|
|
Mình có 1 quan điểm giống với tranvanminh đó là nên giải thể BQT và tập hợp lại từ đầu.
Sẽ chọn ra những ai có đủ tâm huyết, thời gian và khả năng để tham gia vào nhóm lãnh đạo HVA.
Xét về khía cạnh người tham gia thì HVA đã có. Xét về khía cạnh Ban Điều Hành thì mình thấy cần thay đổi. Có nhiều Mods/SMods do bận bịu với cuộc sống mà không thể hoặc không còn hứng thú điều hành HVA nữa.
BQT là 1 bộ phận quan trọng và có trách nhiệm thổi luồng sinh khí cũng như truyền đạt hồn của diễn đàn tới thành viên. Phải có 1 nhóm người cùng tham gia định hướng, cùng bắt tay định hướng thì diễn đàn mới không bị suy thoái chứ không thể trông mong 1 người hay 1 nhóm nhỏ cố gắng mà thành công được.
Mình nghĩ bên cạnh những thành viên tâm huyết và chín chắn để định hướng diễn đàn như các admin của HVA hiện tại thì chúng ta cần 1 đội ngũ Moderator trẻ, năng động, đầy nhiệt huyết và nhiều thời gian thực hiện các định hướng đó.
|
|
|
myquartz wrote:
Mrro nói thế dễ gây cho các bạn chưa hiểu về SSL/TLS và cert.
Cert có quy định 1 thuật toán mã hoá và hash, nhưng đó là thuât toán mã hoá bất đối xứng dùng để xác nhận/ký/mã hoá cho cặp private/public key (RSA hay DSA + độ dài khoá), và hàm hash dùng để hash thông tin trong cert (MD5, SHA1, SHA256...). Độ dài khoá này cũng là cái quyết định giá tiền của cert và cả hệ thống chấp nhận được cái cert đó, ví dụ ký với độ dài 1024 hay 2048bit hoặc cao hơn.
Còn trong phiên SSL/TLS, thì sau bước bắt tay trao đổi giải thuật mã hoá và khoá (cái này giờ lại là thuật toán đối xứng và khoá dành cho thuật toán này: DES 56bit, 3DES 168bit, AES 256 bit, RC4 128bit...). server và client quyết định cái này, tuỳ theo khả năng và prefer của nó.
Không nhầm lẫn giữa 2 dạng đó. Không thì cứ giải thuật mã hoá là bla bla, nhầm lẫn.
Để clear hơn 1 tí, tớ sẽ trình bày lại các bước trong phần này theo cách hiểu của mình. Nếu có gì chưa đúng hoặc thiếu thì nhờ các bạn bổ sung cho đầy đủ hơn.
Đầu tiên chúng ta phải rõ là có 2 quá trình
1. Mua sự xác nhận của CA trên cert.
2. Cert được xác nhận từ CA và được install một cách đúng đắn (mã hoá thông tin từ phía client tới server )
Với 2 quá trình trên thì sẽ có 2 bộ khoá bất đối xứng và 1 khoá đối xứng.
Vậy 2 bộ khoá đối xứng này từ đâu mà có? Dùng để làm gì?
Mình tạm gọi là bộ khoá bất đối xứng thứ nhất là K1 và bộ khoá bất đối xứng thứ 2 là K2. Khoá đối xứng còn lại là K3.
Bộ K1 được sinh ra trong quá trình chúng ta dùng IIS, Apache generate ra CSR (Certificate signing request) và gửi lên CA.
Bộ K2 sẽ được CA sinh ra để ký vào public key mà chúng ta gửi cho CA nhằm mục đích xác thực cert của chúng ta là hợp lệ và duy nhất.
Như vậy trong cả 2 quá trình này đã tạo ra 2 bộ K1 và K2.
Sau khi nhận được cert từ CA chúng ta install vào IIS hay Apache.
Lúc này khi diễn ra một yêu cầu đăng nhập từ phía client (POST)
Thì client và server sẽ dùng 1 khoá đối xứng K3 để mã hoá nội dung của thông tin and username + password.
Lúc này giữa client và server cũng trao đổi luôn các thuật toán sẽ dùng với nhau.
Tuy nhiên, nếu trao đổi cái khoá đối xứng này (dang clear text) trên đường truyền thì sẽ không an toàn.
Do đó client sẽ dùng cái public key của phía server để encrypt cái K3 này.
