nicht angemeldet
SSL-Verschlüsselung
Hallo,
was ist denn die einfachste und kostengünstigste Möglichkeit, Daten zwischen Client und Server per SSL zu verschicken? Muss man da in jedem Fall ein Zertifikat erwerben oder lässt sich das auch alles mit einem installierten OpenSSL regeln oder was genau wird benötigt?
Gruß Maik
-
Moin!
was ist denn die einfachste und kostengünstigste Möglichkeit, Daten zwischen Client und Server per SSL zu verschicken? Muss man da in jedem Fall ein Zertifikat erwerben oder lässt sich das auch alles mit einem installierten OpenSSL regeln oder was genau wird benötigt?
Hängt davon ab, welche Öffentlichkeitswirkung du auch beachten mußt.
Du kannst dir problemlos für SSL ein eigenes Zertifikat erstellen und es selbst signieren. Jeder Browser wird sowas erstmal wegen Unsicherheit anmeckern, aber die Übertragung ist immerhin schon mal verschlüsselt.
Wenn du jedes Mal die Signatur des Zertifikats sorgfältig prüfst, kann dir auch niemand die Connection kidnappen und seinen eigenen Server als deinen ausgeben. Alternativ importierst du das Zertifikat deiner Signaturstelle in deinen Browser, dann geschieht diese Prüfung künftig automatisch (und solange dir keiner dein Signaturzertifikat klaut, ist das auch sicher).
Wenn du hingegen einen ganz normalen öffentlichen und vertrauenswürdigen SSL-Host brauchst, kommst du nicht drum herum, dein selbst erstelltes Zertifikat von einer Signaturstelle unterschreiben zu lassen, deren Zertifikat schon in den bekannten Browsern vorinstalliert ist. Nur dann funktioniert SSL ohne lästige Sicherheitsmeldung.
Kostenlose Zertifikate gibts bei CACert - deren Zertifikat ist allerdings noch nicht verbreitet in Browsern installiert, deren Sicherheitsaudit ist noch nicht abgeschlossen. Das wäre aber für halböffentliche Nutzergruppen, denen man zumuten kann, sich ggf. das CACert-Zertifikat zu installieren, eine nicht uninteressante Alternative.
- Sven Rautenberg
--
"Love your nation - respect the others."-
Hallo,
Sven hat eigentlich schon alles gesagt. Ich möchte nur diese Gelegenheit ergreifen, um meine Meinung zu äußern, da mich die Reaktion von IE 7 auf selbstunterzeichnete Zertifikate maßlos ärgert.
Ich betreibe eine Vereinsseite mit ca. 100 Mitgliedern. Unter anderem gibt es dort natürlich eine Registrierung, Login und Adressbuch, sodass die Nutzer ihre persönliche Daten eingeben müssen. Da bietet sich natürlich an die SSL Verschlüsselung einzusetzen, um die Übertragung eben dieser Daten sicherer zu gestalten. Der Verein hat nicht viel Geld und ist nicht bereit teilweise horrende Summen in den Schlund eines CA zu schaufeln, funktionert doch die Verschlüsselung auch ohne dass die Ihren Senf dazu tun. Neuerdings erreichte mich mehrmals die Anfrage, ob die Sicherheit unserer Webseite noch gewährleistet wäre, denn man sieht nur eine Sicherheitswarnung und "man kommt gar nicht mehr drauf". Packe ich also schnell meine XP Platte aus und schau mir die Registrierung erstmalig in IE 7 an und siehe da, die Beschreibung war sehr zutreffend. Der IE 7 zeigt nicht mal mehr die Seite an! Sondern nur eine fette Sicherheitswarnung und OK noch einen Link auf den man klicken kann, aber die User haben sich da nicht mehr getraut bzw. haben ihn nicht gefunden mit all dem Fachjargon. Mit diesen kleinen Sicherheitshinweisen von Firefox kommt man noch sehr gut klar, man kann die Nutzer ja darauf hinweisen, dass das auftreten wird und dass trotzdem alles in Ordnung ist. Aber seit neuestem mit dem IE 7 gewinnt die "Funktionalität" des Browsers hier die Oberhand.
Ich bin sehr empört über dieses neue "Feature" und meiner Meinung nach ist es vielmehr Geldmacherei, als echte Sicherheit. Als Betreiber dieser Webseite treibt mich dieses Verhalten nämlich dazu die Verschlüsselung lieber abzuschalten und die Sicherheit zu senken, damit die User nicht verprellt werden. Der Server steht bei einem renommierten Host in einem voll geswitchtem Netzwerk. Das Risiko, dass einer die Daten bei der Übertragung mitschneidet ist m.E. nach sehr gering und bei so etwas finanziell unwichtigem, wie eine Vereinsseite, möglicherweise vernachlässigbar.
So, das musste einfach mal gesagt werden. :)
Gruß,
Cruz-
hi,
Ich bin sehr empört über dieses neue "Feature" und meiner Meinung nach ist es vielmehr Geldmacherei, als echte Sicherheit.
Auch Phisher nutzen selbsterstellte Zertifikate, um durch die Übertragung per HTTPS Sicherheit vorzugaukeln.
Wie gerne der Normalo-User auf Phishing hereinfällt, dürfte bekannt sein - also muss man da deutlicher werden und auch restriktivere Maßnahmen ergreifen, wenn man ihn ein wenig vor der eigenen Unwissenheit schützen will.Der IE 7 zeigt nicht mal mehr die Seite an! Sondern nur eine fette Sicherheitswarnung und OK noch einen Link auf den man klicken kann, aber die User haben sich da nicht mehr getraut bzw. haben ihn nicht gefunden mit all dem Fachjargon.
Also haben deine Nutzer so wenig Fachwissen, dass sie vor sich selbst geschützt werden sollten. Der IE erfüllt hier seine Aufgabe also zufriedenestellend.
Deine Nutzer ggf. aufzuklären, und ihnen zu erklären wie sie dein Zertifikat dauerhaft akzeptieren, wäre deine Aufgabe.
gruß,
wahsaga--
/voodoo.css:
#GeorgeWBush { position:absolute; bottom:-6ft; }
-
-