Lad os kryptere internettet! Gratis SSL certifikater!

Her postes alt, som ikke direkte har noget med Ubuntu at gøre.
lath
Indlæg: 5095
Tilmeldt: 27. apr 2008, 02:16
IRC nickname: lars_t_h
Geografisk sted: Fyn

Lad os kryptere internettet! Gratis SSL certifikater!

Indlæg af lath »

Tag et kig på https://letsencrypt.org/ og specielt blog indlægget "Let’s Encrypt: Delivering SSL/TLS Everywhere"
: https://letsencrypt.org/2014/11/18/announcing-lets-encrypt.html

De (Mozilla Foundation, EFF, IdenTrust, Cisco, og Akamai) skriver at de midt i 2015 vil tilbyde gratis certifikater.
Hvis det er rigtigt er det ret interessant.

I 2 tweets skriver @letsencrypt:
Welcome to the new PKI: Free, open, and automatic. Let's encrypt the Web! https://letsencrypt.org

og
Q: How will your root be trusted? A: Initially, with IdenTrust cross-sig. Will apply to root programs ASAP.


Sidste tweet er vigtig, da browsere* (Firefox) kender til root certifikatet IdenTrustID Server CA A52

/Lars

*: Jeg har tjekket Firefox 34.0, men kunne ikke finde root certifikatet i Chrome 39.0.2171.95
Jeg er Software ingeniør (Diplomingeniør) i Informationsteknologi og indlejede systemer, hvor indlejrede systemer er computer (microcontroller) + elektronik i for eksempel et TV, en router, en vaskemaskine og den slags
martin joergensen
Indlæg: 293
Tilmeldt: 12. maj 2014, 18:29
Geografisk sted: Kolding

Re: Lad os kryptere internettet! Gratis SSL certifikater!

Indlæg af martin joergensen »

Lyder rigtig godt!!!
Brugeravatar
Blueeyez
Forfatter
Indlæg: 885
Tilmeldt: 24. jul 2012, 21:33
IRC nickname: Blueeyez

Re: Lad os kryptere internettet! Gratis SSL certifikater!

Indlæg af Blueeyez »

Har undret mig i lang tid os at man mange steder er tvunget til at købe et ssl certifikat, da man jo selv kan lave et ganske gratis.. Det er da ligemeget med troværdigheden.. tvivler på man kan lave et certifikat som snyder?..

Det ville os lukke en del huller mellem klient og server..
* Linux Ubuntu 16.04 64 bit - I3, 4 GB DDR3 1600Mhz, intel 7260AC dual band wifi, Samsung EVO 850 250 GB SSD. - Abook Z510
* Asustor nas: AS-202T, AS-202TE & AS-604T
https://linuxviden.dk
lath
Indlæg: 5095
Tilmeldt: 27. apr 2008, 02:16
IRC nickname: lars_t_h
Geografisk sted: Fyn

Re: Lad os kryptere internettet! Gratis SSL certifikater!

Indlæg af lath »

Blueeyez skrev:Har undret mig i lang tid os at man mange steder er tvunget til at købe et ssl certifikat, da man jo selv kan lave et ganske gratis.

Det er rigtigt at man selv kan lave et certifikat, men ...

Blueeyez skrev:Det er da ligemeget med troværdigheden.. tvivler på man kan lave et certifikat som snyder?..

... det er alt andet end lige meget med troværdigheden.
Troværdigheden er faktisk det vigtigste for SSL certifikater.

Personer, eller NSA, GCHQ, FE etc., som laver et MITM (Man-In-the-middle=manden-i-midten) angreb kan bare bruge sit eget selv-lavede certifikat for at lave falsk* SSL krypteret web server trafik, som de jo kan aflytte da de har begge nøgle-par til krypteringen.

Blueeyez skrev:Det ville os lukke en del huller mellem klient og server..

SSL lukker sikkerhedshuller, men du slipper ikke for at bruge en CA autoritet, for ellers viser for eksempel Firefox en advarsel som denne her:
Billede
(Billedet er fra: https://support.mozilla.org/en-US/kb/connection-untrusted-error-message)

Det fleste jeg kender trykker omgående på "Get me out of here!" (Dansk: "Få mig væk herfra!") - og kommer ikke igen, hvis det sker for en web shop.

/Lars

*: falsk, som i - kommer ikke fra ejeren af det rigtige website.
Jeg er Software ingeniør (Diplomingeniør) i Informationsteknologi og indlejede systemer, hvor indlejrede systemer er computer (microcontroller) + elektronik i for eksempel et TV, en router, en vaskemaskine og den slags
AJenbo
Admin
Indlæg: 20878
Tilmeldt: 15. nov 2009, 15:04
IRC nickname: AJenbo
Geografisk sted: Vanløse, København

Re: Lad os kryptere internettet! Gratis SSL certifikater!

Indlæg af AJenbo »

Et selfsigned er godt nok til hvis det kun er en lille gruppe bruger hvor man selv kan stå for at bekræfte et certifikat og der for ikke har brug for en CA. Det er også det der sker med ssh keys. Men som Lath skriver et det håbløst at forsøge med et selfsigned på en bred skala, de fleste bruger ville ikke kunne gennemskuge hvordan de kan identificere certifikatet som værende dit orginale eller et en hacker har lavet.
thj01
Indlæg: 2667
Tilmeldt: 21. nov 2006, 10:06
Geografisk sted: Fredericia

Re: Lad os kryptere internettet! Gratis SSL certifikater!

Indlæg af thj01 »

Intet certifikat er bedre end tilliden til den organisation der udsteder det - og det er derfor at man kan købe sig til certifikater, da man skal opfylde nogle kriterier.

Og det bliver spændende at se hvad kravene er til disse certifikater.


Prøv bare at læse her : http://www.bbc.com/news/technology-30054140 ... og så overvej hvorfor det er så vigtigt at man er certificeret ;).

Hvis en femårig kan... så ER der noget galt med certificerings-eksaminerne
Forfatter til Ubuntuguiden: http://www.vidas.dk/guides/ubuntuguiden.html

Kører LTS udgaverne.

"It's always easy if you know how to do it."
Brugeravatar
NickyThomassen
Admin
Indlæg: 3652
Tilmeldt: 5. mar 2010, 19:58
IRC nickname: nicky
Geografisk sted: 192.168.20.42

Re: Lad os kryptere internettet! Gratis SSL certifikater!

Indlæg af NickyThomassen »

Jeg må blankt erkende, at jeg ikke er imponeret. Det nuværende system med udstedelse af certifikater til kryptering, er veletableret og har ikke brug for flere aktører.

Brugerne af certifikater bør i stedet deles i to: Dem med et behov for identifikation og dem uden.

En webshop har fx brug for identifikation, og kan med fordel købe et certifikat fra det nuværende system. Bemærk at man med næsten 100% sikkerhed, ikke bliver godkendt til at modtage danske betalingskort af Nets uden sådan et certifikat. Om man kan "nøjes" med et gratis-certifikat er usikkert, men det finder vi jo nok snart ud af. Certifikater sælges i forskellige klasser, hvor der kun er økonomisk garanti i de højere klasser
https://www.gandi.net/ssl

Et gratis certifikat kommer jo nok uden denne garanti, og bliver derfor alligevel irrelevant for erhvervsdrivende hvor penge er involveret. Grunden er selvfølgelig, at uden den økonomiske garanti, tør en erhvervsdrivende ikke tage imod penge i fx sin webshop, da vedkommende ellers skal dække økonomisk tab efter hacking / cracking af egen lomme.

For dem uden behovet for identifikation er DNS-based Authentication of Named Entities, eller bare DANE, en bedre løsning
https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities

DANE giver mulighed for at placere det offentlige certifikat i sin egen (eller udbyderens) DNS-server, hvor den besøgende så kan hente det, og verificere serverens private certifikat. Man slipper dermed for at skulle have 3. part til at lave og distribuere ens offentlige certifikat; det gør man selv. DANE ville eksempelvis være fremragende til Ubuntu Danmark og min private hjemmeside.

Derfor syntes jeg letsencrypt.org burde bruge sit krudt på DANE, ved at starte med at bygge det ind i Firefox, og i det hele taget bringe DANE ud til maserne.

Men det er selvfølgelig bare min mening.
AJenbo
Admin
Indlæg: 20878
Tilmeldt: 15. nov 2009, 15:04
IRC nickname: AJenbo
Geografisk sted: Vanløse, København

Re: Lad os kryptere internettet! Gratis SSL certifikater!

Indlæg af AJenbo »

Jeg er enig i at DANE ville være vejen frem. Men ind til det kommer på plads syndes jeg nu det er meget fint alle får muligt for at bruge det ekisterende system.
NickyThomassen skrev:Bemærk at man med næsten 100% sikkerhed, ikke bliver godkendt til at modtage danske betalingskort af Nets uden sådan et certifikat.

Næsten ingen webshops modtagere kreditkort direkte men bruger i stedet en betalings gateway, her er der intet krav for a selve shoppen har et certifikat.

