HTTP vs. HTTPS?

Få hjælp og support til alt server-relateret. Guides og How-to's i forbindelse med servere hører også til her.
Spotten
Indlæg: 2135
Tilmeldt: 19. okt 2007, 18:13
IRC nickname: Sp0t
Geografisk sted: Jamaica

HTTP vs. HTTPS?

Indlæg af Spotten »

Hejsa.

Jeg sidder og roder med noget server og har indtil videre fået sat "LAMP" server op samt installeret phpbb board.

Nu sidder jeg så og tænker om der er nogen fordel ved at køre med HTTPS istedet for HTTP?

Jeg ved godt det betyder secure, og jeg kan se siden her f.eks bruger det, så på en eller anden måde må det vel være bedre end normalt HTTP?

På forhånd tak.
MB : Asus Sabertooth Z77
CPU : Intel Core I7 2600K+ 3,4GHz 8Mb L3
RAM : 4x4GB Corsair DDR3 1600MHz
HDD : LAGER : 1x1TB WD Extern USB 7200rpm + SYSTEM 1 x 180GB Corsair Force 3 Series SSD SATA6 550MB/sek
GFX : MSI 7900GT 512MB GDDR3 (Passivt Kølet)
Case : Lian Li PC-V1100 Plus
PSU : Corsair Professionel Series Gold AX1200
OS: Ubuntu 18.01LTS 64bit
Brugeravatar
NickyThomassen
Admin
Indlæg: 3652
Tilmeldt: 5. mar 2010, 19:58
IRC nickname: nicky
Geografisk sted: 192.168.20.42

Re: HTTP vs. HTTPS?

Indlæg af NickyThomassen »

Der er ikke som sådan nogen forskel imellem HTTP og HTTPS rent teknisk set.

Forskellen ligger netop i secure, som betyder at serveren og klienten opretter en krypteret kanal inden at HTTP transaktionen starter. Når kanalen er oprettet, så forløber kommunikationen over HTTP som sædvanligt.

Vi valgte at forlange kryptering her, fordi vi håndterer kodeord og e-mailadresser. Uden kryptering er det meget nemt at aflure sådanne oplysninger, hvis man har adgang til serverens eller klientens netværk, eller et af dem som de kommunikerer igennem.

Om du skal bruge HTTPS kommer an på hvilken oplysninger du regner med at have på siden, og i hvor stor grad du vil forsøge at holde dem hemmelige. I første omgang kan du bare bruge et hjemmelavet certifikat imens du tester, og hvis du så enten vil tilbyde eller forlange kryptering, så fås certifikater helt ned til 100,- / året og snart (forhåbenligt) gratis

https://www.gandi.net/ssl/standard
https://ubuntudanmark.dk/forum/viewtopic.php?f=12&t=19623

Bemærk at det ikke hedder SSL mere, men TLS.
SSL referer til de ældre udgaver, imens TLS er de nyere. Undgå at bruge SSL hvis det er muligt.
https://en.wikipedia.org/wiki/Transport_Layer_Security
AJenbo
Admin
Indlæg: 20878
Tilmeldt: 15. nov 2009, 15:04
IRC nickname: AJenbo
Geografisk sted: Vanløse, København

Re: HTTP vs. HTTPS?

Indlæg af AJenbo »

Uden et domæne navn (spotten.dk) kan du ikke få et gyldigt certifikat, så hvis du vælger at køre HTTPS får folk der ønsker at besøge din side en advarsel om at din side sikkert er svindel.
Brugeravatar
Blueeyez
Forfatter
Indlæg: 885
Tilmeldt: 24. jul 2012, 21:33
IRC nickname: Blueeyez

Re: HTTP vs. HTTPS?

