HTTP vs. HTTPS? Emnet er løst

[Spotten]

Hejsa.

Jeg sidder og roder med noget server og har indtil videre fået sat "LAMP" server op samt installeret phpbb board.

Nu sidder jeg så og tænker om der er nogen fordel ved at køre med HTTPS istedet for HTTP?

Jeg ved godt det betyder secure, og jeg kan se siden her f.eks bruger det, så på en eller anden måde må det vel være bedre end normalt HTTP?

På forhånd tak.

[NickyThomassen]

Der er ikke som sådan nogen forskel imellem HTTP og HTTPS rent teknisk set.

Forskellen ligger netop i secure, som betyder at serveren og klienten opretter en krypteret kanal inden at HTTP transaktionen starter. Når kanalen er oprettet, så forløber kommunikationen over HTTP som sædvanligt.

Vi valgte at forlange kryptering her, fordi vi håndterer kodeord og e-mailadresser. Uden kryptering er det meget nemt at aflure sådanne oplysninger, hvis man har adgang til serverens eller klientens netværk, eller et af dem som de kommunikerer igennem.

Om du skal bruge HTTPS kommer an på hvilken oplysninger du regner med at have på siden, og i hvor stor grad du vil forsøge at holde dem hemmelige. I første omgang kan du bare bruge et hjemmelavet certifikat imens du tester, og hvis du så enten vil tilbyde eller forlange kryptering, så fås certifikater helt ned til 100,- / året og snart (forhåbenligt) gratis

https://www.gandi.net/ssl/standard
https://ubuntudanmark.dk/forum/viewtopic.php?f=12&t=19623

Bemærk at det ikke hedder SSL mere, men TLS.
SSL referer til de ældre udgaver, imens TLS er de nyere. Undgå at bruge SSL hvis det er muligt.
https://en.wikipedia.org/wiki/Transport_Layer_Security

[AJenbo]

Uden et domæne navn (spotten.dk) kan du ikke få et gyldigt certifikat, så hvis du vælger at køre HTTPS får folk der ønsker at besøge din side en advarsel om at din side sikkert er svindel.

[Blueeyez]

Nu er jeg lidt forvirret... ubuntuesbjerg.dk er med https og her har jeg valgt http -> https (hvilket betyder at http laves om til https hele vejen).
Så at bruge https betyder da at forbindelsen mellem klient og server er krypteret fra man forbinder til hjemmesiden og til man forlader hjemmesiden?

[AJenbo]

@Blueeyez: Jeg er ikke helt med på hvad du henviser til. Men dem der forbinder til http først og så bliver videresendt til https vil man kunne se hvilken side det er de tilgår i starten pga. det forgår over http, føst efter de er overgået til https vil forbindelsen være krypteret. Du bør måske se på HSTS som kan sørge for at browseren selv i fremtiden sørge for altid at forbinde til https og så ikke afsløre noget over http først:
http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security

[Blueeyez]

Har web server ved servage.dk og her kan man i ssl certifikatet indstillinger vælge (http > https) hvilket tvinger http til https. Du kan ikke gå på http://ubuntuesbjerg.dk og ikke blive sat over på https (Hvis det er muligt, så skal man i hvertfald instille sin browser speifikt).

Har os spurgt dem om de bruger HTST nu da jeg lige fik viden om denne type sikkerhed os

[AJenbo]

Det http til https er et forward og det er ikke krypteret så man kan se hvad det er brugeren tilgår inden de ryger over på https, det samme gør sig gældende her på siden.

[Blueeyez]

Ja okay, så er der lidt at kigge på for mig

[Spotten]

Tak for en meget udførlig guide allesammen!

Jeg tror ikke det er noget jeg vil bruge før jeg går "Online" så at sige og får mig et domæne, og dette vil nok ikke ske!

Jeg troede også det var krypteret hele vejen, altså at det var sendt som krypteret over en krypteret linje.

Det lyder jo ikke så galt for et certifikat, jeg lod nemlig mærke til på en anden side jeg kender, at den skrev der var tale om snyd osv. men det er vel kun fordi certifikatet ikke er godkendt til offentligt brug så vidt jeg kan forstå.

Hvis jeg en dag får sat mig for at køre en server med et board som herinde, så vil jeg nok vælge at gøre det krypteret også, af samme grunde som i gør det, for at bevare brugerens sikkerhed.

Synes bare vi høre så meget nu om dage om overvågning, og dertil tænker jeg, hvor blev vores privatliv af?

