SSL cz. II – gram praktyki, czyli jak pozyskać (zaufany) certyfikat i go użyć
===
---
Plan działania
---
* Problem
* Przypomnienie podstaw SSL
* Omówienie możliwości uzyskania certyfikatu
* Prezentacja pozyskania certyfikatu
---
Problem
---
* Internet to środowisko trudne w kontroli
* nie kontrolujemy wszystkich routerów itp.
* złośliwe sieci Wi-Fi
* podsłuch - sniffing i ataki MiTM
* ochrona poufnosci w Internecie
* zapewnienie weryfikacji tożsamości
* odporność przed podsłuchem
----
Certyfikaty SSL
---
Certyfikat SSL składa się z:
* klucz prywatny
* identyfikacja certyfikatu
* podpis cyfrowy potwierdzający w/w
Podpis cyfrowy udzielany jest przez **zaufaną trzecią stronę**.
Demo: https://listy.siecobywatelska.pl/
----
Nawiązanie komunikacji
---
![Komunikacja SSL](https://www.websequencediagrams.com/cgi-bin/cdraw?lz=S2xpZW50LT5TZXJ3ZXI6IMW7xIVkYW5pZSBuYXdpxIV6YW5pYSBcbnN6eWZyb3dhbmVnbyBwb8WCxIVjemVuaWEgaVxuIHByemVzxYIAJwVjZXJ0eWZpa2F0dS4KAFEGLT4AYQY6IFAAIAllABsOAHgQUwBnCSDFvACBDAcAPREAHAlhIG9kcG93aWVkxboK&s=default)
----
Uzyskanie certyfikatu
---
![Uzyskanie certyfikatu](https://www.websequencediagrams.com/cgi-bin/cdraw?lz=S2xpZW50LT4AAgY6IEdlbmVyb3dhbmllIHBhcnkga2x1Y3p5CgAMHENTUgAXCUNlbnRydW06IFByemVzxYIAGAkAEgcAFwtXZXJ5ZmlrYWNqYQAKGHlnAIEEC2NlcnQALAV0dQBECgCBMAgAYwwAHQw&s=default)
CSR - certificate signing request
----
Formy uwierzytelniania
---
* Ustalone w porozumieniu z producentami przeglądarek
* Problemy z weryfikacją mogą doprowadzić do odmowy zaufania przez przeglądarki internetowe
Najpopularniejsze:
* weryfikacja adresu e-mail w domenie (kliknięcie w link / hasło),
* weryfikacja rekordu DNS,
* umieszczenie specjalnego pliku na serwerze.
---
Studenckie sposóby na certyfikaty
===
- CloudFlare
- LH.pl
- Let's Encrypt i sslforfree.com
---
CloudFlare
===
![Zasada działania CloudFlare](https://www.websequencediagrams.com/cgi-bin/cdraw?lz=S2xpZW50LT5DbG91ZGZsYXJlIEROUzogWmFweXRhbmllIG8gYWRyZXMgSVAKIgAYDiItPgA5BjogVWR6aWVsZW5pZQAoBnUgSVAgc2Vyd2VyYSAAUQtDRE4KCmxvb3AgCiAgICAAdggATQxDRE4iOiDFu8SFZAB7BUhUVFBTIG8gemFzb2J5ADIFb3B0ADoFICAgIAArEC0-UwByBQAzEChTKQA3DiAgICAAJQYAbBRPZHBvd2llZMW6IHoAdQZhbWkAgS8FZW5kAIE3BQBnEgCCBQgAJhZlbmQKCg&s=default)
----
Dodawanie domeny
---
Rejestracja pominięta.
