banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Dùng Cert từ verisgn trên nhiều Web Server chạy song song?  XML
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 01/02/2010 09:03:58 (+0700) | #31 | 204313
myquartz
Member

[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]

StarGhost wrote:


--> Đoạn này mình không hiểu lắm, ý bạn có phải là nếu mình muốn tìm một số nguyên tố có độ dài 500 bits là rất vất vả, và RSA dựa vào nguyên tắc này? Nếu vậy thì mình không đồng ý lắm. Trên thực tế, RSA không dựa vào bất cứ nguyên tắc nào liên quan đến số nguyên tố cả.

--> "điều này" = "việc tính toán số nguyên tố lớn rất vất vả"? Mình nghĩ chưa chắc, vì khi mã hóa hoặc giải mã có động gì đến số nguyên tố đâu. 


Hihi. Đó là lục lọi trong trí nhớ về bài học lý thuyết lâu lâu rồi, có thể ko chính xác ở một số điểm, xin lỗi SG và các bạn nha.
Việc bẻ khoá là việc tìm các thừa số nguyên tố cho 1 số cực lớn, bài toán ngược của RSA khi sinh key => phân tích ra được số nguyên tố sử dụng sẽ suy ra được cặp khoá. Độ dài 500 bít là độ dài của số n (modulus), là tích của 2 số nguyên tố, số e được chọn thì nhỏ hơn nhiều (chỉ 24 bít thôi, thấy như các bạn nó, thường là 65537 đó).

Và đây nè, các bước sinh khoá copy từ Wikipedia đây:

1. Chọn 2 số nguyên tố lớn p , và q , với p != q, lựa chọn ngẫu nhiên và độc lập.
2. Tính: n = p*q.
3. Tính: giá trị hàm số Ơle \phi(n) = (p-1)(q-1) .
4. Chọn một số tự nhiên e sao cho 1 < e < \phi(n) \, và là số nguyên tố cùng nhau với \phi(n) .
5. Tính: d sao cho d e \equiv 1 (mod (\phi(n)).

 


Còn bài toán của RSA, mình nhớ nhầm 1 chút, là tính toán ra phần dư của 1 số khi chia cho 1 số khác và tính toán hàm mũ, RSA chỉ đụng tới số nguyên tố ở đoạn sinh key. Tuy thế, việc tính toán hàm mũ và tính phần dư cho số cực lớn cũng là công việc không phải nhanh chóng, và việc chia mod n cho số cực to đó cũng không nhanh chóng gì cả.
[Up] [Print Copy]
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 01/02/2010 10:11:42 (+0700) | #32 | 204316
namnx
Member

[Minus]    0    [Plus]
Joined: 09/07/2006 01:22:18
Messages: 5
Offline
[Profile] [PM]

myquartz wrote:
Tuy thế, việc tính toán hàm mũ và tính phần dư cho số cực lớn cũng là công việc không phải nhanh chóng, và việc chia mod n cho số cực to đó cũng không nhanh chóng gì cả. 


Mình lại không nghĩ như vậy. Trên thực tế thì những tác vụ như vậy cũng chẳng đáng kể gì. Để chính xác hơn, khi nói đến viêc thực hiện các tác vụ tính toán, chúng ta nên dựa trên "độ phức tạp thuật toán". Các tác vụ trên đều có độ phức tạp tuyến tính O(n).

Bạn có thể tham khảo thêm: http://vi.wikipedia.org/wiki/Độ_phức_tạp_thuật_toán

-namnx
[Up] [Print Copy]
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 01/02/2010 15:14:34 (+0700) | #33 | 204337
gamar
Member

[Minus]    0    [Plus]
Joined: 25/09/2009 19:22:29
Messages: 23
Offline
[Profile] [PM]

namnx wrote:

Mình lại không nghĩ như vậy. Trên thực tế thì những tác vụ như vậy cũng chẳng đáng kể gì. Để chính xác hơn, khi nói đến viêc thực hiện các tác vụ tính toán, chúng ta nên dựa trên "độ phức tạp thuật toán". Các tác vụ trên đều có độ phức tạp tuyến tính O(n).
 