Indlæg af Blueeyez »

Nu er jeg lidt forvirret... ubuntuesbjerg.dk er med https og her har jeg valgt http -> https (hvilket betyder at http laves om til https hele vejen).
Så at bruge https betyder da at forbindelsen mellem klient og server er krypteret fra man forbinder til hjemmesiden og til man forlader hjemmesiden?
* Linux Ubuntu 16.04 64 bit - I3, 4 GB DDR3 1600Mhz, intel 7260AC dual band wifi, Samsung EVO 850 250 GB SSD. - Abook Z510
* Asustor nas: AS-202T, AS-202TE & AS-604T
https://linuxviden.dk
AJenbo
Admin
Indlæg: 20878
Tilmeldt: 15. nov 2009, 15:04
IRC nickname: AJenbo
Geografisk sted: Vanløse, København

Re: HTTP vs. HTTPS?

Indlæg af AJenbo »

@Blueeyez: Jeg er ikke helt med på hvad du henviser til. Men dem der forbinder til http først og så bliver videresendt til https vil man kunne se hvilken side det er de tilgår i starten pga. det forgår over http, føst efter de er overgået til https vil forbindelsen være krypteret. Du bør måske se på HSTS som kan sørge for at browseren selv i fremtiden sørge for altid at forbinde til https og så ikke afsløre noget over http først:
http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
Brugeravatar
Blueeyez
Forfatter
Indlæg: 885
Tilmeldt: 24. jul 2012, 21:33
IRC nickname: Blueeyez

Re: HTTP vs. HTTPS?

Indlæg af Blueeyez »

Har web server ved servage.dk og her kan man i ssl certifikatet indstillinger vælge (http > https) hvilket tvinger http til https. Du kan ikke gå på http://ubuntuesbjerg.dk og ikke blive sat over på https (Hvis det er muligt, så skal man i hvertfald instille sin browser speifikt).

Har os spurgt dem om de bruger HTST nu da jeg lige fik viden om denne type sikkerhed os :-)
* Linux Ubuntu 16.04 64 bit - I3, 4 GB DDR3 1600Mhz, intel 7260AC dual band wifi, Samsung EVO 850 250 GB SSD. - Abook Z510
* Asustor nas: AS-202T, AS-202TE & AS-604T
https://linuxviden.dk
AJenbo
Admin
Indlæg: 20878
Tilmeldt: 15. nov 2009, 15:04
IRC nickname: AJenbo
Geografisk sted: Vanløse, København

Re: HTTP vs. HTTPS?

Indlæg af AJenbo »

Det http til https er et forward og det er ikke krypteret så man kan se hvad det er brugeren tilgår inden de ryger over på https, det samme gør sig gældende her på siden.
Brugeravatar
Blueeyez
Forfatter
Indlæg: 885
Tilmeldt: 24. jul 2012, 21:33
IRC nickname: Blueeyez

Re: HTTP vs. HTTPS?

Indlæg af Blueeyez »

Ja okay, så er der lidt at kigge på for mig :-)
* Linux Ubuntu 16.04 64 bit - I3, 4 GB DDR3 1600Mhz, intel 7260AC dual band wifi, Samsung EVO 850 250 GB SSD. - Abook Z510
* Asustor nas: AS-202T, AS-202TE & AS-604T
https://linuxviden.dk
Spotten
Indlæg: 2135
Tilmeldt: 19. okt 2007, 18:13
IRC nickname: Sp0t
Geografisk sted: Jamaica

Re: HTTP vs. HTTPS?

Indlæg af Spotten »

Tak for en meget udførlig guide allesammen! :)

Jeg tror ikke det er noget jeg vil bruge før jeg går "Online" så at sige og får mig et domæne, og dette vil nok ikke ske! :)

Jeg troede også det var krypteret hele vejen, altså at det var sendt som krypteret over en krypteret linje.

Det lyder jo ikke så galt for et certifikat, jeg lod nemlig mærke til på en anden side jeg kender, at den skrev der var tale om snyd osv. men det er vel kun fordi certifikatet ikke er godkendt til offentligt brug så vidt jeg kan forstå.

Hvis jeg en dag får sat mig for at køre en server med et board som herinde, så vil jeg nok vælge at gøre det krypteret også, af samme grunde som i gør det, for at bevare brugerens sikkerhed.

