Sikkerhet

lock.png

Nettsider og sikkerhet 

 

Heldigvis har det blitt mer fokus på sikkerhet på web den siste tiden, generelt er det fåtall sider som er sikret på nett. I denne artikkelen vil jeg peke på hvorfor sikkerhet er så viktig for oss som har sitt eget nettsted på web og hvilke skritt man kan ta for å sikre de besøkende. Google foreslår å markere sider som kjører som http som usikre sider i nettleseren Google chrome, ved å gi beskjed til de besøkende at nettstedet de besøker ikke er beskyttet. Nettsteder med https vil også få en høyere treff prosent i søkemotoren til Google framover. 

Som de fleste vet viser nettlesere at et nettsted er sikret ved å vise en hengelås foran nettadressen, trykker man på hengelåsen kan man få mer informasjon om nettstedet og hvem som eier siden.

Videre ser man at det er en tredje part som går god for at du er den som du gir deg ut som og at forbindelsen imellom deg og nettstedet i dette tilfelle er kryptert med 128 bit kryptering.

httpsurl.png​Kryptering - kryptering av utvekslet data for å holde det trygt fra uvedkommende. Det betyr at mens brukeren surfer en nettside, kan ingen "lytte" til brukeren sine aktiviteter, spore dine aktiviteter over flere sider, eller stjele deres informasjon.

Dataintegritet - data kan ikke endres eller ødelagt under overføring, med vilje eller på annen måte, uten å bli oppdaget.

Autentisering - beviser at brukerne kommunisere med den tiltenkte nettsiden. 

TLS og SSL er mest anerkjent som protokollene som gir sikker HTTPS for Internett-transaksjoner mellom nettlesere og webservere. TLS/SSL kan bidra til å sikre overførte data ved hjelp av kryptering. TLS/SSL autentiserer også servere og eventuelt godkjenner klienter å bevise identiteten til partene engasjert i sikker kommunikasjon. I tillegg til å beskytte mot data avsløring kan TLS/SSL sikkerhetsprotokoll brukes for å beskytte mot masquerade attack, man-in-the-middle eller bucket brigade attack, rollback attack, og replay-attack.

Når man skal sikre et nettsted må man ta kontakt med en sertifiseringsinstans, det er en rekke sertifiseringsinstanser som utsender digitale sertifikater. Det digitale sertifikatet bekrefter eierskapet av en offentlig nøkkel som bindes opp mot navnet på siden, sertifiseringsinstans går dermed god for deg ved å signere sertifikatet med sitt egent digitale sertifikat.

 For å kunne bestille et sertifikat fra en sertifiseringsinstans, må man først opprette et "certificate signing request". En CSR er en kodet fil som gir deg en standardisert måte å sende   sertifiseringsinstansen din offentlige nøkkel sammen med litt informasjon som identifiserer din bedrift og domenenavn. For at kunder av iSite publisher skal kunne bestille et TLS/SSL sertifikat, må vi kontaktes for at vi kan lage en unik csr fil som blir signert av vår servers private nøkkel. Når du genererer en CSR, spør serverprogramvare etter følgende informasjon:

Felles navn/Common name: www.eksempel.no
Organisasjonsnavn/firma: firma navn
Plassering : land, stat / provins, by / byen
Nøkkeltype : (typisk RSA)
Nøkkel størrelse: (2048 bit minimum)

CSR informasjon er noe bestillende kunde bør oversende til oss så vi får tastet inn riktig informasjon når vi oppretter CSR fil som vil bli returnert til iSite kunden. Nøkkeltype og størrelse er noe iSite kunder kan slippe å ta stilling til.

Når CSR fil er retunert av oss er alt klart for å kunne bestille et sertifikat til sitt egent domene, for å gjøre dette mest mulig strømlinjeformet vil vi anbefale å bruke samme sertifiseringsinstans som vi benytter på www.isite.no. Vi benytter sertifiseringsinstansen Digicert, for en nettside med www.eksempel.no og eksempel.no passer Digicert sitt SSL Pluss Certificates.

