<![CDATA[Latest posts for the topic "Dùng Cert từ verisgn trên nhiều Web Server chạy song song?"]]> /hvaonline/posts/list/8.html JForum - http://www.jforum.net Dùng Cert từ verisgn trên nhiều Web Server chạy song song? /hvaonline/posts/list/33184.html#204129 /hvaonline/posts/list/33184.html#204129 GMT Dùng CA từ verisgn trên nhiều Web Server chạy song song? thangdiablo. Việc cấp này đơn giản là Verisign dùng self-signed certificate của họ để ký lên CSR của khách hàng. -m ]]> /hvaonline/posts/list/33184.html#204133 /hvaonline/posts/list/33184.html#204133 GMT Dùng CA từ verisgn trên nhiều Web Server chạy song song? /hvaonline/posts/list/33184.html#204134 /hvaonline/posts/list/33184.html#204134 GMT Dùng CA từ verisgn trên nhiều Web Server chạy song song?

thangdiablo wrote:
... Tuy nhiên, nếu chúng ta có nhiều hơn 1 cái webserver cùng chạy song song và duy trì cái trang ebanking này  
--> thangdiablo nói rõ hơn chỗ này đi. Mục đích là để redundancy, load balancing, hay là gì? PS: Tài liệu Licensing Verisign Certificates có đề cấp đến vấn đề này đấy. ]]>
/hvaonline/posts/list/33184.html#204137 /hvaonline/posts/list/33184.html#204137 GMT
Dùng CA từ verisgn trên nhiều Web Server chạy song song?

quanta wrote:

thangdiablo wrote:
... Tuy nhiên, nếu chúng ta có nhiều hơn 1 cái webserver cùng chạy song song và duy trì cái trang ebanking này  
--> thangdiablo nói rõ hơn chỗ này đi. Mục đích là để redundancy, load balancing, hay là gì? PS: Tài liệu Licensing Verisign Certificates có đề cấp đến vấn đề này đấy.  
Uh! tất nhiên mục đích là một trong những yếu tố Quân nêu ở trên. ]]>
/hvaonline/posts/list/33184.html#204138 /hvaonline/posts/list/33184.html#204138 GMT
Dùng CA từ verisgn trên nhiều Web Server chạy song song?

thangdiablo wrote:
Với trường hợp chúng ta chỉ có 1 webserver để duy trì cái trang ebank.abc.com thì đơn giản rồi. Tuy nhiên, nếu chúng ta có nhiều hơn 1 cái webserver cùng chạy song song và duy trì cái trang ebanking này thì - Việc xin cấp Certificate từ verisign sẽ diễn ra thế nào? - Việc tạo ra CSR chỉ cần làm trên 1 servers hay trên tất cả servers ? - Mình phải mua mấy Certificate từ verisign? - Common name lúc này có thay đổi hay không? - Khi dữ liệu được encryption từ client tới servers thì verisign sẽ chứng thực cái Certificate này là không bị giả mạo ở khúc nào? Mời mọi người thảo luận. Mọi người lưu ý tập trung vào vấn đề mình đang hỏi. Đừng lang bang sang vấn đề khác vì đề tài về CA này là rất rộng.  
- Mỗi server tạo một CSR bởi vì mỗi server có private key riêng (tùy web service là cái gì nữa). - Bao nhiêu servers thì bấy nhiêu certificates. Signed certificate là public key của từng server (có private key riêng). - CN không cần phải thay đổi. Tuy nhiên, cần phải ghi nhận ngày giờ signed của từng certificate cho từng server để phân biệt chúng và renew chúng về sau. - Khi dữ liệu được encrypted từ client tới server là sao? Ý em là clients (browsers) từ encrypt cái gì rồi gởi lên server?]]>
/hvaonline/posts/list/33184.html#204140 /hvaonline/posts/list/33184.html#204140 GMT
Dùng CA từ verisgn trên nhiều Web Server chạy song song? - Mỗi server tạo một CSR bởi vì mỗi server có private key riêng (tùy web service là cái gì nữa). - Bao nhiêu servers thì bấy nhiêu certificates. Signed certificate là public key của từng server (có private key riêng). - CN không cần phải thay đổi. Tuy nhiên, cần phải ghi nhận ngày giờ signed của từng certificate cho từng server để phân biệt chúng và renew chúng về sau. - Khi dữ liệu được encrypted từ client tới server là sao? Ý em là clients (browsers) từ encrypt cái gì rồi gởi lên server?    Trong trường hợp này phải xin cert cho từng sub-domain con phải không anh? vd: web1.abc.com, web2.abc.com,... Khi đó có thể sẽ có sự ưu đãi về giá (vì chung abc.com). Tuy nhiên, khi hệ thống cấu hình theo kiểu clustering thì có gì khác không các anh? Có khả năng nào chỉ cần xin một cert cho tên miền chính?]]> /hvaonline/posts/list/33184.html#204142 /hvaonline/posts/list/33184.html#204142 GMT Dùng CA từ verisgn trên nhiều Web Server chạy song song? conmale đề nghị, tự vì Verisign bắt sẽ phải trả thêm tiền mặc dù chúng chỉ là những cert khác nhau của một common name mà thôi. nếu là mình thì mình mua 1 cert thôi, xài chung cho tất cả các máy chủ web (hay là xài chung cho các thiết bị cân bằng tải nằm giữa khách hàng với máy chủ web thật sự). không có vấn đề gì về kỹ thuật cả. về mức độ an toàn thì cũng không khác gì mấy với việc mua nhiều cert. ví dụ như sợ rằng attacker xâm nhập vào máy chủ web chôm private key, nên phải dùng private key riêng cho từng máy chủ, nhưng thực ra nếu chúng đã vào được 1 máy chủ rồi, thì khả năng chúng có thể vào các máy chủ còn lại cũng sẽ rất cao. vả lại có thể cất private key vào HSM, lúc đó sẽ khỏe re. mà lại rẻ nữa. -m]]> /hvaonline/posts/list/33184.html#204144 /hvaonline/posts/list/33184.html#204144 GMT Dùng CA từ verisgn trên nhiều Web Server chạy song song? cho một standby server. Nếu nhiều hơn một thì phải mua thêm license. - Load balancing: chia làm 2 dạng:
  • dynamic hostname: mỗi thằng phải dùng một certificate riêng hoặc có thể dùng wildcard certificates (*.yourcompany.com) identical hostname: mỗi thằng phải dùng một certificate riêng hoặc mua dạng Licensed Certificate Option.
Ngoài ra, trong tài liệu trên nó còn đề cập đến 2 dạng nữa là: SSL Acceleration và Shared hosting. ]]>
/hvaonline/posts/list/33184.html#204145 /hvaonline/posts/list/33184.html#204145 GMT
Dùng CA từ verisgn trên nhiều Web Server chạy song song?

conmale wrote:
- Khi dữ liệu được encrypted từ client tới server là sao? Ý em là clients (browsers) từ encrypt cái gì rồi gởi lên server? 
Hi anh, nếu 2 webserver dùng 2 cert được issued từ CA thì không có vấn đề rồi. Tại lúc đầu em suy nghĩ tới hướng nếu chỉ có 1 server (Server A) generate ra CSR và CA signed vào sau đó có thể dùng chung cho nhiều servers thì các thằng servers còn lại này sẽ được CA xác minh cert bằng cách nào? Vì lúc này khi client truy cập (đăng nhập user name + password) nguyên đống thông tin này sẽ được mã hóa bằng session key và session key lại được mã hóa bằng public key (cert) của Server. Và cert này sẽ được CA kiểm định xem có an toàn hay không. Nếu nó đi tới Server A thì server A có private key để mà giải mã. Các server khác không có private key thì sẽ ứng xử thế nào :D hehe ]]>
/hvaonline/posts/list/33184.html#204146 /hvaonline/posts/list/33184.html#204146 GMT
Dùng CA từ verisgn trên nhiều Web Server chạy song song?

thangdiablo wrote:
Anh em cho mình hỏi thêm. Ví dụ giữa các web server mình không có 1 thiết bị load blancing có khả năng generate ra CSR dạng như Citrix chẳng hạn mà đơn giản chỉ là sử dụng network load balance có sẵn trên Windows. Như vậy việc generate ra CSR phải thực hiện trên từng WebServer. Nếu WebServer thứ 1 mình dùng Certificate của Verisign, WebServer thứ 2 mình muốn dùng Certificate của StartCom. Yêu cầu là common name không thay đổi. Như vậy có được không?  
---> cái này thì tùy thuộc vào cái path mà requests đi vào và cơ chế duy trì session khi truy cập xuyên qua https. Nếu em load balancing theo kiểu dùng DNS round robin cho 2 web servers chẳng hạn mà 1 cái thì mang verisign, 1 cái thì mang startCom thì sẽ có vấn đề. Giải pháp anh thường khai triển trong trường hợp này là tạo 1 cái reverse proxy đứng trước các web servers. Trên reverse proxy ấy mình chỉ cần 1 cert cho web.abc.com là đủ. Reverse proxy này có thể map vào trong 1, 2, 3.... 100 web servers cũng được. Tất nhiên là cái reverse proxy phải được bảo đảm uninterupted (mạng bảo đảm fully redundancy, thiết bị bảo đảm không chết sảng....).]]>
/hvaonline/posts/list/33184.html#204148 /hvaonline/posts/list/33184.html#204148 GMT
Dùng CA từ verisgn trên nhiều Web Server chạy song song? /hvaonline/posts/list/33184.html#204149 /hvaonline/posts/list/33184.html#204149 GMT Dùng Cert từ verisgn trên nhiều Web Server chạy song song? /hvaonline/posts/list/33184.html#204152 /hvaonline/posts/list/33184.html#204152 GMT Dùng CA từ verisgn trên nhiều Web Server chạy song song?

