Het configureren van Apache 2 met SSL/TLS
Al meer dan 10 jaar lang wordt het SSL protocol voor het beveiligen van transacties over het internet gebruikt. Dagelijks wordt er voor miljarden in transacties via SSL verwerkt. Het gebruik van SSL betekent niet automatisch dat de informatie die via dit protocol verstuurd wordt veilig is. Het gebruik van zwakke encryptie, het niet kunnen verifieren van de certificaten van de webservers, security lekken in webservers en SSL libraries en andere aanvallen kunnen ervoor zorgen dat een aanvaller toegang tot vertrouwelijke informatie kan krijgen. SecurityFocus is daarom een een driedelige serie begonnen hoe Apache 2.0 met SSL/TLS voor maximale security en optimale performance van de SSL communicatie geconfigureerd kan worden. Het eerste artikel beschrijft SSL/TLS en laat zien hoe Apache 2.0 met deze protocollen geinstalleerd en geconfigureerd moet worden.
CAcert.org zou gebruiken i.p.v. een self signed certificaat...
per IP/poort-combinatie. Dit omdat de TLS-verbinding
(natuurlijk) wordt opgezet *voordat* de HTTP `Host:'-header
wordt verstuurd.
Hierdoor gaat het dus niet mogelijk zijn onder 1 IP meerdere
HTTPS-sites te hosten (tenzij je ze op verschillende poorten
host, maar da's ook niet mooi), wat met `gewoon' HTTP wel
(heel) veel gebeurt. Als de vraag naar HTTPS toeneemt zal
dus de behoefte aan meer IP-adressen (en zo langzamerhand
misschien IPv6) toenemen.
Of zie ik nog iets over het hoofd?
En als iedereen nu ook nog een (gratis) certificaat van
CAcert.org zou gebruiken i.p.v. een self signed certificaat...
Hmmm. wist ik niet. ik ga het meteen regelen... Het is inderdaad beter dan
een self-signed certificaat en leuk voor thuis. Voor een publieke secure
website kun je beter naar http://www.sslcertificaten.nl gaan.
Door Anoniem
En als iedereen nu ook nog een (gratis) certificaat van CAcert.org zou gebruiken i.p.v. een self signed certificaat...
Hmmm. wist ik niet. ik ga het meteen regelen... Het is inderdaad beter dan een self-signed certificaat en leuk voor thuis. Voor een publieke secure website kun je beter naar http://www.sslcertificaten.nl gaan.
Nu ik er effe over nadenk... als jan en alleman zomaar root-sertificaten van
websites gaat zitten installeren, dan wordt het er niet veiliger op. Zo'n CA moet natuurlijk wel een strenge voorwaarden voldoen. Ik heb het nu net wel geinstalleerd, maar weet eigenlijk nog niet of ik het er wel mee eens ben.
Door Anoniem
En als iedereen nu ook nog een (gratis) certificaat van
CAcert.org zou gebruiken i.p.v. een self signed certificaat...
Hmmm. wist ik niet. ik ga het meteen regelen... Het is
inderdaad beter dan een self-signed certificaat en leuk voor
thuis. Voor een publieke secure website kun je beter naar
http://www.sslcertificaten.nl gaan.
Nu ik er effe over nadenk... als jan en alleman zomaar
root-sertificaten van
websites gaat zitten installeren, dan wordt het er niet
veiliger op. Zo'n CA moet natuurlijk wel een strenge
voorwaarden voldoen. Ik heb het nu net wel geinstalleerd,
maar weet eigenlijk nog niet of ik het er wel mee eens ben.
?
een certificaat van thawte is ook niet zo moeilijk aan te
komen hoor? en zo'n certificaat doet niets meer dan zeggen
dit ip is van die. Daar kun je als webserverbeheerder niet
zo heel veel meer fout mee doen, het is de
verantwoordelijkheid van de bezoeker om het certificaat te
controleren (kijken of het wel voor postbank.nl is
bijvoorbeeld etc.).
Voor kleine thuiswebsites is het alleen maar goed dat er
gemakkelijk certificaten te krijgen zijn.
Nu ik er effe over nadenk... als jan en alleman zomaar
root-sertificaten van websites gaat zitten installeren, dan
wordt het er niet veiliger op. Zo'n CA moet natuurlijk wel
een strenge voorwaarden voldoen. Ik heb het nu net wel
geinstalleerd, maar weet eigenlijk nog niet of ik het er wel
mee eens ben.
?
en zo'n certificaat doet niets meer dan zeggen dit ip is van
die.
Nee, een TLS-certificaat zegt `deze public key hoort bij
deze hostname'. Of eigenlijk erger nog: `De CA die dit
certificaat uitgaf *denkt* dat deze public key hoort bij
deze hostname'.
meer fout mee doen, het is de verantwoordelijkheid van de
bezoeker om het certificaat te controleren (kijken of het
wel voor postbank.nl is bijvoorbeeld etc.).
Stuffie heeft het dan ook niet over gewone certificaten,
maar over `root certificates'. Door een `root certificate'
te installeren zeg je eigenlijk: `ik vertrouw deze CA, dus
ik kan alle certificaten die door deze CA zijn uitgegeven
vertrouwen'. Met je browser worden meestal al allerlei root
certificaten van min of meer betrouwbare CA's zoals Verisign
meegeleverd. Het root certificaat van CACert wordt blijkbaar
(nog) niet standaard meegeleverd, dus dat moet je zelf
installeren. En dat is, zoals stuffie terecht opmerkt, niet
altijd een goed idee.
Nu ken ik toevallig een en ander van het verhaal/de mensen
`achter' CACert, en persoonlijk vertrouw ik hen minstens
zoveel als sommige obscure bedrijfjes die je browser
standaard al vertrouwt. In dit geval zou ik er dus geen
problemen mee hebben dat root certificate te installeren.
Maar: blijven oppassen dus!
certificate in moest stellen. daar moet de huis tuin en
keuken gebruiker inderdaad vandaan blijven. Mijn fout, beter
opletten voortaan.
Man wie weet nog dat netscape destijds een verlopen thawte
certificaat had? erg nare situatie.
thawte certificaat had? erg nare situatie.
Ik kan me nog wel herinneren dat Verisign (een van de
grootste CA's) ooit 2 certificaten heeft uitgegeven aan
iemand die zich (frauduleus) voordeed als een
Microsoft-werknemer (een van de meest high-profile klanten).
Dus je kunt je afvragen of je al die CA's in je browser wel
echt vertrouwt. Leid daar maar uit af hoeveel waarde je moet
hechten aan dat slotje in je browser :).
(okee, dat was geen web-certificaat, maar toch. Zie MS
Knowledgebase artikel Q293818 voor details)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