Synes bare vi høre så meget nu om dage om overvågning, og dertil tænker jeg, hvor blev vores privatliv af?

Så måske burde jeg trods det kun et lokalt indtil videre, sætte kryptering på så man ikke kan snuse med ved et "MITM-attack" f.eks?
MB : Asus Sabertooth Z77
CPU : Intel Core I7 2600K+ 3,4GHz 8Mb L3
RAM : 4x4GB Corsair DDR3 1600MHz
HDD : LAGER : 1x1TB WD Extern USB 7200rpm + SYSTEM 1 x 180GB Corsair Force 3 Series SSD SATA6 550MB/sek
GFX : MSI 7900GT 512MB GDDR3 (Passivt Kølet)
Case : Lian Li PC-V1100 Plus
PSU : Corsair Professionel Series Gold AX1200
OS: Ubuntu 18.01LTS 64bit
AJenbo
Admin
Indlæg: 20878
Tilmeldt: 15. nov 2009, 15:04
IRC nickname: AJenbo
Geografisk sted: Vanløse, København

Re: HTTP vs. HTTPS?

Indlæg af AJenbo »

Spotten skrev:Jeg troede også det var krypteret hele vejen, altså at det var sendt som krypteret over en krypteret linje.

Så snart der står HTTPS i browseren er det krypret, men hvis du blot skriver www som adresse vil der være 1 kald der ikke er krypteret. Med sider hvor der er aktiveret HSTS vil den så huske at du mener HTTPS næste gang du skriver www. Håber det giver mening :)
Det http->https som Blueyez nævnerer da helt klart også bedre end at lade brugeren fortsætte på HTTP, og det er også det eneste man kan gøre når først brugeren har valgt at tilgå HTTP siden i første omgang.

Spotten skrev:Det lyder jo ikke så galt for et certifikat, jeg lod nemlig mærke til på en anden side jeg kender, at den skrev der var tale om snyd osv. men det er vel kun fordi certifikatet ikke er godkendt til offentligt brug så vidt jeg kan forstå.

Det er nogenlunde rigtig, det betyder at certifikatet ikke automatisk kan valideres som værende det ægte for adressen, du kan så vælge at markere det som at være det ægte og hvis det så er rigtig vil den have samme sikkerhed som en side med et ægte certifikat, og vil mælde med en ny advarsel hvis der er en hacker der senere tiller sig i midten med et falsk certifikat.
Spotten
Indlæg: 2135
Tilmeldt: 19. okt 2007, 18:13
IRC nickname: Sp0t
Geografisk sted: Jamaica

Re: HTTP vs. HTTPS?

Indlæg af Spotten »

Hmm, det lyder som en meget god idé med kryptering så jeg er gået i gang med denne guide:

https://www.digitalocean.com/community/tutorials/how-to-create-a-ssl-certificate-on-apache-for-ubuntu-14-04

Jeg har jo Apache installeret, så jeg er sprunget videre til næste skridt og jeg har genstartet Apache, men den skriver følgende når jeg genstarter servicen:

Kode: Vælg alt

spot@SPOT-PC:/$ sudo service apache2 restart
 * Restarting web server apache2                                                AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1. Set the 'ServerName' directive globally to suppress this message
                                                                         [ OK ]
spot@SPOT-PC:/$


Jeg ved godt jeg ikke har et domæne, men kan jeg ikke bruge min WAN-IP som domæne i mit tilfælde?

Måske det vil gøre jeg ikke får den besked mere, som den foreslår?

Tænker jeg lige vil fikse dette inden jeg går igang med at bygge mit certifikat.

Og i hvilken conf fil skal jeg ændre dette?

På forhånd tak.

EDIT: Fandt ud af det, fulgte bare guiden færdig.