thangdiablo wrote:
Hi anh conmale, Bên em dữ liệu là real time nên em không có suy nghĩ tới giải pháp là reverse proxy 
Reverse proxy không cache thì vẫn không ảnh hưởng gì đến dữ liệu real time cả. Đừng nghĩ "proxy" là phải cache.]]>
/hvaonline/posts/list/33184.html#204154 /hvaonline/posts/list/33184.html#204154 GMT
Dùng Cert từ verisgn trên nhiều Web Server chạy song song? /hvaonline/posts/list/33184.html#204156 /hvaonline/posts/list/33184.html#204156 GMT Dùng Cert từ verisgn trên nhiều Web Server chạy song song? hầu như không tham gia vào quá trình thực thi của bộ giao thức SSL/TLS. nói cách khác, trình duyệt và máy chủ hầu như chỉ nói chuyện trực tiếp với nhau, mà không phải kết nối đến một bên thứ 3 nào cả. CA chỉ đóng vai trò trong việc xác lập hạ tầng khóa công khai (PKI), hầu như không tham gia vào quá trình kiểm tra và xác thực cert. vậy việc kiểm tra và xác thực cert diễn ra như thế nào? khi trình duyệt kết nối vào máy chủ web, máy chủ web gửi lại cert của họ, thì trình duyệt sẽ có trách nhiệm kiểm tra cert này. việc kiểm tra này gồm các bước (thứ tự tùy thuộc vào trình duyệt): 1. xem cert này được ai ký, và tổ chức ký cert này có được trình duyệt tín nhiệm hay không. 2. xem cert có còn hạn sử dụng hay không. 3. xem cert có bị vô hiệu hóa hay chưa. 4. xem common name của cert có trùng với tên của máy chủ mà trình duyệt đang kết nối hay không. bước thứ 3 là lý do mà mình dùng từ "hầu như". trình duyệt (và máy chủ) có thể kết nối đến CA để kiểm tra xem certificate của bên còn lại có bị vô hiệu hóa hay chưa (revoked). RFC của TLS/SSL không bắt buộc các hiện thực TLS/SSL phải thực hiện bước này, và theo mình biết thì mặc định các trình duyệt không thực hiện việc kiểm tra này. mình nghĩ thangdiablo nên dành thời gian xem kỹ lại SSL/TLS trước khi triển khai nó. đây là một bộ giao thức mạnh mẽ, nhưng cũng rất phức tạp nên dễ cấu hình và dùng sai. năm rồi mình có làm một cái báo cáo nhỏ, khảo sát một số ngân hàng ở VN, đa số đều cấu hình SSL/TLS sai, dẫn đến làm yếu hoặc vô hiệu hoàn toàn sức mạnh của SSL/TLS. -m]]> /hvaonline/posts/list/33184.html#204161 /hvaonline/posts/list/33184.html#204161 GMT Dùng CA từ verisgn trên nhiều Web Server chạy song song?

conmale wrote:
Reverse proxy không cache thì vẫn không ảnh hưởng gì đến dữ liệu real time cả. Đừng nghĩ "proxy" là phải cache. 
Cám ơn anh. Em sẽ cân nhắc việc sử dụng giải reverse proxy với việc mua 1 thiết bị web load balance dạng như Citrix. @ mrro: Đúng là để hiểu rõ tường tận bộ giao thức SSL/TLS là rất phức tạp. Và tại VN rất ít tổ chức ứng dụng và khai thác hiệu quả bộ giao thức này. Về việc trình CA chỉ đóng vai trò khi trình duyệt kiểm tra xem certificate này có bị revoked hay chưa thì mình hoàn toàn đồng ý. Có 4 thông tin mà trình duyệt sẽ kiểm tra khi truy cập vào 1 trang web ứng dụng SSL như mrro đã nói. Tuy nhiên mình có thắc mắc là nếu trình duyệt không thực hiện bước kiểm tra revoked thì nếu vì 1 lí do nào đó tổ chức bị CA revoked mà trình duyệt vẫn báo trusted thì sao? ]]>
/hvaonline/posts/list/33184.html#204174 /hvaonline/posts/list/33184.html#204174 GMT
Dùng Cert từ verisgn trên nhiều Web Server chạy song song? http://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol#Browser_Support) đều kiểm tra tình trạng của certificate đó xem đã bị revoked hay chưa thông qua 2 con đường: - OCSP: Nếu trong certificate có chỉ định giá trị CRL Distribution Points trong X509 Ext, trình duyệt sẽ sử dụng tham chiếu này để kiểm tra tự động; có thể thay đổi cấu hình này. - CRL: được cập nhật bằng tay. Nếu cert đã bị revoked mà web browser không thực hiện kiểm tra khi kết nối, coi như cert đó vẫn hợp lệ.]]> /hvaonline/posts/list/33184.html#204180 /hvaonline/posts/list/33184.html#204180 GMT Dùng Cert từ verisgn trên nhiều Web Server chạy song song? /hvaonline/posts/list/33184.html#204195 /hvaonline/posts/list/33184.html#204195 GMT Dùng CA từ verisgn trên nhiều Web Server chạy song song?

thangdiablo wrote:
Về việc trình CA chỉ đóng vai trò khi trình duyệt kiểm tra xem certificate này có bị revoked hay chưa thì mình hoàn toàn đồng ý. Có 4 thông tin mà trình duyệt sẽ kiểm tra khi truy cập vào 1 trang web ứng dụng SSL như mrro đã nói. Tuy nhiên mình có thắc mắc là nếu trình duyệt không thực hiện bước kiểm tra revoked thì nếu vì 1 lí do nào đó tổ chức bị CA revoked mà trình duyệt vẫn báo trusted thì sao?  
Trong cái cert của CA (nhớ là Cert của CA, tự CA ký), nó có 1 thông số là Revoke url và CRL Expire time. Cái này bảo cho trình duyệt biết địa chỉ để tải CRL, và bao lâu thì phải kiểm tra lại cái CRL này và việc kiểm tra CRL là bắt buộc. Tất nhiên, nếu trình duyệt không thể kiểm tra server cert qua CRL (lỗi gì đó hoặc bị cản), hoặc thời gian truy cập nó rơi vào khe thời gian giữa 2 lần update (bằng thời gian expire time) thì dĩ nhiên trình duyệt không thể biết được, sẽ trusted hay untrust tuỳ theo chế độ mặc định (sẽ untrust nếu ko thể verify được CRL chẳng hạn). Vì thế, với các CA class 3 hoặc EV, người ta để thời gian expire này nhỏ, chỉ một vài ngày thôi, giảm đi rủi ro. Ngoài ra thêm 1 cơ chế như EV để xác thực bổ sung với 1 đối tác thứ 3. Thí dụng trình duyệt IE nếu không bật SmartScreen Filter, sẽ không bao giờ xác nhận EV cho một site nào đó. ]]>
/hvaonline/posts/list/33184.html#204196 /hvaonline/posts/list/33184.html#204196 GMT
Dùng CA từ verisgn trên nhiều Web Server chạy song song?

thangdiablo wrote:
Vì lúc này khi client truy cập (đăng nhập user name + password) nguyên đống thông tin này sẽ được mã hóa bằng session key và session key lại được mã hóa bằng public key (cert) của Server. Và cert này sẽ được CA kiểm định xem có an toàn hay không. Nếu nó đi tới Server A thì server A có private key để mà giải mã.  
nếu mình không nhầm thì ở đây thangdiablo hỏi về chiều ngược lại so với giải thích của mrro. Còn đoạn mà mrro nói sẽ giải thích chỗ "... Và cert này sẽ được CA kiểm định xem có an toàn hay không " (mặc dù không hẳn là được CA kiểm định vì CA chỉ "ra tay" khi user muốn biết info revoked của 1 cert xác định)

thangdiablo wrote:
Các server khác không có private key thì sẽ ứng xử thế nào :D hehe  
Còn chuyện private key của server thì mình nghĩ server nào cũng có public/private key của nó cả. Thế nếu mà mỗi server có cặp key riêng thì không thể nào dùng 1 cert được (mình có câu hỏi, làm sao các bạn chứng minh được là không tồn tại 2 cặp key: public1/private1 và public2/private2 sao cho public1=public2 và private1!=private2 ?) Ngược lại nếu muốn dùng 1 cert và chỉ cần 1 CSR thì sẽ set cặp public/private key duy nhất cho tất cả các server (liệu chỗ này mình chỉ cần set public key thôi là đủ không nhỉ, vì thuật toàn mã hóa public key sẽ tự tìm ra private key tương ứng)...]]>
/hvaonline/posts/list/33184.html#204246 /hvaonline/posts/list/33184.html#204246 GMT
Dùng Cert từ verisgn trên nhiều Web Server chạy song song?

gamar wrote:
mình có câu hỏi, làm sao các bạn chứng minh được là không tồn tại 2 cặp key: public1/private1 và public2/private2 sao cho public1=public2 và private1!=private2  
bạn có học qua lý thuyết số thì sẽ thấy việc chứng minh này rất dễ dàng. giải thích cái này dài dòng, nằm ngoài nội dung của chủ đề này, nên mình không viết ra ở đây.

