image

"Internet nog niet klaar voor HTTPS"

maandag 21 maart 2011, 12:39 door Redactie, 19 reacties

Een groeiend aantal websites gebruikt inmiddels een SSL-verbinding, maar waarom loopt niet alles op het web via HTTPS? Eén van de grootste problemen is dat met HTTPS het onmogelijk is om te cachen, zegt Yves Lafon van W3C. "Dat is geen probleem als servers en clients in dezelfde regio zitten. Maar mensen in bijvoorbeeld Australië vinden het fijn dat iets gecached en zonder grote vertraging verstuurd wordt."

Daarnaast kunnen verbindingen over HTTPS iets trager zijn dan over HTTP, aangezien er een sleutel moet worden uitgewisseld. Daar komt bij dat sommige websites geen reden hebben om informatie te versleutelen, aangezien gebruikers er niet op inloggen en er geen vertrouwelijke data wordt bewaard. Lafon waarschuwt verder dat HTTPS meer verkeer genereert, iets wat voor kleine websites een grote belasting kan zijn.

Virtual hosting
Een ander groot probleem is dat virtual hosts geen HTTPS ondersteunen, terwijl tal van hostingbedrijven deze oplossing aanbieden. Via een virtual host kan een hostingbedrijf meerdere websites op dezelfde fysieke server (IP-adres) hosten, maar elk SSL-certificaat heeft een uniek IP-adres nodig.

Virtual hosting zou via het TLS Extensie protocol wel met HTTPS om kunnen gaan, maar dat is slechts gedeeltelijk geïmplementeerd merkt Lafon op. Hij verwacht dat in de toekomst de grootste redenen om geen HTTPS te gebruiken zullen wegvallen. Daarnaast zal dan het laden van een website niet meer de voornaamste zorg zijn, maar ook hoe goed het ontvangen en verstuurde verkeer beschermd wordt.

Reacties (19)
21-03-2011, 13:33 door Sith Warrior
Daarom hebben die ook (bijna altijd) ondermeer HTTPS he, maar het standpunt dat bv nu.nl of andere nieuws websites niet over HTTPS hoeft te gaan, daar kan ik zeker mee leven.
21-03-2011, 14:36 door Lekensteyn
Technologie bestaat om het virtual hosting probleem op te lossen:
- SNI (http://en.wikipedia.org/wiki/Server_Name_Indication en http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI), het werkt prima en wordt ondersteund door moderne systemen (winxp+IE is verouderd).

- IPv6: met tig addressen is er geen tekort eraan.
Nu moeten de Nederlandse providers (e.a.) nog opschieten, momenteel is XS4ALL de enige die IPv6 native ondersteund.
21-03-2011, 14:42 door Anoniem
Volgens mij snap ik het niet.
Je hebt een server certificaat dat je op vhost naam kunt plaatsen, niet op ip. Per vhost kan ik een eigen certificaat plaatsen.
Ik gebruik natuurlijk wel apache, kan het zijn dat MS variant daar wat meer problemen mee heeft?
21-03-2011, 14:53 door Anoniem
SSL certificaten zijn gebonden aan FQDN, niet aan IP adres. Voor elke vhost op een gegeven server, al dan niet een virtuele, kan een individueel certificaat geinstalleerd worden. Het delen van een IP adres met meerdere FQDNs is in ieder geval geen technisch limiterende factor.
21-03-2011, 16:40 door SirDice
Kan iemand me uitleggen waarom tante Truus d'r brei-site achter SSL zou moeten?!?
21-03-2011, 16:48 door Lekensteyn
Door SirDice: Kan iemand me uitleggen waarom tante Truus d'r brei-site achter SSL zou moeten?!?
Omdat ze breinaalden verkoopt op haar site en daarbij met creditcardgegevens moet omgaan?
21-03-2011, 16:54 door Black eagle
In de meeste (zover mij bekent alle) gevallen kan de host dan niet meer op hostname luisteren maar alleen op IP en Port.

In het geval van IIS:
Bij standaard hosted sites (http://) worden er op 1 IP en Port combinatie meerdere websites gehost. Het uniek maken van de sites is dan doormiddel van de Host Header (hostname/ FQDN).

Bij SSL sites hosten op 1 server kan er alleen op een Uniek combinatie van IP en Port geluisterd worden en vervald de hostname als uniek gegeven. Als je meer sites op de zelfde server wil draaien dan zal 1 van de 2 moeten afwijken.

