mielestäni on kauhean vaikea perustella miksei ssl salausta käytetä jos se on teknisesti ja taloudellisesti mahdollista.
Lisäksi on valitettavaa että "tavallisten" internet käyttäjien tietämys on kovin huteraa mitä tulee tietosuojaan, ja internetissä ylipäätään liikkuvan datan "luettavuuteen".
Tästäpäsyystä monien tietosuoja onkin kiinni vain sivustojen ylläpidon tarjoamasta suojasta. Ja he ovat "niitä" ihmisiä, jotka tuota yksilön suojaa voivat parantaa.
Koko sivustojen (varsinkin isojen) siirtäminen https protokollalle on tietenkin kovan työn takana (eikä missään nimessä aina perusteltavaa työmäärään ja moniin muihin seikkoihin nojaten) koska kaikki urlit on korjattava jne. jne.
Vaikkapa kauan käytössä olleen laajan sharepoint saitin siirtäminen ssl salatuksi wanhasta "http" versiosta on oikeasti rakettitiedettä.

Mutta jos joku miettii nyt perustavansa web sivut / sivuston, foorumeineen kaikkineen, https on ainoa oikea tie alkaa niitä tekemään.
Monet saattavat tässäkohtaa ajatella että ssl cert vaatii täydellisesti toimiakseen sen kiinteän iipeen, totta, ipv6 tuo 340,282,366,920,938,000,000,000,000,000,000,000,000 kappaletta osoitteita, joten luulisi sieltä liikenevän tavallisellekin käyttäjälle yksi
staattinen jos sitä tarvitsee.

t:k

LainaaValitettavan monessa tapauksessa käyttäjillä on samat tunnarit ja passut jokapuolella. Yhestä paikasta kun ne sniffataan on ovet auki moneen paikkaan.

Noh, ei mikään (oikein tehty) kirjautunminen lähetä passuja selkokielisenä vaan salattuna. Koita saada se selville esim tuo:
c93fe5f0cb8eb5967fc35692bccb2e4039da058004db9f788854921e1ea87ecc. Sen verran apua että on sha256:lla tehty :P

LainaaMonet saattavat tässäkohtaa ajatella että ssl cert vaatii täydellisesti toimiakseen sen kiinteän iipeen, totta, ipv6 tuo 340,282,366,920,938,000,000,000,000,000,000,000,000 kappaletta osoitteita, joten luulisi sieltä liikenevän tavallisellekin käyttäjälle yksi
staattinen jos sitä tarvitsee.

Toki, mutta kuinka moni ISP tarjoaa IPv6:sta oletuksena tahikka domaini/palvelin on konffattu IPv6:lle? Se lopussa oleva IPv4 on se joka jyrää edelleen (ja NATatut IP:t)....

Lainaus käyttäjältä: weatherc - sunnuntai, 28.06.2015, 11:43

LainaaNoh, ei mikään (oikein tehty) kirjautunminen lähetä passuja selkokielisenä vaan salattuna. Koita saada se selville esim tuo:
c93fe5f0cb8eb5967fc35692bccb2e4039da058004db9f788854921e1ea87ecc. Sen verran apua että on sha256:lla tehty :P

Toki, mutta kuinka moni ISP tarjoaa IPv6:sta oletuksena tahikka domaini/palvelin on konffattu IPv6:lle? Se lopussa oleva IPv4 on se joka jyrää edelleen (ja NATatut IP:t)....

Korjaan senverran että:
SHA on hash ei salausalgoritmi, https käyttää SSL:ää jonka sisällä tieto kulkee yleisimmin joko DES, 3DES tai AES salattuna. Esim nuo edellämainitut kolme ovat salausalgoritmeja.
Esim. foorumille kirjautuessa koneesi lähettää kirjautumissivuille (tai mille muulle sivulle vaan) naputetun tavaran sellaisenaan palvelimen pureskeltavaksi.
Jos se lähettää sen http:n yli se on selkokielistä, jos https:n, se on transportlayerin eli internet siirtotien osalta salattu.
Se mitän dataa lähtee on tietysti aivan sama https salaa sen http ei. Antamasi esimerkki Hash256 chain on varmasti turvallinen lähettää http:n yli.
En silti lähettäisi public keytä ja hmacia tuon hashin perässä http:n yli, niinkuin et varmasti sinäkään
Mutta siitä tässä ei ollut kyse.

Normaalin kanttarellifoorumin tapauksessa, salasana, käyttäjänimi ja muu data lähtee selkokielisenä niin kauan kun käytetään http protollaa sellaisenaan eikä esim tunneloida sen sisälle jotain tiettyä salausta (ssh over http). Vaikka data olisi toisessa päässä palvelimella salattuna twofish+blowfish+aes se ei vaikuta itse ongelmaan mitenkään. Palvelimen päässä tietokantojen salauksen tarkoituksena on tietysti estää käyttäjätietojen leviäminen minnekään jos palvelin joutuu murron tahikka jonkin muun, esim. inhimillisen erehdyksen kohteeksi.

Lainaus käyttäjältä: weatherc - sunnuntai, 28.06.2015, 11:43

LainaaToki, mutta kuinka moni ISP tarjoaa IPv6:sta oletuksena tahikka domaini/palvelin on konffattu IPv6:lle? Se lopussa oleva IPv4 on se joka jyrää edelleen (ja NATatut IP:t)....

Senverran korjaan:
NAT on ja on aina ollut tietoverkoissa pakollinen väliaikaisratkaisu, jolla ollaan pystytty räpiköimään ipv4 osoitteiden kanssa tähän asti.
Itse Internet on nimenomaan kehitetty sitä silmälläpitäen että kaikilla laitteilla on oma julkinen/uniikki iipeensä.
Monet soho (valmistajat) purkit eivät vieläkään tue ipv6:tta mutta ne tullaan siihen pian (sanotaan 5 vuoden sisään) pakottamaan.
Jos tätä kirjoittaessa haluat itsellesi julkisen ipv6 osoitteen ja purkkisi tukee protokollaa saat sen muutamassa minuutissa, (ei tarvitse edes soittaa mihinkään).

Jos sittenkin sattuu että palveluntarjoajasi siirtotie ei tue kokomatkalta ipv6:tta sitä varten on teredotunnelointi (4to6).

Mutta en tässä nyt sen enempää ala näistä väittelemään. Halusin vaan ilmoittaa että syyskuussa on saatavilla ilmainen ja virallinen helposti implementoitava certti https protokollaa varten (which is great)

t:k

LainaaMutta en tässä nyt sen enempää ala näistä väittelemään. Halusin vaan ilmoittaa että syyskuussa on saatavilla ilmainen ja virallinen helposti implementoitava certti https protokollaa varten (which is great)

Totta, tosin ilmainen ja turvallisuus yhdessä arvalluttaa kyllä. Joku jekku lienee takana että kulut tulee katettua.

Tuo mun sha256 oli vaan esimerkki jonka löysin pikaisesti testi-skripeistäni. Jokaisella kanttarellifoorumin softalla lienee omat systeemit jolla sen passun lähetyksen on toteuttanut. Googlellahan löytyy 13 tusinassa "miten toteutat turvallisen kirjautumisen php:llä ja js:llä"-ohjetta.