[SSL] Ervaringen Verisign, Thawte en InstantSSL - Serversoftware en clouddiensten

woensdag 30 juli 2003 12:26

Acties:

Verwijderd

Topicstarter

Hallo,

Ik draai Exchange 2000 en wil Outlook Web Access aanbieden voor gebruikers.
Om de boel een beetje veilig te krijgen wil SSL implementeren en heb inmiddels de sites van vele aanbieders doorgespit.

Verisign - welke in instantie mijn voorkeur had - en Thawte zijn wel echt prijzig. Zeker vergeleken met InstantSSL.
Allen hebben een browsercompatabiliteit van 99,3% (zeggen ze) en verder zie ik weinig verschillen. Certificaat is certificaat lijkt me. Het enige wat me opviel is de verschillen inzake de "warranty"...

Wie kan mij ervaringen op dit gebied posten?
Wat is de meerwaarde van die "warranty"?
Is InstantSSL de moeite waard?

Thanx!

woensdag 30 juli 2003 12:34

Acties:

PowerFlower

être diable et jouer fleur

Zolang de browsers van je clients de certificaten accepteren, lijkt me er niet veel mee mis te zijn en maakt het weinig uit welke CA je gebruikt. Ze verschillen voornamelijk in de manier waarop ze garanderen dat jij ook echt bent wie je zegt te zijn - maar dat is meer een issue voor een client certificaat dan voor een server certificaat. Het lijkt me dat jij gewoon een certificaat nodig hebt om SSL mogelijk te maken, niet zo zeer om mensen te bewijzen dat ze echt op de goede server zitten, en dan moet je gewoon de goedkoopste nemen

Zelf heb ik alleen met Thawte en Verisign ervaring, die werken gewoon goed (wat kun je er meer over zeggen). Pas als je een niet geaccepteerde CA gebruikt (bijvoorbeeld zelf aanmaken certificaat) gaan bij de clients allarmbellen af, en dat is denk ik het enige waar je op hoeft te letten in jouw geval

woensdag 30 juli 2003 12:52

Acties:

Verwijderd

Topicstarter

Klopt. SSL staat boven identiteit.
Dus de goedkoopste vorm van InstantSSL (http://www.instantssl.com/ssl-certificate-products/ssl.html) moet volstaan?

woensdag 30 juli 2003 13:15

Acties:

Verwijderd

Als het niet voor een public website is, maar voor je eigen mensen; lekker zelf een certificaatje maken met MS CA, en het geld in je zak steken.
(mechanisme bouwen zodat mensen makkelijk de root CA kunnen toevoegen aan hun browser en draaien maar) Kun je zelfs gratis de "duurdere" 128 bits versie gebruiken.

woensdag 30 juli 2003 13:20

Acties:

Verwijderd

Topicstarter

Het is wel voor mijn eigen mensen.... maar het moet natuurlijk wel zonder problemen te benaderen zijn vanaf een Internet cafe

.... en geloof me: elke vraag die ze op hun scherm krijgen spelen ze door naar mij.
Ik MOET dus een certificaat hebben dat op de meeste browsers zonder vragen draait.

Overigens: iemand dan wellicht GEOTRUST ervaringen?

donderdag 31 juli 2003 08:37

Acties:

axis

net als smiley zegt zou ik ook doen.. nog sterker, dat hebben we ook op kantoor.. De gebruikers zien wel een melding: 'The certification authority is not trusted' ofzo, maarja, het scheelt wel weer geld.

En verder heb ik ervaringen met zowel KPN, PinkRoccade, Thawte en Verisign, maar ik moet zeggen dat ik nog het meest te spreken ben over Thawte. Goeie site, ze reageren snel, en je heb ze meteen aan de lijn (sub in engeland), de cert-afdeling van KPN heeft niet eens een nummer, en van die Verisign wordt je al helemaal kotsmisselijk. Hoezo Amerikaans.

Was wat private keys kwijt, hoppa gewoon opnieuw aanvragen, even bellen of ze kunnen re-issuen, en gratis weer nieuwe certs..

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

donderdag 31 juli 2003 08:43

Acties:

Speedener

Ik weet niet welke beter is of wat dan ook, weet wel dat ik verisign gebruik, nooit problemene mee heb gehad, en bijna iedereen het al kent... dusss, maar idd wel duur

oeps ik ben FLeSH, iermand anders was hier nog ingelogd.

