Certifikater til sikring af apache-webserver

På min hjemme-server har jeg en Roundcube-frontend til min Dovecot - den del kan I læse mere om her. Det irriterede mig dog at login til Roundcube ikke er sikret - mit login og password sendes i klar tekst. Derfor gik jeg i gang med at få sat SSL-kryptering op på den virtuelle Apache-webhost, som Roundcube kan fanges på. Det er ikke så svært endda på en Ubuntu maskine. Ind med "openssl" pakken og erstat toppen af den virtuelle host med

SSLEngine on
SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem
SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
SSLSessionCacheTimeout 3600

Meget mere var der ikke i det, men det har irriteret mig at alle browsere, som tilgår min web-server melder "hov-hej den webserver er da vist lidt farlig. Den kommer med et snakeoil certifikat", og korrekt - hvad enten jeg anvender de SSL-certifikater, som Ubuntu kommer med eller om [.

Alternativet til egne "snake-oil" certifikater er dyre Verisign-certifikater. Det er nok lidt "overkill" til en hjemmeserver, men hver sin smag. Jeg er for nærig til det.

Der er heldigvis (mindst) et andet alternativ, som

Efter en web-registrering - med brug af Firefox (Chrome virkede ikke), og efterfølgende email-validering - da fik jeg lavet.

SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM
SSLCertificateFile /etc/apache2/startssl/ssl.crt
SSLCertificateKeyFile /etc/apache2/startssl/ssl.key
SSLCertificateChainFile /etc/apache2/startssl/sub.class1.server.ca.pem
SSLCACertificateFile /etc/apache2/startssl/ca.pem
SetEnvIf User-Agent ".MSIE." nokeepalive ssl-unclean-shutdown
CustomLog /var/log/apache2/ssl_request_log "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

Disse linier vises også på de hjemmesider man kommer igennem på startssl.com. Det eneste jeg ikke helt var med på var at to af de nøgler
man skulle bruge "bare" skulle hentes fra startssl.com hjemmesiden.
Jeg er ikke liiige med på hvorfor startssl.com-løsningen kræver fire nøgler, men stor var tilfredsheden da min mine browser accepterede de nye certifikater (efter genstart af Apache).

Er der andre muligheder for at få gængse certifikater uden at skulle betale kassen for det?
Kommenter gerne nedenfor.

/pto

Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#6 Vijay Prasad

Det eneste jeg ikke helt var med på var at to af de nøgler man skulle bruge "bare" skulle hentes fra startssl.com hjemmesiden.

Et lille PS: Det er certifikater man skal hente, og ikke nøgler :-)

Hvis man vil tjekke hvorfor, så kan man f.eks. bruge digicert's tool: http://www.digicert.com/help/

(Prøv at sammenligne med Apachen uden SSLCertificateChainFile og SSLCACertificateFile)

Mvh,

  • 0
  • 0
#7 Ask Holme

"Problemet" med startssl er at de har chain of trust optil hovedcertifikatet, der er længere end mange af de andre udbydere. Det betyder i sidste ende at browseren er længere tid om at godkende resultatet og giver dermed latency mod brugeren.

Personligt bruger jeg rapidssl certifikater en del steder. De kan typisk få fra omkring 10-11 dollar pr. år. (thesslstore.com er en mulighed)

Namecheap.com sælger comodo certifikater til 9 dollar om året.

Men helt generelt handler det jo meget om hvad man skal bruge certifikatet til. De fleste udbydere har mange forskellige "kvaliteter", der primært adskiller sig på a) hvor stor en forsikringsum udsteder vil betale hvis certifikatet er forfalsket og b) hvor meget udsteder kræver for at verificere at man er den retmæssige ejer af domænet.

Hvis man skal bruge et certifikat til en privat webmail, en mindre VPN løsning eller andre steder hvor det primære mål er kryptering uden browser advarsel. Så er startssl/rapidssl/comodo jo fint.

Hvis man skal behandle følsomme oplysninger for kunder sådan at verifikationsdelen af certifikatet betyder noget, så ville jeg til en hver tid anbefale at man fik et EV-certifikat med den udvidede godkendelsesprocedure, der følger med.

  • 0
  • 0
#8 Christian E. Lysel

ASK HOLME, 25. MARTS 2011 09:35

Hvis man skal behandle følsomme oplysninger for kunder sådan at verifikationsdelen af certifikatet betyder noget, så ville jeg til en hver tid anbefale at man fik et EV-certifikat med den udvidede godkendelsesprocedure, der følger med.

Jeg har aldrig forstået det argument.

Hvordan forhindre godkendelsesprocedure at andre certifikat underskrivere ikke har styr på deres godkendelsesprocedure?

Jeg kan godt se en angriber ikke vil kunne få et EV-ceritifikat, men hvilken bruger vil lægge mærke til URLen i deres browser ikke længere er grøn?

  • 0
  • 0
#9 Ask Holme

Altså når jeg skriver det sådan er det mest fordi jeg som bruger helst vil have at det er sådan.

Fx. ville jeg aldrig i livet bruge en netbank, hvis den ikke havde et EV-certifikat (og ja jeg tjekker om den grønne bar er der hver gang jeg logger ind).

Men jeg er enig i at der burde være langt bedre oplysning om dette punkt til almindelige mennesker

  • 0
  • 0
#11 Klaus Slott

Har nogen af jer haft succes med at benytte startssl certifikatet til andre formål? Jeg har forsøgt at benytte det i postfix, så det bla. bliver muligt at logge ind og sende via ssl når jeg er "on the road" med den bærbare. Det virke sådan set, men Kmail beklager sig over at "Rod-certifikatautoritetens certifikat er ikke betroet til dette formål". Thunderbird kommer også med undtagelses menuen.

  • 0
  • 0
#12 Michael Rasmussen

Det gratis certifikat er et class 1 certifikat (personlig certifikat). Mig bekendt skal et certifikat være af class 2, før det kan anvendes til emailservere mv. Dvs. du skal vælge en af startssl's betalingsløsninger for at kunne anvende det til andet end en webserver eller til personlig email.

  • 0
  • 0
Log ind eller Opret konto for at kommentere