/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Certifikater og domæner
Fra : Jacob Atzen


Dato : 03-04-03 11:34

Hej igen,

Hvis nu jeg hoster sites for 3 forskellige domæner på min webserver,
f.eks. foo1.dk, foo2.dk og foo3.dk. Skal jeg så have et certifikat
pr. domæne eller kan jeg nøjes med et certifikat når nu det er på den
samme maskine?

Jeg synes at kunne læse mig til at det er 1 certifikat pr. domæne, men
har ikke set det stående eksplicit nogen steder.

--
Med venlig hilsen
Jacob Atzen

 
 
Ole Michaelsen (03-04-2003)
Kommentar
Fra : Ole Michaelsen


Dato : 03-04-03 12:24

Jacob Atzen wrote:
> Hej igen,
>
> Hvis nu jeg hoster sites for 3 forskellige domæner på min webserver,
> f.eks. foo1.dk, foo2.dk og foo3.dk. Skal jeg så have et certifikat
> pr. domæne eller kan jeg nøjes med et certifikat når nu det er på den
> samme maskine?
>
> Jeg synes at kunne læse mig til at det er 1 certifikat pr. domæne, men
> har ikke set det stående eksplicit nogen steder.

Hvis ikke du har et certifikat for hvert domaene vil webbrowseren brokke
sig over det (at certifikatet aabenbart er udstedt til en anden end den
du forsoeger at forbinde til). Men forbindelsen vil stadig vaere
krypteret.


--
Ole Michaelsen, Darmstadt, Germany
http://www.fys.ku.dk/~omic

Jacob Atzen (03-04-2003)
Kommentar
Fra : Jacob Atzen


Dato : 03-04-03 13:40

Ole Michaelsen <omic+usenet4@fys.ku.dk> writes:

> Hvis ikke du har et certifikat for hvert domaene vil webbrowseren brokke
> sig over det (at certifikatet aabenbart er udstedt til en anden end den
> du forsoeger at forbinde til). Men forbindelsen vil stadig vaere
> krypteret.

Tak for hjælpen.

--
Med venlig hilsen
Jacob Atzen

Jonathan Stein (03-04-2003)
Kommentar
Fra : Jonathan Stein


Dato : 03-04-03 21:56

Jacob Atzen wrote:

> Hvis nu jeg hoster sites for 3 forskellige domæner på min webserver,
> f.eks. foo1.dk, foo2.dk og foo3.dk. Skal jeg så have et certifikat
> pr. domæne eller kan jeg nøjes med et certifikat når nu det er på den
> samme maskine?

Certifikater udveksles når den krypterede forbindelse etableres - d.v.s.
inden der sendes nogen HTTP data, og dermed inden web-serveren ved hvilket
site, man prøver at komme i kontakt med.
Derfor må man leve med ét certifikat for alle sites (giver
"browser-brok" når certifikat ikke passer til domæne) eller give hvert
site sin egen IP-adresse.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Asbjorn Hojmark (03-04-2003)
Kommentar
Fra : Asbjorn Hojmark


Dato : 03-04-03 22:50

On 03 Apr 2003 12:33:32 +0200, Jacob Atzen <jacob@aub.dk> wrote:

> Hvis nu jeg hoster sites for 3 forskellige domæner på min webserver,
> f.eks. foo1.dk, foo2.dk og foo3.dk. Skal jeg så have et certifikat
> pr. domæne

Ikke per domæne men per FQDN (eller 'hostnavn', om du vil, altså
den host browseren tror den snakker med).

Så hvis du har www.foo1.dk og webmail.foo1.dk, så skal du også
have to forskellige certifikater.

-A
--
http://www.hojmark.org/

Kasper Dupont (04-04-2003)
Kommentar
Fra : Kasper Dupont


Dato : 04-04-03 08:53

Asbjorn Hojmark wrote:
>
> On 03 Apr 2003 12:33:32 +0200, Jacob Atzen <jacob@aub.dk> wrote:
>
> > Hvis nu jeg hoster sites for 3 forskellige domæner på min webserver,
> > f.eks. foo1.dk, foo2.dk og foo3.dk. Skal jeg så have et certifikat
> > pr. domæne
>
> Ikke per domæne men per FQDN (eller 'hostnavn', om du vil, altså
> den host browseren tror den snakker med).
>
> Så hvis du har www.foo1.dk og webmail.foo1.dk, så skal du også
> have to forskellige certifikater.

Ville det ikke være smartere, hvis et certifikat for foo1.dk
kunne bruges til alle navne derunder, og samtidig også til at
certificere underdomæner, hvis man gerne vil have seperate
certifikater? Jeg kan ikke se nogen grund til, at man ikke
skulle tillade chains a certifikater så længe de følger navnet.
(Altså lige bortset fra, en standard, der ikke tillader det
og nogle CA'er, der vil kradse så mange penge ind som muligt.)

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

Klaus Ellegaard (04-04-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 04-04-03 08:59

Kasper Dupont <kasperd@daimi.au.dk> writes:

>Ville det ikke være smartere, hvis et certifikat for foo1.dk
>kunne bruges til alle navne derunder, og samtidig også til at
>certificere underdomæner, hvis man gerne vil have seperate
>certifikater?