![Forularz dodawania domeny](http://cdn.files.jawne.info.pl/private_html/2017_02_c81b10dccf546cc4d44b0a3aa2f533f7df9a28f4/Zaznaczenie_0387.png)
----
Dodawanie rekordów DNS
---
![Forularz dodawania domeny](http://cdn.files.jawne.info.pl/private_html/2017_02_c81b10dccf546cc4d44b0a3aa2f533f7df9a28f4/Zaznaczenie_0388.png)
----
Wybór planu taryfowego
---
![Wybór planu taryfowego](http://cdn.files.jawne.info.pl/private_html/2017_02_c81b10dccf546cc4d44b0a3aa2f533f7df9a28f4/Zaznaczenie_0389.png)
----
Konfiguracja serwera nazw
---
![Konfiguracja serwera nazw](http://cdn.files.jawne.info.pl/private_html/2017_02_c81b10dccf546cc4d44b0a3aa2f533f7df9a28f4/Zaznaczenie_0390.png)
Demo: https://ochrona.jawne.info.pl/
----
Ograniczenia
---
* Komunikacja serwer <-> Cloudflare CDN **nie zawsze jest** szyfrowana.
* Wymaga korzystania z CloudFlare, co budzi wątpliwość pod względem prywatności, bezpieczeństwa (Cloudbleed) i ochrony danych osobowych
---
LH.pl
===
----
Zamówienie
---
![Zamówienie](http://cdn.files.jawne.info.pl/private_html/2017_02_265e1c03c3ec04d279048c4bc6c51d7400cd1b60/Zaznaczenie_0391.png)
----
Potwierdzenie zamówienia
---
![Potwierdzenie zamówienia](http://cdn.files.jawne.info.pl/private_html/2017_02_265e1c03c3ec04d279048c4bc6c51d7400cd1b60/Zaznaczenie_0392.png)
----
Potwierdzenie SMS
---
![Potwierdzenie SMS](http://cdn.files.jawne.info.pl/private_html/2017_02_3d2bb885290656dd9d4a848e073ede2585530e30/Screenshot_20170224-183612.png "x" =500x)
---
----
Weryfikacja
---
![Weryfikacja](http://cdn.files.jawne.info.pl/private_html/2017_02_8bc403a500259ecb0ff00dd6d3bcdc772dd71537/Zaznaczenie_0395.png)
----
Przesłanie CSR
---
![Przesłanie CSR](http://cdn.files.jawne.info.pl/private_html/2017_02_8bc403a500259ecb0ff00dd6d3bcdc772dd71537/Zaznaczenie_0396.png)
----
Odebranie certyfikatu
---
![Odebranie certyfikatu](http://cdn.files.jawne.info.pl/private_html/2017_02_fb6dd93c25451040aa1b0763fde3194b0ea98333/Zaznaczenie_0397.png)
----
Zawartość
---
![Zawartość](http://cdn.files.jawne.info.pl/private_html/2017_02_fb6dd93c25451040aa1b0763fde3194b0ea98333/Zaznaczenie_0399.png)
Demo: https://crm.siecobywatelska.pl/
----
Ograniczenia
---
* Certyfikat ważny tylko 1 rok
* Brak możliwości automatyzacji
---
Let's Encrypt i sslforfree.com
===
----
Ograniczenia i zalety
---
* Certyfikat ważny 3 miesiące
* Możliwa i wskazana pełna automatyzacja
* Ograniczona kompatybilność serwerowa
* Trwałość usługi - została projektowana, aby być bezpłatna
* Uwierzytelnianie:
* plik na serwerze
* rekord DNS
---
Inne możliwości
---
* Komercyjne centra certyfikacyjne
* Certyfikaty OV i EV (potwierdzają tożsamość)
* Certyfikaty Wildcard - *.example.com
* Certyfikaty SAN - example.com, przyklad2.info
----
Certyfikaty OV i EV
---
![Certyfikat EV](http://cdn.files.jawne.info.pl/private_html/2017_02_21c207f707ea8ea71c558f223a891406f3cbe1f0/Zaznaczenie_0401.png)
{"metaMigratedAt":"2023-06-14T12:28:48.436Z","metaMigratedFrom":"Content","title":"SSL cz. II – gram praktyki, czyli jak pozyskać (zaufany) certyfikat i go użyć","breaks":"true","contributors":"[]"}