Bezpečná administrace: SSL certifikát pro vaši doménu zdarma

MyEgo.cz

home foto blogy mywindows.cz kontakt

Bezpečná administrace: SSL certifikát pro vaši doménu zdarma

Webdesign, CMS 03.11.09
StartSSL

Jiří Brejcha na svém webu popisuje možnost získat SSL certifikát zdarma pro váš email i pro vaše domény, a to od StarComu - StartSSL.com.

Kořenový SSL certifikát od StarComu je nově obsažen přímo v aktualizaci Windows (ve Firefoxu, Chrome a Safari je už delší dobu), takže je to skvělá varianta pro okamžité použití na vašem webu pro zvýšení bezpečnosti redakčního systému, zejména proti možnosti odposlechnutí údajů zasílaných na server při přihlašování.

V celém procesu nastal jen drobný zádrhel - část registrace zatím nefunguje v novém IE8 na Windows 7, použití Firefoxu 3.5 či IE6 a XP Mode to ale řeší.

Ve finále je také vhodné si vynutit redirect na https pro část administrace, třeba tímto zápisem do web.config:

 <rule name="Redirect ADMIN to https">
 <match url="^admin/(.*)" />
 <conditions>
 <add input="{SERVER_PORT}" pattern="443" negate="true" />
 </conditions>
 <action type="Redirect" url="//myego.cz/admin/{R:1}" />
 </rule>

Prvotní registrace účtu, vystavení privátního SSL certifikátu, ověření emailu a konfigurace je otázka zhruba 10 minut. Ověření další domény je poté záležitost zhruba jedné minuty, takže se jedná i o výbornou možnost, jak nabídnout bezpečnou SSL adminstraci webu a přihlášení i pro vaše klienty.

Podrobnější popis instalace SSL certifikátu na IIS, Apache a dalších naleznete zde.

Komentáře

  1. 1 Miko Daniel 03.11.09, 06:11:46
    FB

    SSL certifkát som chcel už dávno, jeho cena nie je vysoká (ešte pred startssl) tu bol napríklad godaddy, kde sa ssl certifikát dal kúpiť za menej ako 1 000 korún ročne. Bohužiaľ (a to by som napísal aj do článku), ak máte web na normálnom webhostingu, tak nemáte pre ten web vlastnú IP adresu, ale zdieľate ju - a pre bezpečný ssl certifikát potrebujete vlastnú IP a tá je spoplatňovaná, väčšinou sa jedná o sumu cca 5 euro mesačne, čo nie je až tak málo vzhľadom na náklady na samotný webhosting.

  2. 2 Radek Hulán 03.11.09, 07:11:05
    FB

    [1] na mém VPS mám 3 IP adresy :)

  3. 3 Miko Daniel 03.11.09, 07:11:10
    FB

    [2] Ja som to trocha zle napísal, keď som písal "máte", "potrebujete", nemyslel som tým vykanie tebe, ale " vy ľudia (množné číslo) potrebujete", je mi úplne jasné, že tvoj server bude "mierny" nadštandard...

  4. 4 Radek Hulán 03.11.09, 07:11:45
    FB

    Jinak více domén zabezpečených pomocí SSL funguje na jedné IP adrese přes SNI: http://cs.wikipedia.org/wiki/Server_Name_Indication...

    Ale bohužel to neumí (mnou používaný) IIS7.

  5. 5 Quaker 03.11.09, 11:11:44
    FB

    Myslím, že kořenový certifikát StartSSL není nainstalován minimálně v Opeře, což není moc dobřé. Ale je fakt, že je to zase gratis...

  6. 6 Radek Hulán 03.11.09, 11:11:47
    FB

    [5] Operu neřeším. Má jej IE, Firefox, Safari, i Chrome, tedy celkem cca 98% trhu. Pro -administraci- webu, kterou nepoužívá každý, ideální.

  7. 7 Miko Daniel 04.11.09, 12:11:25
    FB

    [6] Na administráciu svojho webu potom ale môžeš použiť aj spoločný certifikát ktorý poskytuje tvoj webhoster, efekt to bude mať rovnaký. Účelom týchto certifikátov je zabezpečiť posielanie citlivých údajov. Zrovna dnes som to videl, kamarátka niečo hľadala na nete, klikla na nejakú stránku ktorá mala neviem či už spoločný certifikát, alebo self signed, skrátka jej to vyhlásilo nedôveryhodné pripojenie, bez toho aby si to podrobnejšie čítala okamžite sa vrátila na predošlú stránku. O tom to je - o marketingu, skrátka nemôžeš žiadneho potencionálneho zákazníka (čitateľa) takto odradiť. Ak mám napríklad e-shop a chcem aby zákazníci mali pocit bezpečnosti, tak u drvivej väčšiny vzbudzuje klasické http oveľa väčšiu istotu ako "nedôveryhodné" https. Preto bez ohľadu na to, čo si myslíme o posledných ťahoch Opery proti Microsoftu (asi nič dobré), nie je rozumné povedať "Operu neriešim".