Mình chả rành cái này lắm, chả biết có phải O(n) thật không nhưg bạn cho hỏi n ở đây bằng bao nhiêu hả bạn smilie ?
[Up] [Print Copy]
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 01/02/2010 15:38:04 (+0700) | #34 | 204341
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
@thangdiablo: Quan trọng là lão cần cert cho 1 domain hay nhiều domain, có 2 giải pháp:
1. Nếu 2 server kia sử dụng sub-domain khác nhau như domain1.thang.com, domain2.thang.com thì lão phải mua 2 certs. Nếu muốn chỉ mua 1 cert thôi thì có thể xem xét mua wildcard cert của Verisign, hơi mắc xíu smilie. https://www.verisign.com/ssl-certificates/wildcard-ssl-certificates/index.html
2. Nếu lão dùng 1 thiết bị cân bằng tải, proxy phía trước, có chức năng decrypt https, thì chỉ cần mua 1 cert thôi, rồi cung cấp cái cert của Verisign cho nó decrypt. Ví dụ của trường hợp này là pound (giải pháp phần mềm) và F5 (hardware)

- Việc xin cấp Certificate từ verisign sẽ diễn ra thế nào?
 

Steps trên site Verisign có, tui chỉ thêm 1 note cho lão là đại diện của Verisign sẽ gọi điện cho lão để hỏi lý do, confirm này nọ...
[Up] [Print Copy]
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 02/02/2010 13:40:13 (+0700) | #35 | 204401
thangdiablo
HVA Friend

Joined: 11/05/2003 17:31:58
Messages: 734
Offline
[Profile] [PM] [WWW]
Hi Levuhoang,

Giả thiết là không có load balance device có khả năng SSL đứng trước các webserver.
Lúc đâu tôi lăn tăn là 2 servers với 2 CSR lên CA riêng biệt thì common name có giống nhau được hay không. Nhưng đã được anh conmale trả lời là giống chỉ khác cái expire time trên cert.
Thắc mắc thứ 2 là nếu có 2 servers chạy SSL mà chỉ dùng 1 cert được CA cấp được không? Câu trả lời cũng là "hơi khó" smilie chắc là không được.
Thắc mắc thứ 3 là 2 servers với 2 cert từ 2 CA khác nhau được không? Câu trả lời cũng là "hơi khó".

Còn việc xin cấp Cert từ Verisign thế nào thì tôi có biết. Vì đã setup 1 server chạy SSL từ năm ngoái.
Hồi đó làm việc trực tiếp với bác Lim Richard bên Verisign luôn.
Hãy sống có Tuệ Giác.
[Up] [Print Copy]
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 02/02/2010 13:59:37 (+0700) | #36 | 204402
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]

thangdiablo wrote:

Thắc mắc thứ 2 là nếu có 2 servers chạy SSL mà chỉ dùng 1 cert được CA cấp được không? Câu trả lời cũng là "hơi khó" smilie chắc là không được.
Thắc mắc thứ 3 là 2 servers với 2 cert từ 2 CA khác nhau được không? Câu trả lời cũng là "hơi khó".
 


Ủa sao khó? Phải thangdiablo dùng DNS round robin đúng không? Nếu vậy thì có vấn đề gì đâu? Mình dùng hoài thường xuyên luôn mà.

Giờ đơn giản là lấy một cái máy chủ ra chạy thử là biết thôi.

-m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 02/02/2010 16:07:37 (+0700) | #37 | 204412
myquartz
Member

[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]
mrro nói rõ rồi, có gì "hơi khó" đâu để xài 1 cert cho 2 (hay nhiều server), miễn là chúng phục vụ cùng 1 domain.

Xài nhiều cert (nhiều server) cho một domain thì tớ ít thấy có, tuy về mặt kỹ thuật không gặp vấn đề gì cả.
Dĩ nhiên, nhiều domain thì ắt phải có số lượng cert tương đương, trừ khi dùng wildcard cert.
[Up] [Print Copy]
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 03/02/2010 10:08:46 (+0700) | #38 | 204452
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]

Giả thiết là không có load balance device có khả năng SSL đứng trước các webserver.
 

Phía trên tui có nêu giải pháp phần mềm là dùng Pound đó, không nhất thiết phải mua hàng khủng là F5, hehe. Thậm chí có thể dùng 1 server vừa làm load balancing vừa làm web server nhưng tốt nhất thì nên 3. Túm lại giải pháp rẻ tiền là pound.
Cũng như mrro nói, muốn biết 2 server, 2 CA khác nhau, chạy DNS round robin được không thì cứ lấy cái máy chủ ra chạy là biết ngay thôi mà smilie

mrro nói rõ rồi, có gì "hơi khó" đâu để xài 1 cert cho 2 (hay nhiều server), miễn là chúng phục vụ cùng 1 domain.  
[Up] [Print Copy]
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 03/02/2010 10:34:29 (+0700) | #39 | 204455
myquartz
Member

[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]

LeVuHoang wrote:

Giả thiết là không có load balance device có khả năng SSL đứng trước các webserver.
 

Phía trên tui có nêu giải pháp phần mềm là dùng Pound đó, không nhất thiết phải mua hàng khủng là F5, hehe. Thậm chí có thể dùng 1 server vừa làm load balancing vừa làm web server nhưng tốt nhất thì nên 3. Túm lại giải pháp rẻ tiền là pound.
Cũng như mrro nói, muốn biết 2 server, 2 CA khác nhau, chạy DNS round robin được không thì cứ lấy cái máy chủ ra chạy là biết ngay thôi mà smilie

mrro nói rõ rồi, có gì "hơi khó" đâu để xài 1 cert cho 2 (hay nhiều server), miễn là chúng phục vụ cùng 1 domain.  
 


1 cert làm sao có 2 CA chứng nhận được hả bác? bác có nhầm lẫn chỗ nào không ạ?
Mỗi server 1 cert khác nhau (và mỗi cert là 1 CA chứng nhận) cũng chả sao cả, DNS round robin thì client sẽ chọn 1 trong các server, client kết nối, bắt tay, xác nhận Cert đúng với domain và CA đó nằm trong trusted-store, kết nối tới server khác, cũng lặp lại như vậy, không có vấn đề gì.

À, nếu xài load balancer, giải pháp rẻ tiền ấy ạ, tớ ko biết pound là cái gì, tớ hay xài Apache (mod_ssl + mod_proxy + mod_balance), cái này có lẽ là rẻ nhất đó. Thậm chí squid cũng làm được việc đó, tốt đẹp không kém, và khả năng chịu tải cũng không phải tệ tí nào.
[Up] [Print Copy]
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 03/02/2010 13:49:38 (+0700) | #40 | 204471
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]

1 cert làm sao có 2 CA chứng nhận được hả bác? bác có nhầm lẫn chỗ nào không ạ?
 

Trong trường hợp của thangdiablo, theo tui hiểu là 2 cert, 2 CA khác nhau. 1 là Verisign, 1 là StartCom. 2 cert này install trên 2 server khác nhau và thangdiablo sử dụng DNS round robin để chuyển qua lại. Có chỗ nào nói 1 cert, 2 CA đâu nhỉ?


À, nếu xài load balancer, giải pháp rẻ tiền ấy ạ, tớ ko biết pound là cái gì, tớ hay xài Apache (mod_ssl + mod_proxy + mod_balance), cái này có lẽ là rẻ nhất đó
 

http://www.apsis.ch/pound/
[Up] [Print Copy]
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 03/02/2010 14:01:46 (+0700) | #41 | 204476
thangdiablo
HVA Friend

Joined: 11/05/2003 17:31:58
Messages: 734
Offline
[Profile] [PM] [WWW]
Haha, cám ơn anh em đã cho ý kiến. Về việc thử 1 cert được cấp từ CA do CSR được generate từ 1 webserver duy nhất và dùng nó install cho trên nhiều webserver thì mình sẽ thử.
Nhưng phân tích 1 chút nhé. Ví dụ webserver generate ra CSR để gửi lên CA gọi là webserver A.

Khi đó WebServer A này tạo ra 1 cặp private/public key.
Cái public key thì gửi lên CA để họ sign vào đó và họ gửi lại cho mình để mình install vào webserver.

Vậy nếu mình dùng cái public key được sign với CA này và install lên nhiều webserver khác. Thì các webserver B,C,D này có "chịu" không?

Tiếp tục, chúng ta bàn tới đoạn bình luận này của anh conmale

---> cái này thì tùy thuộc vào cái path mà requests đi vào và cơ chế duy trì session khi truy cập xuyên qua https. Nếu em load balancing theo kiểu dùng DNS round robin cho 2 web servers chẳng hạn mà 1 cái thì mang verisign, 1 cái thì mang startCom thì sẽ có vấn đề.  


Xin mời mọi người.
Hãy sống có Tuệ Giác.
[Up] [Print Copy]
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 03/02/2010 14:24:27 (+0700) | #42 | 204481
[Avatar]
ORA2009
Member

[Minus]    0    [Plus]
Joined: 31/08/2009 11:04:02
Messages: 109
Offline
[Profile] [PM]

thangdiablo wrote:

Vậy nếu mình dùng cái public key được sign với CA này và install lên nhiều webserver khác. Thì các webserver B,C,D này có "chịu" không?
 


Hoàn toàn được !

Thực tế mình đã thử cái này cho một web server tại Main site và 1 web server dự phòng tại DR site.
[Up] [Print Copy]
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 03/02/2010 17:10:55 (+0700) | #43 | 204500
myquartz
Member

[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]

thangdiablo wrote:
Haha, cám ơn anh em đã cho ý kiến. Về việc thử 1 cert được cấp từ CA do CSR được generate từ 1 webserver duy nhất và dùng nó install cho trên nhiều webserver thì mình sẽ thử.
Nhưng phân tích 1 chút nhé. Ví dụ webserver generate ra CSR để gửi lên CA gọi là webserver A.

