Nový rozsah veřejných IPv4 adres

Informace o novinkách a změnách na 4smart.cz

Re: Nový rozsah veřejných IPv4 adres

Příspěvekod xtonda » stř 11. bře 2015 14:05:25

Jen tak ze zvědavosti jsem našel náznak řešení, kde RP to SSL nedešifruje ale jen na základě SNI hlavičky routuje na správný server
http://serverfault.com/questions/625362 ... ss-through
http://blog.haproxy.com/2012/04/13/enha ... -extension
To by umožnilo rozložit SSL overhead (pokud je vůbec významný) na koncové servery.

Ta technologie není žádná novinka, mezi nepodporujícími klienty jsou jen samé vykopávky. Za zmínku snad stojí jen IE na WinXP a tam je snadné řešení spočívající v instalaci Firefoxu nebo Chrome.

V řešení s WC certifikátem v případě vlastní domény stále dojde k přesměrování na *.4smart.cz, což se leckomu nemusí líbit. Každopádně základní SSL cerifikát na rok na jeden hostname se od StartSSL dá získat zdarma https://www.startssl.com/?app=1
xtonda
 
Příspěvky: 729
Registrován: čtv 08. zář 2011 14:38:19

Re: Nový rozsah veřejných IPv4 adres

Příspěvekod xsouku04 » stř 11. bře 2015 16:48:31

xtonda píše:Jen tak ze zvědavosti jsem našel náznak řešení, kde RP to SSL nedešifruje ale jen na základě SNI hlavičky routuje na správný server
http://serverfault.com/questions/625362 ... ss-through
http://blog.haproxy.com/2012/04/13/enha ... -extension
To by umožnilo rozložit SSL overhead (pokud je vůbec významný) na koncové servery.

Ta technologie není žádná novinka, mezi nepodporujícími klienty jsou jen samé vykopávky. Za zmínku snad stojí jen IE na WinXP a tam je snadné řešení spočívající v instalaci Firefoxu nebo Chrome.

V řešení s WC certifikátem v případě vlastní domény stále dojde k přesměrování na *.4smart.cz, což se leckomu nemusí líbit. Každopádně základní SSL cerifikát na rok na jeden hostname se od StartSSL dá získat zdarma https://www.startssl.com/?app=1


Děkuji za zpětnou vazbu. Nejideálnější bude umožnit všechny možnosti, nechť si zákazník vybere.
Doména na 4smart.cz nám vyprší za necelý rok, tak poté můžeme zvážit nákup hppts s wild card. Pro spoustu aplikací, jako např. ovládání domácího kotle, je to více než dostatečné :)
Nevíte, kde se dá nejlépe koupit wildcard https ale nejlépe na 5 let dopředu? Nechce se mi s tím každý rok otravovat, jak by si často tyto trafiky představovaly.
Uživatelský avatar
xsouku04
Administrátor
 
Příspěvky: 6519
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno

Re: Nový rozsah veřejných IPv4 adres

Příspěvekod xtonda » stř 11. bře 2015 17:42:38

Obvykle se nabízí max tři roky, ale většinou si účtují si za rok, nikoliv za certifikát, takže to bude skutečně jen úspora administrativy, nikoliv peněz. Zajímavý model má to StartSSL, validace identity stojí 60 USD a platí 350 dní a během této doby je možno si generovat neomezené množství certifikátů. Bohužel je tam potřeba ta validace identity, což obnáší dodání skenu pasu, občanky a řidičáku.
xtonda
 
Příspěvky: 729
Registrován: čtv 08. zář 2011 14:38:19

Re: Nový rozsah veřejných IPv4 adres

Příspěvekod alfi » pon 16. bře 2015 9:56:37

xsouku04 píše:Co kdybychom koupili wildcard certifikát pro 4smart, který by pokrýval všechny domény v tvaru *.4smart.cz nebo *.4smart.eu . Tedy zjevná nevýhoda používat naši subdoménu. Ale má to výhodu v tom, že nemusíte platit žádnou trafiku a přitom dosáhnete obdobnou bezpečnost, jako kdybyste zaplatili trafikantovi, co vydává certifikáty.
A co více - nemuseli byste o https vůbec starat, naše proxy by to prostě zařídila se vším všudy. Nebo jsem udělal v úvaze někde chybu?

Tohle pro mě vypadá zajímavě, aktuálně bych to na jednom webu i využil. Jen drobná nevýhoda - šifrovaným webům uživatelé obvykle více věří a zrovna na 4smart není problém pro kohokoliv vytvořit server s hodně podobným názvem jaký má cíl. Uživatelům jde potom podvrhnout vlastní stránku, která bude vypadat stejně a jen poběží na podobné adrese. (zrovna tohle jsem zkusil a ono to fakt funguje: wiklpedia.org, wlkipedia.org, wikipedla.org. A pokud jde či někdy půjde do hostname UTF-8, potom těch podobných znaků je mnohem víc :-( http://en.wikipedia.org/wiki/IDN_homograph_attack)
alfi
 
Příspěvky: 370
Registrován: čtv 03. led 2013 16:31:10

Re: Nový rozsah veřejných IPv4 adres

Příspěvekod mobilemanic » pon 16. bře 2015 23:01:59

xsouku04: tak lepší než drátem do oka, nicméně to pak nemá žádnou bezpečnostní vypovídací hodnotu - wildcard vlastněný poskytovatelem nad celou doménou se pro zákaznické projekty nehodí.. Jak se již píše přede mnou, kdokoliv založí podobný web na stejné doméně 4smart.cz a dle certifikátu bude mít stále stejně důvěryhodný podpis jako originální web..

Tohle pomůže zajistit cestu mezi uživatelem a tou proxy, ale je to na nic pro zajištění:
- že daný web je opravdu ten daný web (na druhou stranu, kdo skutečně obsah certifikátů čte a kontroluje, že ano?)
- že nebyla napadena cesta mezi proxy a reálným serverem s webem

Jednalo by se jen o falešný pocit bezpečí..
mobilemanic
 
Příspěvky: 449
Registrován: čtv 10. říj 2013 10:20:15

Předchozí

Zpět na Novinky na 4smart.cz

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 1 návštěvník