SSL certificatie voor applicatie. - Softwareontwikkeling

zondag 25 november 2012 22:09

Acties:

0 Henk 'm!

Topicstarter

Hallo iedereen

Ik heb een vraag in verband met SSL integratie met mijn applicatie. Ik wil dus versleuteld verkeer versturen van mijn clientapplicatie naar mijn serverapplicatie. Over die weg gaan wachtwoorden die inloggen, als broncode (die ik dus als bedrijfskritische informatie beschouw, dus gevoelig.). Ik wil dit verkeer dus beveiligen met een SSL certificaat. Maar welk SSL certificaat kies ik daarvoor? Ik lees op veel websites die certificaten verkopen dingen die slaan op browsergebruik ("Een groene balk!"). Maar daar heb ik niets aan. Ik wil gewoon veilig verkeer. Iemand ervaring hiermee?

Btw: Ik ben Belg en zou een certificaat liefst in BE of NL aanschaffen. Ik keek al op http://www.combell.com/nl/security/website-beveiliging-ssl en http://www.webcreating.be/ssl-overzicht.html

Dank bij voorbaat

zondag 25 november 2012 22:13

Acties:

0 Henk 'm!

woutertje

Via http://www.startssl.com/ kun je gratis een SSL-certificaat aanvragen (wel steeds maar 1 jaar geldig). Verkeer is dan gewoon versleuteld en in dat opzicht dus veilig.

De groenebalk en dergelijke wijzen vaak op uitgebreidere controle op de authenticiteit van de aanvrager van het certificaat maar zijn wat versleuteling betreft niet automatisch veiliger.

zondag 25 november 2012 22:56

Acties:

0 Henk 'm!

Osiris

Als 't om SSL-certificaten gaat die alleen in jouw eigen applicaties gebruikt worden, kun je eventueel natuurlijk zelfs gebruik maken van self-signed certificaten.

Immers, normaliter heeft de client-applicatie een stapel root-certificaten welke hij als 'veilig' beschouwd, waardoor certificaten die gesigned zijn door zo'n root-certificaat óók als veilig worden beschouwd.

Een 'self-signed' certificaat is in principe natuurlijk niet spontaan onveilig, als de client die goedkeurt en je de private key waarmee 'ie gesigned is niet laat slingeren

maandag 26 november 2012 12:41

Acties:

0 Henk 'm!

Carharttguy

Topicstarter

Ik ga denk ik eentje bij StartSSL aanvragen dan! Minder kans op problemen dan als ik het zelf doe vrees ik.

Osiris schreef op zondag 25 november 2012 @ 22:56:
Immers, normaliter heeft de client-applicatie een stapel root-certificaten welke hij als 'veilig' beschouwd, waardoor certificaten die gesigned zijn door zo'n root-certificaat óók als veilig worden beschouwd.

Waarom een stapel root-certificaten? Ik heb toch maar eentje nodig? Ik heb namelijk maar 1 serverapplicatie draaien.

maandag 26 november 2012 12:45

Acties:

0 Henk 'm!

CodeCaster

Can I get uhm...

Carharttguy schreef op maandag 26 november 2012 @ 12:41:
Waarom een stapel root-certificaten? Ik heb toch maar eentje nodig? Ik heb namelijk maar 1 serverapplicatie draaien.

Jij bent niet de enige op de wereld die certificaten wil gebruiken, en het is wel handig als certificaten die van of via bepaalde bedrijven worden uitgegeven, standaard vertrouwd worden.

Dit heet een chain of trust.

[ Voor 14% gewijzigd door CodeCaster op 26-11-2012 12:46 ]

https://oneerlijkewoz.nl
Het ergste moet nog komen / Het leven is een straf / Een uitgestrekte kwelling van de wieg tot aan het graf

maandag 26 november 2012 17:44

Acties:

0 Henk 'm!

Osiris

CodeCaster schreef op maandag 26 november 2012 @ 12:45:
[...]

Jij bent niet de enige op de wereld die certificaten wil gebruiken, en het is wel handig als certificaten die van of via bepaalde bedrijven worden uitgegeven, standaard vertrouwd worden.

Dit heet een chain of trust.

Mjah, maar in zijn specifiek geval heeft de TS gelijk dat er slechts één public key in de client hoeft te zitten, aangezien de TS die zelf bouwt.

maandag 26 november 2012 17:57

Acties:

0 Henk 'm!

Barryvdh

Werkt dat StartSSL normaal gesproken wel? Ik kreeg nu en vanochtend de meldingen dat ze de druk niet aan kunnen. Ik zie het wel steeds voorbij komen, maar zijn er nog andere gratis(/goedkope) alternatieven?

maandag 26 november 2012 18:35

Acties:

0 Henk 'm!

Osiris

Volgens mij is StartSSL niet by default opgenomen in de browsers' certificate-store.

Verder heb je CACert nog, maar die al helemaal niet.

maandag 26 november 2012 18:40

Acties:

0 Henk 'm!

gambieter

Just me & my cat

woutertje schreef op zondag 25 november 2012 @ 22:13:
Via http://www.startssl.com/ kun je gratis een SSL-certificaat aanvragen (wel steeds maar 1 jaar geldig). Verkeer is dan gewoon versleuteld en in dat opzicht dus veilig.

Ik heb daar eentje gemaakt vorige week, maar toen zeiden ze dat deze elke maand moest worden vernieuwd?

I had a decent lunch, and I'm feeling quite amiable. That's why you're still alive.

maandag 26 november 2012 18:54

Acties:

0 Henk 'm!

Osiris

gambieter schreef op maandag 26 november 2012 @ 18:40:
[...]

Ik heb daar eentje gemaakt vorige week, maar toen zeiden ze dat deze elke maand moest worden vernieuwd?