Khi đó WebServer A này tạo ra 1 cặp private/public key.
Cái public key thì gửi lên CA để họ sign vào đó và họ gửi lại cho mình để mình install vào webserver.

Vậy nếu mình dùng cái public key được sign với CA này và install lên nhiều webserver khác. Thì các webserver B,C,D này có "chịu" không?
 


webserver B,C,D sẽ import đc, nhưng ko xài được, thiếu, nếu như private key sinh ra tại webserver A (lưu trong key-store, với Win thì xài CertManager) không được export từ webserver A mang về web server B,C,D và import vào đó trước.
Tốt nhất, là sau khi cho cert vào webserver A, export cái cert+pub key+private key ra, thành 1 file .p12, rồi mang cái file này đi import vào đâu cũng được (web B, C, D). File p12 này cũng là để backup, vì nó cài vào bất kỳ server nào, server đó sẽ y chang webserver A.

thangdiablo wrote:

Tiếp tục, chúng ta bàn tới đoạn bình luận này của anh conmale

---> cái này thì tùy thuộc vào cái path mà requests đi vào và cơ chế duy trì session khi truy cập xuyên qua https. Nếu em load balancing theo kiểu dùng DNS round robin cho 2 web servers chẳng hạn mà 1 cái thì mang verisign, 1 cái thì mang startCom thì sẽ có vấn đề.  


Xin mời mọi người. 


Có vấn đề, nếu như client kết nối vào 1 con, disconnect, rồi lại kết nối vào con còn lại. Trước hết là tốc độ, sẽ chậm đi vì mỗi lần sẽ là 1 session hoàn toàn mới, cert mới, CA mới.
Cái thứ 2, có thể, có thể thôi nhá, là web browser sẽ kiểm tra thấy CA bị thay đổi (tuy vẫn hợp lệ), và báo lỗi. Tuy nhiên cái thứ 2 theo mình biết, hầu hết các trình duyệt không kiểm tra cái này, và cứ CA trong trusted-store và domain = với CN là ok.
Để thử nghiệm, mình đã thử tạo ra 2 CA (trong nội bộ), import 2 CA cert vào trình duyệt để nó xác nhận. Rồi issue cert cho 2 SSL Server. Dùng Firefox, không có vấn đề nếu có sự đổi địa chỉ, thay đổi server gì cả, còn chậm chắc là do mạng LAN quá nhanh, nên cũng không phát hiện ra.
[Up] [Print Copy]
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 03/02/2010 18:07:49 (+0700) | #44 | 204502
myquartz
Member

[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]
Chuyện liên quan với chủ đề này, một chuyện liên quan đến bảo mật, một cậu em cũng nổi đình đám ở HVA này đã post cho mình xem vừa rồi.
Xem ở đây:
http://groups.google.com/group/mozilla.dev.security.policy/browse_thread/thread/17be3bd7e0b33e8c?pli=1
Cái này, nó về việc Mozilla Foundation (tức là Firefox), có thể cho thêm CNNIC CA (cơ quan quản lý tên miền Internet của Tung Của), và trusted-store mặc định của trình duyệt.
Rất nhiều người phản đối việc này, vì sợ rằng, chính phủ CN có thể lợi dụng việc này để tạo ra cert giả qua CNNIC CA đối với các domain khác (ví dụ mail.google.com), với việc tấn công MiTM nhằm đọc trộm thông tin, mà người dùng không hề hay biết. Trình duyệt sẽ xác nhận sự hợp lệ của domain giả, trong quá trình tấn công MiTM đó, mà user cứ đinh ninh mình xài SSL sẽ là an toàn.
Việc này, cũng là điểm chú ý khi các bạn triển khai SSL, hoặc ai đó dụ, yêu cầu các bạn cài CA riêng của họ vào trình duyệt của bạn/của tổ chức bạn làm. Nếu như cái CA đó, bị lộ private key, hoặc bị lợi dụng, thì ngay cả các SSL web server bên ngoài Internet mà bạn tin tưởng, Google, Yahoo... sẽ có thể không còn tin tưởng được nữa, nếu như họ chủ định tấn công bạn = cert giả + MiTM.
Tất nhiên, các site EV, thì việc này sẽ khó làm hơn, Tên công ty được EV SSL Cert sẽ không hiện lên address bar, nếu Cert đó là giả (dù được trusted).
Câu chuyện này, cũng y như việc mình (và cậu kia + một số người) từng phản đối việc xài VASC CA, một thứ CA nửa mùa, yêu cầu mọi user của nó phải cài vào trình duyệt rồi mới xài được. Ngân hàng ACB đang xài cái này cho Internet banking client của họ, ai biết được sẽ ra sao nếu như VASC, một công ty của VN ko đạt tiêu chuẩn kiểm toán quốc tế, bị lộ private key. => mọi thứ, kể cả chỗ tin tưởng bởi CA khác (ví dụ hvaonline.net :-D), VASC CA giả mạo cứ ký bừa vào, client chấp nhận rồi, thì chả ai có thể lường được hậu quả cả.
Bạn nào muốn thử cái này không? tớ sẽ làm 1 cái CA, cho các bạn import vào máy của các bạn, tớ ký bừa cert cho hvaonline.net, làm MiTM server giả, các bạn sẽ thấy nó thế nào.
Nghe chừng càng ngày, càng ít có cơ sở tin vào cái gì hết, ngoài bản thân. Ngân hàng nào định issue 1 hệ thống CA riêng cho Internet Banking, thì tớ cũng phải xem mặt có gửi niềm tin được không, CA của họ vào được trusted-store rồi thì ko biết họ có cho mình thành victim nhiều cái khác không.
[Up] [Print Copy]
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 04/02/2010 11:11:19 (+0700) | #45 | 204536
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]

