Ik heb op dit moment een webapplicatie op een webserver draaien, deze is via HTTP te benaderen. Ik wil graag dat dit secure gebeurt, dus middels HTTPS. Ik weet dat het allemaal niet gek moeilijk is, maar hoe precies daar kom ik niet helemaal achter.
Dus wie kan mij vertellen hoe ik mijn webserver naar HTTPS laat luisteren?
Je kan zelf zo'n key maken (zie [google]openssl[/google]), maar je staat dan niet in de "root". De root is een overzicht van partijen die die certificaten verkopen. Staat jouw zelfgemaakte certificaat niet in de root, dan is hij ongeldig en krijg je een waarschuwing. De verbinding is dan nog steeds beveiligd, maar het certificaat is niet geldig. Het certificaat heeft ook als doel dat deze verzekerd is (bij de duurdere varianten) indien een gebruiker/eigenaar schade krijgt door de website. Of zoiets.
?Onbekende gebruiker
03-06-2010 20:08
Jah, net zoals die certificaten die je bij plesk hebt. Die zijn overal hetzelfde.
Je kan zelf zo'n key maken (zie [google]openssl[/google]), maar je staat dan niet in de "root". De root is een overzicht van partijen die die certificaten verkopen. Staat jouw zelfgemaakte certificaat niet in de root, dan is hij ongeldig en krijg je een waarschuwing. De verbinding is dan nog steeds beveiligd, maar het certificaat is niet geldig. Het certificaat heeft ook als doel dat deze verzekerd is (bij de duurdere varianten) indien een gebruiker/eigenaar schade krijgt door de website. Of zoiets.
Jah, net zoals die certificaten die je bij plesk hebt. Die zijn overal hetzelfde.
Jep, onder andere. Maar ook sommige mail-servers gebruiken standaard certificaten, windows server(s), cPanel. Kan tot ergernis leiden, bij zowel klanten als eigenaren: Klant zegt dat het niet werkt, omdat de certificaat ongeldig is. Eigenaar moet uitleggen dat het wel werkt, maar dat ze de certificaat moeten accepteren e.d.
Je kan zelf zo'n key maken (zie [google]openssl[/google]), maar je staat dan niet in de "root". De root is een overzicht van partijen die die certificaten verkopen. Staat jouw zelfgemaakte certificaat niet in de root, dan is hij ongeldig en krijg je een waarschuwing. De verbinding is dan nog steeds beveiligd, maar het certificaat is niet geldig. Het certificaat heeft ook als doel dat deze verzekerd is (bij de duurdere varianten) indien een gebruiker/eigenaar schade krijgt door de website. Of zoiets.
Wat wordt het ons dan makkelijk gemaakt, als jij gewoon een super slecht login systeem hebt maar wel SSL kun je dus gewoon claimen als iemand je hackt en schade aanricht...
?Onbekende gebruiker
03-06-2010 20:40
Bram Boos op 03/06/2010 20:38:15
[quote="Chris Horeweg op 03/06/2010 20:03:39"]
Karl, niet helemaal juist wat je nu zegt.
Je kan zelf zo'n key maken (zie [google]openssl[/google]), maar je staat dan niet in de "root". De root is een overzicht van partijen die die certificaten verkopen. Staat jouw zelfgemaakte certificaat niet in de root, dan is hij ongeldig en krijg je een waarschuwing. De verbinding is dan nog steeds beveiligd, maar het certificaat is niet geldig. Het certificaat heeft ook als doel dat deze verzekerd is (bij de duurdere varianten) indien een gebruiker/eigenaar schade krijgt door de website. Of zoiets.
Wat wordt het ons dan makkelijk gemaakt, als jij gewoon een super slecht login systeem hebt maar wel SSL kun je dus gewoon claimen als iemand je hackt en schade aanricht...
[/quote]
Nee, want je hebt alleen een beveiligde verbinding. Als jij een slecht systeem maakt, wat gehackt wordt, dan is het jou schuld.
Jep. En je zou eens moeten weten hoeveel websites mét SSL, die zich dus volledig veilig wanen, binnen 5 minuten een SQL-dump geven met de belangrijkste gegevens =)
?Onbekende gebruiker
03-06-2010 21:05
Chris Horeweg op 03/06/2010 20:59:41
Jep. En je zou eens moeten weten hoeveel websites mét SSL, die zich dus volledig veilig wanen, binnen 5 minuten een SQL-dump geven met de belangrijkste gegevens =)
Zal best zo zijn wat jij zegt, maar ik vind het raar dat men denkt dat men veilig is (met een slecht systeem) als men ssl gebruikt. SSL zegt alleen maar wat over de verbinding.
Je kunt ook gewoon <?php eval($_GET['blaat']); ?> met een ssl verbinding doen. Heb je nog steeds alleen maar een beveiligde verbinding. Het script is zo onveilig als het maar kan.
