Darmowy SSL + Który najlepiej + CASE


(szalon) #1

Witam

Chce zainstalować darmowy certyfikat SSL. Z tego co wiem można to zrobić bez SNI. Czy to prawda? na 95% mam SNI ale skoro można bez tego i ma być łatwiej to czemu nie. Teraz pytanie. Co w waszej opini będzie najlepsze /i lub oraz proste w konfiguracji?

Czy z technicznego punktu widzenia lepiej to zrobić instalując nową stronę, na nowej domenie czy nie ma znaczenia ??

Mam dostęp do ssh jak coś


(ra-v) #2

Można to zrobić bez SNI (czyli SAN), ale wtedy musisz wykorzystać 1 IP na 1 SSL. Dlatego też SNI jest w pewnym sensie zaletą, ponieważ na jednym IP możesz postawić kilka stron WWW z SSLami. Archaiczne przeglądarki nie wspierają SNI (np. chyba IE8 w dół), ale kto by się tym przejmował.

Z tego co pamiętam to plik konfiguracyjny np Apache niczym się nie różni w obu przypadkach.

Nie ma znaczenia, czy to będzie nowa strona czy istniejąca. Tworzysz klucz prywatny, tworzysz CSR, na podstawie CSRa kupujesz SSLa, umieszczasz SSL i certyfikat pośredniczący (tzw intermediate) na serwerze, wpisujesz ścieżki w konfigurację serwera WWW i gotowe.


(szalon) #3

Dobra a powiesz mi w jaki sposób sprawdzić czy mam SNI ? Jakaś komenda w ssh ?


(ra-v) #4

Nie spotkałem się z tym, aby nawet serwer z 2012 roku nie obsługiwał SNI.

Możesz sprawdzić wersję Apache (2.2.12 wzwyż, w innych serwerach WWW nie wiem jak to wygląda,), openSSL (0.9.8 wzwyż).
apache2ctl -v
openssl version

Można sprawdzić, czy openSSL jest włączony:
apache2ctl -M | grep ssl

A darmowe SSLe masz tutaj:
https://letsencrypt.org/


(szalon) #5

Dzięki ziomus, a Czy jest darmowy certyfikat który dodawał by nowe IP dla domeny ?


(ra-v) #6

Zakup czy generowanie certyfikatu nie ma związku z dodawaniem IP.

Let’s Encrypt to certyfikat DV (OV i EV wykorzystują tylko duże firmy), czyli weryfikacja następuje po domenie. W CSR podajesz domenę, nazwy organizacji, lokalizację, email i tylko te dane brane są przy zakupie SSLa. Ewentualnie pytają się o algorytm czy oprogramowanie. IP ich nie interesuje, możesz go używać nawet na localhoście.

Dodatkowe IP może dodać dostawca usług dla Twojego VPSa (zapewne nie za darmo), a co z tym zrobisz, to już Twoja sprawa. SNI właśnie używa się ze względu na oszczędność IP i w sumie większą wygodę.


(szalon) #7

Dzięki , trochę mi rozjaśniłeś. Mam jeszcze takie pytanie. Czy warto inwestować w dodatkowe IP dla każdej domeny ? Jeśli tak to gdzie najlepiej/najtaniej to można zrobić ? jakieś inne alternatywy ?


(ra-v) #8

To trochę jak z pytaniem “Czy warto kupić 2 karty GTX 1080” - no nie wiem czy warto :wink:

Osobiście IP bym kupował dopiero, gdyby był to duży klient lub grupa klientów, którzy być może potrzebowaliby własne VPS-y w ramach wykupionego serwera dedykowanego. Mogłoby działać na nim więcej usług i na pewno byłoby dużo prościej skonfigurować serwer. Ale w takich wypadkach to już mowa o usługach premium, gdzie obowiązują inne stawki.

IP kupić można u dostawcy usług, u którego masz VPS-a. Nie liczyłbym na niskie ceny.


(MajtkiCiociHeli) #9

Let’s Encrypt polecam


(szalon) #10

a moze jednak cloduflare co Wy na to? nie lepsze miec dodatkowo ochrone itp ?


(Fizyda) #11

Dla mnie cf ma tyle wspólnego z bezpieczeństwem co nic. Nie wiem co by musiało się wydarzyć żebym zdecydował się na tego typu usługę.


(szalon) #12

aha to może być podał jakieś argumenty ? bo takie pisanie to sobie można w D wsadzić


(Fizyda) #13

Argumentem jest to w jaki sposób usługa ta działa. Czyli cały ruch idzie przez cudze serwery, wszystkie hasła, dane, wszystko, a co oni z tym robią/mogą zrobić to już jest tylko wielka niewiadoma.
Z punktu widzenia hakera to jest bardzo dobra usługa. Zamiast włamywać się na X stron w celu zdobycia maili i haseł wystarczy włamać się na cf, a te serwisy nawet nie będą wiedziały i nie będą w stanie stwierdzić czy doszło do nich do wycieku.
W ogóle taka usługa to świetny punkt do monitorowania zachowań użytkowników i ruchu w sieci plus możliwość gromadzenia danych. W cale nie zdziwiłbym się gdyby za tego typu usługami stało jakieś państwo.

