laacz.lv

Kaspara F. neoficiālā mājaslapa (Anno 1997)

HTTPS – droša lapa

Šodien, braucot tramvajā un fiksi skrienot jaunumiem RSS plūsmā, aizlasījos diezgan labu kopsavilkumu par to – kas būtu jāņem vērā veidojot un uzturot lapas HTTPS versiju. Izlasiet visi, kam tas rūp.

Izmanto HSTS, lai atbalstītajiem pārlūkiem iestāstītu savu drošības politiku. Tas ir parasts HTTP hederis, kurš neprotošajiem neko sliktu nenodarīs.

Izlasi šo. Nopērc normālu SSL sertifikātu. Par to nav jāizmet miljons (vai 100 USD). Parasts un visu sistēmu/pārlūku atbalstīts CA nemaksā bargu naudu. Piemēram, Namecheap (affiliate links; tur ir arī wildcard sertifikāti zem 100 USD) piedāvā labas cenas. StartSSL (normāls bezprocentu links:) piedāvā SSL sertifikātus vispār par velti un strādā gandrīz vienmēr.

Ja Tu lieto kūkijus (cookies), tiem, kurus izmanto HTTPS, pieliec secure parametru. Tas neļaus pārlūkam sūtīt HTTPS izmantotos kūkijus, ja lietotājs nokļūst HTTP lapā.

Starp citu, absolūtajiem linkiem uz skriptiem, css un attēliem izmanto attiecībā pret protokolu relatīvas saites. Jā, bez kola un protokola. .. src="//mana.lapa.lv/bilde.jpg" .... Tas nozīmē, ka protokolu priekšā pieliks pats pārlūks atkarībā no tā, caur kuru lapa tiek lietota.

Ja Tev ir lapa, kurai ir HTTPS versija, izskati iespēju atteikties no parastā HTTP. Ja nevēlies izmantot HTTPS visam (piemēram, lapā ir lietotāju ievietots saturs ar bildītēm, video vai ko tml), tad pamēģini SSL tikai atsevišķās tās vietās. Piemēram, pie lietotāja profila rediģēšanas vai reģistrācijas.

Ņem vērā, ka katrai HTTPS lapai Tev būs nepieciešama sava IP adrese. Tiesa, bez problēmām vari izmantot translāciju. Piemēram, webserverim ir vairākas iekšējās IP – 192.168.1.2, 192.168.1.3, utt, bet ārējā ir viena.

Iegaumē, ka, ejot no HTTPS lapas uz HTTP, netiek nodota HTTP referrer vērtība. Tas ir normāli.

Un ko Tu vari ieteikt?

vot

Paldies par šo rakstu. Noderēs, iespējams. namecheap is lēti tie SSL sertifikāti, tas tiesa. Bet tīri dažu iemeslu dēļ ieteiktu izvēlēties “pārdevēju”, kas neatrodas USA. Piemēram, Gandi.net (arī lēti).

Andis

Bet kāpēc dārgākie ir dārgāki? Ar ko atšķiras, piemēram, tas pats namecheap no geotrust? atbildības limiti un tādas lietas? Vot: kāpēc labāk pirkt no Eiropas provaidera?

vot

godaddy ir tāds, atvainojiet, mainstrīm amīšu sūds… ka labāk neizteikšos.. pilnīga laža.

Ja sekojāt SOPA sāgai, tur bija daudz kas saistībā ar GoGaddy… (sākumā šie atbalstīja SOPA, tad cilvēki par to uzrakstīja webā, aizcinot izvēlēties citus pakalpojumu sniedzējus, ko daudzi arī izdarīja… pēc tam GoGaddy bija spiesti paziņot, ka vairs neatbalsta SOPA, lol…)

vot

@Andis: Par to kāpēc pirkt ne no USA… nu vienkārši.. USA ir klaji naidīga politika attiecībā uz dažādām internet lietām… vējš papūtīs ne no tās puses, esi gatavs, ka tavs smukais .com domēns var tikt atņemt, dati nodoti visiem, kas tos pieprasa un tamlīdzīgi.

Storms

Nu… Tikko autorizācija lapā, tā HTTPS only. Ieteicams pat tad, ja lapā ir nenozīmīgs fufelis, kuru lai komentētu ir jāautorizējas. Atradīsies kāds jampampiņš, kurš izmantos vienu paroli gan lai komentētu sortālos, gan lai adminētu kautkādu ūberserveri.
Īsāk sakot HTTPS ir labi un pareizi. Paranoja ir RSA autentifikācija ar PKI vai laika kodiem, vai arī piekļūšana lapai tikai no IPSEC tuneļa.
PROTAMS, paralēli HTTPS ieviešanai ir jādomā arī par paša servera un koda drošību, lai kādam neienāk prātā HTTPS “apiet” caur kādu nepareizu caurumu. ;)
A “uzticami” sertifikāti vajadzīgi tikai publiskām lapām. Personīgajām vai šaura personu loka lapai ar pašizsniegto sertifikātu būs gana, jo kriptēšanu tas nodrošina tik pat labi kā pirktie sertifikāti. Vienīgi tas ka browseris sprēgās par sertifikātu kļūdām.

Aleksejs

Vēl ieteiktu pēc SSL/TLS nokonfigurēšanas pārbaudīt, cik labi tas sanācis ar http://www.ssllabs.com esošo rīku. Piemēram, https://www.ssllabs.com/ssltest/analyze.html?d=nekur.lv (bija 24.07.2012.) redzams, ka nav pilna sertifikātu ķēde.
Ko tas nozīmē? Tas nozīmē, ka ja pārlūkā ir “StartCom Certification Authority” CA sertifikāts, bet nav “StartCom Class 1 Primary Intermediate Server CA”, tad pārlūks brīdinās, ka nespēj pārbaudīt, servera sertifikāta parakstītāju. (Un ja kā klientu būs jāizmanto kāds Java risinājums, tad divtik rūpīgi jāpārbauda visas šīs konfigurācijas nianses).
Vēl redzams, ka šī brīža konfigurācija izmanto TLS/SSL versiju, kurai piemīt “BEAST” ievainojamība (īsumā: pie bloku šifra inicializācijas CBC režīmā visas sesijas ietvaros tiek izmantots viens un tas pats inicializācijas vektors (IV), kas potenciāli ļauj atgūt sesijas atslēgu).

Vēl bez imperialviolet un ssllabs par SSL/TLS tēmu iesaku šo:
http://vincent.bernat.im/en/blog/#tag-ssl
http://www.h-online.com/security/features/Testing-email-with-encryption-812464.html < šeit ļoti labi aprakstīts, kā lietot openssl klienta režīmā

kā arī twitterā sekot līdzi @ivanristic

Iesniegt savu viedokli

Atruna par moderāciju. Daži vārdi, var gadīties, ka ir iz melnās listes (viagra and stuff). Tādi komentāri tiek aizturēti, pirms parādās lapā. Ja Tavs komentārs neparādās uzreizi, būs vien jāpagaida, līdz es jamo izlasīšu. Protams, ka paturu tiesības sev netīkošos komentārus dzēst, iemeslu neminot.