✉️ Saņem šito visu e-pastā. Tā vietā, lai palaistu garām kaut ko no tā, ko es rakstu savā blogā, tagad vari pierakstīties un saņemt e-pastā visu, ko es te rakstu. Tas nav bieži.

← Uz sākumu

HTTPS - droša lapa

2012. gada 20. jūlijā, 14 komentāri

Šodien, braucot tramvajā un fiksi skrienot jaunumiem RSS plūsmā, aizlasījos diezgan labu kopsavilkumu par to - kas būtu jāņem vērā veidojot un uzturot lapas HTTPS versiju. Izlasiet visi, kam tas rūp.

Izmanto HSTS, lai atbalstītajiem pārlūkiem iestāstītu savu drošības politiku. Tas ir parasts HTTP hederis, kurš neprotošajiem neko sliktu nenodarīs.

Izlasi šo. Nopērc normālu SSL sertifikātu. Par to nav jāizmet miljons (vai 100 USD). Parasts un visu sistēmu/pārlūku atbalstīts CA nemaksā bargu naudu. Piemēram, Namecheap (affiliate links; tur ir arī wildcard sertifikāti zem 100 USD) piedāvā labas cenas. StartSSL (normāls bezprocentu links:) piedāvā SSL sertifikātus vispār par velti un strādā gandrīz vienmēr.

Ja Tu lieto kūkijus (cookies), tiem, kurus izmanto HTTPS, pieliec secure parametru. Tas neļaus pārlūkam sūtīt HTTPS izmantotos kūkijus, ja lietotājs nokļūst HTTP lapā.

Starp citu, absolūtajiem linkiem uz skriptiem, css un attēliem izmanto attiecībā pret protokolu relatīvas saites. Jā, bez kola un protokola. .. src="//mana.lapa.lv/bilde.jpg" .... Tas nozīmē, ka protokolu priekšā pieliks pats pārlūks atkarībā no tā, caur kuru lapa tiek lietota.

Ja Tev ir lapa, kurai ir HTTPS versija, izskati iespēju atteikties no parastā HTTP. Ja nevēlies izmantot HTTPS visam (piemēram, lapā ir lietotāju ievietots saturs ar bildītēm, video vai ko tml), tad pamēģini SSL tikai atsevišķās tās vietās. Piemēram, pie lietotāja profila rediģēšanas vai reģistrācijas.

Ņem vērā, ka katrai HTTPS lapai Tev būs nepieciešama sava IP adrese. Tiesa, bez problēmām vari izmantot translāciju. Piemēram, webserverim ir vairākas iekšējās IP - 192.168.1.2, 192.168.1.3, utt, bet ārējā ir viena.

Iegaumē, ka, ejot no HTTPS lapas uz HTTP, netiek nodota HTTP referrer vērtība. Tas ir normāli.

Un ko Tu vari ieteikt?

Tu atbildi augstāk redzamajam komentāram. Atcelt

Gravatar vot

2012. gada 20. jūlijā, plkst. 11:36

Paldies par šo rakstu. Noderēs, iespējams. namecheap is lēti tie SSL sertifikāti, tas tiesa. Bet tīri dažu iemeslu dēļ ieteiktu izvēlēties "pārdevēju", kas neatrodas USA. Piemēram, Gandi.net (arī lēti).

Gravatar Klaids

2012. gada 20. jūlijā, plkst. 12:19

GoDaddy var dabūt sertifikātus par 25$ uz 2 gadiem, ierakstot kodu "promossl"

Gravatar Andis

2012. gada 20. jūlijā, plkst. 12:52

Bet kāpēc dārgākie ir dārgāki? Ar ko atšķiras, piemēram, tas pats namecheap no geotrust? atbildības limiti un tādas lietas? Vot: kāpēc labāk pirkt no Eiropas provaidera?

Gravatar vot

2012. gada 20. jūlijā, plkst. 14:09

godaddy ir tāds, atvainojiet, mainstrīm amīšu sūds... ka labāk neizteikšos.. pilnīga laža.

Ja sekojāt SOPA sāgai, tur bija daudz kas saistībā ar GoGaddy... (sākumā šie atbalstīja SOPA, tad cilvēki par to uzrakstīja webā, aizcinot izvēlēties citus pakalpojumu sniedzējus, ko daudzi arī izdarīja... pēc tam GoGaddy bija spiesti paziņot, ka vairs neatbalsta SOPA, lol...)

Gravatar vot

2012. gada 20. jūlijā, plkst. 14:11

@Andis: Par to kāpēc pirkt ne no USA... nu vienkārši.. USA ir klaji naidīga politika attiecībā uz dažādām internet lietām... vējš papūtīs ne no tās puses, esi gatavs, ka tavs smukais .com domēns var tikt atņemt, dati nodoti visiem, kas tos pieprasa un tamlīdzīgi.