Hvad med webhoteller der sælger 3rd level domains?

Hvis www.flisebutik.webhotel.dk er et hit, kunne en ondsindet
mand jo lave www.filsebutik.webhotel.dk og "proxye" al trafik
til det rigtige site. Lige bortset fra at han undervejs hugger
kreditkortoplysninger.

Sikkerhedsmæssigt er det helt fjong, for certifikatet på de
to er det samme.

Mvh.
   Klaus.

Kasper Dupont (04-04-2003)
Kommentar
Fra : Kasper Dupont


Dato : 04-04-03 10:05

Klaus Ellegaard wrote:
>
> Kasper Dupont <kasperd@daimi.au.dk> writes:
>
> >Ville det ikke være smartere, hvis et certifikat for foo1.dk
> >kunne bruges til alle navne derunder, og samtidig også til at
> >certificere underdomæner, hvis man gerne vil have seperate
> >certifikater?
>
> Hvad med webhoteller der sælger 3rd level domains?
>
> Hvis www.flisebutik.webhotel.dk er et hit, kunne en ondsindet
> mand jo lave www.filsebutik.webhotel.dk og "proxye" al trafik
> til det rigtige site. Lige bortset fra at han undervejs hugger
> kreditkortoplysninger.

Hvis de to kører på samme IP addresse, og hostnavnet overføres
over den sikre linie, kan angrebet ikke lade sig gøre. Hvis de
to skelnes på IP addresse kan angrebet godt lade sig gøre, men
så kunne man til gengæld have lavet to forskellige certifikater
der hver især var certificeret af certifikatet for foo1.dk.

Så jeg må give dig ret i, at man skal passe på med at lade samme
certifikat blive brugt af flere underdomæner. Men jeg ser stadig
intet problem i kæder af certifikater.

>
> Sikkerhedsmæssigt er det helt fjong, for certifikatet på de
> to er det samme.
>
> Mvh.
> Klaus.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

Asbjorn Hojmark (05-04-2003)
Kommentar
Fra : Asbjorn Hojmark


Dato : 05-04-03 00:09

On Fri, 04 Apr 2003 09:52:49 +0200, Kasper Dupont
<kasperd@daimi.au.dk> wrote:

> Ville det ikke være smartere, hvis et certifikat for foo1.dk
> kunne bruges til alle navne derunder, og samtidig også til at
> certificere underdomæner, hvis man gerne vil have seperate
> certifikater?

Mjo.

> Jeg kan ikke se nogen grund til, at man ikke skulle tillade
> chains a certifikater så længe de følger navnet. (Altså lige
> bortset fra, en standard, der ikke tillader det og nogle CA'er,
> der vil kradse så mange penge ind som muligt.)

There you go.

-A
--
http://www.hojmark.org/

Jens Kristian Søgaar~ (10-04-2003)
Kommentar
Fra : Jens Kristian Søgaar~


Dato : 10-04-03 22:16

Hejsa,

> > Jeg kan ikke se nogen grund til, at man ikke skulle tillade
> > chains a certifikater så længe de følger navnet. (Altså lige
> > bortset fra, en standard, der ikke tillader det og nogle CA'er,
> > der vil kradse så mange penge ind som muligt.)

> There you go.

Well, det er ikke alle CA'er der er lige pengegriske:

http://www.qualityssl.com/en/products/qualityssl_wildcard.html

Mener også at Thawte og/eller Entrust har udbudt noget lignende
tidligere (eller stadig gør det).

--
Jens Kristian Søgaard, Mermaid Consulting ApS,
jens@mermaidconsulting.dk,
http://www.mermaidconsulting.com/



Thomas Jensen - pil.~ (21-04-2003)
Kommentar
Fra : Thomas Jensen - pil.~


Dato : 21-04-03 16:46

On Thu, 10 Apr 2003 23:15:40 +0200, "Jens Kristian Søgaard"
<jens@mermaidconsulting.dk> wrote:


>Mener også at Thawte og/eller Entrust har udbudt noget lignende
>tidligere (eller stadig gør det).

thawte gør ikke i al fald... de henviser i stedet til deres noget
dyrere moder NetSol

OpenSRS tilbyder wildcard-certs (men det ved du vel :)

--
vh
Thomas Jensen,
Seneste nyhedsbrev:
http://pil.dk/nyhedsbreve/2003februar.php

Jacob Atzen (22-04-2003)
Kommentar
Fra : Jacob Atzen


Dato : 22-04-03 12:31

"Jens Kristian Søgaard" <jens@mermaidconsulting.dk> writes:

> Well, det er ikke alle CA'er der er lige pengegriske:
>
> http://www.qualityssl.com/en/products/qualityssl_wildcard.html

Det ser ret interessant ud. Er certifikater derfra "trusted"
automatisk i de gængse browsere ligesom f.eks. Verisigns? Findes der
nogen, der tilbyder noget tilsvarende i Danmark?

Det kunne være rart at undgå at folk får den sikkerhedsadvarsel man
får når man besøger sites med ikke-trustede certifikater.

--
Med venlig hilsen
Jacob Atzen

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste