[PHP/MySQL] SSL gebruiken

Ik ben bezig met een website voor een bedrijf waarbij belangrijke persoonlijke gegevens inclusief scans (paspoorten/rijbewijzen/verzekeringen) etc kunnen worden opgeslagen. Ik maak gebruik van LAMP en wil alle data gaan beveiligen met SSL.

Ik heb al vele topics hier doorgelezen, maar ik zit nog met een aantal vragen, want op een gegeven moment zag ik door de bomen het bos niet meer.

Klopt het dat het bedrijf waarvoor ik de website bouw allereerst SSL moet installeren op de linux apache server? Ik las iets over mod_ssl en apache_ssl. Ik neem aan dat ze laatstgenoemde moeten gebruiken?

Verder, zodra alles op de server gereed is, kan ik dan d.m.v. speciale functies in PHP gebruik maken van de functionaliteit van SSL of is het gewoon een kwestie van op een andere manier connecten met de MySQL database?

Sorry, ik bedoel idd een beveiligde verbinding opzetten tussen client en server, zodat kwaadwillenden geen gegevens kunnen onderscheppen.

Encryptie gebruik ik al bij wachtwoorden (MD5).

OK, dus zodra SSL op apache is geïnstalleerd, hoef ikzelf verder niets te doen en zijn alle pagina's automatisch beveiligd?

Icey schreef op donderdag 01 juni 2006 @ 13:34:
[...]


Het feit dat je iets 'hased' betekend niet dat het 'opeens' veilig is. Zoiezo is MD5 (mening) al een beetje achterhaald...

Hou er rekening mee dat er veel belangrijkere dingen zijn dan een stukje hashen!

I know, maar liever MD5 dan helemaal geen encryptie.

Wat betreft SSL; zodra het (apache_ssl?) is geïnstalleerd op de server, moet het bedrijf dan zelf nog iets doen met certificaten?

[ Voor 47% gewijzigd door Anoniem: 82942 op 01-06-2006 13:39 ]

djbuzzz schreef op donderdag 01 juni 2006 @ 13:36:
Je moet een certificaat hebben dat jouw website goed identificeert en vervolgens deze gebruiken in de Apache configuratie. Wat je daarnaast met PHP doet heeft er niet zoveel mee te maken.

Wat wel belangrijk is, is om te kijken naar de database -> PHP communicatie. Loopt dit over een open netwerk? Zo ja, dan wil je ook deze verbinding beveiligen. Hiervoor kun je kijken naar het gebruik van SSL certificaten voor je MySQL server.

Moet het bedrijf zelf zo'n certificaat aanmaken?

TheRookie schreef op donderdag 01 juni 2006 @ 13:39:
Uiteraard moet je wel via https met de site verbinden.

No offence, maar als je dit soort basic zaken moet vragen is een compleet secure website met pricacy gevoelige info dan op dit moment niet iets te hoog gegrepen ?

Ik weet dat iedereen ergens moet beginnen, maar misschien kan je beter eerst ervaring opdoen met een beveiligde site waar wat minder 'kritische' info op gehost wordt...

Het is een project voor school, dus het is idd om ervaring op te doen.

Uiteraard wordt de website pas in gebruik genomen zodra hij goed beveiligd is.

Creepy schreef op donderdag 01 juni 2006 @ 13:58:
[...]

Ja, iets wat je overigens prima zelf kunt vinden m.b.v. google
Overigens zijn er ook complete tutorials te vinden hoe je een website (of in dit geval je webserver) met SSL kan laten werken. Informeer ook eens bij je hoster want deze kunnen je echt wel helpen hiermee.

Ah OK, thanks. Ik dacht altijd dat je alleen indien je openSSL gebruikt in staat was om zelf certificaten te maken.

djbuzzz schreef op donderdag 01 juni 2006 @ 14:27:
[...]


Je kunt met OpenSSL prima certificaten maken, alleen zijn deze niet officieel als vertrouwd gemarkeerd. Op zich is dat niet zo'n probleem voor educatieve doeleinden, aangezien certificaten die standaard wel door browsers vertrouwd worden geld kosten. Hoe dit allemaal precies kunt / moet doen is overal wel te vinden.

Maar het belangrijkste om te weten nu is of je zelf ook een webserver moet opzetten of dat je een extern beheerde server gebruikt voor deze opdracht. In het eerste geval zul je ook zelf de certificaten moeten maken / regelen, in het tweede geval kun je hiervoor meestal bij de hoster terecht.

Het bedrijf waarvoor ik de website maak beheert zelf de server. Ze zullen dus zelf een certificaat moeten regelen.

Ik heb net op de website van Apche-SSL (http://www.apache-ssl.org/) het een en ander doorgelezen en daar staat dat openSSL nodig is voor Apache-SSL. Die zullen ze dus ook moeten installeren op de server.

Mooi, ik heb nu wel weer even genoeg om door te lezen.

Iedereen bedankt voor de reacties!

Na veel info te hebben doorgelezen zit ik nog met 1 vraag: Kan ik het beste Mod-SSL of Apache-SSL gaan gebruiken? Dat is mij nog niet geheel duidelijk.

nero355 schreef op vrijdag 02 juni 2006 @ 11:16:
[...]

Bedoel je Apache 2.x.x met SSL erin standaard of Apache 1.3.x met mod_ssl kwa keuze of iets anders ??

Hmm als ik het goed heb ligt Apache-SSL aan de basis van Mod-SSL, m.a.w. een aantal programmeurs hebben Apache-SSL aangepast en de uitkomst daarvan is Mod-SSL. Correct me if I'm wrong.

Ik had ergens gelezen dat Mod-SSL meer flexibel is, maar dat Apache-SSL gemakkelijker is te installeren. De apache server zelf bestaat al, dus het is toch alleen een kwestie van een van bovenstaande versies installeren op die server?

[ Voor 22% gewijzigd door Anoniem: 82942 op 02-06-2006 11:32 ]