Sau khi trao đổi K3 thành công và an toàn rồi thì K3 này sẽ được dùng để mã hoá nội dung.
PS: Phần màu vàng là phần tớ hoàn toàn không chắc chắn, do đó vẫn còn nhiều mù mờ. Mong các bạn chỉnh sửa thêm.
Thanks
|
|
|
myquartz wrote:
Bạn thử vào đây:
https://ebanking.dongabank.com.vn/login.jsp
Sẽ thấy nó khác (cả cái thanh address bar).
Để cái which is run by xxx thì phải có Extended Validation. Cái Cert được ký dưới EV, sẽ ... mắc tiền hơn nhiều. Lúc đó, tên hiệu của mình cũng sẽ hiện lên rất đẹp.
Cert ký không có EV, thì chỉ xác nhận domain hoặc có thể có thêm cái O (organization) ở Subject của cert. Hết.
Có thể google nó tiết kiệm vài ngàn $ (có thể nhân cho nhiều server), nên nó không có cái đó, đơn giản vậy thôi.
Ah` ok! Mình đã hiểu, cám ơn bạn nhiều.
vikava wrote:
Hi !
Mình thấy một số trang web khi xem cái cert của nó "connection encrypted : high-grade enctryption(AES-256 256 bit) " . Tuy nhiên có những trang lại là "connection encrypted : high-grade enctryption(RC4 128 bit)"
Vậy chúng khác nhau như thế nào ? và cái nào bảo mật hơn cái nào ? Thân
http://en.wikipedia.org/wiki/AES256
http://en.wikipedia.org/wiki/RC4
http://forums.mozillazine.org/viewtopic.php?f=38&t=1829245
|
|
|
Mình sử dùng Firefox thì thấy báo warning thế này. Không rõ vì lí do gì nhưng báo "which is run by unknown" là 1 dạng của CA chưa thực hiện bước check thông tin về công ty mua Cert.
Không rõ sao Google vẫn để thế này từ rất lâu.
|
|
|
maucoden wrote:
Vì mình chưa rõ ở việc cấu hình để thiết lập chữ ký điện tử trong mail, sử dụng cấu hình PKI này là như thế nào. còn viềc triển khai một mô hình Server 2003 và trên đó đã triển khai hệ thống mail nội bộ thì mình đã triển khai rồi. Việc giờ mình muốn tìm hiểu là cấu hình ở việc cung cấp chữ ký điện tử trong MAIL mà thôi. Nếu bạn nào đã làm hoặc có tài liệu nào hướng dẫn thì có thể share cho mình dc không? (tài liệu tiếng việt càng .... )
Trước tiên nên xác định lại PKI là gì đã này. Sau đó PKI ứng dụng vào MAIL sẽ giúp ích vấn đề gì này.
Những yếu tố cần để cung cấp 1 dịch vụ chứng chỉ số base là Windows Server cho Mail gồm những gì này.
Cơ chế hoạt động tổng qua của mô hình PKI khi ứng dụng vào Mail sẽ thế nào này.
Lợi và hại khi triển khai chữ ký số vào email này.
Khi nào bạn nêu được tất cả các vấn đề bên trên thì có nghĩa bạn đã phần nào hình dung chính xác những gì mình muốn làm và sẽ làm.
Lúc đó mình và các bạn trên HVA sẽ giúp.
|
|
|
maucoden wrote:
Chào mọi người, giờ tôi đang tìm hiểu về hệ thống PKI, về lý thuyết mình đã tìm hiểu. Mọi người ai có tài liệu gì để triển khai 1 hệ thống PKI thì cho mình xin được không? (triển khai trên hệ thống Windows Server 2003 nhé). Mình dự định lấy đề tài là "Tìm hiểu và triển khai hệ thống chứng chỉ số", các bạn thấy đề tài này thế nào?mình là sinh viên năm cuối, chuyên ngành kỹ thuật mạng. Mong mọi người giúp đỡ.
Nói thế thì rộng quá! Cụ thể hơn là muốn đưa PKI vào hệ thống để phục vụ cho mục đích gì? Web? Mail? hay gì khác?
Có được cái objective rõ ràng thì mới thảo luận cho phù hợp được.
|
|
|
Hi anh conmale,
Em xin tham gia cho vui.
