Bliv gratis medlem
|
Advarsel; mit indlæg bliver formentlig lidt langt :) Der er 2 ting i det for mig; jeg interesserer mig enormt meget for emnet og så sælger jeg SSL certifikater - men nummer 2 kun fordi nummer 1 er til stede. Min personlige holdning er, at alle forbindelser via internettet burde være krypterede, fordi det fjerner muligheden for diverse myndigheder og andet via ISP'erne kan sidde og lytte med. Essentielt set, så vil et krypteret internet betyde at ISP'erne kun leverer det de skal; nemlig båndbredde. Nå, men nok om politik. Tue svarer rigtig fint på spørgsmålene, men jeg har et par enkelte tilføjelser til noget af det:
Det kommer an på hvor gamle de enheder er. RapidSSL er en stor CA og ér present i alle moderne browsere - også på mobile enheder. Du skal faktisk helt tilbage til Android 2 før RapidSSL CA'en ikke er der. I 2010 blev RapidSSL CA'en udskiftet med en ny hvor der var 2 forbedringer; 2048 bit key og introduktionen af intermediate certificate. Long story short; mere sikkerhed. Så hvis du har brugere på en bred vifte af mobiltelefoner som også indebærer nogle af de aller første smartphones, så vil jeg anbefale et GeoTrust eller Symantec certifikat. GeoTrust er klart det mest overkommelige prismæssigt. Hvis dine brugere kommer fra nogenlunde moderne enheder, så bør RapidSSL gøre det fint. Med hensyn til EV (Extended Validation), så er CA'ernes udmelding jo at det giver brugerne mere tryghed. Vi er i øjeblikket i dialog med en af vores kunder som driver en stor dansk webshop, hvor vi vil køre en test case med HTTPS via et EV cert på hele deres shop og se resultaterne - rigtig spændende case, som naturligvis giver os muligheden for at vejlede bedre.
Det giver lidt overhead, men med moderne CPU'er så er det faktisk minimalt hvad det betyder. Tilgengæld, så ér SPDY faktisk virkelig godt lavet og nedsætter væsentligt både svartider og kravet til serverpower - hvilket essentielt set igen leder til bedre performance. SPDY begynder også så småt at have bred implementering og jeg har ikke personligt lavet benchmarks men det er noget jeg ganske snart regner med at skal kigge på, så jeg igen har min egen konkrete viden at gå med.
Vær obs. på at 2048 bit er nøglestørrelsen og ikke styrken på krypteringen der etableres. Den vil typisk være 128 eller 256 bit.
Vær obs. på at hvis man køber 2 certifikater skal man enten have 2 IP adresser eller benytte sig af SNI (Server Name Indication). SNI er ved at være supporteret over det hele, dog ikke på Windows XP. Ellers så firefox 2+, opera 8+, IE 7+ (på vista eller nyere), Chrome eller Safari 3+
Man kan ikke få wildcard EV certifikater. CA/Browser Forum vedtog at hvert eneste navn der udstedes EV til skal være valideret med den temmelig rigide EV validation process. De er temmelig seriøse omkring EV.
Både og - vi har mange eksempler på at internettet er en af de måder hvor myndigheder (*host* NSA og co. *host*) kan indhente rigtig meget information om os alle sammen. Sandheden er, at hvis forbindelsen er ukrypteret så vil man i princippet in-transit kunne skille pakkerne ad og injecte data i dem. Det er myndighederne, men essentielt set så skal man jo stole på samtlige ISP'er der router forbindelsen for at man kan være sikker på at det indhold der blev sendt fra serveren er det samme som brugeren får.
Bevares, det er sat lidt på en spids - men det er faktisk virkeligheden.
Men dét vil også være rigtig fint til dem. Desværre går udbredelsen af DANE meget langsomt, men det ville jo faktisk også være fint i rigtig mange tilfælde. Nu ved jeg godt at jeg måske taler lidt imod min egen forretning - men ønsker man blot krypteringen og slippe for grimme warnings, ja så er DANE et rigtig fint svar. Ønsker man både valideringen, forsikringen, den grønne adressebar osv. ja så er DANE kombineret med et traditionelt signeret certifikat jo den forkromede løsning. Uanset hvad, så er hele måden det fungerer på i dag med fixede lister i browserne en lille smule broken, fordi en CA kan gå rogue og så er vi jo lige vidt. Med DANE så kan man sikre at det er den rigtige server man har fat i i den anden ende. Sikke en smøre, men jeg håber da at noget af det kan bruges :) |
Læs blog indlægget om det her http://www.demib.dk/https-secure-pages-rankings/ .
Opret bruger