gamar wrote:
Ngược lại nếu muốn dùng 1 cert và chỉ cần 1 CSR thì sẽ set cặp public/private key duy nhất cho tất cả các server (liệu chỗ này mình chỉ cần set public key thôi là đủ không nhỉ, vì thuật toàn mã hóa public key sẽ tự tìm ra private key tương ứng)...  
he he he nếu mà cái chỗ màu đỏ đúng thì còn gì hệ mã khóa công khai nữa bạn. ngược lại thì đúng, nghĩa là có private key thì sẽ tính được public key, nhưng mà nhìn vào public key không thể nào tính được private key. @mfeng: cảm ơn. mình mới thử sniff lại thì thấy đúng là Firefox3 có kết nối đến máy chủ chứa CRL Distribution list của Verisign. Nhưng không thấy nó kết nối đến máy chủ OCSP nha. -m ]]>
/hvaonline/posts/list/33184.html#204257 /hvaonline/posts/list/33184.html#204257 GMT
Dùng Cert từ verisgn trên nhiều Web Server chạy song song?

mrro wrote:
he he he nếu mà cái chỗ màu đỏ đúng thì còn gì hệ mã khóa công khai nữa bạn. ngược lại thì đúng, nghĩa là có private key thì sẽ tính được public key, nhưng mà nhìn vào public key không thể nào tính được private key.  
Ậy ậy, bạn mrro cẩn thận chỗ này. Trong security definition của public-key cryptography không có yêu cầu cái này, và cái này cũng không đúng (vd: RSA, Elgamal, Cramer-Shoup)]]>
/hvaonline/posts/list/33184.html#204270 /hvaonline/posts/list/33184.html#204270 GMT
Dùng Cert từ verisgn trên nhiều Web Server chạy song song? /hvaonline/posts/list/33184.html#204276 /hvaonline/posts/list/33184.html#204276 GMT Dùng Cert từ verisgn trên nhiều Web Server chạy song song?

mrro wrote:
bạn có học qua lý thuyết số thì sẽ thấy việc chứng minh này rất dễ dàng. giải thích cái này dài dòng, nằm ngoài nội dung của chủ đề này, nên mình không viết ra ở đây.  
uhm mình cũng nghĩ cái này chứng minh toán học và bắt buộc phải thỏa mãn điều này thì mới đảm bảo tính chất an toàn của hệ thống mã khóa công khai. Có điều chứng minh dễ hay không, và nó có tùy thuộc vào từng loại thuật toán không thì mình không biết :D ...

mrro wrote:

gamar wrote:
Ngược lại nếu muốn dùng 1 cert và chỉ cần 1 CSR thì sẽ set cặp public/private key duy nhất cho tất cả các server (liệu chỗ này mình chỉ cần set public key thôi là đủ không nhỉ, vì thuật toàn mã hóa public key sẽ tự tìm ra private key tương ứng)...  
he he he nếu mà cái chỗ màu đỏ đúng thì còn gì hệ mã khóa công khai nữa bạn. ngược lại thì đúng, nghĩa là có private key thì sẽ tính được public key, nhưng mà nhìn vào public key không thể nào tính được private key.  
:D chỗ này mình kết luận linh tinh quá, nếu mà từ public mà suy ra được private thì đúng là chả cần khóa làm gì cả hehe

mrro wrote:
liệu biết (n, d) có thể tính được e hay không? Đương nhiên lúc này e phải thỏa mãn những tính chất khi người ta chọn e trong thực tế, ví dụ như e phải rất nhỏ.  
từ (n,d) suy ra e thì chắc chỉ có bruteforce và trong trường hợp này bruteforce chắc cũng thua :-S. Tuy nhiên có private rồi thì kiểu gì cũng có public, cần gì phải tìm ra làm gì nữa :D ]]>
/hvaonline/posts/list/33184.html#204288 /hvaonline/posts/list/33184.html#204288 GMT
Dùng Cert từ verisgn trên nhiều Web Server chạy song song?

mrro wrote:
@StarGhost: mình đang nói đến thông tin nằm trong file chứa private key, còn SG lại nói về lý thuyết. 
À à, thế mình lại sai rồi. Cái này mình không nhớ rõ. Sau này mình không bàn luận bừa nữa. :^)

mrro wrote:
Dẫu vậy đây cũng là một vấn đề hay, mình không biết Elgamal và Cramer-Shoup nên không dám nói bừa, mình có biết chút ít về RSA nên thử bàn xem: liệu biết (n, d) có thể tính được e hay không? Đương nhiên lúc này e phải thỏa mãn những tính chất khi người ta chọn e trong thực tế, ví dụ như e phải rất nhỏ.  
Hì hì, nếu nói như mrro thì chả cần có private key mình cũng biết e là gì (với xác suất cao), vì hầu hết bây giờ người ta toàn dùng e = 65537. Lí do: i) 65537 đủ nhỏ mà cũng đủ lớn (để encrypt nhanh) ii) 65537 = 2^16+1 (để tính toán nhanh) iii) 65537 là một số nguyên tố (để chọn p,q nhanh). Còn Elgamal và Cramer-Shoup thì hiển nhiên không được, vì mapping từ PubKey Set -> PriKey set không phải là one-to-one.]]>
/hvaonline/posts/list/33184.html#204289 /hvaonline/posts/list/33184.html#204289 GMT
Dùng Cert từ verisgn trên nhiều Web Server chạy song song? /hvaonline/posts/list/33184.html#204298 /hvaonline/posts/list/33184.html#204298 GMT Dùng Cert từ verisgn trên nhiều Web Server chạy song song? prof. @myquartz: thế nào tí nữa bạn StarGhost cũng sẽ vô *hỏi thăm* đoạn vừa rồi mà bạn viết. mình cũng tính nói mà thấy SG với myquartz thích nói chuyện với nhau, nên để hai bạn nói ;-). -m]]> /hvaonline/posts/list/33184.html#204304 /hvaonline/posts/list/33184.html#204304 GMT Dùng Cert từ verisgn trên nhiều Web Server chạy song song?

StarGhost wrote:

mrro wrote:
@StarGhost: mình đang nói đến thông tin nằm trong file chứa private key, còn SG lại nói về lý thuyết. 
À à, thế mình lại sai rồi. Cái này mình không nhớ rõ. Sau này mình không bàn luận bừa nữa. :^)  
Cái này cũng là một vấn đề. Có bạn nào thử tìm hiểu xem trong file private key nó chứa những thông tin gì ko?

StarGhost wrote:

mrro wrote:
Dẫu vậy đây cũng là một vấn đề hay, mình không biết Elgamal và Cramer-Shoup nên không dám nói bừa, mình có biết chút ít về RSA nên thử bàn xem: liệu biết (n, d) có thể tính được e hay không? Đương nhiên lúc này e phải thỏa mãn những tính chất khi người ta chọn e trong thực tế, ví dụ như e phải rất nhỏ.  
Hì hì, nếu nói như mrro thì chả cần có private key mình cũng biết e là gì (với xác suất cao), vì hầu hết bây giờ người ta toàn dùng e = 65537. Lí do: i) 65537 đủ nhỏ mà cũng đủ lớn (để encrypt nhanh) ii) 65537 = 2^16+1 (để tính toán nhanh) iii) 65537 là một số nguyên tố (để chọn p,q nhanh). Còn Elgamal và Cramer-Shoup thì hiển nhiên không được, vì mapping từ PubKey Set -> PriKey set không phải là one-to-one. 
Nếu người ta không chọn e=65537 thì bạn làm thế nào để tìm? :-D ]]>
/hvaonline/posts/list/33184.html#204306 /hvaonline/posts/list/33184.html#204306 GMT
Dùng Cert từ verisgn trên nhiều Web Server chạy song song? myquartz. Các giải thích toán học quá dài dòng nên mình đành bỏ qua, dù vậy chúng rất hiển nhiên.

myquartz wrote:
Trong RSA, có private key ko tính toán được public key, và ngược lại, 2 con số này (2 cái key thực ra là 2 con số nguyên tố), nó quan hệ toán học với nhau đối xứng thì mới thành cặp key, nếu không phải thì ko thể thành cặp. Nếu xét về mặt toán thì cái nào là public, cái nào là private cũng được, quan trọng là giữ bí mật cái nào thì cái đó là private key, vậy thôi. (tham khảo http://en.wikipedia.org/wiki/RSA ). Nguyên lý của nó, là bạn mã hoá bằng public thì giải mã bằng private, và ký bằng private (thực chất là mã hoá chuỗi hash của plain text), sẽ giải mã được bằng public, so cái chuỗi hash được giải mã đó với hash của plain text nhận được thì biết là đúng chữ ký hay không. Hàm của nó kiểu: e = c(p,pub) => p = c(e,pv). <=> e = c(p,pv) p = c(e,pub) Trong đó: e = bản đã mã, hoặc ký, p = plain, pv: private, pub = public. c là hàm mã hoá. Về việc ko thể tính toán, nói đúng hơn ko phải ko tính ra được, mà là thời gian tính nó rất dài với năng lực của máy tính hiện tại (kể cả siêu máy tinh) thành ra là impossible. Tỉ dụ nếu độ dài 512bit (số 512bit độ dài, to lắm đấy, so với máy tính 64bit thì biết), ng ta nói rằng một số siêu máy tính trên thế giới đã có thể tính toán được ra cặp đối xứng đó, trong vòng 1 vài năm. Nhưng, với 1024, 2048 hoặc hơn, thì phải hàng ngàn, triệu năm. RSA dựa vào nguyên tắc là việc tính toán ra số nguyên tố cực lớn là một việc cực kỳ vất vả. Nếu bẻ gãy được việc này, giảm thời gian đó xuống thì sẽ giải mã được RSA. Cũng vì điều này, giải mã, mã hoá bất đối xứng như RSA, hay cả DSA là một việc tốn kém năng lực của máy tính, người ta không dùng nó để mã hoá cả 1 đoạn text dài, chỉ mã hoá hoặc ký vào symetric key hay là hash thôi, hay ký trong certificate hash. Symetric key này sẽ tiếp tục làm cái việc là mã hoá plain text bằng 1 block cipher có tốc độ cao hơn. Session key chính là Symetric key, lộ cái này thì phiên SSL cũng coi như là bị giải mã.  
--> Mình nghĩ bạn myquartz đang nói đến e và d trong RSA. Như vậy mình cho rằng khó có khả năng đây là 2 số nguyên tố. --> Thực ra việc bẻ khóa RSA không lâu đến vậy. Với 512bit thì chỉ cần ba trăm máy tính (thời cách đây chục năm) trong khoảng vài tháng là đã ra. Còn nếu nói siêu máy tính thì chỉ trong cấp độ tuần. Đấy là mình nói về mặt tổng quát, tức là bẻ bất cứ khóa 512 bit nào, chứ không tính đến một số loại khóa bẻ nhanh hơn. Hiện nay có bộ thuật toán *NFS giải quyết vấn đề này nhanh nhất (mà theo mình biết VN ta có bác rd là chuyên gia, đã từng viết vài papers cải tiến vài khâu quan trọng). --> Đoạn này mình không hiểu lắm, ý bạn có phải là nếu mình muốn tìm một số nguyên tố có độ dài 500 bits là rất vất vả, và RSA dựa vào nguyên tắc này? Nếu vậy thì mình không đồng ý lắm. Trên thực tế, RSA không dựa vào bất cứ nguyên tắc nào liên quan đến số nguyên tố cả. --> "điều này" = "việc tính toán số nguyên tố lớn rất vất vả"? Mình nghĩ chưa chắc, vì khi mã hóa hoặc giải mã có động gì đến số nguyên tố đâu.]]>
/hvaonline/posts/list/33184.html#204307 /hvaonline/posts/list/33184.html#204307 GMT
Dùng Cert từ verisgn trên nhiều Web Server chạy song song?

