Re: Slabý certifikát pro šifrované hovory?
Napsal: pon 08. kvě 2017 11:32:44
Souhlas s původním dotazem/připomínkou. Provozovat dneska "šifrování" jen s SHA-1 klíči je spíš ostuda - už přes dva roky se nesmí vydávat nové. Pokud je ale SHA-1 podepsaná i certifikační autorita, změna nebude úplně jednoduchá (i když přesvědčit cca 80 klientů není zase až tolik). Každý klíč může být podepsaný i více autoritama - tj. dá se přidat CA nová se SHA256, nějakou chvíli propagovat správný klíč a původní smazat až později.
SSL/TLS vrstva je (naštěstí) stejná pro všechny protokoly (http, smtp, imap, sip..), tj. doporučená nastavení pro https jde používat všude, stejně tak jde využít stávající know-how z http (vč. základního testu přímo z prohlížeče, viz https://sip.odorik.cz:5061 ). Jen veřejně dostupné TLS testery ne vždycky podporujou nestandardní porty, ale i takový se dá najít, viz např. https://www.htbridge.com/ssl/?id=gz4rD8cz = výsledek je do komerčního šifrovaného provozu nepoužitelný, ať už tam chodí data jakékoliv.
Pěkný návod s vysvětlením základních pricipů, možných chyb a průběžnou aktualizací je třeba tady https://wiki.mozilla.org/Security/Server_Side_TLS
SSL/TLS vrstva je (naštěstí) stejná pro všechny protokoly (http, smtp, imap, sip..), tj. doporučená nastavení pro https jde používat všude, stejně tak jde využít stávající know-how z http (vč. základního testu přímo z prohlížeče, viz https://sip.odorik.cz:5061 ). Jen veřejně dostupné TLS testery ne vždycky podporujou nestandardní porty, ale i takový se dá najít, viz např. https://www.htbridge.com/ssl/?id=gz4rD8cz = výsledek je do komerčního šifrovaného provozu nepoužitelný, ať už tam chodí data jakékoliv.
Pěkný návod s vysvětlením základních pricipů, možných chyb a průběžnou aktualizací je třeba tady https://wiki.mozilla.org/Security/Server_Side_TLS