Selv med et SSL certifikat er det ikke nok til at en shop sådan lige kan blive godkendt til at modtage kreditkort direkte. Ironisk nok er Nets helt OK med at betalings gateway vises i en iframe hvor kunden så på ingen måde kan skeldne mellem den rigtige betalingsgateway og en fup side.
gtr

Re: Lad os kryptere internettet! Gratis SSL certifikater!

Indlæg af gtr »

Kan man lave en bitcoin blockchain, der kontrollerer, at et ssl certificate er originalt? Ville en hacker med iøvrigt tilstrækkelige resurser, kunne bryde det system?

http://www.spiegel.de/international/germany/inside-the-nsa-s-war-on-internet-security-a-1010361.html
I forhold til nsa niveau aktører, kan man betragte ssl certificate systemet som dekrypteret? Et blockchain system ville ikke ændre dette?
AJenbo
Admin
Indlæg: 20878
Tilmeldt: 15. nov 2009, 15:04
IRC nickname: AJenbo
Geografisk sted: Vanløse, København

Re: Lad os kryptere internettet! Gratis SSL certifikater!

Indlæg af AJenbo »

SSL er ikke dekrypteret. Alt kan brydes med en kombination af tid og held.
gtr

Re: Lad os kryptere internettet! Gratis SSL certifikater!

Indlæg af gtr »

Som jeg læser spiegelartiklen, bryder de 10mio ssl certificates om dagen. Dvs i praksis kan de vel bryde ethvert konkret ssl certificate, de beslutter sig for, men af resursegrunde kan de ikke bryde alle ssl certificater, der er i brug?

På baggrund af Snowden papirer er der grund til at antage, at krypteringen bag pgp og zrtp srtp ikke er kompromiteret.
AJenbo
Admin
Indlæg: 20878
Tilmeldt: 15. nov 2009, 15:04
IRC nickname: AJenbo
Geografisk sted: Vanløse, København

Re: Lad os kryptere internettet! Gratis SSL certifikater!

Indlæg af AJenbo »

Så vidt jeg kan tyde er det kun sessioner, og der er nok også kun tale om en succes rade og ikke at de kan udvælge præcis hvilke der bliver dekryperes, og så er det nok kun dem fra server med svag kryptering hvor de har gode chancer
Spotten
Indlæg: 2135
Tilmeldt: 19. okt 2007, 18:13
IRC nickname: Sp0t
Geografisk sted: Jamaica

Re: Lad os kryptere internettet! Gratis SSL certifikater!

Indlæg af Spotten »

Skræmmende med al den overvågning!

Kan se det ikke er for sjov folk bruger kryptering og faldt lige over dette i min søgning på emnet.

Tror sgu jeg vil bruge kryptering på alt fremover, selv til hjemmebrug, man kan jo aldrig vide sig sikker.

Faldt også lige over dette:

UNIVERSAL SSL - https://blog.cloudflare.com/introducing-universal-ssl/ - GRATIS SSL certifikat til alle.
MB : Asus Sabertooth Z77
CPU : Intel Core I7 2600K+ 3,4GHz 8Mb L3
RAM : 4x4GB Corsair DDR3 1600MHz
HDD : LAGER : 1x1TB WD Extern USB 7200rpm + SYSTEM 1 x 180GB Corsair Force 3 Series SSD SATA6 550MB/sek
GFX : MSI 7900GT 512MB GDDR3 (Passivt Kølet)
Case : Lian Li PC-V1100 Plus
PSU : Corsair Professionel Series Gold AX1200
OS: Ubuntu 18.01LTS 64bit
Brugeravatar
Blueeyez
Forfatter
Indlæg: 885
Tilmeldt: 24. jul 2012, 21:33
IRC nickname: Blueeyez

Re: Lad os kryptere internettet! Gratis SSL certifikater!

Indlæg af Blueeyez »

Nu er overvågning ikke et problem, men problemet er hvem overvåger os udover NSA/FBI/GCHQ/CIA osv osv osv.. Hvad er deres rettigheder og hvorfor laver de bagdøre.. Det der bekymrer mig er at vi får styrket krypteringen og før vi ved af det nyder de kriminelle bedre af det end nogensinde før... Altså der er forskel på at planlægge et terror angre og så at dele piratkopieret software..
* Linux Ubuntu 16.04 64 bit - I3, 4 GB DDR3 1600Mhz, intel 7260AC dual band wifi, Samsung EVO 850 250 GB SSD. - Abook Z510
* Asustor nas: AS-202T, AS-202TE & AS-604T
https://linuxviden.dk
gaffa

Re: Lad os kryptere internettet! Gratis SSL certifikater!

Indlæg af gaffa »

cacert?