StarGhost wrote:
--> Đoạn này mình không hiểu lắm, ý bạn có phải là nếu mình muốn tìm một số nguyên tố có độ dài 500 bits là rất vất vả, và RSA dựa vào nguyên tắc này? Nếu vậy thì mình không đồng ý lắm. Trên thực tế, RSA không dựa vào bất cứ nguyên tắc nào liên quan đến số nguyên tố cả. --> "điều này" = "việc tính toán số nguyên tố lớn rất vất vả"? Mình nghĩ chưa chắc, vì khi mã hóa hoặc giải mã có động gì đến số nguyên tố đâu. 
Hihi. Đó là lục lọi trong trí nhớ về bài học lý thuyết lâu lâu rồi, có thể ko chính xác ở một số điểm, xin lỗi SG và các bạn nha. Việc bẻ khoá là việc tìm các thừa số nguyên tố cho 1 số cực lớn, bài toán ngược của RSA khi sinh key => phân tích ra được số nguyên tố sử dụng sẽ suy ra được cặp khoá. Độ dài 500 bít là độ dài của số n (modulus), là tích của 2 số nguyên tố, số e được chọn thì nhỏ hơn nhiều (chỉ 24 bít thôi, thấy như các bạn nó, thường là 65537 đó). Và đây nè, các bước sinh khoá copy từ Wikipedia đây:
1. Chọn 2 số nguyên tố lớn p , và q , với p != q, lựa chọn ngẫu nhiên và độc lập. 2. Tính: n = p*q. 3. Tính: giá trị hàm số Ơle \phi(n) = (p-1)(q-1) . 4. Chọn một số tự nhiên e sao cho 1 < e < \phi(n) \, và là số nguyên tố cùng nhau với \phi(n) . 5. Tính: d sao cho d e \equiv 1 (mod (\phi(n)).  
Còn bài toán của RSA, mình nhớ nhầm 1 chút, là tính toán ra phần dư của 1 số khi chia cho 1 số khác và tính toán hàm mũ, RSA chỉ đụng tới số nguyên tố ở đoạn sinh key. Tuy thế, việc tính toán hàm mũ và tính phần dư cho số cực lớn cũng là công việc không phải nhanh chóng, và việc chia mod n cho số cực to đó cũng không nhanh chóng gì cả.]]>
/hvaonline/posts/list/33184.html#204313 /hvaonline/posts/list/33184.html#204313 GMT
Dùng Cert từ verisgn trên nhiều Web Server chạy song song?

myquartz wrote:
Tuy thế, việc tính toán hàm mũ và tính phần dư cho số cực lớn cũng là công việc không phải nhanh chóng, và việc chia mod n cho số cực to đó cũng không nhanh chóng gì cả. 
Mình lại không nghĩ như vậy. Trên thực tế thì những tác vụ như vậy cũng chẳng đáng kể gì. Để chính xác hơn, khi nói đến viêc thực hiện các tác vụ tính toán, chúng ta nên dựa trên "độ phức tạp thuật toán". Các tác vụ trên đều có độ phức tạp tuyến tính O(n). Bạn có thể tham khảo thêm: http://vi.wikipedia.org/wiki/Độ_phức_tạp_thuật_toán ]]>
/hvaonline/posts/list/33184.html#204316 /hvaonline/posts/list/33184.html#204316 GMT
Dùng Cert từ verisgn trên nhiều Web Server chạy song song?

namnx wrote:
Mình lại không nghĩ như vậy. Trên thực tế thì những tác vụ như vậy cũng chẳng đáng kể gì. Để chính xác hơn, khi nói đến viêc thực hiện các tác vụ tính toán, chúng ta nên dựa trên "độ phức tạp thuật toán". Các tác vụ trên đều có độ phức tạp tuyến tính O(n).  
Mình chả rành cái này lắm, chả biết có phải O(n) thật không nhưg bạn cho hỏi n ở đây bằng bao nhiêu hả bạn :) ?]]>
/hvaonline/posts/list/33184.html#204337 /hvaonline/posts/list/33184.html#204337 GMT
Dùng Cert từ verisgn trên nhiều Web Server chạy song song? https://www.verisign.com/ssl-certificates/wildcard-ssl-certificates/index.html 2. Nếu lão dùng 1 thiết bị cân bằng tải, proxy phía trước, có chức năng decrypt https, thì chỉ cần mua 1 cert thôi, rồi cung cấp cái cert của Verisign cho nó decrypt. Ví dụ của trường hợp này là pound (giải pháp phần mềm) và F5 (hardware)
- Việc xin cấp Certificate từ verisign sẽ diễn ra thế nào?  
Steps trên site Verisign có, tui chỉ thêm 1 note cho lão là đại diện của Verisign sẽ gọi điện cho lão để hỏi lý do, confirm này nọ...]]>
/hvaonline/posts/list/33184.html#204341 /hvaonline/posts/list/33184.html#204341 GMT
Dùng Cert từ verisgn trên nhiều Web Server chạy song song? /hvaonline/posts/list/33184.html#204401 /hvaonline/posts/list/33184.html#204401 GMT Dùng Cert từ verisgn trên nhiều Web Server chạy song song?

thangdiablo wrote:
Thắc mắc thứ 2 là nếu có 2 servers chạy SSL mà chỉ dùng 1 cert được CA cấp được không? Câu trả lời cũng là "hơi khó" smilie chắc là không được. Thắc mắc thứ 3 là 2 servers với 2 cert từ 2 CA khác nhau được không? Câu trả lời cũng là "hơi khó".  
Ủa sao khó? Phải thangdiablo dùng DNS round robin đúng không? Nếu vậy thì có vấn đề gì đâu? Mình dùng hoài thường xuyên luôn mà. Giờ đơn giản là lấy một cái máy chủ ra chạy thử là biết thôi. -m]]>
/hvaonline/posts/list/33184.html#204402 /hvaonline/posts/list/33184.html#204402 GMT
Dùng Cert từ verisgn trên nhiều Web Server chạy song song? /hvaonline/posts/list/33184.html#204412 /hvaonline/posts/list/33184.html#204412 GMT Dùng Cert từ verisgn trên nhiều Web Server chạy song song? Giả thiết là không có load balance device có khả năng SSL đứng trước các webserver.   Phía trên tui có nêu giải pháp phần mềm là dùng Pound đó, không nhất thiết phải mua hàng khủng là F5, hehe. Thậm chí có thể dùng 1 server vừa làm load balancing vừa làm web server nhưng tốt nhất thì nên 3. Túm lại giải pháp rẻ tiền là pound. Cũng như mrro nói, muốn biết 2 server, 2 CA khác nhau, chạy DNS round robin được không thì cứ lấy cái máy chủ ra chạy là biết ngay thôi mà :-)
mrro nói rõ rồi, có gì "hơi khó" đâu để xài 1 cert cho 2 (hay nhiều server), miễn là chúng phục vụ cùng 1 domain.  
]]>
/hvaonline/posts/list/33184.html#204452 /hvaonline/posts/list/33184.html#204452 GMT
Dùng Cert từ verisgn trên nhiều Web Server chạy song song?

LeVuHoang wrote:
Giả thiết là không có load balance device có khả năng SSL đứng trước các webserver.  
Phía trên tui có nêu giải pháp phần mềm là dùng Pound đó, không nhất thiết phải mua hàng khủng là F5, hehe. Thậm chí có thể dùng 1 server vừa làm load balancing vừa làm web server nhưng tốt nhất thì nên 3. Túm lại giải pháp rẻ tiền là pound. Cũng như mrro nói, muốn biết 2 server, 2 CA khác nhau, chạy DNS round robin được không thì cứ lấy cái máy chủ ra chạy là biết ngay thôi mà :-)
mrro nói rõ rồi, có gì "hơi khó" đâu để xài 1 cert cho 2 (hay nhiều server), miễn là chúng phục vụ cùng 1 domain.  
 
