HTTPS
Ik heb op dit moment een webapplicatie op een webserver draaien, deze is via HTTP te benaderen. Ik wil graag dat dit secure gebeurt, dus middels HTTPS. Ik weet dat het allemaal niet gek moeilijk is, maar hoe precies daar kom ik niet helemaal achter.
Dus wie kan mij vertellen hoe ik mijn webserver naar HTTPS laat luisteren?
Bij voorbaat dank voor je reactie.
Gesponsorde koppelingen:
Of je kunt hier klikk'n:
https://www.sslcertificaten.nl/
Gewijzigd op 03/06/2010 12:16:37 door Bas Kreleger
- apart server-IP-Adres (je mag voor elk serverip 1 certificaat gebruiken)
- je zult een redirect moeten doen naar https vanaf je http omgeving
- http://www.informit.com/articles/article.aspx?p=30115&seqNum=5 is een goed voorbeeld voor instellen van je apache
Misschien staat het stoer maar dan?
Bram Boos op 03/06/2010 19:11:47:
Ik vraag mij trouwens wel eens af wat nou het voordeel is van een SSL verbinding?
Misschien staat het stoer maar dan?
Misschien staat het stoer maar dan?
Onder andere de data die wordt verstuurd tussen de client en de server worden ge-encrypteerd. De verbinding is veilig, dit zegt echter totaal niets over de website.
Gewijzigd op 03/06/2010 19:36:09 door Chris
Chris Horeweg op 03/06/2010 19:35:38:
Onder andere de data die wordt verstuurd tussen de client en de server worden ge-encrypteerd. De verbinding is veilig, dit zegt echter totaal niets over de website.
Bram Boos op 03/06/2010 19:11:47:
Ik vraag mij trouwens wel eens af wat nou het voordeel is van een SSL verbinding?
Misschien staat het stoer maar dan?
Misschien staat het stoer maar dan?
Onder andere de data die wordt verstuurd tussen de client en de server worden ge-encrypteerd. De verbinding is veilig, dit zegt echter totaal niets over de website.
Duidelijk maar waarom moet je er een certificaat voor kopen?
Bram Boos op 03/06/2010 19:45:26:
Duidelijk maar waarom moet je er een certificaat voor kopen?
Chris Horeweg op 03/06/2010 19:35:38:
Onder andere de data die wordt verstuurd tussen de client en de server worden ge-encrypteerd. De verbinding is veilig, dit zegt echter totaal niets over de website.
Bram Boos op 03/06/2010 19:11:47:
Ik vraag mij trouwens wel eens af wat nou het voordeel is van een SSL verbinding?
Misschien staat het stoer maar dan?
Misschien staat het stoer maar dan?
Onder andere de data die wordt verstuurd tussen de client en de server worden ge-encrypteerd. De verbinding is veilig, dit zegt echter totaal niets over de website.
Duidelijk maar waarom moet je er een certificaat voor kopen?
Omdat je een key moet krijgen, die van jou is en tot jou site behoort. Als iedereen zo'n certificaat kan maken, dan kan je dus de boel weer oplichten door een nep certificaat te maken.
Je kan zelf zo'n key maken (zie openssl), maar je staat dan niet in de "root". De root is een overzicht van partijen die die certificaten verkopen. Staat jouw zelfgemaakte certificaat niet in de root, dan is hij ongeldig en krijg je een waarschuwing. De verbinding is dan nog steeds beveiligd, maar het certificaat is niet geldig. Het certificaat heeft ook als doel dat deze verzekerd is (bij de duurdere varianten) indien een gebruiker/eigenaar schade krijgt door de website. Of zoiets.
Chris Horeweg op 03/06/2010 20:03:39:
Karl, niet helemaal juist wat je nu zegt.
Je kan zelf zo'n key maken (zie openssl), maar je staat dan niet in de "root". De root is een overzicht van partijen die die certificaten verkopen. Staat jouw zelfgemaakte certificaat niet in de root, dan is hij ongeldig en krijg je een waarschuwing. De verbinding is dan nog steeds beveiligd, maar het certificaat is niet geldig. Het certificaat heeft ook als doel dat deze verzekerd is (bij de duurdere varianten) indien een gebruiker/eigenaar schade krijgt door de website. Of zoiets.
Je kan zelf zo'n key maken (zie openssl), maar je staat dan niet in de "root". De root is een overzicht van partijen die die certificaten verkopen. Staat jouw zelfgemaakte certificaat niet in de root, dan is hij ongeldig en krijg je een waarschuwing. De verbinding is dan nog steeds beveiligd, maar het certificaat is niet geldig. Het certificaat heeft ook als doel dat deze verzekerd is (bij de duurdere varianten) indien een gebruiker/eigenaar schade krijgt door de website. Of zoiets.
