Alla borde köra SSL

Nu när det till och med går att köra både Facebook och Twitter krypterat med hjälp av SSL tycker jag att de flesta argument mot att köra SSL på sin webbplats faller. Det största argument som framhålls är att det kräver så mycket av webbservern. Det var säkert sant för 10 år sedan. Processorerna har utvecklats sedan dess och har numera bra funktioner för att även hjälpa till med de kryptooperationer som krävs. Ett annat vanligt argument är att det är dyrt. Det är det inte. Ifall man inte tycker att gratis är dyrt.

Jag vill gärna föregå med gott exempel, men tyvärr är det lite svårt. Helst av allt vill jag göra en 302 redirect från HTTP till HTTPS på alla mina webbplatser, men den enda jag har lyckats göra det med gott resultat på är vic20.blipp.com. Både blipp.com och gnuheter.com har jag slagit på SSL för. Problemet där beskrivs på engelska som “origin poisioning“. Som bloggare använder man gärna resurser på andra webbplatser, och dessa andra webbplatser saknar tyvärr ofta stöd för SSL. Vilket innebär att om man surfar till den här bloggen, pawal.blipp.com över SSL så får man inte det skinande fina hänglåset som markör som visar att sajten man surfar till är säker. Jag använder nämligen resurser hos exempelvis Flickr för att hämta några bilder. Flickr har inte stöd för SSL.

Men för att komma en liten bit på vägen så har jag för er som vill köra SSL hela vägen, sett till att ha stöd för det på Creeper. Så om man länkar till bilden med “https” istället, så funkar det bra. Jag har lagt till detta som en liten instruktion på howto-sidan för Creeper. Så ni som kör Creeper och läser detta, kan ni prova att byta ut era länkar? Då kan jag se om det blir något problem med att köra det på min sida. Det borde som sagt inte krävas särskilt mycket extra CPU för detta, och jag har en hel del CPU över om det ändå skulle göra det.

För är det så att du fortfarande länkar osäkra resurser på din webbsida så kan den som vill avlyssna trafiken hos läsaren fortfarande se vilka sidor användaren är inne på, även om inte klartexten på sajten går att läsa. Jag tycker att vi kan höja kvaliteten på den svenska webben nu, och göra läsaren lite extra trygg. Inte minst så att datalagringsdirektivet blir ännu lite mer tandlöst. För varför konstra med nya krypton och p2p-nät, när vi inte ens lyckas skydda den befintliga infrastrukturen med de verktyg som faktiskt finns tillgängliga?

(Certifikat som fungerar helt gratis hittar du bl.a. hos startssl.com.)

16
Mar 2011
POSTED BY
DISCUSSION 5 Comments
TAGS

5 Responses to : Alla borde köra SSL

  1. Vänsterwiki says:

    Kan du förklara hur vi ska hitta en miljard nya IP-adresser till alla domäner som finns nu. Eftersom det är en IP, en domän så gömmer man sig inte för myndigheten. Snarare blir det så att det blir lättare att koppla en person till en webbplats. Nu kan man gömma en domän under en IP tillsammans med 500 andra domäner och man kan inte se vad man surfar till utan att läsa paketinnehållet.

    • pawal says:

      Det mest uppenbara svaret är ju IPv6. Men det måste du ju ändå göra.

      Det mindre uppenbara svaret är att det fungerar med lite ny teknik. Om du kompromissar bort MSIE6, men det måste du ju göra ändå.

      Den nya tekniken är inte så ny egentligen, men det är först nu alla webbläsare har stöd för det, och det är SNI, Server Name Indication. SNI beskrivs i RFC3546, det dokumentet publicerades 2003. I Apache gör du helt enkelt NameVirtualHost *:443.

      Visst kan du leva utan MSIE6?

      • Vänsterwiki says:

        Jag har inte kollat manualen på Apache på ett år. Det var ju goda nyheter för då kan jag lägga över ett par viktiga saker till SSL. Jag har alla nödvändiga versioner av allt så det är bara att confa upp. IPV6 är inte en lösning förrän alla mina kunder har det, typ 2020 eller så. Kanske som option att de som har 6 får SSL som default. Men IE6? Har inte sett den sedan förra året. Dom blir utkastade från min webbshop för alla som (låtsas) har den inte handlar utan försöker SQL-inject och andra lustigheter.

  2. Intressant, har hört lite om SNI men visste inte att det hade kommit så långt att bara IE6 tappas bort om man använder det.

    Blir helt klart att lägga in på samtliga sajter jag kör. Bra initiativ, /retweet

  3. vdw says:

    I processen tappar du också caching, vilket ligger värre på det när vi talar prestandaförluster av alla de slag. Se EFFs “Is the SSLiverse a safe place?” och DJBs “High-speed high-security cryptography: encrypting and authenticating the whole Internet” från 27c3 i julas, för en uppsjö av problem med bastarden SSL, om du inte redan gjort’t.

    Sen när allt går över port 443 (så vi kan strunta i portbegreppet helt, jag tvingas redan köra ssh den vägen för att ha en chans att nå lite serverburkar från div. företag och hotel) för att undslippa tveksamma brandväggsregler, IDSer och annat strunt (utöver att nötter till systemadministratörer RSTar anslutningar på den porten efter en viss aktiv tid) kommer även vi åka på samma juridikelände som England:

    “vi ser här att du använt crypto. Bäst att du ger ifrån dig nycklarna så vi kan avkoda. Jaha? du hävdar att du inte har nycklarna? du vet att inte lämna ifrån sig nycklarna är ett brott? vadå tankebrott? till finkan med dig.”

    Myndigheter “fattar” (eller låtsas inte fatta) problemet med att ha statiska filterlistor över “skadliga” domännamn, vad är chanserna att du kommer springa på någon som greppar stark krypto när alla stora aktörer inblandade gör stora tabbar när det väl implementeras?