SSL

Uplynulý rok byl bohatý na bezpečnostní incidenty týkající se certifikačních autorit. Kompromitace, slabé klíče, nerevokovatelné certifikáty. Situace vedla k návrhu nových nástrojů a protokolů na pozitivní straně a k ohrožení mnoha lidí na negativní straně. Praktický význam slova „důvěryhodný“ se posunul jinam.

Článok popisuje vybrané možnosti a konfiguráciu modulu mod_ssl, ktorý rozširuje webový server Apache HTTPD o podporu protokolu SSL. Zaoberá sa nielen autentizáciou servera, ale aj klientov pomocou klientských certifikátov. Podrobne si rozoberieme celú tvorbu a použitie certifikátov a všetko si ukážeme na príkladoch.

Spojenia cez SSL sa často berú ako bezpečné a mnohé návody dávajú rady typu 'dávajte svoje citlivé údaje len tam, kde vidíte https spojenie'. Tipujem, že väčšina ľudí (a špeciálne ne-IT profesionáli) netuší, aké jednoduché môže byť odpočúvanie/modifikácia SSL spojenia, ak si poriadne nedajú pozor na certifikáty. Hocikto na routeri/gateway použitím utility stunnel a iptables to dokáže.

V posledním dílu doděláme to málo, co nám ještě zbývá. Povíme si pár slov o konfiguraci serveru a na závěr ještě proberu některé praktické problémy, se kterými se při používání SSL můžete potkat.

Minule jsme si řekli něco o principech SSL. Dnes se podíváme na generování certifikátů, a to jak jednotlivého certifikátu, tak i mnoha různých, podepsaných vlastní certifikační autoritou.

Na serveru HowtoForge vyšel podrobný postup jak šifrovat svoje maily pomocí SSL certifikátu. Článek vás provede celý postupem včetně různých variant. Nabídne vám například možnost instalace openssl, pro vytvoření vlastního certifikátu nebo získání… Více

V poslední době se hovoří o vzrůstajícím množství problémů s úspěšnými průniky do systémů certifikačních autorit. Nedávný případ s autoritou DigiNotar ukázal, jak je model PKI zranitelný. Electronic Frontier Foundation (EFF) provedla vlastní… Více

Před týdnem jsme vás informovali o zranitelnosti SSL a TLS, která umožňuje odposlouchávat šifrovanou komunikaci dvou stran. I když Firefox není povahou tohoto problému postižen, tak v pluginech tomu tak být nemusí. V Mozille tak aktuálně debatují… Více

Firma Comodo potvrdila, že další dva přeprodejci certifikátů, kteří s ní spolupracují, byli kompromitováni, od útoku na InstantSSL.it, ale k dalším škodám už nedošlo. Kromě služeb login.live.com, mail.google.com, www.google.com, login.yahoo.com,… Více

Server h-online.com přinesl článek, který rozebírá, jak došlo ke kompromitování SSL certifikátů firmy Comodo minulý týden. Za útokem byl prý jediný hacker z Íránu, což samozřejmě mohlo na začátku působit, že za vším stojí íránská vláda. Tento… Více