Tốt nhất, là sau khi cho cert vào webserver A, export cái cert+pub key+private key ra, thành 1 file .p12, rồi mang cái file này đi import vào đâu cũng được (web B, C, D). File p12 này cũng là để backup, vì nó cài vào bất kỳ server nào, server đó sẽ y chang webserver A.
 

Chính xác. 1 cert vẫn dùng cho 2 server được. 1 server tạo CSR, import cert xong, export ra .p12 rồi mang qua server 2 import vào.


---> cái này thì tùy thuộc vào cái path mà requests đi vào và cơ chế duy trì session khi truy cập xuyên qua https. Nếu em load balancing theo kiểu dùng DNS round robin cho 2 web servers chẳng hạn mà 1 cái thì mang verisign, 1 cái thì mang startCom thì sẽ có vấn đề.
 

anh conmale, em nghĩ thangdiablo sử dụng DNS round robin thì chắc không quan tâm đến vấn đề session. Cụ thể là login ở máy 1 và qua máy 2 vẫn còn ở trạng thái login. Thangdiablo confirm lại vụ này nha. Nếu chỉ là các trang tin tức, giới thiệu, không cần session, thì 2 cert này trên 2 server theo ý kiến cá nhân của tui vẫn có thể work bình thường.
[Up] [Print Copy]
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 05/04/2010 10:50:08 (+0700) | #46 | 208443
thangdiablo
HVA Friend

Joined: 11/05/2003 17:31:58
Messages: 734
Offline
[Profile] [PM] [WWW]
Mình sử dùng Firefox thì thấy báo warning thế này. Không rõ vì lí do gì nhưng báo "which is run by unknown" là 1 dạng của CA chưa thực hiện bước check thông tin về công ty mua Cert.
Không rõ sao Google vẫn để thế này từ rất lâu.


Hãy sống có Tuệ Giác.
[Up] [Print Copy]
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 05/04/2010 18:32:00 (+0700) | #47 | 208451
myquartz
Member

[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]
Bạn thử vào đây:
https://ebanking.dongabank.com.vn/login.jsp
Sẽ thấy nó khác (cả cái thanh address bar).
Để cái which is run by xxx thì phải có Extended Validation. Cái Cert được ký dưới EV, sẽ ... mắc tiền hơn nhiều. Lúc đó, tên hiệu của mình cũng sẽ hiện lên rất đẹp.
Cert ký không có EV, thì chỉ xác nhận domain hoặc có thể có thêm cái O (organization) ở Subject của cert. Hết.
Có thể google nó tiết kiệm vài ngàn $ (có thể nhân cho nhiều server), nên nó không có cái đó, đơn giản vậy thôi.
[Up] [Print Copy]
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 05/04/2010 20:04:27 (+0700) | #48 | 208457
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]
Hi !
Mình thấy một số trang web khi xem cái cert của nó "connection encrypted : high-grade enctryption(AES-256 256 bit) " . Tuy nhiên có những trang lại là "connection encrypted : high-grade enctryption(RC4 128 bit)"
Vậy chúng khác nhau như thế nào ? và cái nào bảo mật hơn cái nào ? Thân
[Up] [Print Copy]
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 06/04/2010 07:48:01 (+0700) | #49 | 208482
thangdiablo
HVA Friend

Joined: 11/05/2003 17:31:58
Messages: 734
Offline
[Profile] [PM] [WWW]

myquartz wrote:
Bạn thử vào đây:
https://ebanking.dongabank.com.vn/login.jsp
Sẽ thấy nó khác (cả cái thanh address bar).
Để cái which is run by xxx thì phải có Extended Validation. Cái Cert được ký dưới EV, sẽ ... mắc tiền hơn nhiều. Lúc đó, tên hiệu của mình cũng sẽ hiện lên rất đẹp.
Cert ký không có EV, thì chỉ xác nhận domain hoặc có thể có thêm cái O (organization) ở Subject của cert. Hết.
Có thể google nó tiết kiệm vài ngàn $ (có thể nhân cho nhiều server), nên nó không có cái đó, đơn giản vậy thôi. 