Câu hỏi của anh là
conmale wrote:
objective trong câu chuyện phỏng vấn ở trên nằm ở đâu?
Theo em, objective trong câu chuyện pv này là người tuyển dụng muốn xem cách tiếp cận vấn đề, cách giải quyết vấn đề, tư duy logic và khả năng đánh giá & quản lý dự án.
|
|
|
Haha, cám ơn anh em đã cho ý kiến. Về việc thử 1 cert được cấp từ CA do CSR được generate từ 1 webserver duy nhất và dùng nó install cho trên nhiều webserver thì mình sẽ thử.
Nhưng phân tích 1 chút nhé. Ví dụ webserver generate ra CSR để gửi lên CA gọi là webserver A.
Khi đó WebServer A này tạo ra 1 cặp private/public key.
Cái public key thì gửi lên CA để họ sign vào đó và họ gửi lại cho mình để mình install vào webserver.
Vậy nếu mình dùng cái public key được sign với CA này và install lên nhiều webserver khác. Thì các webserver B,C,D này có "chịu" không?
Tiếp tục, chúng ta bàn tới đoạn bình luận này của anh conmale
---> cái này thì tùy thuộc vào cái path mà requests đi vào và cơ chế duy trì session khi truy cập xuyên qua https. Nếu em load balancing theo kiểu dùng DNS round robin cho 2 web servers chẳng hạn mà 1 cái thì mang verisign, 1 cái thì mang startCom thì sẽ có vấn đề.
Xin mời mọi người.
|
|
|
Hi Levuhoang,
Giả thiết là không có load balance device có khả năng SSL đứng trước các webserver.
Lúc đâu tôi lăn tăn là 2 servers với 2 CSR lên CA riêng biệt thì common name có giống nhau được hay không. Nhưng đã được anh conmale trả lời là giống chỉ khác cái expire time trên cert.
Thắc mắc thứ 2 là nếu có 2 servers chạy SSL mà chỉ dùng 1 cert được CA cấp được không? Câu trả lời cũng là "hơi khó" chắc là không được.
Thắc mắc thứ 3 là 2 servers với 2 cert từ 2 CA khác nhau được không? Câu trả lời cũng là "hơi khó".
Còn việc xin cấp Cert từ Verisign thế nào thì tôi có biết. Vì đã setup 1 server chạy SSL từ năm ngoái.
Hồi đó làm việc trực tiếp với bác Lim Richard bên Verisign luôn.
|
|
|
t11k51 wrote:
xin các pro giúp đỡ. khu trọ tôi co 4 máy dùng chung mạng qua một modem, tôi đã thử dùng câu lệnh (net) để thâm nhập vào một máy khác trong mạng nhung không thành. khi ping đến địa chi ip của máy đó nó báo rơt mạng và không thể kết nối đến máy đó được. pro nào có software nào cho tôi (link) hoặc hướng dãn cụ thể. tôi xin cám ơn nhiều {chỉ muốn học hỏi để nâng cao hiểu biết không ngoài mục đich khác}
Tớ có một lời khuyên chân thành dành cho bạn là quên những ham muốn "hack" này, " hack" kia đi và chuyên tâm vào học căn bản. Sau khi "công lực" đã lên cao thì lúc đó sẽ tự biết mình phải làm gì.
|
|
|
conmale wrote:
Reverse proxy không cache thì vẫn không ảnh hưởng gì đến dữ liệu real time cả. Đừng nghĩ "proxy" là phải cache.
Cám ơn anh. Em sẽ cân nhắc việc sử dụng giải reverse proxy với việc mua 1 thiết bị web load balance dạng như Citrix.
@ mrro: Đúng là để hiểu rõ tường tận bộ giao thức SSL/TLS là rất phức tạp. Và tại VN rất ít tổ chức ứng dụng và khai thác hiệu quả bộ giao thức này.
Về việc trình CA chỉ đóng vai trò khi trình duyệt kiểm tra xem certificate này có bị revoked hay chưa thì mình hoàn toàn đồng ý.
Có 4 thông tin mà trình duyệt sẽ kiểm tra khi truy cập vào 1 trang web ứng dụng SSL như mrro đã nói.
