Laste ned presentasjonen
Presentasjon lastes. Vennligst vent
1
USIT/UiO, Jasmina Hodzic Noen utfordringer knyttet til sertifikatbasert innholdssikring SSL-sertifikater Jasmina Hodzic, USIT jazz@usit.uio.no
2
UiO/USIT, Jasmina Hodzic SSL og sertifikater Secure Socket Layer protokoll –Certificate authority (CA) –Private key/public key –Utveksling og bruk av nøkler Msg-->[public key]-->Encrypted Message-->[private key]-->Msg
![UiO/USIT, Jasmina Hodzic SSL og sertifikater Secure Socket Layer protokoll –Certificate authority (CA) –Private key/public key –Utveksling og bruk av nøkler Msg-->[public key]-->Encrypted Message-->[private key]-->Msg](http://images.slideplayer.no/11/3185277/slides/slide_2.jpg "UiO/USIT, Jasmina Hodzic SSL og sertifikater Secure Socket Layer protokoll –Certificate authority (CA) –Private key/public key –Utveksling og bruk av nøkler Msg-->[public key]-->Encrypted Message-->[private key]-->Msg")
3
UiO/USIT, Jasmina Hodzic SSL-protokoll Slik fungerer SSL Nettleser (sjekker cert, lager nøkkel, krypterer, dekrypterer) Webtjener Sikret tjeneste public key, certificate forespørsel kryptert url, nøkkel kryptert innhold
4
UiO/USIT, Jasmina Hodzic Bruk av sertifikater ved UiO Innkjøpte sertifikater Egensignerte sertifikater
5
UiO/USIT, Jasmina Hodzic Innkjøpte sertifikater Sertifikater utstedt av en ”allment” godkjent CA –Thawte (http://www.thawte.com/)http://www.thawte.com/ Supersertifikater Webserversertifikater Kodesignering –70 aktive sertifikater utstedt av Thawte Tjenester tilgjengelige for eksterne klienter Kodesignering (egenutviklet programvare som distribueres til andre institusjoner og sånt)
6
UiO/USIT, Jasmina Hodzic Egensignerte sertifikater Egensignerte sertifikater (UiO er sin egen CA) –W3CA Administrative verktøy (egentlig en samlig av skript) for bestilling, utstedelse, signering og øvrig administrasjon av sertifikater Basert på openssl, se http://www.openssl.org/ –Testing –Interne tjenester (personsøktjenesten på UiO benytter seg av egensignert sertifikat når den gjør oppslag mot UiO sin LDAP)
7
UiO/USIT, Jasmina Hodzic Fordeler og ulemper - innkjøpt Innkjøpte sertifikater –Kan brukes til alle mulige tjenester (root-sertifikat til kjente CA er som oftest lagt inn i de fleste aktuelle klienter) –CA garanterer at id-informasjon er oppdatert til enhver tid –Valgmulighetene i forhold til programvare –Oversiktlig (leverandører sørger for varsel ved utløp og lignende) –Lite behov for å holde kontroll på klienter, garantert krypteringsnivå –Mye om og men for å bli godkjent til å bruke sertifikatene –Mye jobb å legge til nye domener til eksisterende organisasjon –Dyrt (svært dyrt)!
8
UiO/USIT, Jasmina Hodzic Fordeler og ulemper - egensignert Egensignerte sertifikater –Lett tilgjengelig for utviklere internt –Selvvalgt krypteringsstyrke –Billig (men har en del skjulte kostnader) –Kan ikke brukes med klienter som ikke er selvutviklet eller i alle fall OS og selvdistribuert –Bør ikke brukes for store tjenester (generer mye støy og arbeid) –Administrativt arbeid som må gjøres i forhold til å sørge for oppdatering, tilbaketrekking osv.
9
UiO/USIT, Jasmina Hodzic Til slutt Egensignering er billig men uheldig å bruke for brukerrettede tjenester, både av hensyn til tjenestesikkerhet og av hensyn til brukeres oppfatning av tjenestesikkerheten. Kan dog med fordel brukes for testing av tjenester. Innkjøpte sertifikater er dyre men verdt pengene, spesielt for webbaserte tjenester som retter seg mot vanlige brukere (en fordelaktig avtale med leverandør hjelper mye sånn sett ).
Liknende presentasjoner