Ah` ok! Mình đã hiểu, cám ơn bạn nhiều.

vikava wrote:
Hi !
Mình thấy một số trang web khi xem cái cert của nó "connection encrypted : high-grade enctryption(AES-256 256 bit) " . Tuy nhiên có những trang lại là "connection encrypted : high-grade enctryption(RC4 128 bit)"
Vậy chúng khác nhau như thế nào ? và cái nào bảo mật hơn cái nào ? Thân 


http://en.wikipedia.org/wiki/AES256
http://en.wikipedia.org/wiki/RC4
http://forums.mozillazine.org/viewtopic.php?f=38&t=1829245
Hãy sống có Tuệ Giác.
[Up] [Print Copy]
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 06/04/2010 09:14:13 (+0700) | #50 | 208487
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]
hi !
Hai trang web đều mua Secure Site Pro with EV . Đối với EV thì Select a bit length for the certificate (1024 or 2048 for EV certificates).

Đây là quy trình đăng ký cert từ verisgn áp dụng trên IIS :

https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR225
https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR759

Trong này tớ không thấy chỗ nào đề cập tới AES-256 và RC4 . Vậy tại sao có sự khác nhau khi xem cert và cơ chế nào tạo ra sự khác nhau đó.

Thân
[Up] [Print Copy]
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 06/04/2010 13:08:42 (+0700) | #51 | 208496
mR.Bi
Member

[Minus]    0    [Plus]
Joined: 22/03/2006 13:17:49
Messages: 812
Offline
[Profile] [PM] [WWW]

vikjava wrote:

Trong này tớ không thấy chỗ nào đề cập tới AES-256 và RC4 . Vậy tại sao có sự khác nhau khi xem cert và cơ chế nào tạo ra sự khác nhau đó.
...
 

Không đề cập vì verisign chỉ ký cert chứ đâu có tạo cert, thuật toán nào là do người tạo và application dùng để tạo ra cert đó.
All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"
[Up] [Print Copy]
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 06/04/2010 15:09:10 (+0700) | #52 | 208503
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]
thank mr.Bi.
IIS default dùng RC4 để mã hoá
apache default dùng AES 256 để mã hoá

Đây là cái nhìn tổng quan của mình khi xem qua một số trang web và trước khi post bài thảo luận smilie . Không biết điều này có chính xác không ? Nếu đúng thì chúng ta có thể tuỳ chỉnh ở đâu trên iis và apache ?

Mong các bác chỉ thêm smilie
[Up] [Print Copy]
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 06/04/2010 17:13:06 (+0700) | #53 | 208514
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]

vikjava wrote:

IIS default dùng RC4 để mã hoá
apache default dùng AES 256 để mã hoá

Đây là cái nhìn tổng quan của mình khi xem qua một số trang web và trước khi post bài thảo luận smilie . Không biết điều này có chính xác không ? Nếu đúng thì chúng ta có thể tuỳ chỉnh ở đâu trên iis và apache ?

Mong các bác chỉ thêm smilie  

Theo kiến thức cùi bắp mà mình có được về mảng này thì nhận định trên của bạn là không chính xác. "Có vẻ" bạn đang bị lấn cấn ở chỗ: không biết mấy cái ciphers này do cái gì quyết định? Thử đọc kỹ lại câu trả lời của Mr.Bi xem.

Let's build on a great foundation!
[Up] [Print Copy]
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 07/04/2010 09:00:05 (+0700) | #54 | 208546
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]

mR.Bi wrote:

vikjava wrote:

Trong này tớ không thấy chỗ nào đề cập tới AES-256 và RC4 . Vậy tại sao có sự khác nhau khi xem cert và cơ chế nào tạo ra sự khác nhau đó.
...
 

Không đề cập vì verisign chỉ ký cert chứ đâu có tạo cert, thuật toán nào là do người tạo và application dùng để tạo ra cert đó. 


Sai rồi bạn ơi. Trong cái cert có chỗ nào quy định dùng với thuật toán nào đâu. Cách đây vài tháng mình có làm một cái presentation ở Đại học BK Tp.HCM về lỗ hổng mới trong TLS/SSL, lần đó mình có giải thích rất rõ mấy cái này. Tiếc là ở HVA có rất ít bạn đi nghe.