Helemaal correct.
Karl Karl op 03/06/2010 20:08:25:
Jah, net zoals die certificaten die je bij plesk hebt. Die zijn overal hetzelfde.
Jep, onder andere. Maar ook sommige mail-servers gebruiken standaard certificaten, windows server(s), cPanel. Kan tot ergernis leiden, bij zowel klanten als eigenaren: Klant zegt dat het niet werkt, omdat de certificaat ongeldig is. Eigenaar moet uitleggen dat het wel werkt, maar dat ze de certificaat moeten accepteren e.d.
Chris Horeweg op 03/06/2010 20:03:39:
Karl, niet helemaal juist wat je nu zegt.
Je kan zelf zo'n key maken (zie openssl), maar je staat dan niet in de "root". De root is een overzicht van partijen die die certificaten verkopen. Staat jouw zelfgemaakte certificaat niet in de root, dan is hij ongeldig en krijg je een waarschuwing. De verbinding is dan nog steeds beveiligd, maar het certificaat is niet geldig. Het certificaat heeft ook als doel dat deze verzekerd is (bij de duurdere varianten) indien een gebruiker/eigenaar schade krijgt door de website. Of zoiets.
Je kan zelf zo'n key maken (zie openssl), maar je staat dan niet in de "root". De root is een overzicht van partijen die die certificaten verkopen. Staat jouw zelfgemaakte certificaat niet in de root, dan is hij ongeldig en krijg je een waarschuwing. De verbinding is dan nog steeds beveiligd, maar het certificaat is niet geldig. Het certificaat heeft ook als doel dat deze verzekerd is (bij de duurdere varianten) indien een gebruiker/eigenaar schade krijgt door de website. Of zoiets.
Wat wordt het ons dan makkelijk gemaakt, als jij gewoon een super slecht login systeem hebt maar wel SSL kun je dus gewoon claimen als iemand je hackt en schade aanricht...
Bram Boos op 03/06/2010 20:38:15:
Wat wordt het ons dan makkelijk gemaakt, als jij gewoon een super slecht login systeem hebt maar wel SSL kun je dus gewoon claimen als iemand je hackt en schade aanricht...
Chris Horeweg op 03/06/2010 20:03:39:
Karl, niet helemaal juist wat je nu zegt.
Je kan zelf zo'n key maken (zie openssl), maar je staat dan niet in de "root". De root is een overzicht van partijen die die certificaten verkopen. Staat jouw zelfgemaakte certificaat niet in de root, dan is hij ongeldig en krijg je een waarschuwing. De verbinding is dan nog steeds beveiligd, maar het certificaat is niet geldig. Het certificaat heeft ook als doel dat deze verzekerd is (bij de duurdere varianten) indien een gebruiker/eigenaar schade krijgt door de website. Of zoiets.
Je kan zelf zo'n key maken (zie openssl), maar je staat dan niet in de "root". De root is een overzicht van partijen die die certificaten verkopen. Staat jouw zelfgemaakte certificaat niet in de root, dan is hij ongeldig en krijg je een waarschuwing. De verbinding is dan nog steeds beveiligd, maar het certificaat is niet geldig. Het certificaat heeft ook als doel dat deze verzekerd is (bij de duurdere varianten) indien een gebruiker/eigenaar schade krijgt door de website. Of zoiets.
Wat wordt het ons dan makkelijk gemaakt, als jij gewoon een super slecht login systeem hebt maar wel SSL kun je dus gewoon claimen als iemand je hackt en schade aanricht...
Nee, want je hebt alleen een beveiligde verbinding. Als jij een slecht systeem maakt, wat gehackt wordt, dan is het jou schuld.
Karl Karl op 03/06/2010 20:40:42:
(...)
Nee, want je hebt alleen een beveiligde verbinding. Als jij een slecht systeem maakt, wat gehackt wordt, dan is het jou schuld.
Nee, want je hebt alleen een beveiligde verbinding. Als jij een slecht systeem maakt, wat gehackt wordt, dan is het jou schuld.
Oké, iets te makkelijk gedacht dus ;-)
Gewijzigd op 03/06/2010 20:53:01 door Bram Boos
Chris Horeweg op 03/06/2010 20:59:41:
Jep. En je zou eens moeten weten hoeveel websites mét SSL, die zich dus volledig veilig wanen, binnen 5 minuten een SQL-dump geven met de belangrijkste gegevens =)
Zal best zo zijn wat jij zegt, maar ik vind het raar dat men denkt dat men veilig is (met een slecht systeem) als men ssl gebruikt. SSL zegt alleen maar wat over de verbinding.
Je kunt ook gewoon met een ssl verbinding doen. Heb je nog steeds alleen maar een beveiligde verbinding. Het script is zo onveilig als het maar kan.