Ser ud til at komme med samme fejl som før, men det virker for mig på min mobils mobile net.
MB : Asus Sabertooth Z77
CPU : Intel Core I7 2600K+ 3,4GHz 8Mb L3
RAM : 4x4GB Corsair DDR3 1600MHz
HDD : LAGER : 1x1TB WD Extern USB 7200rpm + SYSTEM 1 x 180GB Corsair Force 3 Series SSD SATA6 550MB/sek
GFX : MSI 7900GT 512MB GDDR3 (Passivt Kølet)
Case : Lian Li PC-V1100 Plus
PSU : Corsair Professionel Series Gold AX1200
OS: Ubuntu 18.01LTS 64bit
AJenbo
Admin
Indlæg: 20878
Tilmeldt: 15. nov 2009, 15:04
IRC nickname: AJenbo
Geografisk sted: Vanløse, København

Re: HTTP vs. HTTPS?

Indlæg af AJenbo »

Jeg har tidligere i emnet forklaret fejlen og at du bare kan ignorere den. Du kan ikke have https uden advarsel før du skaffer et domæne
Spotten
Indlæg: 2135
Tilmeldt: 19. okt 2007, 18:13
IRC nickname: Sp0t
Geografisk sted: Jamaica

Re: HTTP vs. HTTPS?

Indlæg af Spotten »

Sorry, har åbenbart overset det i farten! :) Så må jeg jo overveje det med et domæne! :) Kunne da være meget rart at sikre sin hjemmeside selvom mange måske ville kalde det paranoia! :)
MB : Asus Sabertooth Z77
CPU : Intel Core I7 2600K+ 3,4GHz 8Mb L3
RAM : 4x4GB Corsair DDR3 1600MHz
HDD : LAGER : 1x1TB WD Extern USB 7200rpm + SYSTEM 1 x 180GB Corsair Force 3 Series SSD SATA6 550MB/sek
GFX : MSI 7900GT 512MB GDDR3 (Passivt Kølet)
Case : Lian Li PC-V1100 Plus
PSU : Corsair Professionel Series Gold AX1200
OS: Ubuntu 18.01LTS 64bit
Klaus Rasmussen
Admin
Indlæg: 5604
Tilmeldt: 26. apr 2010, 02:40
IRC nickname: ClaudiuS
Geografisk sted: Nyborg [fyn]

Re: HTTP vs. HTTPS?

Indlæg af Klaus Rasmussen »

Kunne da være meget rart at sikre sin hjemmeside selvom mange måske ville kalde det paranoia!

Prøv at spørge dem om det i bla. Nordfyns Kommune.
Med Venlig Hilsen
Klaus

Kører Ubuntu 24.04.1 på ASUS All-Series, og Probook 4520s.
Gratis Ubuntumagasin: http://fullcirclemagazine.org/
https://mega.nz/folder/aJsmCYKa#dxMHKTi4Idmz6hiVpsI68Q
gaffa

Re: HTTP vs. HTTPS?

Indlæg af gaffa »

Jeg har ikke noget teknisk input, men jeg vil gerne prøve at ændre retorikken lidt.

1. En offentlig nøgle kan ikke være uægte. Den er der bare.
2. Man bruger nøglen til at bekræfte at man kommunikerer med en der besidder den tilhørende private nøgle.
3. En offentlig nøgle kan underskrives af en tredjepart, der siger at nøglen tilhører en bestemt person.
4. Programmer kan have en liste af offentlige nøgler de stoler på altid har ret når de siger, hvem der ejer en anden offentlig nøgle.

Jeg vælger selv ikke at bruge nogen officielle tjenester til at underskrive mine nøgler, fordi jeg ikke mener at det er sundt at folk stoler på en tredjepart de ikke personligt kender, der aldrig har mødt mig. Jeg synes at det er bedre at blive i tvivl om ægtheden og derefter bekræftige med mig om nøglen er ægte. Det er selvfølgelig altid tilladt at vælge magelighed på vegne af brugerne frem for omhyggelighed og det har jeg fuld forståelse for.

Her er changelog for pakken ca-certificates i Ubuntu Trusty:
http://changelogs.ubuntu.com/changelogs/pool/main/c/ca-certificates/ca-certificates_20130906ubuntu2/changelog