Nový rozsah veřejných IPv4 adres

Informace o novinkách a změnách na 4smart.cz
xtonda
Příspěvky: 763
Registrován: čtv 08. zář 2011 14:38:19

Re: Nový rozsah veřejných IPv4 adres

Příspěvek od xtonda »

Jen tak ze zvědavosti jsem našel náznak řešení, kde RP to SSL nedešifruje ale jen na základě SNI hlavičky routuje na správný server
http://serverfault.com/questions/625362 ... ss-through
http://blog.haproxy.com/2012/04/13/enha ... -extension
To by umožnilo rozložit SSL overhead (pokud je vůbec významný) na koncové servery.

Ta technologie není žádná novinka, mezi nepodporujícími klienty jsou jen samé vykopávky. Za zmínku snad stojí jen IE na WinXP a tam je snadné řešení spočívající v instalaci Firefoxu nebo Chrome.

V řešení s WC certifikátem v případě vlastní domény stále dojde k přesměrování na *.4smart.cz, což se leckomu nemusí líbit. Každopádně základní SSL cerifikát na rok na jeden hostname se od StartSSL dá získat zdarma https://www.startssl.com/?app=1
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Nový rozsah veřejných IPv4 adres

Příspěvek od xsouku04 »

xtonda píše:Jen tak ze zvědavosti jsem našel náznak řešení, kde RP to SSL nedešifruje ale jen na základě SNI hlavičky routuje na správný server
http://serverfault.com/questions/625362 ... ss-through
http://blog.haproxy.com/2012/04/13/enha ... -extension
To by umožnilo rozložit SSL overhead (pokud je vůbec významný) na koncové servery.

Ta technologie není žádná novinka, mezi nepodporujícími klienty jsou jen samé vykopávky. Za zmínku snad stojí jen IE na WinXP a tam je snadné řešení spočívající v instalaci Firefoxu nebo Chrome.

V řešení s WC certifikátem v případě vlastní domény stále dojde k přesměrování na *.4smart.cz, což se leckomu nemusí líbit. Každopádně základní SSL cerifikát na rok na jeden hostname se od StartSSL dá získat zdarma https://www.startssl.com/?app=1
Děkuji za zpětnou vazbu. Nejideálnější bude umožnit všechny možnosti, nechť si zákazník vybere.
Doména na 4smart.cz nám vyprší za necelý rok, tak poté můžeme zvážit nákup hppts s wild card. Pro spoustu aplikací, jako např. ovládání domácího kotle, je to více než dostatečné :)
Nevíte, kde se dá nejlépe koupit wildcard https ale nejlépe na 5 let dopředu? Nechce se mi s tím každý rok otravovat, jak by si často tyto trafiky představovaly.
xtonda
Příspěvky: 763
Registrován: čtv 08. zář 2011 14:38:19

Re: Nový rozsah veřejných IPv4 adres

Příspěvek od xtonda »

Obvykle se nabízí max tři roky, ale většinou si účtují si za rok, nikoliv za certifikát, takže to bude skutečně jen úspora administrativy, nikoliv peněz. Zajímavý model má to StartSSL, validace identity stojí 60 USD a platí 350 dní a během této doby je možno si generovat neomezené množství certifikátů. Bohužel je tam potřeba ta validace identity, což obnáší dodání skenu pasu, občanky a řidičáku.
alfi
Příspěvky: 718
Registrován: čtv 03. led 2013 15:31:10

Re: Nový rozsah veřejných IPv4 adres

Příspěvek od alfi »

xsouku04 píše:Co kdybychom koupili wildcard certifikát pro 4smart, který by pokrýval všechny domény v tvaru *.4smart.cz nebo *.4smart.eu . Tedy zjevná nevýhoda používat naši subdoménu. Ale má to výhodu v tom, že nemusíte platit žádnou trafiku a přitom dosáhnete obdobnou bezpečnost, jako kdybyste zaplatili trafikantovi, co vydává certifikáty.
A co více - nemuseli byste o https vůbec starat, naše proxy by to prostě zařídila se vším všudy. Nebo jsem udělal v úvaze někde chybu?
Tohle pro mě vypadá zajímavě, aktuálně bych to na jednom webu i využil. Jen drobná nevýhoda - šifrovaným webům uživatelé obvykle více věří a zrovna na 4smart není problém pro kohokoliv vytvořit server s hodně podobným názvem jaký má cíl. Uživatelům jde potom podvrhnout vlastní stránku, která bude vypadat stejně a jen poběží na podobné adrese. (zrovna tohle jsem zkusil a ono to fakt funguje: wiklpedia.org, wlkipedia.org, wikipedla.org. A pokud jde či někdy půjde do hostname UTF-8, potom těch podobných znaků je mnohem víc :-( http://en.wikipedia.org/wiki/IDN_homograph_attack)
mobilemanic
Příspěvky: 486
Registrován: čtv 10. říj 2013 10:20:15

Re: Nový rozsah veřejných IPv4 adres

Příspěvek od mobilemanic »

xsouku04: tak lepší než drátem do oka, nicméně to pak nemá žádnou bezpečnostní vypovídací hodnotu - wildcard vlastněný poskytovatelem nad celou doménou se pro zákaznické projekty nehodí.. Jak se již píše přede mnou, kdokoliv založí podobný web na stejné doméně 4smart.cz a dle certifikátu bude mít stále stejně důvěryhodný podpis jako originální web..

Tohle pomůže zajistit cestu mezi uživatelem a tou proxy, ale je to na nic pro zajištění:
- že daný web je opravdu ten daný web (na druhou stranu, kdo skutečně obsah certifikátů čte a kontroluje, že ano?)
- že nebyla napadena cesta mezi proxy a reálným serverem s webem

Jednalo by se jen o falešný pocit bezpečí..
Zamčeno