1 cert làm sao có 2 CA chứng nhận được hả bác? bác có nhầm lẫn chỗ nào không ạ? Mỗi server 1 cert khác nhau (và mỗi cert là 1 CA chứng nhận) cũng chả sao cả, DNS round robin thì client sẽ chọn 1 trong các server, client kết nối, bắt tay, xác nhận Cert đúng với domain và CA đó nằm trong trusted-store, kết nối tới server khác, cũng lặp lại như vậy, không có vấn đề gì. À, nếu xài load balancer, giải pháp rẻ tiền ấy ạ, tớ ko biết pound là cái gì, tớ hay xài Apache (mod_ssl + mod_proxy + mod_balance), cái này có lẽ là rẻ nhất đó. Thậm chí squid cũng làm được việc đó, tốt đẹp không kém, và khả năng chịu tải cũng không phải tệ tí nào.]]>
/hvaonline/posts/list/33184.html#204455 /hvaonline/posts/list/33184.html#204455 GMT
Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 1 cert làm sao có 2 CA chứng nhận được hả bác? bác có nhầm lẫn chỗ nào không ạ?   Trong trường hợp của thangdiablo, theo tui hiểu là 2 cert, 2 CA khác nhau. 1 là Verisign, 1 là StartCom. 2 cert này install trên 2 server khác nhau và thangdiablo sử dụng DNS round robin để chuyển qua lại. Có chỗ nào nói 1 cert, 2 CA đâu nhỉ?
À, nếu xài load balancer, giải pháp rẻ tiền ấy ạ, tớ ko biết pound là cái gì, tớ hay xài Apache (mod_ssl + mod_proxy + mod_balance), cái này có lẽ là rẻ nhất đó  
http://www.apsis.ch/pound/]]>
/hvaonline/posts/list/33184.html#204471 /hvaonline/posts/list/33184.html#204471 GMT
Dùng Cert từ verisgn trên nhiều Web Server chạy song song? ---> cái này thì tùy thuộc vào cái path mà requests đi vào và cơ chế duy trì session khi truy cập xuyên qua https. Nếu em load balancing theo kiểu dùng DNS round robin cho 2 web servers chẳng hạn mà 1 cái thì mang verisign, 1 cái thì mang startCom thì sẽ có vấn đề.   Xin mời mọi người.]]> /hvaonline/posts/list/33184.html#204476 /hvaonline/posts/list/33184.html#204476 GMT Dùng Cert từ verisgn trên nhiều Web Server chạy song song?

thangdiablo wrote:
Vậy nếu mình dùng cái public key được sign với CA này và install lên nhiều webserver khác. Thì các webserver B,C,D này có "chịu" không?  
Hoàn toàn được ! Thực tế mình đã thử cái này cho một web server tại Main site và 1 web server dự phòng tại DR site.]]>
/hvaonline/posts/list/33184.html#204481 /hvaonline/posts/list/33184.html#204481 GMT
Dùng Cert từ verisgn trên nhiều Web Server chạy song song?

thangdiablo wrote:
Haha, cám ơn anh em đã cho ý kiến. Về việc thử 1 cert được cấp từ CA do CSR được generate từ 1 webserver duy nhất và dùng nó install cho trên nhiều webserver thì mình sẽ thử. Nhưng phân tích 1 chút nhé. Ví dụ webserver generate ra CSR để gửi lên CA gọi là webserver A. Khi đó WebServer A này tạo ra 1 cặp private/public key. Cái public key thì gửi lên CA để họ sign vào đó và họ gửi lại cho mình để mình install vào webserver. Vậy nếu mình dùng cái public key được sign với CA này và install lên nhiều webserver khác. Thì các webserver B,C,D này có "chịu" không?  
webserver B,C,D sẽ import đc, nhưng ko xài được, thiếu, nếu như private key sinh ra tại webserver A (lưu trong key-store, với Win thì xài CertManager) không được export từ webserver A mang về web server B,C,D và import vào đó trước. Tốt nhất, là sau khi cho cert vào webserver A, export cái cert+pub key+private key ra, thành 1 file .p12, rồi mang cái file này đi import vào đâu cũng được (web B, C, D). File p12 này cũng là để backup, vì nó cài vào bất kỳ server nào, server đó sẽ y chang webserver A.

thangdiablo wrote:
Tiếp tục, chúng ta bàn tới đoạn bình luận này của anh conmale
---> cái này thì tùy thuộc vào cái path mà requests đi vào và cơ chế duy trì session khi truy cập xuyên qua https. Nếu em load balancing theo kiểu dùng DNS round robin cho 2 web servers chẳng hạn mà 1 cái thì mang verisign, 1 cái thì mang startCom thì sẽ có vấn đề.  
Xin mời mọi người. 
Có vấn đề, nếu như client kết nối vào 1 con, disconnect, rồi lại kết nối vào con còn lại. Trước hết là tốc độ, sẽ chậm đi vì mỗi lần sẽ là 1 session hoàn toàn mới, cert mới, CA mới. Cái thứ 2, có thể, có thể thôi nhá, là web browser sẽ kiểm tra thấy CA bị thay đổi (tuy vẫn hợp lệ), và báo lỗi. Tuy nhiên cái thứ 2 theo mình biết, hầu hết các trình duyệt không kiểm tra cái này, và cứ CA trong trusted-store và domain = với CN là ok. Để thử nghiệm, mình đã thử tạo ra 2 CA (trong nội bộ), import 2 CA cert vào trình duyệt để nó xác nhận. Rồi issue cert cho 2 SSL Server. Dùng Firefox, không có vấn đề nếu có sự đổi địa chỉ, thay đổi server gì cả, còn chậm chắc là do mạng LAN quá nhanh, nên cũng không phát hiện ra.]]>
/hvaonline/posts/list/33184.html#204500 /hvaonline/posts/list/33184.html#204500 GMT
Dùng Cert từ verisgn trên nhiều Web Server chạy song song? Chuyện liên quan với chủ đề này, một chuyện liên quan đến bảo mật, một cậu em cũng nổi đình đám ở HVA này đã post cho mình xem vừa rồi. Xem ở đây: http://groups.google.com/group/mozilla.dev.security.policy/browse_thread/thread/17be3bd7e0b33e8c?pli=1 Cái này, nó về việc Mozilla Foundation (tức là Firefox), có thể cho thêm CNNIC CA (cơ quan quản lý tên miền Internet của Tung Của), và trusted-store mặc định của trình duyệt. Rất nhiều người phản đối việc này, vì sợ rằng, chính phủ CN có thể lợi dụng việc này để tạo ra cert giả qua CNNIC CA đối với các domain khác (ví dụ mail.google.com), với việc tấn công MiTM nhằm đọc trộm thông tin, mà người dùng không hề hay biết. Trình duyệt sẽ xác nhận sự hợp lệ của domain giả, trong quá trình tấn công MiTM đó, mà user cứ đinh ninh mình xài SSL sẽ là an toàn. Việc này, cũng là điểm chú ý khi các bạn triển khai SSL, hoặc ai đó dụ, yêu cầu các bạn cài CA riêng của họ vào trình duyệt của bạn/của tổ chức bạn làm. Nếu như cái CA đó, bị lộ private key, hoặc bị lợi dụng, thì ngay cả các SSL web server bên ngoài Internet mà bạn tin tưởng, Google, Yahoo... sẽ có thể không còn tin tưởng được nữa, nếu như họ chủ định tấn công bạn = cert giả + MiTM. Tất nhiên, các site EV, thì việc này sẽ khó làm hơn, Tên công ty được EV SSL Cert sẽ không hiện lên address bar, nếu Cert đó là giả (dù được trusted). Câu chuyện này, cũng y như việc mình (và cậu kia + một số người) từng phản đối việc xài VASC CA, một thứ CA nửa mùa, yêu cầu mọi user của nó phải cài vào trình duyệt rồi mới xài được. Ngân hàng ACB đang xài cái này cho Internet banking client của họ, ai biết được sẽ ra sao nếu như VASC, một công ty của VN ko đạt tiêu chuẩn kiểm toán quốc tế, bị lộ private key. => mọi thứ, kể cả chỗ tin tưởng bởi CA khác (ví dụ hvaonline.net :-D), VASC CA giả mạo cứ ký bừa vào, client chấp nhận rồi, thì chả ai có thể lường được hậu quả cả. Bạn nào muốn thử cái này không? tớ sẽ làm 1 cái CA, cho các bạn import vào máy của các bạn, tớ ký bừa cert cho hvaonline.net, làm MiTM server giả, các bạn sẽ thấy nó thế nào. Nghe chừng càng ngày, càng ít có cơ sở tin vào cái gì hết, ngoài bản thân. Ngân hàng nào định issue 1 hệ thống CA riêng cho Internet Banking, thì tớ cũng phải xem mặt có gửi niềm tin được không, CA của họ vào được trusted-store rồi thì ko biết họ có cho mình thành victim nhiều cái khác không.]]> /hvaonline/posts/list/33184.html#204502 /hvaonline/posts/list/33184.html#204502 GMT Dùng Cert từ verisgn trên nhiều Web Server chạy song song? Tốt nhất, là sau khi cho cert vào webserver A, export cái cert+pub key+private key ra, thành 1 file .p12, rồi mang cái file này đi import vào đâu cũng được (web B, C, D). File p12 này cũng là để backup, vì nó cài vào bất kỳ server nào, server đó sẽ y chang webserver A.   Chính xác. 1 cert vẫn dùng cho 2 server được. 1 server tạo CSR, import cert xong, export ra .p12 rồi mang qua server 2 import vào.
---> cái này thì tùy thuộc vào cái path mà requests đi vào và cơ chế duy trì session khi truy cập xuyên qua https. Nếu em load balancing theo kiểu dùng DNS round robin cho 2 web servers chẳng hạn mà 1 cái thì mang verisign, 1 cái thì mang startCom thì sẽ có vấn đề.  
anh conmale, em nghĩ thangdiablo sử dụng DNS round robin thì chắc không quan tâm đến vấn đề session. Cụ thể là login ở máy 1 và qua máy 2 vẫn còn ở trạng thái login. Thangdiablo confirm lại vụ này nha. Nếu chỉ là các trang tin tức, giới thiệu, không cần session, thì 2 cert này trên 2 server theo ý kiến cá nhân của tui vẫn có thể work bình thường.]]>
/hvaonline/posts/list/33184.html#204536 /hvaonline/posts/list/33184.html#204536 GMT
Dùng Cert từ verisgn trên nhiều Web Server chạy song song?
]]>
/hvaonline/posts/list/33184.html#208443 /hvaonline/posts/list/33184.html#208443 GMT
Dùng Cert từ verisgn trên nhiều Web Server chạy song song? /hvaonline/posts/list/33184.html#208451 /hvaonline/posts/list/33184.html#208451 GMT Dùng Cert từ verisgn trên nhiều Web Server chạy song song? /hvaonline/posts/list/33184.html#208457 /hvaonline/posts/list/33184.html#208457 GMT Dùng Cert từ verisgn trên nhiều Web Server chạy song song?

