SSL certificaten

Prive gebruik ik goedkope certificaten zonder hele hoge encryptie, dat is voldoende voor mijn gebruik. Mijn werkgever gebruikt wildcard-certificaten voor ons eigen domein. Die zijn prijzig, maar wel handig in het gebruik.

Een paar honderd euro is niet zo gek veel voor een bedrijf, zeker niet als dat betekent dat je dingen veiliger kunt doen.

Kijk eens bij Godaddy, die bieden vrij goedkope certificaten aan. Geeft je in ieder geval een beeld van de kosten.

Voor iets van 150 euro heb je bij Godaddy een wildcard certificaat waarmee elk subdomein van je domein opeens werkt. Zeker de moeite waard als het daarmee opeens eenvoudiger is voor gebruikers om in te loggen lijkt me.

BIj particuliere zou ik gewoon genoegen nemen met self signed certificaten. In bedrijfsomgeving zou ik dat niet zomaar doen. Die paar honderd euro moeten peanuts zijn en geven je wel een professionele uitstraling. De mate van beveiliging is afhankelijk van je doel en budget.

mpol schreef op vrijdag 05 november 2010 @ 22:27:
Hmm, bij ons zit het er tussen in. We zijn een bedrijf, maar dan een vrijwilligersorganisatie. Veel financiele speelruimte is er dus niet, en ik zal het goed moeten onderbouwen als er 100 Euro uitgegeven moet worden.

Ik zeg https://www.sslcertificaten.nl/

12 euro per jaar voor een simpel certificaatje, 125 voor een wildcard. En tien minuten levertijd, in ieder geval overdag.

(wat je zelf linkt is een 90-dagen trial van een van de certs die Xolphin levert..)

[ Voor 8% gewijzigd door burne op 06-11-2010 21:59 ]

mpol schreef op vrijdag 05 november 2010 @ 20:57:
Op mijn werk doen we tot nu toe weinig met certificaten, maar voor sommige mailgebruikers is het wel een probleem. We gebruiken nu zelfgetekende certificaten, maar dat wordt slecht ondersteund door browsers. Veelal klagen ze (Firefox) of werken ze gewoonweg niet (IE8).

Natuurlijk klagen ze of werkt dat niet! Self-signed certificates bieden geen enkele veiligheid als je de certificaten op alle relevante computers installeert, anders is het enige dat je krijgt een portie schijnveiligheid.

Ik zeg: distribueer je self-signed certs naar alle relevante computers, of betaal die drie stuivers voor een echt certificaat. Als het gaat om gegevensbeveiliging binnen een bedrijf dan moet daar budget voor zijn.

mpol schreef op vrijdag 05 november 2010 @ 22:27:
Hmm, bij ons zit het er tussen in. We zijn een bedrijf, maar dan een vrijwilligersorganisatie. Veel financiele speelruimte is er dus niet, en ik zal het goed moeten onderbouwen als er 100 Euro uitgegeven moet worden.

startssl.com biedt beperkte gratis certificaten voor persoonlijk gebruik, die gebruik ik zelf ook voor mijn eigen domein. Misschien is dat voor non-profits ook een optie?

deadinspace schreef op zaterdag 06 november 2010 @ 21:29:
Misschien is dat voor non-profits ook een optie?

Nee, alleen voor natuurlijke personen.

Er is deze nog, maar ik weet niet zeker of dit nu een "echte" CA is, of dat users dan toch nog een CA moeten toevoegen...

Rainmaker schreef op zondag 07 november 2010 @ 01:56:
Er is deze nog, maar ik weet niet zeker of dit nu een "echte" CA is, of dat users dan toch nog een CA moeten toevoegen...

als de login pagina probeert, braakt ie al meldingen op. dunkt me van van niet

Daarnaast is er ook nog http://www.startssl.com, die ook gratis SSL-certificaten uitgeven die voor zover mij bekend ook door Windows herkend worden.

[ Voor 26% gewijzigd door Alex) op 07-11-2010 03:05 ]

Ik gebruik meestal het volgende:

Self-signed certificaat voor een toepassing waarbij alle gebruikers bekend zijn.
Self-signed certificaat met double sided SSL, waarbij alle gebruikers bekend zijn en hoge beveiliging nodig is.

In de overige gevallen gebruik ik meestel iets als sslcertificaten.nl/

fish schreef op zondag 07 november 2010 @ 02:13:
[...]

als de login pagina probeert, braakt ie al meldingen op. dunkt me van van niet

Ik maak ook gebruik van cacert: https://boac.nl. Onder IE 6 was (meen ik) standaard bekend. Onder IE 7/8 en FireFox moet je wel het certificaat voor cacert installeren.

-

[ Voor 99% gewijzigd door deadlock2k op 06-08-2021 16:26 ]

BoAC schreef op maandag 08 november 2010 @ 13:22:
[...]

Ik maak ook gebruik van cacert: https://boac.nl. Onder IE 6 was (meen ik) standaard bekend. Onder IE 7/8 en FireFox moet je wel het certificaat voor cacert installeren.

Ok even mijn hoedje van zilverfolie op.
Hoe weet ik dat dat certifikaat in orde is als ik de site niet kan verificeren (kip/ei). lijkt me dat ze dan voor first contact eigen een "echt" certifikaat via de normale trusted autorities zouden moeten laten lopen. ik heb wel wat geprobeert maar geen manier gezien om via authenticatd https het certifikaat voor ca cert binnen te krijgen
of zie ik zo gauw iets over het hoofd ?

fish schreef op maandag 08 november 2010 @ 19:57:
via authenticatd https

https://www.cacert.org/index.php?id=3 ?

En dan downloaden met een recente Firefox. Maar. Als je IE5 of IE6 gebruikt heb je hele andere en veel grotere problemen dan de autenticiteit van een certificaat.

burne schreef op maandag 08 november 2010 @ 20:12:
[...]


https://www.cacert.org/index.php?id=3 ?

En dan downloaden met een recente Firefox. Maar. Als je IE5 of IE6 gebruikt heb je hele andere en veel grotere problemen dan de autenticiteit van een certificaat.

There is a problem with this website's security certificate.
The security certificate presented by this website was not issued by a trusted certificate authority.
Security certificate problems may indicate an attempt to fool you or intercept any data you send to the server.
We recommend that you close this webpage and do not continue to this website.
Click here to close this webpage.
Continue to this website (not recommended).
More information

Dat zei ik kip/ei

Als ik het zo mag zeggen, is dit een self-proclaimed trusted authority. ze geven idd zelf al wat bronnen ter verificatie welke ik inmiddels heb gelezen en nou geloof ik wel dat het allemaal legit is.
Maar bottom line is dat je iets accepteerd van een site waarvan je denkt dat die goed maar welke niet op de de normale manier wordt geauthenticeerd, waardoor je stiekem extra risico loopt.

iets wat je af zou kunnen vangen door een pagina aan te beiden waar de certifikaten aangeboden worden, die wel wordt geauthenticeerd door een normaal certifikaat wat ik een beetje mis

Verder, goed voor je eigen encryptie ondervoorbehoud dat je deze vertrouwd. maar niet voor mensen die van buitenaf komen zoals ik. en surf ik bijv naar https://boac.nl en krijg die melding en denk die slaan we maar even over.
Zelfs al zou ik cacert vertrouwen, dan dan zou ik niet weten dat deze door cacert gaat omdat ik dat pas kan zien in ie nadat ik toch naar de pagina ga met evt risico's van dien

[ Voor 12% gewijzigd door Fish op 08-11-2010 20:33 ]

deadlock2k schreef op maandag 08 november 2010 @ 13:55:
[...]

Dat is natuurlijk niet helemaal waar. Stel dat je zelf een certificaat genereert voor SSL communicatie met je eigen gebruikers, dan is die verbinding daarna gewoon ge-encrypt en veilig.

