Ankündigung

Einklappen
Keine Ankündigung bisher.

SSL - Neuland und gleich ein wenig überfragt

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • #16
    Zitat von Firehold Beitrag anzeigen
    With Domain Validation certificates, it is easy for a cyber-criminal to mimic your web site and to ask for a Domain Validation certificate himself
    If your website is called www.my-website.com, he can recreate a similar web site and name it www.mywebsite.net and ask for a DV certificate
    He can then lure all your clients to his malicious web site and get all their sensitive information,
    and you (your business) will be the one suffering the consequences...
    In der Adresszeile haben beide ein grünes Schloss, der Unterschied wird erst sichtbar, wenn man sich das Zertifikat genau ansieht. Und was meinst du wieviele deiner Webseitenbesucher das machen?
    Zitat von nikosch
    Macht doch alle was Ihr wollt mit Eurem Billigscheiß. Von mir aus sollen alle Eure Server abrauchen.

    Kommentar


    • #17
      Zitat von tkausl Beitrag anzeigen
      [...] Und was meinst du wieviele deiner Webseitenbesucher das machen?
      1 von 50.000 geschätzt

      Kommentar


      • #18
        Lies dir mal Punkt 2 ganz genau durch
        https://www.globalsign.com/de-de/blo...te-auswaehlen/

        Wenn du die Webseite im Firefox betrachtest dann steht dort neben dem Schloss Globalsign, dass steht bei mir natürlich nicht, ist aber egal.
        Vergleichbar mit
        Postkarte:
        ohne Verschlüsselung, jeder kann mitlesen
        Brief:
        mit Verschlüsselung, keiner kann mitlesen
        Briefumschlag von einer Firma
        z.B. FedEx, DHL, UPS etc.:
        man sieht sofort wer den Brief zugestellt hat, ist aber für den Inhalt irrelevant, also kann ich auch meine eigenen Briefumschläge verwenden.

        Kommentar


        • #19
          Zitat von Firehold Beitrag anzeigen
          Ist das lediglich kosmetischer Service also Stärkung des Sicherheitsgefühls des Kunden oder stecken da auch physische Unterschiede in der Sicherheitsstruktur?
          Grundsätzlich sind kostenpflichtige Zertifikate reine Abzocke. Es findet nur eine "gründlichere" Überprüfung statt (oder auch nicht). Manchmal mag es dafür noch Gründe geben, aber außer Banken und ähnlichen braucht das eigentlich keiner.

          Für umsonst klingt natürlich sehr verführerisch, wie sieht es denn mit dem Sicherheitsstatus aus? Habe sehr oft gehört man soll von kostenlosen / OpenSource SSLs wie OpenSSL die Finger lassen, da die Sicherheit nicht ausreichend ist.
          Da hast du viel falsch gehört. Kryptosachen MÜSSEN Opensource sein, um als sicher zu gelten. Geheime Algorithmen sind immer als unsicher anzusehen, weil die Umsetzung der Algorithmen nicht überprüft werden können. Fast das ganze Netz benutzt OpenSSL und LibreSSL und das nicht ohne Grund. Daneben gibts noch ein paar kleinere Bibliotheken.

          Zitat von rkr Beitrag anzeigen
          ich habe oben ja schon geschrieben, dass OpenSSL kein leicht zudurchdringender Stoff ist
          Das ist noch sehr freundlich ausgedrückt. Heutige Kryptographie ist verdammt harter Stoff.
          Wer will kann ja mal versuchen die aktuelle Hasfunktion Keccak (SHA3) fehlerfrei! in Code umusetzen:
          http://keccak.noekeon.org/Keccak-reference-3.0.pdf

          Zitat von Firehold Beitrag anzeigen
          Oh das dachte ich mir, jedoch durfte ich soeben freudigerweise feststellen, dass mein Hoster LetyEncrypt einrichtungen unterstützt
          Wie sieht es denn mit der Browserkompatibilität aus? Habe gehört bei manchen OpenSSL Zertifikaten kommt beim Aufruf eine Mitteilung die Seite sei nicht sicher?
          Nur bei komplett veralteten Zertifikaten. Alle halbwegs aktuellen Browser haben keine Probleme mit moderner Kryptographie, sofern das Betriebssystem dahinter nicht besonders alt ist.
          Windows Server gehören NICHT ins Internet!

          Dildo? Dildo!

          Kommentar


          • #20
            Vielen Dank für all eure Informationen.
            Ich habe mich aufgrund dessen vorerst wirklich für die OpenSSL Variante entschieden.
            Da unser Projekt (noch) nicht firmiert ist, und wir somit auch keine Möglichkeit hätten die grüne Adressleiste zu bekommen, ist das die sinnigste Lösung.
            Einen Haufen Geld für die OV Variante auszugeben nur damit einer unserer momentan noch überschaubaren Besucher beim Klick aufs TZertifikat einen namen sieht ist wirklich nicht sinnig!

            Sobald das Projekt firmiert wurde und läuft wird nochmal über die grüne Adressleiste nachgedacht, aber bis dahin nicht!

            Danke an alle für eurer Fachwissen!

            Eine letzte kleine Frage habe ich noch für mein eigenes Interesse. Ich habe nun überall gesehen, dass die "key size" oder "bit length" 2048 bit ist, nun aber auch anbieter mit 4096 bit werben. Ist das dann wirklich ein noch höherer Sicherheitsstandard oder Augenwischerei von unwissenden?

            Kommentar


            • #21
              Zitat von trollface

              Das ist noch sehr freundlich ausgedrückt. Heutige Kryptographie ist verdammt harter Stoff.
              So meinte ich das auch nicht
              Kryptographie ist harter Stoff der mit OpenSSL noch mal besonders undurchdringlich umgesetzt wurde. OpenSSL ist einfach keine "schöne" Implementierung und daher gibt es wesentlich weniger Peer-Reviews als möglich. Um es mal ungeschont auszudrücken: Niemand will sich freiwillig durch den Mist durcharbeiten.
              Standards - Best Practices - AwesomePHP - Guideline für WebApps

              Kommentar

              Lädt...
              X