myquartz wrote:
Bạn thử vào đây: https://ebanking.dongabank.com.vn/login.jsp Sẽ thấy nó khác (cả cái thanh address bar). Để cái which is run by xxx thì phải có Extended Validation. Cái Cert được ký dưới EV, sẽ ... mắc tiền hơn nhiều. Lúc đó, tên hiệu của mình cũng sẽ hiện lên rất đẹp. Cert ký không có EV, thì chỉ xác nhận domain hoặc có thể có thêm cái O (organization) ở Subject của cert. Hết. Có thể google nó tiết kiệm vài ngàn $ (có thể nhân cho nhiều server), nên nó không có cái đó, đơn giản vậy thôi. 
Ah` ok! Mình đã hiểu, cám ơn bạn nhiều.

vikava wrote:
Hi ! Mình thấy một số trang web khi xem cái cert của nó "connection encrypted : high-grade enctryption(AES-256 256 bit) " . Tuy nhiên có những trang lại là "connection encrypted : high-grade enctryption(RC4 128 bit)" Vậy chúng khác nhau như thế nào ? và cái nào bảo mật hơn cái nào ? Thân 
http://en.wikipedia.org/wiki/AES256 http://en.wikipedia.org/wiki/RC4 http://forums.mozillazine.org/viewtopic.php?f=38&t=1829245]]>
/hvaonline/posts/list/33184.html#208482 /hvaonline/posts/list/33184.html#208482 GMT
Dùng Cert từ verisgn trên nhiều Web Server chạy song song? /hvaonline/posts/list/33184.html#208487 /hvaonline/posts/list/33184.html#208487 GMT Dùng Cert từ verisgn trên nhiều Web Server chạy song song?

vikjava wrote:
Trong này tớ không thấy chỗ nào đề cập tới AES-256 và RC4 . Vậy tại sao có sự khác nhau khi xem cert và cơ chế nào tạo ra sự khác nhau đó. ...  
Không đề cập vì verisign chỉ ký cert chứ đâu có tạo cert, thuật toán nào là do người tạo và application dùng để tạo ra cert đó.]]>
/hvaonline/posts/list/33184.html#208496 /hvaonline/posts/list/33184.html#208496 GMT
Dùng Cert từ verisgn trên nhiều Web Server chạy song song? /hvaonline/posts/list/33184.html#208503 /hvaonline/posts/list/33184.html#208503 GMT Dùng Cert từ verisgn trên nhiều Web Server chạy song song?

vikjava wrote:
IIS default dùng RC4 để mã hoá apache default dùng AES 256 để mã hoá Đây là cái nhìn tổng quan của mình khi xem qua một số trang web và trước khi post bài thảo luận :) . Không biết điều này có chính xác không ? Nếu đúng thì chúng ta có thể tuỳ chỉnh ở đâu trên iis và apache ? Mong các bác chỉ thêm :^)  
Theo kiến thức cùi bắp mà mình có được về mảng này thì nhận định trên của bạn là không chính xác. "Có vẻ" bạn đang bị lấn cấn ở chỗ: không biết mấy cái ciphers này do cái gì quyết định? Thử đọc kỹ lại câu trả lời của Mr.Bi xem. ]]>
/hvaonline/posts/list/33184.html#208514 /hvaonline/posts/list/33184.html#208514 GMT
Dùng Cert từ verisgn trên nhiều Web Server chạy song song?

mR.Bi wrote:

vikjava wrote:
Trong này tớ không thấy chỗ nào đề cập tới AES-256 và RC4 . Vậy tại sao có sự khác nhau khi xem cert và cơ chế nào tạo ra sự khác nhau đó. ...  
Không đề cập vì verisign chỉ ký cert chứ đâu có tạo cert, thuật toán nào là do người tạo và application dùng để tạo ra cert đó. 
Sai rồi bạn ơi. Trong cái cert có chỗ nào quy định dùng với thuật toán nào đâu. Cách đây vài tháng mình có làm một cái presentation ở Đại học BK Tp.HCM về lỗ hổng mới trong TLS/SSL, lần đó mình có giải thích rất rõ mấy cái này. Tiếc là ở HVA có rất ít bạn đi nghe. Ngắn gọn lại thì việc dùng AES256 hay RC4 là kết quả của bước bắt tay của giao thức TLS/SSL. Nói cách khác thì cùng một cert, có khi lại dùng AES256, có khi lại dùng RC4, nên cả nội dung cái cert và người ký nó đều không có liên quan. -m]]>
/hvaonline/posts/list/33184.html#208546 /hvaonline/posts/list/33184.html#208546 GMT
Dùng Cert từ verisgn trên nhiều Web Server chạy song song?

vikjava wrote:
thank mr.Bi. IIS default dùng RC4 để mã hoá apache default dùng AES 256 để mã hoá Đây là cái nhìn tổng quan của mình khi xem qua một số trang web và trước khi post bài thảo luận :) . Không biết điều này có chính xác không ? Nếu đúng thì chúng ta có thể tuỳ chỉnh ở đâu trên iis và apache ? Mong các bác chỉ thêm :^)  
Dùng encyption nào là do client và server support tới encryption nào thôi. Bạn tham khảo thêm ở link này: http://luxsci.com/blog/256-bit-aes-encryption-for-ssl-and-tls-maximal-security.html]]>
/hvaonline/posts/list/33184.html#208551 /hvaonline/posts/list/33184.html#208551 GMT
Dùng Cert từ verisgn trên nhiều Web Server chạy song song? /hvaonline/posts/list/33184.html#208553 /hvaonline/posts/list/33184.html#208553 GMT Dùng Cert từ verisgn trên nhiều Web Server chạy song song?

myquartz wrote:
Mrro nói thế dễ gây cho các bạn chưa hiểu về SSL/TLS và cert. Cert có quy định 1 thuật toán mã hoá và hash, nhưng đó là thuât toán mã hoá bất đối xứng dùng để xác nhận/ký/mã hoá cho cặp private/public key (RSA hay DSA + độ dài khoá), và hàm hash dùng để hash thông tin trong cert (MD5, SHA1, SHA256...). Độ dài khoá này cũng là cái quyết định giá tiền của cert và cả hệ thống chấp nhận được cái cert đó, ví dụ ký với độ dài 1024 hay 2048bit hoặc cao hơn. Còn trong phiên SSL/TLS, thì sau bước bắt tay trao đổi giải thuật mã hoá và khoá (cái này giờ lại là thuật toán đối xứng và khoá dành cho thuật toán này: DES 56bit, 3DES 168bit, AES 256 bit, RC4 128bit...). server và client quyết định cái này, tuỳ theo khả năng và prefer của nó. Không nhầm lẫn giữa 2 dạng đó. Không thì cứ giải thuật mã hoá là bla bla, nhầm lẫn. 
Để clear hơn 1 tí, tớ sẽ trình bày lại các bước trong phần này theo cách hiểu của mình. Nếu có gì chưa đúng hoặc thiếu thì nhờ các bạn bổ sung cho đầy đủ hơn. Đầu tiên chúng ta phải rõ là có 2 quá trình 1. Mua sự xác nhận của CA trên cert. 2. Cert được xác nhận từ CA và được install một cách đúng đắn (mã hoá thông tin từ phía client tới server ) Với 2 quá trình trên thì sẽ có 2 bộ khoá bất đối xứng và 1 khoá đối xứng. Vậy 2 bộ khoá đối xứng này từ đâu mà có? Dùng để làm gì? Mình tạm gọi là bộ khoá bất đối xứng thứ nhất là K1 và bộ khoá bất đối xứng thứ 2 là K2. Khoá đối xứng còn lại là K3. Bộ K1 được sinh ra trong quá trình chúng ta dùng IIS, Apache generate ra CSR (Certificate signing request) và gửi lên CA. Bộ K2 sẽ được CA sinh ra để ký vào public key mà chúng ta gửi cho CA nhằm mục đích xác thực cert của chúng ta là hợp lệ và duy nhất. Như vậy trong cả 2 quá trình này đã tạo ra 2 bộ K1 và K2. Sau khi nhận được cert từ CA chúng ta install vào IIS hay Apache. Lúc này khi diễn ra một yêu cầu đăng nhập từ phía client (POST) Thì client và server sẽ dùng 1 khoá đối xứng K3 để mã hoá nội dung của thông tin and username + password. Lúc này giữa client và server cũng trao đổi luôn các thuật toán sẽ dùng với nhau. Tuy nhiên, nếu trao đổi cái khoá đối xứng này (dang clear text) trên đường truyền thì sẽ không an toàn. Do đó client sẽ dùng cái public key của phía server để encrypt cái K3 này. Sau khi trao đổi K3 thành công và an toàn rồi thì K3 này sẽ được dùng để mã hoá nội dung. PS: Phần màu vàng là phần tớ hoàn toàn không chắc chắn, do đó vẫn còn nhiều mù mờ. Mong các bạn chỉnh sửa thêm. Thanks ]]>
/hvaonline/posts/list/33184.html#208567 /hvaonline/posts/list/33184.html#208567 GMT
Dùng Cert từ verisgn trên nhiều Web Server chạy song song?

