StartSSL a bezpečnost na serveru

StartSSL a bezpečnost na serveru
« kdy: 17. 03. 2015, 23:35:21 »
zdravim
chtel bych se zeptat jestli v pripade, ze budu pouzivat k sifrovani http komunikace certifikat vydany certifikacni autoritou startssl ( https://www.startssl.com/ ), budou moci lidi, co tento server spravuji, nebo popripade utocnik ktery by se k nim nahakoval a zcizil data, desifrovat komunikaci, kterou posilam. nejsem odpbornik na ssl, ale s toho co jsem pochytil chapu, ze k desifrovani staci privatni klic, ktery si generuju na jejich strankach a tudiz k nemu podle mne maji pristup. myslite ze si tento privatni klic a heslo k jeho desifrovani nekde ukladaj tak aby to pripadny utocnik mohl zcizit?
no doufam ze se ptam dobre, mam v tom trosku hokej (pripadne se rovnou omlouvam za neodbornost dotazu)
diky za odpoved;)
« Poslední změna: 18. 03. 2015, 09:03:16 od Petr Krčmář »


Re:startssl a bezpecnost
« Odpověď #1 kdy: 18. 03. 2015, 00:08:09 »
Je to trochu paranoidní představa, ale v principu jim v tom nic moc nebrání a nelze doporučit generovat si soukromý klíč přes jejich rozhraní. Nemusíte (neměl byste) to ale dělat - stačí tu stránku přeskočit a dostanete možnost vložit pouze "žádost", kterou si vygenerujete u sebe pomocí např. openssl.

Dzavy

Re:startssl a bezpecnost
« Odpověď #2 kdy: 18. 03. 2015, 00:09:22 »
Já jim věřim, že to neukládají. A kdybys jim fakt nevěřil, tak máš furt možnost nenechat je generovat privátní klíč, vygenerovat si ho sám u sebe a dát jim tam jenom CSR.

Jinak, aby ho mohli zneužít, museli by se ještě dostat do cesty mezi Tvoje uživatele a Tvůj server, tj. nejspíš podvrhnout DNS. To taky neni úplně triviální.

Jakub L

Re:startssl a bezpecnost
« Odpověď #3 kdy: 18. 03. 2015, 07:10:57 »
u StartSSL si můžete klíč vygenerovat u vás a nechat u nich udělat jen CSR (podpis)

lojza

Re:startssl a bezpecnost
« Odpověď #4 kdy: 18. 03. 2015, 07:48:06 »
Tak ono je skoro úplně jedno, kde se ten privátní klíč pro server generuje a jestli ho ukládají. Jako certifikační autorita si nagenerují certifikát jaký chtěj a pokud si klienti daného webu neověřují certifikát serveru opravdu poctivě, tak na to nepřijdou. A pokud už si klienti ověřují certifikát poctivě třeba otiskem získaným nějakým důvěryhodným způsobem, tak skoro ani neni potřeba si dělat certifikát nějakou předinstalovanou autoritou a stačí selfsigned a přidají si ho mezi důvěryhodné ručně.


karel

Re:StartSSL a bezpečnost na serveru
« Odpověď #5 kdy: 18. 03. 2015, 09:10:17 »
hlavne ty klice pak neposilej emailem
z toho se muzu vzdy muzu umlatit smychy, kdyz kolega resil podobny problem jako ty a pak mi klice poslal emailem

Kolemjdoucí

Re:StartSSL a bezpečnost na serveru
« Odpověď #6 kdy: 18. 03. 2015, 09:54:41 »
hlavne ty klice pak neposilej emailem
z toho se muzu vzdy muzu umlatit smychy, kdyz kolega resil podobny problem jako ty a pak mi klice poslal emailem
Tak když ten certifikát zašifruje nějakým silným heslem, nebo pomocí pgp, tak proč ne...

karel

Re:StartSSL a bezpečnost na serveru
« Odpověď #7 kdy: 18. 03. 2015, 10:11:18 »
hlavne ty klice pak neposilej emailem
z toho se muzu vzdy muzu umlatit smychy, kdyz kolega resil podobny problem jako ty a pak mi klice poslal emailem
Tak když ten certifikát zašifruje nějakým silným heslem, nebo pomocí pgp, tak proč ne...
pgp jo to pak jo, bohuzel velmi malo lidi o exitenci neceho takoveho tusi a jeste min to pouziva, aspon ma zkusenost

Jenda

Re:StartSSL a bezpečnost na serveru
« Odpověď #8 kdy: 18. 03. 2015, 16:42:06 »
ale s toho co jsem pochytil chapu, ze k desifrovani staci privatni klic, ktery si generuju na jejich strankach a tudiz k nemu podle mne maji pristup
Negeneruje se v prohlížeči, ale na straně klienta?

Mimochodem při některých módech (perfect forward secrecy) nestačí mít ani ten klíč.

Re:StartSSL a bezpečnost na serveru
« Odpověď #9 kdy: 18. 03. 2015, 17:43:13 »
dekuji vsem za odpovedi, urcite se zaridim podle vasich rad, klic si vygeneruji u sebe a poslu jim pouze ten Certificate signing request.
jeste k te paranoje, drive jsem na bezpecnost tolik nedbal, ale po te co mi opakovane zmizeli penize z uctu z duvodu nahakovani obchodniku, kteri si uchovavali informace o me kreditni karte, nebo kdyz se me heslo a email objevili na nejakem verejnem seznamu a nekdo si na moji emailovou adresu zalozil ucet na twiteru tak jsem sve chovani v teto oblasti zasadne prehodnotil;)