Archive for the 'Techniczne' Category

Jak wygenerować CSR w Windows Server 2003 (IIS 6.0)

Opublikowany
przez
Marcin
, 20.02.2009
w CSR and Techniczne
. Comments

Poniżej przedstawiam opis krok po kroku jak wygenerować Certificate Signing Request (CSR) w Microsoft Windows Server 2003 R2, Internet Services Manager (IIS) 6.0.

Wszystkie zrzuty ekranowe zostały zrobione w angielskiej wersji systemu Windows Server 2003 R2, ale procedura jest oczywiście identyczna dla polskiej wersji systemu.

Klikając na zrzuty ekranów uzyskach ich powiększenie.

  1. Konfigurator IIS
    Uruchom Start > All Programs > Administrative Tools > Internet Services Manager (IIS) Manager:

    IIS Manager

  2. Wybór serwisu internetowego
    Z listy wybierz serwis internetowy, dla którego chcesz wygenerować CSR i po kliknięciu prawym klawiszem myszy wybierz Properties/Właściwości:

    Lista serwisów internetowych

  3. Certyfikat SSL
    W zakładce Directory Security wybierz Server Certificate:

    Certyfikat serwera

  4. Utwórz nowy certyfikat
    Wybierz utworzenie nowego certyfikatu Create a new certificate:

    Utwórz nowy certyfikat

    Jeśli odnawiasz zainstalowany wcześniej certyyfikat, wybierz opcję Renew the current certificate. Wygeneruje to CSR w oparciu o informacje zawarte w zainstalowanym certyfikacie.

  5. Przygotuj CSR teraz, ale wyślij później
    Wybierz opcję Prepare the request now, but send it later:

    Przygotuj teraz, ale wyślij później

  6. Nazwa certyfikatu oraz długość klucza
    Wprowadź łatwą do zapamiętania nazwę certyfikatu oraz wybierz długość klucza. Zalecana długoś to 2048 bitów.

    Nie zaznaczaj opcji Select cryptographic service provider (CSP) for this certificate.

    Wybór długości klucza

  7. Uzupełnij niezbędne informacje
    Uzupełnij niezbędne informacje dotyczące generowanego CSR, takie jak nazwa organizacji, adres i nazwa domeny dla której ma zostać wystawiony certyfikat SSL. Skorzystaj z opublikowanego na naszym blogu opisu Certificate Signing Request (CSR):

    Nazwa organizacji:
    Generowanie CSR - informacje o organizacji

    Nazwa domeny:
    Generowanie CSR - nazwa domeny

    Adres organizacji:
    Generowanie CSR - adres organizacji

  8. CSR w pliku
    Wybierz miejsce zapisania pliku CSR:

    Wybór miejsca zapisania pliku z CSR

  9. Ostateczne potwierdzenie
    Ostateczne potwierdzenie danych zawartych w generowanym CSR:

    Podsumowanie danych w CSR

    Podsumowanie danych w CSR

  10. CSR gotowy do wysłania
    Plik CSR to zwyczajny plik tekstowy. Wyślij go na adres certi@certi.pl wraz z informacją jaki certyfikat chcesz kupić:

    Gotowy CSR

Uwaga: pamiętaj, że po zakończeniu generowania pliku CSR i wysłaniu go wraz z zamówieniem certyfikatu nie należy generować kolejnego żądania CSR, ponieważ spowoduje to nadpisanie pierwszego i uniemożliwi instalację certyfikatu!

Fałszerstwo certyfikatu centrum CA?

Opublikowany
przez
Marcin
, 7.01.2009
w Techniczne
. Comments

30 grudnia 2008 roku na kongresie w Berlinie grupa naukowców ze Szwajcarii, Holandii i Stanów Zjednoczonych przedstawiła wynik eksperymentu, który pozwolił na podszycie się pod autentyczny certyfikat centrum CA (centrum wystawia certyfikaty SSL dla użytkowników końcowych).

W związku z pojawiającymi się publikacjami zarówno zagranicznymi, jak i polskimi (również Computer World i PC World), poniżej odpowiadam na najważniejsze pytania, które mogą zadawać użytkownicy certyfikatów SSL.