PORT aanpassen is in de meeste gevallen niet gewenst aangezien de meeste webfiters standaard niet overweg mee kunnen. Dit is wel mogelijk maar de meeste Firewall beheerders zullen dat niet accepteren. Dan blijft er 1 ding over het IP nummer uniek maken. hierdoor is de circel weer rond en hebben we snel IPv6 nodig.

Als de website word gepublished door een reverse proxy kan de interne server gebruik maken van Port stappelen. Aan de internet kant (public) zal dit weer ongedaan moeten worden en verdeel worden over verschillende IP addressen. Doormiddel van een Wildcard Certificaat of multiple Domain Name Certificaat kan hier wat 'getruukt' worden om wel meerdere SSL Sites op de zelfde IP en Port te krijgen.
21-03-2011, 17:29 door Lekensteyn
Door Black eagle: In de meeste (zover mij bekent alle) gevallen kan de host dan niet meer op hostname luisteren maar alleen op IP en Port.

In het geval van IIS:
Bij standaard hosted sites (http://) worden er op 1 IP en Port combinatie meerdere websites gehost. Het uniek maken van de sites is dan doormiddel van de Host Header (hostname/ FQDN).

Bij SSL sites hosten op 1 server kan er alleen op een Uniek combinatie van IP en Port geluisterd worden en vervald de hostname als uniek gegeven. Als je meer sites op de zelfde server wil draaien dan zal 1 van de 2 moeten afwijken.

PORT aanpassen is in de meeste gevallen niet gewenst aangezien de meeste webfiters standaard niet overweg mee kunnen. Dit is wel mogelijk maar de meeste Firewall beheerders zullen dat niet accepteren. Dan blijft er 1 ding over het IP nummer uniek maken. hierdoor is de circel weer rond en hebben we snel IPv6 nodig.

Als de website word gepublished door een reverse proxy kan de interne server gebruik maken van Port stappelen. Aan de internet kant (public) zal dit weer ongedaan moeten worden en verdeel worden over verschillende IP addressen. Doormiddel van een Wildcard Certificaat of multiple Domain Name Certificaat kan hier wat 'getruukt' worden om wel meerdere SSL Sites op de zelfde IP en Port te krijgen.

Oei, de volgende keer toch eens lezen wat je schrijft. "vervald", foei :p Zelfs als voltooid deelwoord is dat niet geldig.

Het verkeer met SSL was (is) volledig versleuteld, met headers en al, maar met de komst van SNI kan het header veld "Host" nog worden doorgestuurd, nog voordat het verkeer versleuteld is. Dan kun je weer meerdere op een IP hebben. Het is nog niet universeel ondersteund, maar werkt verder prima (http://en.wikipedia.org/wiki/Server_Name_Indication#Support)
21-03-2011, 17:37 door Anoniem
SNI is nodig om de hostname VOOR/TIJDENS de TLS authenticatie door te sturen.

Als XP eruit is is het probleem opgelost... Of M$ moet even over de brug komen met een (long overdue) patch.

Als je 1 domein met meerdere vhosts op een server draait zou je wegkomen met een wildcard certificaat.
21-03-2011, 19:28 door Anoniem
"Oei, de volgende keer toch eens lezen wat je schrijft. "vervald", foei :p Zelfs als voltooid deelwoord is dat niet geldig."

Die taalpuristen toch ook altijd. Wat maakt het uit of iemand in spelfout maakt in een reactie op een website.....
22-03-2011, 08:14 door Invader Zim
Dat heeft niets met taalpurisme te maken. Taalpuristen hebben het over "vloedgolf" i.p.v. "tsunami". Maar van iedereen die in Nederland op school heeft gezeten mag je verwachten dat ze het Nederlands machtig zijn en ook correct kunnen spellen.

Het is jammer dat SSL certificaten tersluiks ook worden gebruikt voor hostverificatie. Dat zorgt ervoor dat er zoveel problemen zijn op dit gebied. Als je nou nog de optie had alleen het verkeer te willen versleutelen kreeg je tenminste met een self-signed certificaat geen melding dat het niet aan te raden is om door te gaan met verbinding te maken met deze server (die IE melding is echt misleidend).
22-03-2011, 09:03 door musiman
Door Anoniem: "Oei, de volgende keer toch eens lezen wat je schrijft. "vervald", foei :p Zelfs als voltooid deelwoord is dat niet geldig."

Die taalpuristen toch ook altijd. Wat maakt het uit of iemand in spelfout maakt in een reactie op een website.....
[off-topic]
Dit is geen spelfout maar een grammaticaal incorrecte vervoeging van het werkwoord vervallen. En ook ik maak mij ernstige zorgen over het almaar verslechteren van onze kennis der Nederlandse taal. Met name jongeren hebben steeds meer moeite met de regels omtrent het gebruik van -d of -t en de juiste spelling van voltooid deelwoorden.
[/off-topic]

Door SirDice: Kan iemand me uitleggen waarom tante Truus d'r brei-site achter SSL zou moeten?!?

De site van Tante Truus hoeft van mij niet te worden versleuteld, maar ik mis in deze wel de mogelijkheid van controle op de authenticiteit. Oftewel, iedereen kan een nep-Tante-Truus-d'r-brei-site maken en ervoor zorgen dat Tante Truus ineens gemene of vieze dingen op haar site heeft en haar lijst van interessante websites vol met phishing c.q. besmette sites komt te staan.

Oftewel, van mij hoeven vele websites niet encrypted te worden verstuurd, maar een vorm van authenticatie en wellicht een integritycheck zou wel prettig zijn. Met ipsec is het al zo dat encryptie optioneel is, waarom is dat bij SSL dan niet zo?
22-03-2011, 09:23 door Anoniem
Een belangrijk punt voor met name kleinere sites lijkt mij de kosten die verbonden zijn aan een goed SSL certificaat.
22-03-2011, 09:29 door musiman
Door Anoniem: Een belangrijk punt voor met name kleinere sites lijkt mij de kosten die verbonden zijn aan een goed SSL certificaat.
Op zich kun je voor een relatief klein bedrag al een goed certificaat kopen. Het hoeft toch geen certificaat van Verisign te zijn?
22-03-2011, 10:38 door Lekensteyn
Door Anoniem: SNI is nodig om de hostname VOOR/TIJDENS de TLS authenticatie door te sturen.

Als XP eruit is is het probleem opgelost... Of M$ moet even over de brug komen met een (long overdue) patch.

Als je 1 domein met meerdere vhosts op een server draait zou je wegkomen met een wildcard certificaat.
MS kennende zullen ze nooit een SNI patch uitbrengen voor XP+IE. Op naar alternatieve browsers die het wel ondersteunen (FF, Chrome, ...)

Door Anoniem: Een belangrijk punt voor met name kleinere sites lijkt mij de kosten die verbonden zijn aan een goed SSL certificaat.
Het hoeft geen cent te kosten: https://www.startssl.com/
Voor sommige Amerikanen geen oplossing omdat het bedrijf zich huisvestigt in Israel.
22-03-2011, 11:10 door Anoniem
Waarom kunnen zelfs resellerpakketten vaak eigen IP-adressen krijgen? Mij lijkt het geen probleem....
22-03-2011, 14:09 door Anoniem
Virtual hosting is wel degelijk mogelijk, zelfs op hetzelfde ip address.
Maar dan wel uniek poorten gebruiken he ?

Dit is al Jáááááren het geval ruim 8 jaar gelden werd dit al toegepast.

Wat is dit voor een klets ????
22-03-2011, 16:43 door Black eagle
LekensteynOei, de volgende keer toch eens lezen wat je schrijft. "vervald", foei :p Zelfs als voltooid deelwoord is dat niet
geldig.

Als je daarover vald is het wel heel erg. Mogelijk zijn er meerdere Nederlands die moeite hebben met schrijven of Tekstblind zijn. Wat weet jij nu wat er aan de hand is!

Het gaat om de techniek en kennis overdracht. Verbeteringen en aanvullingen altijd welkom.
Ga daarop met mij in discussie!

Het is een 'open' Forum om elkaar te helpen. Niet elkaar afkraken, dat heeft geen enkele nut!
23-03-2011, 13:38 door musiman
Door Anoniem: Virtual hosting is wel degelijk mogelijk, zelfs op hetzelfde ip address.
Maar dan wel uniek poorten gebruiken he ?

Dit is al Jáááááren het geval ruim 8 jaar gelden werd dit al toegepast.

Wat is dit voor een klets ????

Ik neem aan dat jij niet wilt dat jouw klanten naar je site gaan door te tikken: https://extranet.jouwbedrijf.nl:12345
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.