myquartz wrote:
Mrro nói thế dễ gây cho các bạn chưa hiểu về SSL/TLS và cert. Cert có quy định 1 thuật toán mã hoá và hash, nhưng đó là thuât toán mã hoá bất đối xứng dùng để xác nhận/ký/mã hoá cho cặp private/public key (RSA hay DSA + độ dài khoá), và hàm hash dùng để hash thông tin trong cert (MD5, SHA1, SHA256...). Độ dài khoá này cũng là cái quyết định giá tiền của cert và cả hệ thống chấp nhận được cái cert đó, ví dụ ký với độ dài 1024 hay 2048bit hoặc cao hơn. Còn trong phiên SSL/TLS, thì sau bước bắt tay trao đổi giải thuật mã hoá và khoá (cái này giờ lại là thuật toán đối xứng và khoá dành cho thuật toán này: DES 56bit, 3DES 168bit, AES 256 bit, RC4 128bit...). server và client quyết định cái này, tuỳ theo khả năng và prefer của nó. Không nhầm lẫn giữa 2 dạng đó. Không thì cứ giải thuật mã hoá là bla bla, nhầm lẫn. 
Không có gì khó hiểu cả, ai đọc SSL/TLS đều biết được giao thức này sử dụng kết hợp cả 2 phương thức mã hoá phi đối xứng và đối xứng. Cái mrro nhấn mạnh là thuật toán đối xứng dùng để mã hoá là không cố định (cái này có thể cấu hình trên máy chủ web), nó có thể là AES hay RC4. Ngoài lề tí, các bác nghĩ sao nếu SSL dùng DES (thuật toán đã được chứng minh không còn an toàn)để mã hoá dữ liệu sau khi dùng RSA để trao đổi sension key xong. ]]>
/hvaonline/posts/list/33184.html#208570 /hvaonline/posts/list/33184.html#208570 GMT
Dùng Cert từ verisgn trên nhiều Web Server chạy song song?

thangdiablo wrote:
Bộ K1 được sinh ra trong quá trình chúng ta dùng IIS, Apache generate ra CSR (Certificate signing request) và gửi lên CA.  
Đoạn này anh có nhầm không? Anh dùng IIS và Apache để generate ra CSR?]]>
/hvaonline/posts/list/33184.html#208617 /hvaonline/posts/list/33184.html#208617 GMT
Dùng Cert từ verisgn trên nhiều Web Server chạy song song? /hvaonline/posts/list/33184.html#208638 /hvaonline/posts/list/33184.html#208638 GMT Dùng Cert từ verisgn trên nhiều Web Server chạy song song? /hvaonline/posts/list/33184.html#208646 /hvaonline/posts/list/33184.html#208646 GMT Dùng Cert từ verisgn trên nhiều Web Server chạy song song?

mrro wrote:
Ngắn gọn lại thì việc dùng AES256 hay RC4 là kết quả của bước bắt tay của giao thức TLS/SSL. -m 
Cho mình hỏi một tí, bắt tay như thế nào để đươc kết quả AES256 và bắt tay như thế nào thì đươc kết quả RC4. Mình tìm đươc link này http://support.microsoft.com/kb/245030 , nếu theo link này thì việc dùng AES256 hay RC4 phụ thuộc vào cấu hình mặc định của hệ điều hành đối với việc bắt tay của giao thức TLS/SSL ( đồng nghĩa với kết quả bắt tay của giao thức TLS/SSL) . Nếu như nhận định trên của mình đúng, đồng nghĩa với việc mặc định IIS ( hdh windows ) dùng RC4 và apache (unix*) dùng AES256 Mình chưa thật sự nắm rõ chỗ này , hi vọng các bác khai sáng thêm -:|- thân.]]>
/hvaonline/posts/list/33184.html#208652 /hvaonline/posts/list/33184.html#208652 GMT
Dùng Cert từ verisgn trên nhiều Web Server chạy song song?

FaL wrote:
nhanth87: đó là sự khác biệt giữa PRIVATE và PUBLIC 
Ý của em là đi nhờ thằng khác (verisgn) sinh dùm private key và public key của mình xem ra không ổn lắm. @vikjava: cái link đó khá cũ, chỉ nói về NT 4.0, trên IIS bản mới em nghĩ là có chỗ cho mình cấu hình cái này. Ngoài ra nếu trình duyệt không hỗ trợ thì nó sẽ tự thoả thuận đề tìm 1 phương pháp mã hoá yếu hơn (có lẽ bắt tay là ở chỗ này đây).]]>
/hvaonline/posts/list/33184.html#208654 /hvaonline/posts/list/33184.html#208654 GMT
Dùng Cert từ verisgn trên nhiều Web Server chạy song song? mrro và myquartz, cộng với việc đọc lại tài liệu đã giúp mình hiểu rõ hơn, cảm ơn 2 bạn. Lúc đầu, không đọc kỹ câu hỏi của vikjava, mình cứ nghĩ là đang nói về thuật toán mã hoá trong cái cert.

mR.Bi wrote:

thangdiablo wrote:
Bộ K1 được sinh ra trong quá trình chúng ta dùng IIS, Apache generate ra CSR (Certificate signing request) và gửi lên CA.  
Đoạn này anh có nhầm không? Anh dùng IIS và Apache để generate ra CSR?  
Nhầm một nửa, bởi vì trên Windows thì có thể dùng luôn Certificate Wizard trong IIS để generate, còn trên Linux, nếu có mỗi Apache không thì không biết generate kiểu gì.

thangdiablo wrote:
Bộ K2 sẽ được CA sinh ra để ký vào public key mà chúng ta gửi cho CA nhằm mục đích xác thực cert của chúng ta là hợp lệ và duy nhất.  
Nói cho chính xác hơn là để xác nhận thông tin trong certificate là đúng.

thangdiablo wrote:
Lúc này khi diễn ra một yêu cầu đăng nhập từ phía client (POST) Thì client và server sẽ dùng 1 khoá đối xứng K3 để mã hoá nội dung của thông tin and username + password. Lúc này giữa client và server cũng trao đổi luôn các thuật toán sẽ dùng với nhau. Tuy nhiên, nếu trao đổi cái khoá đối xứng này (dang clear text) trên đường truyền thì sẽ không an toàn. Do đó client sẽ dùng cái public key của phía server để encrypt cái K3 này. Sau khi trao đổi K3 thành công và an toàn rồi thì K3 này sẽ được dùng để mã hoá nội dung. PS: Phần màu vàng là phần tớ hoàn toàn không chắc chắn, do đó vẫn còn nhiều mù mờ. Mong các bạn chỉnh sửa thêm. Thanks  
Mình nghĩ cái K3 mà bạn nói ở đây chính là session key, mà session key thì sau này mới có chứ nếu ngay từ đầu thì nó ở đâu ra? Cái mà client dùng public key của server để encrypt mới là premaster secret thôi. Một SSL handshake có thể tóm gọn lại trong 4 bước chính thế này: 1. Server gửi certificate cho Client 2. Client tạo ra một premaster secret (thằng này có độ dài là 48 bytes, trong đó 2 bytes chứa phiên bản SSL mà client hỗ trợ, 46 bytes còn lại nó generate ngẫu nhiên), mã hoá nó với public key của server và gửi cho server 3. Server giải mã premaster secret này 4. Từ cái premaster secret này, cả server và client thực hiện một loạt các bước để tạo ra master secret. Và sau đó là tạo session key từ master secret. Session key này chính là symmetric key được dùng để mã hoá và giải mã thông tin, cũng như đảm bảo tính toàn vẹn của nó trong suốt một SSL session. Chi tiết các bạn có thể đọc ở đây: http://docs.sun.com/source/816-6156-10/contents.htm#1041640 http://publib.boulder.ibm.com/infocenter/wmqv6/v6r0/topic/com.ibm.mq.csqzas.doc/sy10660_.htm Minh hoạ: Code:
No.     Time        Source                Destination           Protocol Info
      4 0.026146    172.16.128.198        172.16.32.99          TLSv1    Client Hello

Frame 4 (233 bytes on wire, 233 bytes captured)
Ethernet II, Src: Fortinet_09:00:00 (00:09:0f:09:00:00), Dst: Micro-St_6f:94:f2 (00:19:db:6f:94:f2)
Internet Protocol, Src: 172.16.128.198 (172.16.128.198), Dst: 172.16.32.99 (172.16.32.99)
Transmission Control Protocol, Src Port: 28460 (28460), Dst Port: https (443), Seq: 1, Ack: 1, Len: 167
Secure Socket Layer
    TLSv1 Record Layer: Handshake Protocol: Client Hello
        Content Type: Handshake (22)
        Version: TLS 1.0 (0x0301)
        Length: 162
        Handshake Protocol: Client Hello
            Handshake Type: Client Hello (1)
            Length: 158
            Version: TLS 1.0 (0x0301)
            Random
            Session ID Length: 0
            Cipher Suites Length: 68
            Cipher Suites (34 suites)
            Compression Methods Length: 1
            Compression Methods (1 method)
            Extensions Length: 49
            Extension: server_name
            Extension: elliptic_curves
            Extension: ec_point_formats
            Extension: SessionTicket TLS
Code:
No.     Time        Source                Destination           Protocol Info
      6 0.034700    172.16.32.99          172.16.128.198        TLSv1    Server Hello, 

