https op tweakers

Je ziet in ieder geval dit topic over het hoofd: [feat] HTTPS/SSL op Tweakers/GoT

crisp schreef op zondag 31 januari 2016 @ 09:20:
Je kan een tool als HTTPS Everywhere gebruiken als je Tweakers (en andere sites) beveiligd wilt bezoeken. We zitten zelf momenteel in de onderzoeksfase wat betreft (standaard) ssl. Zie verder het door Fiber genoemde topic

Dat heeft op dit moment weinig zin omdat elke pagina, zelfs de homepage met een melding komt dat er onbeveiligde elementen tussen zitten. Dus geen groen slotje.

Verwijderd schreef op donderdag 04 februari 2016 @ 11:47:
[...]
Dat heeft op dit moment weinig zin omdat elke pagina, zelfs de homepage met een melding komt dat er onbeveiligde elementen tussen zitten. Dus geen groen slotje.

Klopt, komt door de mix van een poging om een HTTPS site te bezoeken en het inladen van externe resources via HTTP.

crisp schreef op zondag 31 januari 2016 @ 09:20:
Je kan een tool als HTTPS Everywhere gebruiken als je Tweakers (en andere sites) beveiligd wilt bezoeken. We zitten zelf momenteel in de onderzoeksfase wat betreft (standaard) ssl. Zie verder het door Fiber genoemde topic

Mij was het ook opgevallen dat dit altijd nog niet het geval is. Ik ben gaan zoeken hier op tweakers en kom topics tegen uit 2011! waarin jij zegt dat jullie er naar toe werken.

Toch wel erg beschamend eigenlijk dat dit al 5 jaar duurt:

Gaat o.a. om dit topic: tweakers SSL

prekz schreef op woensdag 23 maart 2016 @ 08:48:
[...]


Mij was het ook opgevallen dat dit altijd nog niet het geval is. Ik ben gaan zoeken hier op tweakers en kom topics tegen uit 2011! waarin jij zegt dat jullie er naar toe werken.

Toch wel erg beschamend eigenlijk dat dit al 5 jaar duurt:

Gaat o.a. om dit topic: tweakers SSL

Beschamend? Waarom? En in dat topic zie ik niet direct vermeld dat we er actief mee bezig waren toen (in tegenstelling tot nu)..

crisp schreef op woensdag 23 maart 2016 @ 09:25:
[...]

Beschamend? Waarom? En in dat topic zie ik niet direct vermeld dat we er actief mee bezig waren toen (in tegenstelling tot nu)..

Mijn excuses ik heb een verkeerd topic gelinkt. Het is al eerder vermeld maar in 2013 heb jij deze uitspraak gedaan: crisp in "\[forum/bug]Https irritaties"

Beschamend omdat SSL toch al jaren een standaard hoort te zijn maar een technologie site zoals Tweakers hier blijkbaar geen vaart achter zet.

Dit is niet om te bashen maar mij valt het vaker op bij websites waar ik zoiets heb van waarom draaien jullie nog niet op SSL?

prekz schreef op woensdag 23 maart 2016 @ 09:31:
[...]


Mijn excuses ik heb een verkeerd topic gelinkt. Het is al eerder vermeld maar in 2013 heb jij deze uitspraak gedaan: crisp in "\[forum/bug]Https irritaties"

Beschamend omdat SSL toch al jaren een standaard hoort te zijn maar een technologie site zoals Tweakers hier blijkbaar geen vaart achter zet.

Dit is niet om te bashen maar mij valt het vaker op bij websites waar ik zoiets heb van waarom draaien jullie nog niet op SSL?

Omdat SSL niet gratis is? Of naja, tot voor kort kostte het nog in alle gevallen geld. Met initiatieven als LetsEncrypt zijn gratis domain-validated certificaten wel te fixen voor nop.
Maja, als grote website wil je natuurlijk liever een grote naam op je certificaat ipv LetsEncrypt. Dus dan kost t geld. Om nog maar niet te spreken over de technische implicaties van een certificaat wat elke 90 dagen ververst moet worden voor elk subdomain.
En om heel eerlijk te zijn zou ik bij een formaat als Tweakers SSL ook willen gebruiken als 'vertouwen bevestiging', dan ga je meteen ook liever voor een entity-validated certificaat, zodat er naast het slotje 'Tweakers.net B.V." oid komt te staan, in een mooie groene achtergrond. En dat is nog duurder.

Daarbij, Tweakers draait op meerdere servers, dus moet het voor elke server geimplementeerd worden. Een hoop extra werk.
Plus, er wordt externe content geladen. Reclame op de frontpage en plaatjes in de user content op het forum. 1 non-ssl verbinding en je groene slotje kleurt rood. Dus dan moet dat ook weer afgevangen gaan worden, omdat je anders ineeens van groen naar rood wisselt, wat voor de meeste mensen een nog grotere schok is dan gewoon geen slotje.

Zomaar even een paar dingen die ik kan bedenken waarom het langer duurt.

[ Voor 3% gewijzigd door McKaamos op 23-03-2016 09:46 ]

Dat het geld kost is bullshit aangezien tweakers nu al een certifcaat heeft (dus er voor betaald).

En van de externe content ben ik wel eens, dit is gewoon lastig als andere leveranciers (bijvoorbeeld voor de adverenties) nog alles via http inladen.

Niet alleen leveranciers, dat valt wellicht nog wel te regelen. Het probleem zit vooral in de users, die allerlei plaatjes, filmpjes, etc. linken.

In dit artikel staat in ieder geval wat achtergrond over waarom het niet alleen het importeren van een certificaat is: plan: Dilemma: moet Tweakers https inzetten?

Die had ik nog niet gezien

Ik ga hem even doorlinken.

Je moet ook bedenken dat wij een relatief klein development team hebben, en voorheen de noodzaak gewoon kleiner was. Het is echt iets van de laatste tijd dat SSL steeds meer 'standaard' aan het worden is en wij nu zo'n beetje wel gedwongen worden daarin mee te gaan.

Het argument dat dat van een "technologie site" wel verwacht mag worden is nogal een dooddoener. Net als elke website zijn onze (development)resources gewoon gelimiteerd...

toro36: mag ik vragen waarom jij zo graag SSL/TLS wilt? Wat wordt in jouw ogen behaald als heel t.net over HTTPS gaat?

Ik heb niks te maken met het t.net ontwikkelteam, noch de infra. Dat ik crew ben zegt in deze dus niks. Ik stel gewoon de vraag als mede-user.

Wat crisp al aangeeft is dat er maar een klein team is. Met een klein team moet je goed prioriteiten stellen. Daarvan was SSL waarschijnlijk niet de hoogste. IPv6 is net zo'n item wat een tijd lang een lage prio zal hebben gehad. Bepalen wat belangrijk is zal in de ogen van ieder anders zijn. Persoonlijk zou ik IPv6 een hogere prioriteit geven dan SSL.

[ Voor 40% gewijzigd door Ultraman op 23-03-2016 12:34 ]

prekz schreef op woensdag 23 maart 2016 @ 09:54:
Dat het geld kost is bullshit aangezien tweakers nu al een certifcaat heeft (dus er voor betaald).

En van de externe content ben ik wel eens, dit is gewoon lastig als andere leveranciers (bijvoorbeeld voor de adverenties) nog alles via http inladen.

Niet geheel stierenpoep. Dat ligt er maar net aan hoe het certificaat in elkaar steekt.
Als het certificaat niet geld voor alle subdomains, moet er wel degelijk meer geld in gestoken worden.
Zeker als er de wens is om een EV certificaat te gaan gebruiken (wat nu niet het geval is), zal er alsnog geld in gestoken moeten worden.

En de hoeveelheid werk die het kost is ook een financiële kostenpost. Werk = tijd = geld.


En om even in te haken op de vraag 'wel of geen SSL/TLS':

Sowieso zijn er maar weinig voordelen aan SSL voor Tweakers.net.
In de basis is SSL (met een DV certificaat) slechts transportbeveiliging. Het is dan niet mogelijk om met b.v. Wireshark je packets te lezen en mogelijk je user/pass combinatie te jatten.
Of om de boel te capturen op de proxy van je werkgever of iets dergelijks.

Maargoed, dan mag je jezelf de vraag gaan stellen hoe gevoelig de informatie is die je op Tweakers post.
90% er van is sowieso al publiek zichtbaar. De overige 10% is misschien wat HK werk. Stel dat je accountgegevens gestolen worden. Wat zien ze dan? Je slechte gevoel voor humor in de HK?
Dat DigiD stevig in de security zit, is logisch. Tweakers? not so much.

Dus ik vind de keus om SSL uit te stellen gerechtvaardigd.

Het wordt iets anders als er een EV certificaat gebruikt gaat worden. Daar voor wordt daadwerkelijk een screening gedaan en is het toegekend krijgen van een certificaat een daadwerkelijke betuiging van vertrouwen in méér dan alleen transport beveiliging.
Er is dan een (basis)controle gedaan dat de website niet vatbaar is voor een aantal standaard aanvallen (op het moment van controle, niet eens doorlopend).
Maar dan wordt de vraag of je zelf Tweakers ook vertrouwt, of dat het écht met alle geweld nog eens bevestigd moet worden door een derde partij waar jij zelf nog minder mee hebt dan Tweakers zelf.
Ik heb persoonlijk meer vertrouwen in de programmeerkunsten van de T.net Devvers dan in een standaardcontrole die je moet doorlopen voor een EV certificaat.

Kortom, het enige voordeel is transportbeveiliging op data die niet gevoelig is. (ok, daar kan je nog meer over schrijven en scenario's bedenken, maar in essentie niet gevoelige data)
De nadelen zijn tragere laad-tijden, problemen/obstakels omtrend mixed content, en het feit dat aanvallen en security issues met SSL en aanverwante software steeds meer voorkomen. Bij die grotere issues komt ook weer extra werk kijken om het allemaal up-to-date te houden. En werk = tijd = geld.
Voor Tweakers is het dan een simpele afweging of de investering (tijd en eventueel het certificaat) opweegt tegen de gevoeligheid van het leeuwendeel van de data die over de lijn gaat.

Het laatste dingetje wat op termijn wel groter gaat worden, zijn Google rankings.
Google pusht momenteel steeds meer dat iedereen over gaat naar SSL (HTTPS Everywhere campangne) en beloont dat door het mee te nemen als component in je zoekmachine vindbaarheid.
Dat is nu nog een vrij klein component, maar het wordt wel steeds groter.
Google sponsort ook LetsEncrypt (onder de naam Chrome, volgens de sponsorlijst) om zoveel mogelijk te doen om het makkelijk en kostenloos te maken (naja, de certificaten dan. En dat zijn 'slechts' DV certificaten)
Bron: https://webmasters.google...ps-as-ranking-signal.html

[ Voor 4% gewijzigd door McKaamos op 23-03-2016 13:29 ]

Een EV-certificaat is nog best naar voor ons. Formeel is de bedrijfsnaam tenslotte niet iets als 'Tweakers' maar 'de Persgroep Online Services B.V.'

Dan zouden we bij het groene tekstje 'de Persgroep Online Services B.V. (Tweakers)' of een soort gelijke lange tekst krijgen

McKaamos schreef op woensdag 23 maart 2016 @ 13:17:
[...]

Niet geheel stierenpoep. Dat ligt er maar net aan hoe het certificaat in elkaar steekt.
Als het certificaat niet geld voor alle subdomains, moet er wel degelijk meer geld in gestoken worden.
Zeker als er de wens is om een EV certificaat te gaan gebruiken (wat nu niet het geval is), zal er alsnog geld in gestoken moeten worden.

De certificaten hebben wij vrijwel allemaal al. En een certificaat kost nu ook weer niet zoveel geld. Voor 70 euro heb je al een wildcard certificaat.

Bij een EV certificaat heb je als grote nadeel dat je tegenwoordig niet meer je handelsnaam mag voeren maar de statuaire bedrijfsnaam moet erbij gezet worden. Dan krijg je in de groene balk dus te zien: 'de Persgroep Online Services B.V. (Tweakers) https://tweakers.net' waardoor je op mobiele browsers (een steeds groter aandeel) alleen maar 'de Persgroen Online Services' ziet en het 'tweakers' gedeelte wegvalt waardoor je aan de adresbalk niet kan zien waar je bent. Er ik ook een goede reden dat Google geen EV heeft.

Verder is het qua technische beveiliging ook niet veiliger dan een DV certificaat. Een EV certificaat legt de last van beveiliging neer bij de gebruiker want die moet ineens een 'groene balk' controleren. Daar meot je gebruikers niet mee lastig vallen, en dan voldoet een gewoon geldig certificaat ook prima.

Qua performance wil ik eigenlijk zo snel mogelijk toe naar ECDSA certificaten, alleen zijn die nu nog lastig te krijgen (en werkt het niet op alle platformen zoals windows xp.. maar care). Letsencrypt wil ik zelf ook opzetten en ik heb al een paar ideeen hoe ik dat kan doen zonder dat het al te lastig is met meerdere backend servers. En dan is het allemaal nog goedkoper

[ Voor 6% gewijzigd door Kees op 24-03-2016 12:30 ]

LetsEncrypt heeft de mogelijkheid om ECDSA certificaten te signen Dan krijg je wel een RSA signature over je ECDSA certificaat, maar dat mag de pret niet drukken toch?

Ze zijn iig ook wel bezig met ECDSA intermediates enzo, maar dat duurt nog ff-tjes.. Nieuwe key generation ceremonies enzo.

[ Voor 63% gewijzigd door Osiris op 24-03-2016 12:37 ]

Osiris schreef op donderdag 24 maart 2016 @ 12:36:
LetsEncrypt heeft de mogelijkheid om ECDSA certificaten te signen

De laatste keer dat ik keek (gisteren) stond er nog 'ECDSA certificates are planned early in 2016'

https://letsencrypt.org/certificates/

All ISRG keys are currently RSA keys. We are planning to generate ECDSA keys in early 2016.

[ Voor 20% gewijzigd door Kees op 24-03-2016 12:38 ]

Kees schreef op donderdag 24 maart 2016 @ 12:37:
[...]

De laatste keer dat ik keek (gisteren) stond er nog 'ECDSA certificates are planned early in 2016'

https://letsencrypt.org/certificates/

[...]

Klopt, maar sinds #1298 kun je wel CSR's gebruiken met een ECDSA public key erin, die vervolgens door de RSA intermediate gesigned wordt. Dus je hele chain is dan nog geen ECDSA, maar je leaf certificate iig wel.

En zodra ik wat meer verstand heb van Python kun je ook gewoon ECDSA keys aanmaken via de officiele client i.p.v. een losse CSR te moeten gebruiken.