[ Voor 28% gewijzigd door Speedener op 31-07-2003 08:44 ]

donderdag 31 juli 2003 11:58

Acties:

Verwijderd

axis schreef op 31 juli 2003 @ 08:37:
net als smiley zegt zou ik ook doen.. nog sterker, dat hebben we ook op kantoor.. De gebruikers zien wel een melding: 'The certification authority is not trusted' ofzo, maarja, het scheelt wel weer geld.

Tja, de root ca, is bij thuisgebruikers makkelijk toe te voegen, en die paar mensen die op vakantie hun mail in een internetcafe check, kunnen wel een keertje extra klikken op "untrusted" ignore.
Magoe; het zijn jullie centen.

Om de root ca via een asp pagina automatisch te installeren
(uitgaande van de root ca op c:\root.cer) :

-------------------------------------------------------------------------------------

<HTML>
<HEAD>
<TITLE>Installing A Root Certificate</TITLE>
<BR>Root Certificate Authority Installation
<BR>
<BR>

<%@ LANGUAGE="VBScript"%>
<%
Set fs = CreateObject("Scripting.FileSystemObject")
Set MyFile = fs.OpenTextFile("c:\root.cer", 1)

Output = ""

Do While MyFile.AtEndOfStream <> true
line = Chr(34) & MyFile.ReadLine & Chr(34)
If MyFile.AtEndOfStream <> true then
line = line & " & _" & Chr(10)
End If
Output = Output & line
Loop

MyFile.Close

Set MyFile = Nothing
Set fs = Nothing
%>

<SCRIPT language="VBSCRIPT">
on error resume next
Dim Str, CEnroll

Set CEnroll = CreateObject("CEnroll.CEnroll.1")
Str = <% Response.Write Output %>

CEnroll.installPKCS7(Str)

Set CEnroll = Nothing
</SCRIPT>
</HEAD>
</HTML>

[ Voor 10% gewijzigd door Verwijderd op 31-07-2003 11:59 ]

donderdag 31 juli 2003 12:12

Acties:

Taigu

Offtpoic: heeft er iemand een korte handleiding hoe met win2k je eigen certificaten te signen ?

Cling to truth and it turns into falsehood. Understand falsehood and it turns into truth.

donderdag 31 juli 2003 12:13

Acties:

PowerFlower

être diable et jouer fleur

OMG je kunt gewoon via ASP een root ca instellen... heel erg secure

... maar wel handig

* PowerFlower doet een snelle copy/paste

Zelf gebruik ik gewoon onze Domino CA om certificaten aan te maken. Geen id of er een andere (simpelere) manier is (maar wel interesse!)

[ Voor 35% gewijzigd door PowerFlower op 31-07-2003 12:14 ]

donderdag 31 juli 2003 12:20

Acties:

J.W

buddhole schreef op 31 July 2003 @ 12:12:
Offtpoic: heeft er iemand een korte handleiding hoe met win2k je eigen certificaten te signen ?

ik heb onzettend zitten kl*ten met MS CA en het lukte me op geen enkele manier.
Ik deed het op de juiste manier (bevestigt door meerdere experts),maar toch lukte het me niet.

Uiteindelijk is het me wel gelukt via openssl en perl is het me uiteindelijk wel gelukt.

Zie deze wizard , werkt als een tiet

EN het is heel erg makkelijk!!!, althans dat vond ik.
Ik gebruik mijn certificaat om NFUSE (citrix) over https te gebruiken.

Hier onder nog een paar tips, voor eventuele problemen die je kunt tegenkomen als je de wizard gebruikt :

- Probleem met dlls bij compilen = de * -0.dll 's kopieren en de -0 uit de naam
halen. dus dan heb je 2x 2 dezelfde dlls

-Antwoord file moet beginnen met
-----BEGIN CERTIFICATE----- (1 regel)
en eindigen met
-----END CERTIFICATE----- (1 regel)
als er andere tekens staan dan doet ie het niet.

[ Voor 50% gewijzigd door J.W op 31-07-2003 12:46 ]

donderdag 31 juli 2003 12:32

Acties:

servies

Veni Vidi Servici

PowerFlower schreef op 31 July 2003 @ 12:13:
OMG je kunt gewoon via ASP een root ca instellen... heel erg secure ... maar wel handig

Heeft niets met niet of wel secure zijn te maken... Hierna worden alleen certificaten die door die server zijn uitgegeven als geldig erkend, meer niet en ook niet minder.

donderdag 31 juli 2003 13:45

Acties:

axis

J.W schreef op 31 July 2003 @ 12:20:
[...]

ik heb onzettend zitten kl*ten met MS CA en het lukte me op geen enkele manier.
Ik deed het op de juiste manier (bevestigt door meerdere experts),maar toch lukte het me niet.