Frame 6 (1514 bytes on wire, 1514 bytes captured)
Ethernet II, Src: Micro-St_6f:94:f2 (00:19:db:6f:94:f2), Dst: Cisco_18:ea:c9 (00:21:d8:18:ea:c9)
Internet Protocol, Src: 172.16.32.99 (172.16.32.99), Dst: 172.16.128.198 (172.16.128.198)
Transmission Control Protocol, Src Port: https (443), Dst Port: 28460 (28460), Seq: 1, Ack: 168, Len: 1448
Secure Socket Layer
    TLSv1 Record Layer: Handshake Protocol: Server Hello
        Content Type: Handshake (22)
        Version: TLS 1.0 (0x0301)
        Length: 74
        Handshake Protocol: Server Hello
            Handshake Type: Server Hello (2)
            Length: 70
            Version: TLS 1.0 (0x0301)
            Random
            Session ID Length: 32
            Session ID: ECC86D2FC674A9E5B28C2AA1AB535FB48969C0477DF7677D...
            Cipher Suite: TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x0039)
            Compression Method: null (0)
Code:
No.     Time        Source                Destination           Protocol Info
     13 7.432028    172.16.128.198        172.16.32.99          TLSv1    Certificate, Client Key Exchange, Certificate Verify, Change Cipher Spec, Encrypted Handshake Message

Frame 13 (1172 bytes on wire, 1172 bytes captured)
Ethernet II, Src: Fortinet_09:00:00 (00:09:0f:09:00:00), Dst: Micro-St_6f:94:f2 (00:19:db:6f:94:f2)
Internet Protocol, Src: 172.16.128.198 (172.16.128.198), Dst: 172.16.32.99 (172.16.32.99)
Transmission Control Protocol, Src Port: 28460 (28460), Dst Port: https (443), Seq: 168, Ack: 2561, Len: 1106
Secure Socket Layer
    TLSv1 Record Layer: Handshake Protocol: Multiple Handshake Messages
        Content Type: Handshake (22)
        Version: TLS 1.0 (0x0301)
        Length: 1042
        Handshake Protocol: Certificate
            Handshake Type: Certificate (11)
            Length: 770
            Certificates Length: 767
            Certificates (767 bytes)
                Certificate Length: 764
                Certificate (pkcs-9-at-emailAddress=xx,id-at-commonName=xx,id-at-organizationalUnitName=xx,id-at-organizationName=xx,id-at-localityName=HN,id-at-stateOrProvinceName=Ha Noi,id-at-countryName=VN)
        Handshake Protocol: Client Key Exchange
            Handshake Type: Client Key Exchange (16)
            Length: 130
        Handshake Protocol: Certificate Verify
            Handshake Type: Certificate Verify (15)
            Length: 130
    TLSv1 Record Layer: Change Cipher Spec Protocol: Change Cipher Spec
        Content Type: Change Cipher Spec (20)
        Version: TLS 1.0 (0x0301)
        Length: 1
        Change Cipher Spec Message
    TLSv1 Record Layer: Handshake Protocol: Encrypted Handshake Message
        Content Type: Handshake (22)
        Version: TLS 1.0 (0x0301)
        Length: 48
        Handshake Protocol: Encrypted Handshake Message
Code:
No.     Time        Source                Destination           Protocol Info
     14 7.441706    172.16.32.99          172.16.128.198        TLSv1    Change Cipher Spec, Encrypted Handshake Message

Frame 14 (125 bytes on wire, 125 bytes captured)
Ethernet II, Src: Micro-St_6f:94:f2 (00:19:db:6f:94:f2), Dst: Cisco_18:ea:c9 (00:21:d8:18:ea:c9)
Internet Protocol, Src: 172.16.32.99 (172.16.32.99), Dst: 172.16.128.198 (172.16.128.198)
Transmission Control Protocol, Src Port: https (443), Dst Port: 28460 (28460), Seq: 2561, Ack: 1274, Len: 59
Secure Socket Layer
    TLSv1 Record Layer: Change Cipher Spec Protocol: Change Cipher Spec
        Content Type: Change Cipher Spec (20)
        Version: TLS 1.0 (0x0301)
        Length: 1
        Change Cipher Spec Message
    TLSv1 Record Layer: Handshake Protocol: Encrypted Handshake Message
        Content Type: Handshake (22)
        Version: TLS 1.0 (0x0301)
        Length: 48
        Handshake Protocol: Encrypted Handshake Message
Code:
No.     Time        Source                Destination           Protocol Info
     26 12.645327   172.16.128.198        172.16.32.99          TLSv1    Client Hello

Frame 26 (265 bytes on wire, 265 bytes captured)
Ethernet II, Src: Fortinet_09:00:00 (00:09:0f:09:00:00), Dst: Micro-St_6f:94:f2 (00:19:db:6f:94:f2)
Internet Protocol, Src: 172.16.128.198 (172.16.128.198), Dst: 172.16.32.99 (172.16.32.99)
Transmission Control Protocol, Src Port: 28462 (28462), Dst Port: https (443), Seq: 1, Ack: 1, Len: 199
Secure Socket Layer
    TLSv1 Record Layer: Handshake Protocol: Client Hello
        Content Type: Handshake (22)
        Version: TLS 1.0 (0x0301)
        Length: 194
        Handshake Protocol: Client Hello
            Handshake Type: Client Hello (1)
            Length: 190
            Version: TLS 1.0 (0x0301)
            Random
            Session ID Length: 32
            Session ID: ECC86D2FC674A9E5B28C2AA1AB535FB48969C0477DF7677D...
            Cipher Suites Length: 68
            Cipher Suites (34 suites)
            Compression Methods Length: 1
            Compression Methods (1 method)
            Extensions Length: 49
            Extension: server_name
            Extension: elliptic_curves
            Extension: ec_point_formats
            Extension: SessionTicket TLS
Code:
No.     Time        Source                Destination           Protocol Info
     28 12.647093   172.16.32.99          172.16.128.198        TLSv1    Server Hello, Change Cipher Spec, Encrypted Handshake Message

Frame 28 (204 bytes on wire, 204 bytes captured)
Ethernet II, Src: Micro-St_6f:94:f2 (00:19:db:6f:94:f2), Dst: Cisco_18:ea:c9 (00:21:d8:18:ea:c9)
Internet Protocol, Src: 172.16.32.99 (172.16.32.99), Dst: 172.16.128.198 (172.16.128.198)
Transmission Control Protocol, Src Port: https (443), Dst Port: 28462 (28462), Seq: 1, Ack: 200, Len: 138
Secure Socket Layer
    TLSv1 Record Layer: Handshake Protocol: Server Hello
        Content Type: Handshake (22)
        Version: TLS 1.0 (0x0301)
        Length: 74
        Handshake Protocol: Server Hello
            Handshake Type: Server Hello (2)
            Length: 70
            Version: TLS 1.0 (0x0301)
            Random
            Session ID Length: 32
            Session ID: ECC86D2FC674A9E5B28C2AA1AB535FB48969C0477DF7677D...
            Cipher Suite: TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x0039)
            Compression Method: null (0)
    TLSv1 Record Layer: Change Cipher Spec Protocol: Change Cipher Spec
        Content Type: Change Cipher Spec (20)
        Version: TLS 1.0 (0x0301)
        Length: 1
        Change Cipher Spec Message
    TLSv1 Record Layer: Handshake Protocol: Encrypted Handshake Message
        Content Type: Handshake (22)
        Version: TLS 1.0 (0x0301)
        Length: 48
        Handshake Protocol: Encrypted Handshake Message
Code:
No.     Time        Source                Destination           Protocol Info
     30 12.677193   172.16.128.198        172.16.32.99          TLSv1    Change Cipher Spec, Encrypted Handshake Message, Application Data

Frame 30 (722 bytes on wire, 722 bytes captured)
Ethernet II, Src: Fortinet_09:00:00 (00:09:0f:09:00:00), Dst: Micro-St_6f:94:f2 (00:19:db:6f:94:f2)
Internet Protocol, Src: 172.16.128.198 (172.16.128.198), Dst: 172.16.32.99 (172.16.32.99)
Transmission Control Protocol, Src Port: 28462 (28462), Dst Port: https (443), Seq: 200, Ack: 139, Len: 656
Secure Socket Layer
    TLSv1 Record Layer: Change Cipher Spec Protocol: Change Cipher Spec
        Content Type: Change Cipher Spec (20)
        Version: TLS 1.0 (0x0301)
        Length: 1
        Change Cipher Spec Message
    TLSv1 Record Layer: Handshake Protocol: Encrypted Handshake Message
        Content Type: Handshake (22)
        Version: TLS 1.0 (0x0301)
        Length: 48
        Handshake Protocol: Encrypted Handshake Message
    TLSv1 Record Layer: Application Data Protocol: http
        Content Type: Application Data (23)
        Version: TLS 1.0 (0x0301)
        Length: 592
        Encrypted Application Data: 721F353AA5343A689F449FB76514F3F08A6E4E76275FFAB2...
@vikjava: bạn có thể tìm đọc về CipherSuites và CipherSpecs.]]>
/hvaonline/posts/list/33184.html#208660 /hvaonline/posts/list/33184.html#208660 GMT
Dùng Cert từ verisgn trên nhiều Web Server chạy song song? /hvaonline/posts/list/33184.html#212893 /hvaonline/posts/list/33184.html#212893 GMT