SSL cz. II – gram praktyki, czyli jak pozyskać (zaufany) certyfikat i go użyć

SSL cz. II – gram praktyki, czyli jak pozyskać (zaufany) certyfikat i go użyć === --- Plan działania --- * Problem * Przypomnienie podstaw SSL * Omówienie możliwości uzyskania certyfikatu * Prezentacja pozyskania certyfikatu --- Problem --- * Internet to środowisko trudne w kontroli * nie kontrolujemy wszystkich routerów itp. * złośliwe sieci Wi-Fi * podsłuch - sniffing i ataki MiTM * ochrona poufnosci w Internecie * zapewnienie weryfikacji tożsamości * odporność przed podsłuchem ---- Certyfikaty SSL --- Certyfikat SSL składa się z: * klucz prywatny * identyfikacja certyfikatu * podpis cyfrowy potwierdzający w/w Podpis cyfrowy udzielany jest przez **zaufaną trzecią stronę**. Demo: https://listy.siecobywatelska.pl/ ---- Nawiązanie komunikacji --- ![Komunikacja SSL](https://www.websequencediagrams.com/cgi-bin/cdraw?lz=S2xpZW50LT5TZXJ3ZXI6IMW7xIVkYW5pZSBuYXdpxIV6YW5pYSBcbnN6eWZyb3dhbmVnbyBwb8WCxIVjemVuaWEgaVxuIHByemVzxYIAJwVjZXJ0eWZpa2F0dS4KAFEGLT4AYQY6IFAAIAllABsOAHgQUwBnCSDFvACBDAcAPREAHAlhIG9kcG93aWVkxboK&s=default) ---- Uzyskanie certyfikatu --- ![Uzyskanie certyfikatu](https://www.websequencediagrams.com/cgi-bin/cdraw?lz=S2xpZW50LT4AAgY6IEdlbmVyb3dhbmllIHBhcnkga2x1Y3p5CgAMHENTUgAXCUNlbnRydW06IFByemVzxYIAGAkAEgcAFwtXZXJ5ZmlrYWNqYQAKGHlnAIEEC2NlcnQALAV0dQBECgCBMAgAYwwAHQw&s=default) CSR - certificate signing request ---- Formy uwierzytelniania --- * Ustalone w porozumieniu z producentami przeglądarek * Problemy z weryfikacją mogą doprowadzić do odmowy zaufania przez przeglądarki internetowe Najpopularniejsze: * weryfikacja adresu e-mail w domenie (kliknięcie w link / hasło), * weryfikacja rekordu DNS, * umieszczenie specjalnego pliku na serwerze. --- Studenckie sposóby na certyfikaty === - CloudFlare - LH.pl - Let's Encrypt i sslforfree.com --- CloudFlare === ![Zasada działania CloudFlare](https://www.websequencediagrams.com/cgi-bin/cdraw?lz=S2xpZW50LT5DbG91ZGZsYXJlIEROUzogWmFweXRhbmllIG8gYWRyZXMgSVAKIgAYDiItPgA5BjogVWR6aWVsZW5pZQAoBnUgSVAgc2Vyd2VyYSAAUQtDRE4KCmxvb3AgCiAgICAAdggATQxDRE4iOiDFu8SFZAB7BUhUVFBTIG8gemFzb2J5ADIFb3B0ADoFICAgIAArEC0-UwByBQAzEChTKQA3DiAgICAAJQYAbBRPZHBvd2llZMW6IHoAdQZhbWkAgS8FZW5kAIE3BQBnEgCCBQgAJhZlbmQKCg&s=default) ---- Dodawanie domeny --- Rejestracja pominięta. ![Forularz dodawania domeny](http://cdn.files.jawne.info.pl/private_html/2017_02_c81b10dccf546cc4d44b0a3aa2f533f7df9a28f4/Zaznaczenie_0387.png) ---- Dodawanie rekordów DNS --- ![Forularz dodawania domeny](http://cdn.files.jawne.info.pl/private_html/2017_02_c81b10dccf546cc4d44b0a3aa2f533f7df9a28f4/Zaznaczenie_0388.png) ---- Wybór planu taryfowego --- ![Wybór planu taryfowego](http://cdn.files.jawne.info.pl/private_html/2017_02_c81b10dccf546cc4d44b0a3aa2f533f7df9a28f4/Zaznaczenie_0389.png) ---- Konfiguracja serwera nazw --- ![Konfiguracja serwera nazw](http://cdn.files.jawne.info.pl/private_html/2017_02_c81b10dccf546cc4d44b0a3aa2f533f7df9a28f4/Zaznaczenie_0390.png) Demo: https://ochrona.jawne.info.pl/ ---- Ograniczenia --- * Komunikacja serwer <-> Cloudflare CDN **nie zawsze jest** szyfrowana. * Wymaga korzystania z CloudFlare, co budzi wątpliwość pod względem prywatności, bezpieczeństwa (Cloudbleed) i ochrony danych osobowych --- LH.pl === ---- Zamówienie --- ![Zamówienie](http://cdn.files.jawne.info.pl/private_html/2017_02_265e1c03c3ec04d279048c4bc6c51d7400cd1b60/Zaznaczenie_0391.png) ---- Potwierdzenie zamówienia --- ![Potwierdzenie zamówienia](http://cdn.files.jawne.info.pl/private_html/2017_02_265e1c03c3ec04d279048c4bc6c51d7400cd1b60/Zaznaczenie_0392.png) ---- Potwierdzenie SMS --- ![Potwierdzenie SMS](http://cdn.files.jawne.info.pl/private_html/2017_02_3d2bb885290656dd9d4a848e073ede2585530e30/Screenshot_20170224-183612.png "x" =500x) --- ---- Weryfikacja --- ![Weryfikacja](http://cdn.files.jawne.info.pl/private_html/2017_02_8bc403a500259ecb0ff00dd6d3bcdc772dd71537/Zaznaczenie_0395.png) ---- Przesłanie CSR --- ![Przesłanie CSR](http://cdn.files.jawne.info.pl/private_html/2017_02_8bc403a500259ecb0ff00dd6d3bcdc772dd71537/Zaznaczenie_0396.png) ---- Odebranie certyfikatu --- ![Odebranie certyfikatu](http://cdn.files.jawne.info.pl/private_html/2017_02_fb6dd93c25451040aa1b0763fde3194b0ea98333/Zaznaczenie_0397.png) ---- Zawartość --- ![Zawartość](http://cdn.files.jawne.info.pl/private_html/2017_02_fb6dd93c25451040aa1b0763fde3194b0ea98333/Zaznaczenie_0399.png) Demo: https://crm.siecobywatelska.pl/ ---- Ograniczenia --- * Certyfikat ważny tylko 1 rok * Brak możliwości automatyzacji --- Let's Encrypt i sslforfree.com === ---- Ograniczenia i zalety --- * Certyfikat ważny 3 miesiące * Możliwa i wskazana pełna automatyzacja * Ograniczona kompatybilność serwerowa * Trwałość usługi - została projektowana, aby być bezpłatna * Uwierzytelnianie: * plik na serwerze * rekord DNS --- Inne możliwości --- * Komercyjne centra certyfikacyjne * Certyfikaty OV i EV (potwierdzają tożsamość) * Certyfikaty Wildcard - *.example.com * Certyfikaty SAN - example.com, przyklad2.info ---- Certyfikaty OV i EV --- ![Certyfikat EV](http://cdn.files.jawne.info.pl/private_html/2017_02_21c207f707ea8ea71c558f223a891406f3cbe1f0/Zaznaczenie_0401.png)