 

digicert_ssl_plus.png

 

 

 

 

I det du trykker på kjøp knappen får en valget med å kjøpe et sertifikat med varighet på et år eller lengre, for en høyere pris er det mulig å kjøpe "Extended Validation SSL Plus". Med Extended Validation SSL Plus får man firma navnet foran url til nettstedet, det er noe vi ikke benytter på iSite.no.

Tast inn felles navn/common name (www.eksempel.no) til nettsiden deres og trykk på "(Optional) I would like to provide my CSR and auto-fill names now". Det er her CSR filen som dere fikk tilsendt av oss kommer inn i bilde, CSR filen sitt innhold kan åpnes i notepad og klippes og limes inn i neste vindu.

 

csr_eksempel.png

Viktig at hele innholdet i filen blir med i kopieringen fra -----BEGIN til og med REQUEST-----. Bilde er bare et eksempel og hver iSite kunde vil ha hver sin unike nøkkel.

 

 

 

 

 

 

 

certificate_signing_request.png

Velg riktig web server i listen "nginx", lim inn hele CSR filen og trykk videre.

organization_details.png

 

 

 

 

 

 

 

 

 

 

Informasjonen som du fyller ut om detaljer om firma, vil senere være informasjonen som blir vist når man trykker på hengelåsen på nettstedet. Bør stemme overens med informasjonen som man oppga ved bestilling av CSR fil.
Firma navn/Organization name
Plassering : land, stat / provins, by / byen, postnummer

Personen som bestiller eventuelt teknisk kontakt, må bekrefte en epost som blir sendt ifra digicert for å bevise at man har tilgang til epost adressen. Om firma har en egen domene ekspert som styrer www.eksempel.no, bør man fylle inn denne personen under teknisk kontakt. Tips kan være å få IT avdeling til å lage en mail boks å taste den inn under teknisk kontakt. Det kan bli en utfordring hvis personer har sluttet og epost konto er slettet osv, når man ønsker å fornye sertifikatet. Digicert har 24/7 chat, det er bare å ta kontakt med dem om man lurer på noe rundt bekrefting av domenet. Digicert vil sende en zip fil på epost som inneholder TLS/SSL sertifikatet, og det er nå vår jobb begynner med å installere sertifikatet på vår server etter at zip filen blir sendt til oss.

Har lagt inn en av de mest anerkjente TLS/SSL server sertifikat tester nederst på siden, om ønskelig kan man teste hvilken sikkerhetsnivå en side med sertifikat har til enhver tid. Trussel bilde endrer seg stadig ved at man oppdager feil i programvare/teknologi, samtidig som det kommer ny teknologi som retter opp i feil. Det vil alltid være endringer som kan utføres for å forbedre sikkerheten, for øyeblikket ligger www.isite.no med høyeste karakter på testen. Testen gir karakterer fra lavest på kurven på under 20 poeng karakteren F, til høyest mulige poeng som er 100 poeng med karakter A+, det er flere ting som spiller inn. For sikkerhets intresserte blir alt forklart i mer detaljer i følgende dokument SSL Server raiting.pdf . Testen er et fint hjelpemiddel for å sjekke hvor sikker siden din er til enhver tid, eventuelt sider som benytter på nett i hverdagen.

Høy sikkerhet går gjerne på bekostning av bakoverkompatibilitet, for eksempel på www.isite.no går det fram i testen at personer som benytter Internett Explorer 6 og Java 6 ikke vil kunne komme inn på nettstedet eller benytte funksjonalitet. Det er ikke sikkert du ønsker å gjøre det samme og vi kan tilpasse sikkerheten per internett side, vær obs på at sikkerheten går ned sammen med karakteren i testen. 

iSite.no er satt opp med SSL labs beste anbefalinger for hvordan man sikrer sitt nettsted og sine besøkende. For mer info se her.