Het configureren van Apache 2 met SSL/TLS
Al meer dan 10 jaar lang wordt het SSL protocol voor het beveiligen van transacties over het internet gebruikt. Dagelijks wordt er voor miljarden in transacties via SSL verwerkt. Het gebruik van SSL betekent niet automatisch dat de informatie die via dit protocol verstuurd wordt veilig is. Het gebruik van zwakke encryptie, het niet kunnen verifieren van de certificaten van de webservers, security lekken in webservers en SSL libraries en andere aanvallen kunnen ervoor zorgen dat een aanvaller toegang tot vertrouwelijke informatie kan krijgen. SecurityFocus is daarom een een driedelige serie begonnen hoe Apache 2.0 met SSL/TLS voor maximale security en optimale performance van de SSL communicatie geconfigureerd kan worden. Het eerste artikel beschrijft SSL/TLS en laat zien hoe Apache 2.0 met deze protocollen geinstalleerd en geconfigureerd moet worden.
CAcert.org zou gebruiken i.p.v. een self signed certificaat...
per IP/poort-combinatie. Dit omdat de TLS-verbinding
(natuurlijk) wordt opgezet *voordat* de HTTP `Host:'-header
wordt verstuurd.
Hierdoor gaat het dus niet mogelijk zijn onder 1 IP meerdere
HTTPS-sites te hosten (tenzij je ze op verschillende poorten
host, maar da's ook niet mooi), wat met `gewoon' HTTP wel
(heel) veel gebeurt. Als de vraag naar HTTPS toeneemt zal
dus de behoefte aan meer IP-adressen (en zo langzamerhand
misschien IPv6) toenemen.
Of zie ik nog iets over het hoofd?
En als iedereen nu ook nog een (gratis) certificaat van
CAcert.org zou gebruiken i.p.v. een self signed certificaat...
Hmmm. wist ik niet. ik ga het meteen regelen... Het is inderdaad beter dan
een self-signed certificaat en leuk voor thuis. Voor een publieke secure
website kun je beter naar http://www.sslcertificaten.nl gaan.
Door Anoniem
En als iedereen nu ook nog een (gratis) certificaat van CAcert.org zou gebruiken i.p.v. een self signed certificaat...
Hmmm. wist ik niet. ik ga het meteen regelen... Het is inderdaad beter dan een self-signed certificaat en leuk voor thuis. Voor een publieke secure website kun je beter naar http://www.sslcertificaten.nl gaan.
Nu ik er effe over nadenk... als jan en alleman zomaar root-sertificaten van
websites gaat zitten installeren, dan wordt het er niet veiliger op. Zo'n CA moet natuurlijk wel een strenge voorwaarden voldoen. Ik heb het nu net wel geinstalleerd, maar weet eigenlijk nog niet of ik het er wel mee eens ben.
Door Anoniem
En als iedereen nu ook nog een (gratis) certificaat van
CAcert.org zou gebruiken i.p.v. een self signed certificaat...
Hmmm. wist ik niet. ik ga het meteen regelen... Het is
inderdaad beter dan een self-signed certificaat en leuk voor
thuis. Voor een publieke secure website kun je beter naar
http://www.sslcertificaten.nl gaan.
Nu ik er effe over nadenk... als jan en alleman zomaar
root-sertificaten van
websites gaat zitten installeren, dan wordt het er niet
veiliger op. Zo'n CA moet natuurlijk wel een strenge
voorwaarden voldoen. Ik heb het nu net wel geinstalleerd,
maar weet eigenlijk nog niet of ik het er wel mee eens ben.
?
een certificaat van thawte is ook niet zo moeilijk aan te
komen hoor? en zo'n certificaat doet niets meer dan zeggen
dit ip is van die. Daar kun je als webserverbeheerder niet
zo heel veel meer fout mee doen, het is de
verantwoordelijkheid van de bezoeker om het certificaat te
controleren (kijken of het wel voor postbank.nl is
bijvoorbeeld etc.).
Voor kleine thuiswebsites is het alleen maar goed dat er
gemakkelijk certificaten te krijgen zijn.
Nu ik er effe over nadenk... als jan en alleman zomaar
root-sertificaten van websites gaat zitten installeren, dan
wordt het er niet veiliger op. Zo'n CA moet natuurlijk wel
een strenge voorwaarden voldoen. Ik heb het nu net wel
geinstalleerd, maar weet eigenlijk nog niet of ik het er wel
mee eens ben.
?
en zo'n certificaat doet niets meer dan zeggen dit ip is van
die.
Nee, een TLS-certificaat zegt `deze public key hoort bij
deze hostname'. Of eigenlijk erger nog: `De CA die dit
certificaat uitgaf *denkt* dat deze public key hoort bij
deze hostname'.
meer fout mee doen, het is de verantwoordelijkheid van de
bezoeker om het certificaat te controleren (kijken of het
wel voor postbank.nl is bijvoorbeeld etc.).
Stuffie heeft het dan ook niet over gewone certificaten,
maar over `root certificates'. Door een `root certificate'
te installeren zeg je eigenlijk: `ik vertrouw deze CA, dus
ik kan alle certificaten die door deze CA zijn uitgegeven
vertrouwen'. Met je browser worden meestal al allerlei root
certificaten van min of meer betrouwbare CA's zoals Verisign
meegeleverd. Het root certificaat van CACert wordt blijkbaar
(nog) niet standaard meegeleverd, dus dat moet je zelf
installeren. En dat is, zoals stuffie terecht opmerkt, niet
altijd een goed idee.
Nu ken ik toevallig een en ander van het verhaal/de mensen
`achter' CACert, en persoonlijk vertrouw ik hen minstens
zoveel als sommige obscure bedrijfjes die je browser
standaard al vertrouwt. In dit geval zou ik er dus geen
problemen mee hebben dat root certificate te installeren.
Maar: blijven oppassen dus!
certificate in moest stellen. daar moet de huis tuin en
keuken gebruiker inderdaad vandaan blijven. Mijn fout, beter
opletten voortaan.
Man wie weet nog dat netscape destijds een verlopen thawte
certificaat had? erg nare situatie.
thawte certificaat had? erg nare situatie.
Ik kan me nog wel herinneren dat Verisign (een van de
grootste CA's) ooit 2 certificaten heeft uitgegeven aan
iemand die zich (frauduleus) voordeed als een
Microsoft-werknemer (een van de meest high-profile klanten).
Dus je kunt je afvragen of je al die CA's in je browser wel
echt vertrouwt. Leid daar maar uit af hoeveel waarde je moet
hechten aan dat slotje in je browser :).
(okee, dat was geen web-certificaat, maar toch. Zie MS
Knowledgebase artikel Q293818 voor details)
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.