Gravatar Jancha

2012. gada 20. jūlijā, plkst. 15:29

//mape/fails nebus riktīgi. Jabūt ar vienu ievadošo šķērssvītru ;)

Gravatar laacz Autors

2012. gada 20. jūlijā, plkst. 16:25

Jancha, nav runa par ceļu. http://hosts.lv/ un https://hosts.lv/ vietā pietiek ar //hosts.lv/.

Gravatar Vecis

2012. gada 20. jūlijā, plkst. 20:58

Jaa, paranoikji. Sniferi seezh visos caurumos. Hsts tiek izmantots tikai un vieniigi https only versijaas. Visa shii laacz ieteiktaa leekaashana ir kautkaada absoluuta huinja.

Gravatar Wallaby

2012. gada 20. jūlijā, plkst. 22:24

Kāpēc tu parastā rakstā "tu" un "tev" raksti ar lielo burtu? Tā ir jaunā gramatika? Vai privāta vēstule, kur uzruna "Tu" nozīmē konkrētu personu? Tad pārējiem nemaz nelasīt šo?

Gravatar Storms

2012. gada 21. jūlijā, plkst. 09:25

Nu... Tikko autorizācija lapā, tā HTTPS only. Ieteicams pat tad, ja lapā ir nenozīmīgs fufelis, kuru lai komentētu ir jāautorizējas. Atradīsies kāds jampampiņš, kurš izmantos vienu paroli gan lai komentētu sortālos, gan lai adminētu kautkādu ūberserveri. Īsāk sakot HTTPS ir labi un pareizi. Paranoja ir RSA autentifikācija ar PKI vai laika kodiem, vai arī piekļūšana lapai tikai no IPSEC tuneļa. PROTAMS, paralēli HTTPS ieviešanai ir jādomā arī par paša servera un koda drošību, lai kādam neienāk prātā HTTPS "apiet" caur kādu nepareizu caurumu. ;) A "uzticami" sertifikāti vajadzīgi tikai publiskām lapām. Personīgajām vai šaura personu loka lapai ar pašizsniegto sertifikātu būs gana, jo kriptēšanu tas nodrošina tik pat labi kā pirktie sertifikāti. Vienīgi tas ka browseris sprēgās par sertifikātu kļūdām.

Gravatar Mārtiņš

2012. gada 23. jūlijā, plkst. 11:26

http://www.udacity.com/overview/Course/cs387/CourseRev/apr2012 Tiem, kas vēlās uzzināt visādus interesantus faktus par security, ieskaitot https.

Gravatar Aleksejs

2012. gada 24. jūlijā, plkst. 15:55

Vēl ieteiktu pēc SSL/TLS nokonfigurēšanas pārbaudīt, cik labi tas sanācis ar www.ssllabs.com esošo rīku. Piemēram, https://www.ssllabs.com/ssltest/analyze.html?d=nekur.lv (bija 24.07.2012.) redzams, ka nav pilna sertifikātu ķēde. Ko tas nozīmē? Tas nozīmē, ka ja pārlūkā ir "StartCom Certification Authority" CA sertifikāts, bet nav "StartCom Class 1 Primary Intermediate Server CA", tad pārlūks brīdinās, ka nespēj pārbaudīt, servera sertifikāta parakstītāju. (Un ja kā klientu būs jāizmanto kāds Java risinājums, tad divtik rūpīgi jāpārbauda visas šīs konfigurācijas nianses). Vēl redzams, ka šī brīža konfigurācija izmanto TLS/SSL versiju, kurai piemīt "BEAST" ievainojamība (īsumā: pie bloku šifra inicializācijas CBC režīmā visas sesijas ietvaros tiek izmantots viens un tas pats inicializācijas vektors (IV), kas potenciāli ļauj atgūt sesijas atslēgu).

Vēl bez imperialviolet un ssllabs par SSL/TLS tēmu iesaku šo: http://vincent.bernat.im/en/blog/#tag-ssl http://www.h-online.com/security/features/Testing-email-with-encryption-812464.html < šeit ļoti labi aprakstīts, kā lietot openssl klienta režīmā

kā arī twitterā sekot līdzi @ivanristic

Gravatar laacz Autors

2012. gada 26. jūlijā, plkst. 13:52

pbs, tas tāpēc, ka man serverim ir viena IP un visi jamo šārē, kā rezultātā, verot vaļā, piemēram, https://php.lv bļaustīsies par SSL sertifikātu, jo tas ir uz zuze.laacz.lv un laacz.lv (iepriekš bija uz nekur.lv, bet tas tika šodien mainīts).