Jakich certyfikatów dotyczy problem?

Problem dotyczy 6 centrów certyfikacji CA, jednym z nich jest RapidSSL.

Spośród certyfikatów dostępnych w Certi.pl informacja ta dotyczy wyłącznie 3 certyfikatów, które zostały wystawione przed 30 grudnia 2008r.:

  • RapidSSL
  • RapidSSL Wildcard
  • FreeSSL

Wszystkie certyfikaty wystawione przez GeoTrust oraz VeriSign są bezpieczne.

Czy ktoś może w tej chwili podszyć się pod mój certyfikat RapidSSL?

Nie. Firma VeriSign, do której należy marka RapidSSL, w ciągu kilku godzin od publikacji wyników eksperymentu usunęła podatność certyfikatów RapidSSL. Atak wykorzystywał słabość funkcji skrótu MD5 (funkcja hash), która była wykorzystywana podczas wystawiania certyfikatów RapidSSL. VeriSign zastąpił ją nowszą i bezpieczniejszą funkcją SHA-1.

Ile dotychczas wystawionych certyfikatów jest zagrożonych?

Nie są zagrożone żadne z wystawionych certyfikatów końcowych użytkowników. To nie certyfikaty SSL były celem ataku.

Przeprowadzenie ataku, kiedy było jeszcze możliwe, wymagało zażądania przez atakującego wystawienia kilkuset nowych certyfikatów i na koniec przesłania odpowiednio spreparowanego żądania wystawienia certyfikatu Certificate Signing Request (CSR). Atak był więc skierowany na centrum certyfikacji CA i procedurę podpisywania certyfikatu SSL, a nie na sam certyfikat SSL końcowego użytkownika.

VeriSign zmieniając wykorzystywaną w certyfikatach RapidSSL funkcję skrótu uniemożliwił ponowne przeprowadzenie omawianego ataku.

Czy ktoś mógł podszyć się pod RapidSSL zanim VeriSign zareagował?

Takiej możliwości nie można wykluczyć, jednakże prawdopodobieństwo jej wystąpienia jest, zdaniem naukowców i ekspertów od bezpieczeństwa informacji, niezwykle niskie.

W praktyce zastosowanie ataku wymagałoby jednoczesnego spełnienia obu warunków:

  1. Opracowanie metody ataku, którą zastosowali naukowcy w tym samym czasie. Podczas prezentacji nie zostały przedstawione szczegóły fałszerstwa, a skorzystanie jedynie z przedstawionych publicznie wyników nie pozwoliłoby na podszycie się pod autentyczny certyfikat centrum CA w kilka godzin, w ciągu których VeriSign zupełnie usunął podatność.
  2. Możliwość przeprowadzenia tradycyjnego ataku na przykład przy pomocy:
    • niezabezpieczonej sieci bezprzewodowej
    • techniki zatrucia DNSów (DNS cache poisoning)
    • przejęcia kontroli nad routerami

Sfałszowanie certyfikatu wymaga dużej wiedzy z zakresu kryptografii (dziedzina matematyki i informatyki) i matematyki. Wymyślenie ataku zajęło kilka miesięcy grupie naukowców zajmujących się kryptografią od wielu lat.

Szacunkowe koszty wydzierżawienia w firmie Amazon wirtualnych serwerów pozwalających na przeprowadzenie skomplikowanych obliczeń matematycznych niezbędnych do sfałszowania certyfikatu (odpowiednik mocy 8.000 typowych procesorów!) to 20.000USD, czyli ponad 60.000zł. Obliczenia te można przeprowadzić na pojedynczym procesorze, ale trwałoby to 32 lata.

Większym problemem jest bezpieczeństwo komputerów użytkowników, które są czesto zarażone wirusami i koniami trojańskimi i korzystają ze starych wersji oprogramowania oraz ataki przeprowadzane bezpośrednio na serwery przechowujące dane.

Czy o problemie wiedzą twórcy przeglądarek internetowych?

Oczywiście. Zarówno Microsoft jak i Mozilla są świadomi problemu i wydali stosowne oświadczenia: Microsoft, Mozilla. Problem nie dotyczy bezpośrednio przeglądarek internetowych, ale zespoły tworzące Internet Explorera i Firefoksa będą aktywnie pracowały, by wyeliminować nawet cień niezwykle mało prawdopodobne zagrożenie.