Eh, nee. Dat is dus niet zo want op die manier is 't niet zeker of er niemand tussen zit de zogenoemde man-in-the-middle te spelen. Dat kun je alleen uitsluiten als je ofwel een echt certificaat koopt (waarbij de ondertekenaar ervan een bepaalde mate van controle uitvoert op of jij wel gerechtigd bent dat te doen) ofwel de certificaten zelf op een veilige manier distribueert.

Andersom zijn SSL-certificaten volgens jouw redenatie altijd schijnveiligheid aangezien iedereen die dingen kan aanvragen.

Ik zou graag een certificaat voor ing.nl en whitehouse.gov aanvragen, maar dat gaat me toch echt niet lukken hoor.

-

[ Voor 99% gewijzigd door deadlock2k op 06-08-2021 16:26 ]

deadlock2k schreef op dinsdag 09 november 2010 @ 13:41:
[...]

Ja, maar dan kan je eigenlijk alleen nog maar EV-certficaten gebruiken. Er zijn genoeg louche bedrijven die normale certs verkopen.


[...]

Je kan die CSR echt wel maken en opsturen, je moet alleen toegang hebben tot het mailadres waar de certificaten naartoe gezonden worden en dat zal ongetwijfeld moeilijker zijn. Maar allerminst onmogelijk.

Als er een louche CA tussen zit dan wordt deze snel geblack list. Daarmee valt of staat namelijk het hele idee achter SSL.

Natuurlijk zou je iemands inbox kunnen hacken om zo alsnog achter de gesignde certificaten te kunnen komen. Maar dit ligt buiten de scope van SSL.

Als je self signed certs gebruikt dan ben je gewoon vatbaar voor mitm aanvallen. Tenzij je iedereen de fingerprint laat controleren welke ze via een veilig kanaal hebben verkregen. Doe je dit niet dan is het gewoon schijnveiligheid.

deadlock2k schreef op dinsdag 09 november 2010 @ 13:41:
[...]

Ja, maar dan kan je eigenlijk alleen nog maar EV-certficaten gebruiken. Er zijn genoeg louche bedrijven die normale certs verkopen.

Het idee van trust is dat je dergelijke bedrijven, die niet een bepaalde minimumstandaard hanteren, niet vertrouwt. Die zitten, als het goed is, dus ook niet standaard in je browser of os. Dat zijn alleen bedrijven die wel die controle uitvoeren en ook verzekeringen hebben voor als 't toch mis gaat (wat inderdaad altijd kan, natuurlijk.)

Je kan die CSR echt wel maken en opsturen, je moet alleen toegang hebben tot het mailadres waar de certificaten naartoe gezonden worden en dat zal ongetwijfeld moeilijker zijn. Maar allerminst onmogelijk.

Ja, het kan altijd misgaan natuurlijk maar niet door gewoon een CSR te maken en op te sturen en klaar te zijn.

deadlock2k schreef op maandag 08 november 2010 @ 13:55:
Stel dat je zelf een certificaat genereert voor SSL communicatie met je eigen gebruikers, dan is die verbinding daarna gewoon ge-encrypt ...

Ja.

... en veilig.

Nee.

Bij een self-signed cert dat de client niet al heeft is er voor de client geen enkele garantie dat deze daadwerkelijk met de juiste server praat. Bij een man-in-the-middle attack kan de aanvaller gewoon zijn eigen self-signed cert presenteren die de client dan moet accepteren.

Andersom zijn SSL-certificaten volgens jouw redenatie altijd schijnveiligheid aangezien iedereen die dingen kan aanvragen.

Nee. Iedereen kan een certificaat aanvragen, maar alleen jij kan een certificaat aanvragen voor jouw domein.

(ervanuitgaande dat we de CA's vertrouwen om zorgvuldig te zijn, wat op zich een "big if" is. Maargoed, dat is de aanname waarop het die hele PKI gebaseerd is)