Od razu może odeprę argument, że cf na pewno jest bezpieczny bo to duża firma i dbają o bezpieczeństwo i jest to na pewno bezpieczniejsze niż najlepsza z tych X stron. Otóż pragnę zauważyć jak duże firmy podchodzą do bezpieczeństwa, przykłady: chmura apple i wyciek prywatnych zdjęć użytkowników, głównie gwiazd - kilkukrotnie, plus bank - wyciek numerów kont i danych osobowych klientów, facebook i wyciek danych użytkowników, google też na pewno nie jest czyste, ostatnio upc też zaliczyło klasyczną wpadkę - wyciek danych. Wymieniać można jeszcze długo.
Żeby było śmieszniej szukałem coś o dziurach w cf i proszę bardzo: https://niebezpiecznik.pl/post/olbrzymi-wyciek-wrazliwych-danych-hasel-kluczy-wiadomosci-prywatnych-z-wszystkich-55-miliona-serwisow-internetowych-korzystajacych-z-cloudflare/ więc nawet nie tyle osoby które mają dostęp do cf mają dostęp do danych, ale ludzie z zewnątrz jak widać również :stuck_out_tongue: .

Argumentów nie podałem bo dla mnie było oczywiste, że to jak ta usługa działa to możliwość main in the middle, a jeśli nawet jakimś cudem nie to aż się prosi i nic nie stoi na przeszkodzie, że w przyszłości się to zmieni. W ogóle ta usługa tak naprawdę to jest main in the middle tylko, że wyrażasz to to zgodę i “ufasz” usłudze, że nic złego nie robi. Niestety w przypadku zabezpieczania systemów nie ma czegoś takiego jak zaufanie, wręcz przeciwnie, to paranoja jest Twoim jedynym przyjacielem.


(szalon) #14

Dziękuje bardzo. To już jest odpowiedź.

Powiedz w takim razie z czego Ty korzystasz ? W dzisiejszym świecie koniec końców i tak czemuś musisz zaufać. Więc czy taka paranoja jak to nazwałeś nie jest bardziej szkodliwa niż dobra?

Przecież koniec konców wybierając sam hosting, chmurę itp godzisz się na masę warunków itp. Vpn to samo. Nigdy nie wiesz kto za tym wszystkim stoi. Jakie jest Twoje podejscie do ogolnie rzecz biorac bezpieczenstwa i prywatnosci?

A wracajac do tematu. Co zamiast Cloudflare ? Lets Encrypt ? Czy cos platnego? Co prócz tego ?
Jakieś premium DNS potrzebne np ? Jak obrona przed ddos-ami itp ?


(Fizyda) #15

Zgadza się, one też mogą podsłuchiwać ruch, również operatorzy po drodze. Tylko, że Ci wszyscy mają jedynie dostęp do niewielkiego ułamka procenta ruchu. Natomiast z CF korzysta baaaardzo wiele witryn. Poza tym, firmy hostingowe i operatorzy sieciowi mają w większości przypadków w nosie ruch, analizują go w minimalny sposób i nigdzie nie zapisują bo nie mają takich środków. Natomiast CF na czym w ogóle zarabia w wersji darmowej? A ochrona przed DDOS jest baaaaaaaardzo kosztowna i wymaga wieeeeelkich zasobów technicznych, dlatego nie wierzę by robili to charytatywnie i gdzieś i jakoś muszą zarabiać pieniądze.

W ogóle nie wiem co tutaj robi CF skoro to usługa zupełnie innego typu niż wynika z tytułu tematu. Owszem da się na CF zainstalować certyfikat SSL, ale co z tego?
Jeśli chodzi o to czego temat dotyczył czyli certyfikatów to zależy od tego do czego i jakiego certyfikatu potrzebujesz. Jeśli nie zależy Ci na jakieś dobrym certyfikacie i potrzebujesz to tylko na bloga/stronę by ruch był szyfrowany i blog/strona przez to lepiej się pozycjonował to pewnie wystarczą Ci darmowe certyfikaty. Ja korzystam z let’s encrypt bo jest dla mnie najwygodniejszy i nic lepszego nie potrzebuję na tą chwilę.
Równie dobrze możesz wygenerować self-signed certyfikat i będzie on działał tak samo dobrze jak te za 1000zł/rocznie bo wynika to ze sposobu w jaki działa SSL.
Jednak z punktu widzenia SEO jakość certyfikatu może mieć minimalne znaczenie, spore przy porównaniu self-signed vs reszta. Dla zwykłego użytkownika lepiej nie używać self-signed bo dostanie zawału.