Czemu serwer XMPP dobreprogramy nie ma tak dobrej oceny?

Społeczność O portalu
#1

Zrobiłem test serwera xmpp dobreprogramy.im i jestem zszokowany wynikiem. Ocena F. Wynik

W przeciwienstwie do mojego serwera **********, wygląda nieco lepiej. Ocena A- Wynik

 

Czemu taki duży serwis jak dobreprogramy nie zajmą się poprawnym certifikatem dla swojego serwera xmpp?

Forum i Portal zrobiony jest przepiękne a XMPP ma bardzo słabą ocene. Poprawcie to.

#2

Dzieje się tak, ponieważ serwer dobrychprogramów korzysta z niezaufanego certyfikatu SSL o niskiej sile szyfrowania. Przynajmniej tyle wynika z tego raportu.

#3

To czemu nie zrobią cobie nowy certifikat np. CaCert z 4096 bits szyfrowaniem?

To nic nie kosztuje, a poprawi bezpieczeństwo.

#4

Podesłałem link do tematu na “Górę”, może się odniosą. Sam jestem zainteresowany tym tematem, bo korzystam z XMPP DP jako głównego konta. Zobaczmy co z tego wyjdzie :slight_smile:

#5

Certyfikaty z CACert nie są zaufane - są wydawane przez społeczność i są traktowane na równi z tymi “self-signed”. Poziom bezpieczeństwa by się podniósł, ale ocena na stonie nie.

W tym celu byłby potrzebny certyfikat typu Comodo, Thawte, VeriSign, GeoTrust, Certum, StartSSL itp.

CACert to tak jakbym ja wygenerował dobrymprogramom certyfikat lub jeden z Administratorów to zrobił - taki SSL będzie postrzegany jako niezaufany.

 

Celowo wystawiłem sam sobie bezużyteczny certyfikat (bez moich danych). Można go zapisać jako dokument tekstowy z rozszerzeniem .crt i zobzczyć, że jest niezaufany. TAki certyfikat jest prawie bezużyteczny.

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
#6

Zdaję sobie sprawę, że czerwona ocena F wygląda gorzej niż zielone A, ale tak naprawdę fakt że certyfikat jest niezaufany ma na bezpieczeństwo wpływ niewielki, znacznie mniejszy niż używanie 1024-bitowego klucza, który faktycznie jest zbyt “krótki” jak na dzisiejsze realia, ale też nie popadajmy w paranoję. Wydaje mi się, że te testy to trochę “sztuka dla sztuki”, podobnie jak Performance index w Windows, który przyznaje wypasionemu komputerowi z cząstkowymi ocenami 5.9 ocenę końcową 2.0, bo komputer ten ma zintegrowaną grafikę, z której programista - posiadacz tego komputera - w ogóle nie korzysta.

 

Prawda jest też taka, że wdrożenie XMPP na naszym portalu odbyło się niejako testowo - nigdy niestety serwer ten nie osiągnął oczekiwanej przez nas popularności, stąd też nie rozwijaliśmy go priorytetowo. Na dodatek projekt Openfire, z którego korzystamy bo to jedyny sensowny serwer XMPP na Windows, zaliczył w krótkim czasie po naszym starcie padakę - wyglądało że nie będzie już rozwijany, nie było żadnego wsparcia. Teraz to się zaczęło zmieniać, pojawiają się nowe wersje, więc może faktycznie powrócimy do tego tematu. Mimo tego nie siałbym paniki, że nasz serwer jest niebezpieczny. Poziom zabezpieczeń jest moim zdaniem zadowalający: nie jest najwyższy z możliwych, ale ewentualne jego sforsowanie byłoby raczej mało opłacalne i dla atakującego chyba nieprzydatne…

#7

Co do Openfire to może warto przeznaczyć jeden serwer na Linuxa, zainstalować ejabberd i będzie po problemie :slight_smile:

 

Natomiast do do certyfikatu to widzę, iż można aktualnie bezpłatnie zdobyć je od Comodo (za pomocą jednego z Resellerów) i od Certum (za pomocą pośrednika).

#8

Wszystko można, ale tak jak wspominałem - było to wdrożenie testowe, a z usługi skorzystało bardzo mało osób (obecnie jeszcze mniej), więc nie poświęcaliśmy jej zbyt dużo zasobów. Utrzymanie tego serwera na Linuksie kosztowałoby jeszcze więcej pracy i środków. Niemniej w związku z tym że Openfire się ostatnio poprawił, myślę że odświeżymy temat ale na razie nie chciałbym deklarować żadnych rewolucji…

 

Co do certyfikatu, z tego co pamiętam XMPP wymaga certyfikatu typu wildcard i między innymi dlatego to odpuściliśmy. Tak jak wspominałem, zaufanie certyfikatu jest tutaj sprawą dość marginalną.