image

Het configureren van Apache 2 met SSL/TLS

woensdag 19 januari 2005, 12:14 door Redactie, 8 reacties

Al meer dan 10 jaar lang wordt het SSL protocol voor het beveiligen van transacties over het internet gebruikt. Dagelijks wordt er voor miljarden in transacties via SSL verwerkt. Het gebruik van SSL betekent niet automatisch dat de informatie die via dit protocol verstuurd wordt veilig is. Het gebruik van zwakke encryptie, het niet kunnen verifieren van de certificaten van de webservers, security lekken in webservers en SSL libraries en andere aanvallen kunnen ervoor zorgen dat een aanvaller toegang tot vertrouwelijke informatie kan krijgen. SecurityFocus is daarom een een driedelige serie begonnen hoe Apache 2.0 met SSL/TLS voor maximale security en optimale performance van de SSL communicatie geconfigureerd kan worden. Het eerste artikel beschrijft SSL/TLS en laat zien hoe Apache 2.0 met deze protocollen geinstalleerd en geconfigureerd moet worden.

Reacties (8)
19-01-2005, 13:46 door Anoniem
En als iedereen nu ook nog een (gratis) certificaat van
CAcert.org zou gebruiken i.p.v. een self signed certificaat...
19-01-2005, 18:32 door raboof
Het blijft jammer dat je maar 1 certificaat kunt gebruiken
per IP/poort-combinatie. Dit omdat de TLS-verbinding
(natuurlijk) wordt opgezet *voordat* de HTTP `Host:'-header
wordt verstuurd.

Hierdoor gaat het dus niet mogelijk zijn onder 1 IP meerdere
HTTPS-sites te hosten (tenzij je ze op verschillende poorten
host, maar da's ook niet mooi), wat met `gewoon' HTTP wel
(heel) veel gebeurt. Als de vraag naar HTTPS toeneemt zal
dus de behoefte aan meer IP-adressen (en zo langzamerhand
misschien IPv6) toenemen.

Of zie ik nog iets over het hoofd?
19-01-2005, 19:40 door Anoniem
Door Anoniem
En als iedereen nu ook nog een (gratis) certificaat van
CAcert.org zou gebruiken i.p.v. een self signed certificaat...

Hmmm. wist ik niet. ik ga het meteen regelen... Het is inderdaad beter dan
een self-signed certificaat en leuk voor thuis. Voor een publieke secure
website kun je beter naar http://www.sslcertificaten.nl gaan.
19-01-2005, 20:19 door Anoniem

Door Anoniem
En als iedereen nu ook nog een (gratis) certificaat van CAcert.org zou gebruiken i.p.v. een self signed certificaat...

Hmmm. wist ik niet. ik ga het meteen regelen... Het is inderdaad beter dan een self-signed certificaat en leuk voor thuis. Voor een publieke secure website kun je beter naar http://www.sslcertificaten.nl gaan.

Nu ik er effe over nadenk... als jan en alleman zomaar root-sertificaten van
websites gaat zitten installeren, dan wordt het er niet veiliger op. Zo'n CA moet natuurlijk wel een strenge voorwaarden voldoen. Ik heb het nu net wel geinstalleerd, maar weet eigenlijk nog niet of ik het er wel mee eens ben.
20-01-2005, 10:08 door Anoniem
Door _stuffie_

Door Anoniem
En als iedereen nu ook nog een (gratis) certificaat van
CAcert.org zou gebruiken i.p.v. een self signed certificaat...

Hmmm. wist ik niet. ik ga het meteen regelen... Het is
inderdaad beter dan een self-signed certificaat en leuk voor
thuis. Voor een publieke secure website kun je beter naar
http://www.sslcertificaten.nl gaan.

Nu ik er effe over nadenk... als jan en alleman zomaar
root-sertificaten van
websites gaat zitten installeren, dan wordt het er niet
veiliger op. Zo'n CA moet natuurlijk wel een strenge
voorwaarden voldoen. Ik heb het nu net wel geinstalleerd,
maar weet eigenlijk nog niet of ik het er wel mee eens ben.

?

een certificaat van thawte is ook niet zo moeilijk aan te
komen hoor? en zo'n certificaat doet niets meer dan zeggen
dit ip is van die. Daar kun je als webserverbeheerder niet
zo heel veel meer fout mee doen, het is de
verantwoordelijkheid van de bezoeker om het certificaat te
controleren (kijken of het wel voor postbank.nl is
bijvoorbeeld etc.).

Voor kleine thuiswebsites is het alleen maar goed dat er
gemakkelijk certificaten te krijgen zijn.
20-01-2005, 11:39 door raboof
Door Anoniem
Door _stuffie_
Nu ik er effe over nadenk... als jan en alleman zomaar
root-sertificaten van websites gaat zitten installeren, dan
wordt het er niet veiliger op. Zo'n CA moet natuurlijk wel
een strenge voorwaarden voldoen. Ik heb het nu net wel
geinstalleerd, maar weet eigenlijk nog niet of ik het er wel
mee eens ben.

?

en zo'n certificaat doet niets meer dan zeggen dit ip is van
die.

Nee, een TLS-certificaat zegt `deze public key hoort bij
deze hostname'. Of eigenlijk erger nog: `De CA die dit
certificaat uitgaf *denkt* dat deze public key hoort bij
deze hostname'.

Daar kun je als webserverbeheerder niet zo heel veel
meer fout mee doen, het is de verantwoordelijkheid van de
bezoeker om het certificaat te controleren (kijken of het
wel voor postbank.nl is bijvoorbeeld etc.).

Stuffie heeft het dan ook niet over gewone certificaten,
maar over `root certificates'. Door een `root certificate'
te installeren zeg je eigenlijk: `ik vertrouw deze CA, dus
ik kan alle certificaten die door deze CA zijn uitgegeven
vertrouwen'. Met je browser worden meestal al allerlei root
certificaten van min of meer betrouwbare CA's zoals Verisign
meegeleverd. Het root certificaat van CACert wordt blijkbaar
(nog) niet standaard meegeleverd, dus dat moet je zelf
installeren. En dat is, zoals stuffie terecht opmerkt, niet
altijd een goed idee.

Nu ken ik toevallig een en ander van het verhaal/de mensen
`achter' CACert, en persoonlijk vertrouw ik hen minstens
zoveel als sommige obscure bedrijfjes die je browser
standaard al vertrouwt. In dit geval zou ik er dus geen
problemen mee hebben dat root certificate te installeren.
Maar: blijven oppassen dus!
20-01-2005, 11:42 door Anoniem
oh okee ik had niet begrepen dat je cacert nog zelf als root
certificate in moest stellen. daar moet de huis tuin en
keuken gebruiker inderdaad vandaan blijven. Mijn fout, beter
opletten voortaan.

Man wie weet nog dat netscape destijds een verlopen thawte
certificaat had? erg nare situatie.
20-01-2005, 13:38 door raboof
Man wie weet nog dat netscape destijds een verlopen
thawte certificaat had? erg nare situatie.

Ik kan me nog wel herinneren dat Verisign (een van de
grootste CA's) ooit 2 certificaten heeft uitgegeven aan
iemand die zich (frauduleus) voordeed als een
Microsoft-werknemer (een van de meest high-profile klanten).
Dus je kunt je afvragen of je al die CA's in je browser wel
echt vertrouwt. Leid daar maar uit af hoeveel waarde je moet
hechten aan dat slotje in je browser :).

(okee, dat was geen web-certificaat, maar toch. Zie MS
Knowledgebase artikel Q293818 voor details)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.