Ngắn gọn lại thì việc dùng AES256 hay RC4 là kết quả của bước bắt tay của giao thức TLS/SSL. Nói cách khác thì cùng một cert, có khi lại dùng AES256, có khi lại dùng RC4, nên cả nội dung cái cert và người ký nó đều không có liên quan.

-m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 07/04/2010 10:48:55 (+0700) | #55 | 208551
qtra004
Member

[Minus]    0    [Plus]
Joined: 19/04/2004 22:36:57
Messages: 298
Location: Kiwiland
Offline
[Profile] [PM]

vikjava wrote:
thank mr.Bi.
IIS default dùng RC4 để mã hoá
apache default dùng AES 256 để mã hoá

Đây là cái nhìn tổng quan của mình khi xem qua một số trang web và trước khi post bài thảo luận smilie . Không biết điều này có chính xác không ? Nếu đúng thì chúng ta có thể tuỳ chỉnh ở đâu trên iis và apache ?

Mong các bác chỉ thêm smilie  


Dùng encyption nào là do client và server support tới encryption nào thôi. Bạn tham khảo thêm ở link này:
http://luxsci.com/blog/256-bit-aes-encryption-for-ssl-and-tls-maximal-security.html
Carpe diem quam minimum credula postero
[Up] [Print Copy]
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 07/04/2010 10:56:37 (+0700) | #56 | 208553
myquartz
Member

[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]
Mrro nói thế dễ gây cho các bạn chưa hiểu về SSL/TLS và cert.
Cert có quy định 1 thuật toán mã hoá và hash, nhưng đó là thuât toán mã hoá bất đối xứng dùng để xác nhận/ký/mã hoá cho cặp private/public key (RSA hay DSA + độ dài khoá), và hàm hash dùng để hash thông tin trong cert (MD5, SHA1, SHA256...). Độ dài khoá này cũng là cái quyết định giá tiền của cert và cả hệ thống chấp nhận được cái cert đó, ví dụ ký với độ dài 1024 hay 2048bit hoặc cao hơn.
Còn trong phiên SSL/TLS, thì sau bước bắt tay trao đổi giải thuật mã hoá và khoá (cái này giờ lại là thuật toán đối xứng và khoá dành cho thuật toán này: DES 56bit, 3DES 168bit, AES 256 bit, RC4 128bit...). server và client quyết định cái này, tuỳ theo khả năng và prefer của nó.
Không nhầm lẫn giữa 2 dạng đó. Không thì cứ giải thuật mã hoá là bla bla, nhầm lẫn.
[Up] [Print Copy]
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 07/04/2010 13:54:55 (+0700) | #57 | 208567
thangdiablo
HVA Friend

Joined: 11/05/2003 17:31:58
Messages: 734
Offline
[Profile] [PM] [WWW]

myquartz wrote:
Mrro nói thế dễ gây cho các bạn chưa hiểu về SSL/TLS và cert.
Cert có quy định 1 thuật toán mã hoá và hash, nhưng đó là thuât toán mã hoá bất đối xứng dùng để xác nhận/ký/mã hoá cho cặp private/public key (RSA hay DSA + độ dài khoá), và hàm hash dùng để hash thông tin trong cert (MD5, SHA1, SHA256...). Độ dài khoá này cũng là cái quyết định giá tiền của cert và cả hệ thống chấp nhận được cái cert đó, ví dụ ký với độ dài 1024 hay 2048bit hoặc cao hơn.
Còn trong phiên SSL/TLS, thì sau bước bắt tay trao đổi giải thuật mã hoá và khoá (cái này giờ lại là thuật toán đối xứng và khoá dành cho thuật toán này: DES 56bit, 3DES 168bit, AES 256 bit, RC4 128bit...). server và client quyết định cái này, tuỳ theo khả năng và prefer của nó.
Không nhầm lẫn giữa 2 dạng đó. Không thì cứ giải thuật mã hoá là bla bla, nhầm lẫn. 


Để clear hơn 1 tí, tớ sẽ trình bày lại các bước trong phần này theo cách hiểu của mình. Nếu có gì chưa đúng hoặc thiếu thì nhờ các bạn bổ sung cho đầy đủ hơn.

Đầu tiên chúng ta phải rõ là có 2 quá trình
1. Mua sự xác nhận của CA trên cert.
2. Cert được xác nhận từ CA và được install một cách đúng đắn (mã hoá thông tin từ phía client tới server )

Với 2 quá trình trên thì sẽ có 2 bộ khoá bất đối xứng và 1 khoá đối xứng.
Vậy 2 bộ khoá đối xứng này từ đâu mà có? Dùng để làm gì?
Mình tạm gọi là bộ khoá bất đối xứng thứ nhất là K1 và bộ khoá bất đối xứng thứ 2 là K2. Khoá đối xứng còn lại là K3.