Lijkt me sterk:

quote: https://www.startssl.com/?app=40
StartSSL™ Free StartSSL™ Identity Verified StartSSL™ Organization Verified StartSSL™ Extended Validation
S/MIME Client + Auth j j j j
SSL/TLS Server j j j j
SSL/TLS XMPP j j j j
128/256-Bit Encryption j j j j
Renewable j j j j
Vulnerability Detection j j j j
Multiple Domains (UCC) n j j j
Multiple Emails (S/MIME) n j j j
Wild Card Capability n j j j
Server-Client Authentication n j j j
Identification Details n j j j
Organization Details n n j j
Object Code Signing n j j j
Time-Stamping n n j j
Microsoft Kernel-Code n n n j
Green Trustbar (EV) n n n j
Validation Level Class 1 Class 2/3 Class 2/3 Extended
Certificate Limitations Unlimited Unlimited Unlimited Unlimited [2]
Certificate Validity 1 Year 2 Years 2 Years 2 Years
Charge Free US$ 59.90 US$ 59.90[3] US$ 140.00 [3]

maandag 26 november 2012 18:56

Acties:

0 Henk 'm!

gambieter

Just me & my cat

Osiris schreef op maandag 26 november 2012 @ 18:54:
[...]
Lijkt me sterk:
[...]

Dan zal ik het wel verkeerd gelezen hebben, mea culpa

I had a decent lunch, and I'm feeling quite amiable. That's why you're still alive.

maandag 26 november 2012 18:56

Acties:

0 Henk 'm!

Osiris

Of ze hebben je genaaid

maandag 26 november 2012 19:58

Acties:

0 Henk 'm!

CodeCaster

Can I get uhm...

Osiris schreef op maandag 26 november 2012 @ 17:44:
[...]

Mjah, maar in zijn specifiek geval heeft de TS gelijk dat er slechts één public key in de client hoeft te zitten, aangezien de TS die zelf bouwt.

Ik doelde meer op het nut van een certificate store zoals Windows die kent (en die op Linux vast zijn equivalent kent): een door het OS beheerde lijst met vertrouwde certificaatuitgevers, zodat je onder andere een beetje kunt internetten over HTTPS zonder bij iedere klik de melding om je oren te krijgen dat het systeem dat certificaat niet vertrouwt.

Omdat TS "Ik heb toch maar eentje nodig?" zei.

[ Voor 13% gewijzigd door CodeCaster op 26-11-2012 19:59 ]

https://oneerlijkewoz.nl
Het ergste moet nog komen / Het leven is een straf / Een uitgestrekte kwelling van de wieg tot aan het graf

maandag 26 november 2012 20:06

Acties:

0 Henk 'm!

Osiris

CodeCaster schreef op maandag 26 november 2012 @ 19:58:
[...]

Ik doelde meer op het nut van een certificate store zoals Windows die kent (en die op Linux vast zijn equivalent kent): een door het OS beheerde lijst met vertrouwde certificaatuitgevers, zodat je onder andere een beetje kunt internetten over HTTPS zonder bij iedere klik de melding om je oren te krijgen dat het systeem dat certificaat niet vertrouwt.

Omdat TS "Ik heb toch maar eentje nodig?" zei.

Ja OK, maar de TS hééft er ook maar ééntje nodig. (Mits hij ook de client-applicatie zelf devt uiteraard.) Dus in dat licht strookt het certificate-store-verhaal niet echt helemaal zoals het er nu staat met wat de TS zei.

Wel nuttig om te weten hoe zoiets normaliter in elkaar steekt natuurlijk, maar daar vroeg de TS niet echt om

[ Voor 3% gewijzigd door Osiris op 26-11-2012 20:06 ]

maandag 26 november 2012 20:32

Acties:

0 Henk 'm!

Carharttguy

Topicstarter

Het is zeker interessant om te weten hoe de vork aan de steel zit!

De client-applicatie ontwikkeling ik inderdaad ook zelf. Dat certificaat zal nooit worden gebruikt worden op een webserver, dus zal niemand die melding krijgen dat je het certificaat aan jouw vertrouwde certs moet toevoegen.

Maar Osiris, in het tabelletje dat jij poste, staat: "client/server authentication" op "no" bij het free certificaat. Is dat van toepassing op mij of niet?

Het zijn echt maar m'n eerste stapjes in het SSL gegeven.

maandag 26 november 2012 20:59

Acties:

0 Henk 'm!

CodeCaster

Can I get uhm...

Carharttguy schreef op maandag 26 november 2012 @ 20:32:
"client/server authentication" op "no" bij het free certificaat. Is dat van toepassing op mij of niet?

Ik vermoed, maar correct me if I'm wrong, dat dat certificaat daardoor niet automatisch geverifiëerd kan worden, dat zul je dus vanuit code moeten doen.

https://oneerlijkewoz.nl
Het ergste moet nog komen / Het leven is een straf / Een uitgestrekte kwelling van de wieg tot aan het graf

maandag 26 november 2012 21:28

Acties:

0 Henk 'm!

Osiris

De "text-balloon" die je ziet als je op de originele pagina er overheen hovert zegt:

Combined Server and Client Authentication support with SSL/TLS server certificates

Volgens mij heeft dat er iets mee te maken dat je d.m.v. SSL/TLS ook je client kunt laten identificeren d.m.v. een certificaat.

Dat is echter niet nodig om slechts een encrypted verbinding tot stand te brengen. Ik neem aan dat je voor de authenticatie al wel andere ideeën/implementaties had.

"SSL/TLS Server", inclusief vinkje erachter, geeft aan dat je 't certificaat prima kunt gebruiken op je server, zodat clients zeker weten dat ze de juiste hebben