Tuy nhiên mình có thắc mắc là nếu trình duyệt không thực hiện bước kiểm tra revoked thì nếu vì 1 lí do nào đó tổ chức bị CA revoked mà trình duyệt vẫn báo trusted thì sao?
|
|
|
Hi anh conmale,
Bên em dữ liệu là real time nên em không có suy nghĩ tới giải pháp là reverse proxy
|
|
|
Anh em cho mình hỏi thêm.
Ví dụ giữa các web server mình không có 1 thiết bị load blancing có khả năng generate ra CSR dạng như Citrix chẳng hạn mà đơn giản chỉ là sử dụng network load balance có sẵn trên Windows.
Như vậy việc generate ra CSR phải thực hiện trên từng WebServer. Nếu WebServer thứ 1 mình dùng Certificate của Verisign, WebServer thứ 2 mình muốn dùng Certificate của StartCom. Yêu cầu là common name không thay đổi. Như vậy có được không?
conmale wrote:
- Khi dữ liệu được encrypted từ client tới server là sao? Ý em là clients (browsers) từ encrypt cái gì rồi gởi lên server?
Hi anh, nếu 2 webserver dùng 2 cert được issued từ CA thì không có vấn đề rồi.
Tại lúc đầu em suy nghĩ tới hướng nếu chỉ có 1 server (Server A) generate ra CSR và CA signed vào sau đó có thể dùng chung cho nhiều servers thì các thằng servers còn lại này sẽ được CA xác minh cert bằng cách nào?
Vì lúc này khi client truy cập (đăng nhập user name + password) nguyên đống thông tin này sẽ được mã hóa bằng session key và session key lại được mã hóa bằng public key (cert) của Server. Và cert này sẽ được CA kiểm định xem có an toàn hay không. Nếu nó đi tới Server A thì server A có private key để mà giải mã.
Các server khác không có private key thì sẽ ứng xử thế nào hehe
|
|
|
quanta wrote:
thangdiablo wrote:
...
Tuy nhiên, nếu chúng ta có nhiều hơn 1 cái webserver cùng chạy song song và duy trì cái trang ebanking này
--> thangdiablo nói rõ hơn chỗ này đi. Mục đích là để redundancy, load balancing, hay là gì?
PS: Tài liệu Licensing Verisign Certificates có đề cấp đến vấn đề này đấy.
Uh! tất nhiên mục đích là một trong những yếu tố Quân nêu ở trên.
|
|
|
Thank mrro về những thông tin trên. Còn về thắc mắc của mình, mrro có ý kiến gì không?
|
|
|
@ myquartz:
Uh! Mình bị rồi. Mình có gợi ý như trên vì không phải công ty nào cũng có policy chặt chẽ.
|
|
|
Hi all,
Mình lập ra topic này với mong muốn trao đổi cùng anh em về việc install Certificate được issued từ một trong những trusted root CA (verisign chẳng hạn) lên nhiều webserver chạy song song.
Ví dụ mình có 1 trang web ebanking có common name là ebank.abc.com
Và khi KH truy cập vào địa chỉ này thì nó sẽ tự động chuyển sang https
Mình xin trình bày quy trình xin cấp Certificate từ verisign có thể được hình dung đơn giản như sau:
- Vào IIS (giả định môi trường là windows) generate ra Certificate signing request (CSR) và gửi lên verisign.
- Tùy vào level mình mua Certificate mà verisign sẽ có cách để xác minh thông tin khác nhau. Họ sẽ gọi điện confirm hoặc email confirm.
- Sau đó họ gửi cho mình 1 cái cert và mình cùng cái này để install lên Server của mình.
Với trường hợp chúng ta chỉ có 1 webserver để duy trì cái trang ebank.abc.com thì đơn giản rồi. Tuy nhiên, nếu chúng ta có nhiều hơn 1 cái webserver cùng chạy song song và duy trì cái trang ebanking này thì
- Việc xin cấp Certificate từ verisign sẽ diễn ra thế nào?
- Việc tạo ra CSR chỉ cần làm trên 1 servers hay trên tất cả servers ?
- Mình phải mua mấy Certificate từ verisign?
- Common name lúc này có thay đổi hay không?
- Khi dữ liệu được encryption từ client tới servers thì verisign sẽ chứng thực cái Certificate này là không bị giả mạo ở khúc nào?
Mời mọi người thảo luận. Mọi người lưu ý tập trung vào vấn đề mình đang hỏi. Đừng lang bang sang vấn đề khác vì đề tài về CA này là rất rộng.
|
|