    Ale ako vravím, záleží na tom, načo človek to https používa, ak len pre svoju potrebu na administráciu redakčného systému, phpmyadmina a podobne, tak jasné že Startcom je skvelá voľba, ale ak už umožňuje užívateľom prihlasovať a registrovať sa cez https, tak treba zvažovať, či nestojí za to priplatiť si za certifikát ktorý má naozaj 99,99% prehliadačov a systémov. Navyše, v takomto prípade sa nedá odvolávať na celkové štatistiky, 98% trhu - máš technicky zameraný web, podiel Opery máš určite oveľa vyšší ako niekde na serveri rodina.sk, kde sú užívatelia radi, že nájdu modré éčko na ploche. Keďže nemáš verejne prístupné štatistiky, pozrel som iné počítačovo zamerané weby a Operu má u nich cca 10% návštevníkov, predpokladám že u teba to bude podobné.

    V žiadnom prípade ale toto nebolo myslené ako útok na teba, že si máš kúpiť certifikát, tebe by sa to asi neoplatilo, je ti de facto jedno, či sa užívatelia prihlasujú alebo nie, ide hlavne o návštevnosť - myslel som to tak, aby si takéto niečo nepovedal aj nejaký majiteľ eshopu alebo niečoho takého.

  8. 8 Quaker 04.11.09, 12:11:35
    FB

    [6] Administraci na blogu více méně používá pouze malá skupina pověžených osob, takže tam ani nevadí, když certifikát není v základě důvěryhodný. Pár lidí si kořenový certifikát může doinstalovat. Ale u větších serverů je to samozřejmě jiná situace, nejsem si jistý, zda by si i oni mohli dovolit Operu ignorovat. Asi by záleželo na prioritách.

    Vzpomínal jsem si na CA, které nabízely certifikáty zdarma a z těch větších to byly pouze certifikáty pro e-mail: Thawte (který tuto službu podle všeho zrušil) a Comodo - přes instantssl.com. To je vše. Přitom si pamatuji, že některá velká a hlavně obecně důvěryhodná CA to v minulosti nabízela také. Asi se to nevyplácelo. Uvidíme, jak dlouho se udrží tato firmička - ale je fajn, že se objevila nízkonákladová důvěryhodná CA. Pro malé servery ideální, pro velké to stejně nikdo používat nebude, ale koupí si certifikát od Verisignu.

  9. 9 Radek Hulán 04.11.09, 12:11:38
    FB

    [7] málokdo potřebuje provozovat front-end s SSL, pokud to není banka či podobně. Tam samozřejmě má smysl něco, co je podporována ve 100% případů.

    Nicméně něco jiného je administrace webu, (tedy zde /admin/ v URL). Zde se přihlašuje více lidí (je tu více blogů), ale stále to jsou desítky, jinde se redaktor v eshopu může přihlásit bezpečně z kavárny či přes otevřenou Wifi (což je fakt šílené, posílat hesla přes plain-text http), atd., a všude to SSL ocení.

    To, že daný certifikát není jako kořenový v bezvýznamné Opeře je zcela irelevantní, bezpečnost to nijak nenarušuje, pro 98% lidí je zajištěno i to pohodlí. Navíc si stačí (v Opeře) daný certifikát pro ty jednotky lidí doinstalovat (než to tam ti norští komunisté doplní v další verzi). Trivialita.

  10. 10 Miko Daniel 04.11.09, 01:11:24
    FB

    [9] Pravda, ale to je to čo som hovoril - bežný neznalý človek to čítať nebude, že má niečo doinštalovať, proste sa zľakne a vypne to. Konkrétne u teba pri registrácii niektorí s Operou to proste vzdajú, aj keď by nemuseli. Ale na druhej strane je to ich chyba samozrejme.

  11. 11 Radek Hulán 04.11.09, 01:11:26
    FB

    [10] registrace zde nepoužívá SSL

  12. 12 Miko Daniel 04.11.09, 01:11:29
    FB

    Moja chyba, beriem späť, ja sa totiž prihlasujem cez toto https://myego.cz/admin/ , tak som si automaticky dosadil, že registrácia je tiež ssl.

  13. 13 Quaker 04.11.09, 05:11:11
    FB

    Hezké je, že z nějakého důvodu mi upozornění na nedůvěryhodný certifikát Opera vyhodí na MyEgu i na běžných http (článek), ne zabezpečených /admin/

  14. 14 Radek Hulán 04.11.09, 05:11:20
    FB

    [13] chyba Opery, podívej se do zdrojáku, nikde se nelinkují https:// objekty

  15. 15 chasgoj 08.11.09, 11:11:24
    FB

    Tak se mi tam nejde přihlásit. dám login (https://www.startssl.com/logon.ssl...) a stránka nenalezena. V chrome, IE i Firefoxu.
    Btw: jde nějak změnit heslo na MyEgo?

  16. 16 Radek Hulán 08.11.09, 12:11:18
    FB

    [15] přihlášení se děje přes privátní certifikát, při registraci se ti vygeneruje do prohlížeče. Pokud jsi použil Firefox (třeba) bude v tomto prohlížeči a nikoliv v jiných. Každý prohlížeč na Windows si bohužel certifikáty obhospodařuje pro sebe, nepoužívají se (asi z důvodu kompatibility na jiné OS) centrální Windows úložiště.

    Je ale samozřejmě možné certifikát exportovat a přenést jej třeba do IE.