Mimo wszystko obawiam się o bezpieczeństwo mojego serwisu, czy mogę otrzymać nowy certyfikat RapidSSL?

Rozumiemy to i wspólnie z firmą VeriSign przeprowadzamy bezpłatną wymianę certyfikatów RapidSSL oraz RapidSSL Wildcard. Jeśli kupiłeś taki certyfikat w Certi.pl, to napisz na adres certi@certi.pl, żeby uzyskać szczegółowe informacje na temat procedury.

Planujemy, że akcja będzie trwała do 23 stycznia 2009r., ale jest to bezpośrednio uzależnione od decyzji firmy VeriSign, dlatego proszę nie zwlekać, jeśli chcesz wymienić certyfikat za darmo. Podkreślam, że wymiana nie jest obowiązkowa.

Jak wygenerować CSR w Plesk dla domeny (Parallels Plesk 8.4, 8.6)

Opublikowany
przez
Marcin
, 31.07.2008
w CSR and Techniczne
. Comments

W jaki sposób wygenerować CSR dla panelu administracyjnego Parallels® Plesk już pisałem, dzisiaj natomiast opiszę jak wygenerować CSR dla konkretnej domeny z panelu administracyjnego klienta (właściciela domeny).

Założenia:

  • domena dla której chcesz wygenerować CSR jest hostowana na serwerze, na którym jest Plesk
  • chcesz zainstalować certyfikat SSL, który zapobiegnie wyświetlaniu okna z ostrzeżeniem Twoim użytkownikom
  • opcjonalnie chcesz zainstalować certyfikat obejmujący wszystkie subdomeny w Twojej domenie (*.twoja-domena.pl, przeczytaj kiedy warto wybrać certyfikat typu wildcard)
  • chcesz skorzystać z możliwości Pleska, zamiast wykonywać komendy ręcznie lub prosić firmę hostingową o wykonanie tych czynności

Wszystkie zrzuty ekranowe zostały zrobione w angielskiej wersji interfejsu ze względu na niedoskonałości polskiego tłumaczenia. Nie powinno to jednak sprawić żadnych kłopotów — układ graficzny jest identyczny, a hasła bardzo proste.

Klikając na zrzuty ekranów uzyskach ich powiększenie.

  1. Panel administracyjny

    Po zalogowaniu się do panelu Plesk wybierz z listy domenę, dla której chcesz wygenerować CSR:

    Panel Plesk po zalogowaniu jako klient

  2. Konfiguracja domeny

    Na ekranie z konfiguracją domeny wybierz “Certificates”:

    Opcje konfiguracji dla domeny

  3. Lista certyfikatów

    Na ekranie z listą certyfikatów wybierz opcję “Add New Certificate”:

    Lista certyfikatów

  4. Uzupełnij dane w CSR

    Uzupełnij dane niezbędne do wygenerowania CSR, możesz skorzystać z opisu poszczególnych pól w CSR, a następnie kliknij przycisk “Request”, żeby wygenerować CSR:

    Wprowadź dane potrzebne do wygenerowania CSR

  5. Wyświetl zawartość CSR

    Z listy certyfikatów wybierz utworzony przed chwilą certyfikat. Zwróć uwagę, że w przeciwieństwie do domyślnie zainstalowanego, tymczasowego certyfikatu “default certificate”, aktywne są ikony oznaczające, że dostępny jest CSR oraz plik klucza, który został automatycznie stworzony przez Pleska:

    Nowy certyfikat pojawił się na liście

    Kliknij w nazwę nowego certyfikatu, żeby uzyskać dostęp do zawartości CSR:

    Przykładowy CSR oraz KEY

    Zaznacz cały tekst CSR i wklej go do pliku tekstowego.

  6. CSR gotowy do wysłania
    CSR jest gotowy do użycia. Wyślij go na adres certi@certi.pl wraz z informacją jaki certyfikat chcesz kupić.

Jeśli chcesz wygenerować CSR dla panelu administracyjnego Plesk, to przeczytaj ten post