[knip]

Huh? Je installeert CA Server via add/remove windows components, en je gaat naar http://localhost/certsrvr ofzo. klaar.. kun je zo je root certificate downloaden, en je kan ook in ISM zo een cert bij een site aanvragen, direct bij je CA. Alles in 5 minuutjes te doen..

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

donderdag 31 juli 2003 14:01

Acties:

axis

servaas schreef op 31 July 2003 @ 12:32:
[...]

Heeft niets met niet of wel secure zijn te maken... Hierna worden alleen certificaten die door die server zijn uitgegeven als geldig erkend, meer niet en ook niet minder.

Mij lukt het trouwens niet.. op een webserver een root CA geinstalleerd, die asp pagina laten draaien, vanaf een remote client die pagina oproepen, maar op de client komt ie dus niet bij de trusted roots te staan van de local computer of de current user.

Kan het me ook niet voorstellen, er moet minstens een MEGA waarschuwing op het scherm komen.

Hoezo niet secure? Natuurlijk zou dat via zo'n simpele pagina insecure zijn!! Dat certificaat gaat er juist om dat je zeker weet dat die server de goeie webserver is!!

Stel je voor.. je buurman heeft je admin password. Hij verandert je hosts file op je C schijf, waardoor www.rabobank.nl doorpoint naar zijn pc. Daar heeft ie een pagina staan waar zijn eigen root CA certificaat wordt geinstalleerd, en hij redirect je door naar een kopie van de rabobank site, die ook op zijn pc draait. Hij heeft daar een zelf uitgegeven certificaat aan hangen, met als common name www.rabobank.nl. Deze is nu dus trusted, want je trust zijn root.

Jij ziet geen verschil tussen de rabobank site, en degene waar je nu op zit. Zelfs het certificaat klopt! Kom maar op met die codes.. Nou zit er waarschijnlijk wel iets meer beveiliging op, maar goed.. denk verder.. creditcardnummers, etc..

[ Voor 4% gewijzigd door axis op 31-07-2003 14:02 ]

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

donderdag 31 juli 2003 14:22

Acties:

J.W

axis schreef op 31 juli 2003 @ 13:45:
[...]

Huh? Je installeert CA Server via add/remove windows components, en je gaat naar http://localhost/certsrvr ofzo. klaar.. kun je zo je root certificate downloaden, en je kan ook in ISM zo een cert bij een site aanvragen, direct bij je CA. Alles in 5 minuutjes te doen..

Tja bij mij niet, kreeg het niet voor mekaar.
kreeg het allemaal wel gecetificeerd en geinstalleerd, alleen de clients kregen geen pagina te zien.

Hoop dat het een bug was, maar ja het zal wel weer aan mij gelegen hebbeb

donderdag 31 juli 2003 14:28

Acties:

Verwijderd

buddhole schreef op 31 July 2003 @ 12:12:
Offtpoic: heeft er iemand een korte handleiding hoe met win2k je eigen certificaten te signen ?

http://support.microsoft....aspx?scid=kb;en-us;290625

donderdag 31 juli 2003 14:29

Acties:

PowerFlower

être diable et jouer fleur

axis, dat is precies wat ik bedoelde met "lekker secure"... certificaten zijn er niet alleen voor de SSL encryptie, maar ook om te bepalen of een server is wat hij zegt te zijn. En als je even makkelijk met asp een root ca kunt invoeren schop je dus de betrouwbaarheid van dat hele systeem al onderuit op dat vlak

Overigens, die tutorial van het certifcaat aanmaken is wel aardig. Maar wel een beetje jammer is het resultaat:

Afbeeldingslocatie: http://www.somacon.com/iis_ssl/security_alert.jpg

Afbeeldingslocatie: http://www.somacon.com/iis_ssl/security_alert.jpg

Als je zelf een certificaat aanmaakt, hoort er maar 1 uitroeptekentje te verschijnen. De onderste twee moeten gewoon kloppen, want die gegevens heb je zelf in je certificaat ingevoerd! Deze gast heeft kennelijk het certificaat op bijvoorbeeld 127.0.0.1 uitgegeven ipv het adres van zijn eigen webserver

Pagina: 1

Reageer