Så måske burde jeg trods det kun et lokalt indtil videre, sætte kryptering på så man ikke kan snuse med ved et "MITM-attack" f.eks?

[AJenbo]

Jeg troede også det var krypteret hele vejen, altså at det var sendt som krypteret over en krypteret linje.

Så snart der står HTTPS i browseren er det krypret, men hvis du blot skriver www som adresse vil der være 1 kald der ikke er krypteret. Med sider hvor der er aktiveret HSTS vil den så huske at du mener HTTPS næste gang du skriver www. Håber det giver mening
Det http->https som Blueyez nævnerer da helt klart også bedre end at lade brugeren fortsætte på HTTP, og det er også det eneste man kan gøre når først brugeren har valgt at tilgå HTTP siden i første omgang.

Det lyder jo ikke så galt for et certifikat, jeg lod nemlig mærke til på en anden side jeg kender, at den skrev der var tale om snyd osv. men det er vel kun fordi certifikatet ikke er godkendt til offentligt brug så vidt jeg kan forstå.

Det er nogenlunde rigtig, det betyder at certifikatet ikke automatisk kan valideres som værende det ægte for adressen, du kan så vælge at markere det som at være det ægte og hvis det så er rigtig vil den have samme sikkerhed som en side med et ægte certifikat, og vil mælde med en ny advarsel hvis der er en hacker der senere tiller sig i midten med et falsk certifikat.

[Spotten]

Hmm, det lyder som en meget god idé med kryptering så jeg er gået i gang med denne guide:

https://www.digitalocean.com/community/tutorials/how-to-create-a-ssl-certificate-on-apache-for-ubuntu-14-04

Jeg har jo Apache installeret, så jeg er sprunget videre til næste skridt og jeg har genstartet Apache, men den skriver følgende når jeg genstarter servicen:

Kode: Vælg alt

spot@SPOT-PC:/$ sudo service apache2 restart
 * Restarting web server apache2                                                AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1. Set the 'ServerName' directive globally to suppress this message
                                                                         [ OK ]
spot@SPOT-PC:/$

Jeg ved godt jeg ikke har et domæne, men kan jeg ikke bruge min WAN-IP som domæne i mit tilfælde?

Måske det vil gøre jeg ikke får den besked mere, som den foreslår?

Tænker jeg lige vil fikse dette inden jeg går igang med at bygge mit certifikat.

Og i hvilken conf fil skal jeg ændre dette?

På forhånd tak.

EDIT: Fandt ud af det, fulgte bare guiden færdig.

Ser ud til at komme med samme fejl som før, men det virker for mig på min mobils mobile net.

[AJenbo]

Jeg har tidligere i emnet forklaret fejlen og at du bare kan ignorere den. Du kan ikke have https uden advarsel før du skaffer et domæne

[Spotten]

Sorry, har åbenbart overset det i farten! Så må jeg jo overveje det med et domæne! Kunne da være meget rart at sikre sin hjemmeside selvom mange måske ville kalde det paranoia!

[Klaus Rasmussen]

Kunne da være meget rart at sikre sin hjemmeside selvom mange måske ville kalde det paranoia!

Prøv at spørge dem om det i bla. Nordfyns Kommune.

[gaffa]

Jeg har ikke noget teknisk input, men jeg vil gerne prøve at ændre retorikken lidt.

1. En offentlig nøgle kan ikke være uægte. Den er der bare.
2. Man bruger nøglen til at bekræfte at man kommunikerer med en der besidder den tilhørende private nøgle.
3. En offentlig nøgle kan underskrives af en tredjepart, der siger at nøglen tilhører en bestemt person.
4. Programmer kan have en liste af offentlige nøgler de stoler på altid har ret når de siger, hvem der ejer en anden offentlig nøgle.

Jeg vælger selv ikke at bruge nogen officielle tjenester til at underskrive mine nøgler, fordi jeg ikke mener at det er sundt at folk stoler på en tredjepart de ikke personligt kender, der aldrig har mødt mig. Jeg synes at det er bedre at blive i tvivl om ægtheden og derefter bekræftige med mig om nøglen er ægte. Det er selvfølgelig altid tilladt at vælge magelighed på vegne af brugerne frem for omhyggelighed og det har jeg fuld forståelse for.

Her er changelog for pakken ca-certificates i Ubuntu Trusty:
http://changelogs.ubuntu.com/changelogs/pool/main/c/ca-certificates/ca-certificates_20130906ubuntu2/changelog