Bộ K1 được sinh ra trong quá trình chúng ta dùng IIS, Apache generate ra CSR (Certificate signing request) và gửi lên CA.
Bộ K2 sẽ được CA sinh ra để ký vào public key mà chúng ta gửi cho CA nhằm mục đích xác thực cert của chúng ta là hợp lệ và duy nhất.

Như vậy trong cả 2 quá trình này đã tạo ra 2 bộ K1 và K2.
Sau khi nhận được cert từ CA chúng ta install vào IIS hay Apache.

Lúc này khi diễn ra một yêu cầu đăng nhập từ phía client (POST)

Thì client và server sẽ dùng 1 khoá đối xứng K3 để mã hoá nội dung của thông tin and username + password.
Lúc này giữa client và server cũng trao đổi luôn các thuật toán sẽ dùng với nhau.
Tuy nhiên, nếu trao đổi cái khoá đối xứng này (dang clear text) trên đường truyền thì sẽ không an toàn.
Do đó client sẽ dùng cái public key của phía server để encrypt cái K3 này.
Sau khi trao đổi K3 thành công và an toàn rồi thì K3 này sẽ được dùng để mã hoá nội dung.


PS: Phần màu vàng là phần tớ hoàn toàn không chắc chắn, do đó vẫn còn nhiều mù mờ. Mong các bạn chỉnh sửa thêm.

Thanks
Hãy sống có Tuệ Giác.
[Up] [Print Copy]
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 07/04/2010 15:08:46 (+0700) | #58 | 208570
hvthang
Member

[Minus]    0    [Plus]
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
[Profile] [PM]

myquartz wrote:
Mrro nói thế dễ gây cho các bạn chưa hiểu về SSL/TLS và cert.
Cert có quy định 1 thuật toán mã hoá và hash, nhưng đó là thuât toán mã hoá bất đối xứng dùng để xác nhận/ký/mã hoá cho cặp private/public key (RSA hay DSA + độ dài khoá), và hàm hash dùng để hash thông tin trong cert (MD5, SHA1, SHA256...). Độ dài khoá này cũng là cái quyết định giá tiền của cert và cả hệ thống chấp nhận được cái cert đó, ví dụ ký với độ dài 1024 hay 2048bit hoặc cao hơn.
Còn trong phiên SSL/TLS, thì sau bước bắt tay trao đổi giải thuật mã hoá và khoá (cái này giờ lại là thuật toán đối xứng và khoá dành cho thuật toán này: DES 56bit, 3DES 168bit, AES 256 bit, RC4 128bit...). server và client quyết định cái này, tuỳ theo khả năng và prefer của nó.
Không nhầm lẫn giữa 2 dạng đó. Không thì cứ giải thuật mã hoá là bla bla, nhầm lẫn. 

Không có gì khó hiểu cả, ai đọc SSL/TLS đều biết được giao thức này sử dụng kết hợp cả 2 phương thức mã hoá phi đối xứng và đối xứng.
Cái mrro nhấn mạnh là thuật toán đối xứng dùng để mã hoá là không cố định (cái này có thể cấu hình trên máy chủ web), nó có thể là AES hay RC4.

Ngoài lề tí, các bác nghĩ sao nếu SSL dùng DES (thuật toán đã được chứng minh không còn an toàn)để mã hoá dữ liệu sau khi dùng RSA để trao đổi sension key xong.
[Up] [Print Copy]
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 07/04/2010 21:55:30 (+0700) | #59 | 208617
mR.Bi
Member

[Minus]    0    [Plus]
Joined: 22/03/2006 13:17:49
Messages: 812
Offline
[Profile] [PM] [WWW]
mrro: Cám ơn anh chỉ ra chỗ sai :-D. Thật ra hôm đó có đi mà không nghe đoạn đó hoặc nghe rồi quên đâu mất tiêu.

thangdiablo wrote:

Bộ K1 được sinh ra trong quá trình chúng ta dùng IIS, Apache generate ra CSR (Certificate signing request) và gửi lên CA.
 

Đoạn này anh có nhầm không? Anh dùng IIS và Apache để generate ra CSR?
All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"
[Up] [Print Copy]
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 08/04/2010 10:46:17 (+0700) | #60 | 208638
[Avatar]
nhanth87
Member

[Minus]    0    [Plus]
Joined: 12/08/2009 08:54:00
Messages: 168
Offline
[Profile] [PM]
Việc giao private key của mình vào tay người khác có vẻ không ổn lắm nhỉ ?
Aricent - Software Engineer
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|