English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Dùng Cert từ verisgn trên nhiều Web Server chạy song song?  XML
Go to Page:  First Page Page 2
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 08/04/2010 14:19:30 (+0700) | #61 | 208646
FaL
Moderator
Joined: 14/04/2006 09:31:18
Messages: 1232
Offline
[Profile] [PM]
nhanth87: đó là sự khác biệt giữa PRIVATE và PUBLIC
Hãy giữ một trái tim nóng và một cái đầu lạnh
[Up] [Print Copy]
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 08/04/2010 15:57:39 (+0700) | #62 | 208652
[Avatar]
 vikjava
Elite Member
[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]

mrro wrote:

Ngắn gọn lại thì việc dùng AES256 hay RC4 là kết quả của bước bắt tay của giao thức TLS/SSL.
-m 


Cho mình hỏi một tí, bắt tay như thế nào để đươc kết quả AES256 và bắt tay như thế nào thì đươc kết quả RC4.
Mình tìm đươc link này http://support.microsoft.com/kb/245030 , nếu theo link này thì việc dùng AES256 hay RC4 phụ thuộc vào cấu hình mặc định của hệ điều hành đối với việc bắt tay của giao thức TLS/SSL ( đồng nghĩa với kết quả bắt tay của giao thức TLS/SSL) .

Nếu như nhận định trên của mình đúng, đồng nghĩa với việc mặc định IIS ( hdh windows ) dùng RC4 và apache (unix*) dùng AES256

Mình chưa thật sự nắm rõ chỗ này , hi vọng các bác khai sáng thêm smilie

thân.
[Up] [Print Copy]
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 08/04/2010 16:25:42 (+0700) | #63 | 208654
[Avatar]
 nhanth87
Member
[Minus]    0    [Plus]
Joined: 12/08/2009 08:54:00
Messages: 168
Offline
[Profile] [PM]

FaL wrote:
nhanth87: đó là sự khác biệt giữa PRIVATE và PUBLIC 


Ý của em là đi nhờ thằng khác (verisgn) sinh dùm private key và public key của mình xem ra không ổn lắm.

@vikjava: cái link đó khá cũ, chỉ nói về NT 4.0, trên IIS bản mới em nghĩ là có chỗ cho mình cấu hình cái này. Ngoài ra nếu trình duyệt không hỗ trợ thì nó sẽ tự thoả thuận đề tìm 1 phương pháp mã hoá yếu hơn (có lẽ bắt tay là ở chỗ này đây).
Aricent - Software Engineer
[Up] [Print Copy]
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 08/04/2010 19:46:48 (+0700) | #64 | 208660
[Avatar]
 quanta
Moderator
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]
Bài viết của mrromyquartz, cộng với việc đọc lại tài liệu đã giúp mình hiểu rõ hơn, cảm ơn 2 bạn.

Lúc đầu, không đọc kỹ câu hỏi của vikjava, mình cứ nghĩ là đang nói về thuật toán mã hoá trong cái cert.

mR.Bi wrote:

thangdiablo wrote:

Bộ K1 được sinh ra trong quá trình chúng ta dùng IIS, Apache generate ra CSR (Certificate signing request) và gửi lên CA.
 

Đoạn này anh có nhầm không? Anh dùng IIS và Apache để generate ra CSR?
 

Nhầm một nửa, bởi vì trên Windows thì có thể dùng luôn Certificate Wizard trong IIS để generate, còn trên Linux, nếu có mỗi Apache không thì không biết generate kiểu gì.

thangdiablo wrote:

Bộ K2 sẽ được CA sinh ra để ký vào public key mà chúng ta gửi cho CA nhằm mục đích xác thực cert của chúng ta là hợp lệ và duy nhất.
 

Nói cho chính xác hơn là để xác nhận thông tin trong certificate là đúng.

thangdiablo wrote:

Lúc này khi diễn ra một yêu cầu đăng nhập từ phía client (POST)

Thì client và server sẽ dùng 1 khoá đối xứng K3 để mã hoá nội dung của thông tin and username + password.
Lúc này giữa client và server cũng trao đổi luôn các thuật toán sẽ dùng với nhau.
Tuy nhiên, nếu trao đổi cái khoá đối xứng này (dang clear text) trên đường truyền thì sẽ không an toàn.
Do đó client sẽ dùng cái public key của phía server để encrypt cái K3 này.
Sau khi trao đổi K3 thành công và an toàn rồi thì K3 này sẽ được dùng để mã hoá nội dung.

PS: Phần màu vàng là phần tớ hoàn toàn không chắc chắn, do đó vẫn còn nhiều mù mờ. Mong các bạn chỉnh sửa thêm.

Thanks
 

Mình nghĩ cái K3 mà bạn nói ở đây chính là session key, mà session key thì sau này mới có chứ nếu ngay từ đầu thì nó ở đâu ra? Cái mà client dùng public key của server để encrypt mới là premaster secret thôi.

Một SSL handshake có thể tóm gọn lại trong 4 bước chính thế này:
1. Server gửi certificate cho Client
2. Client tạo ra một premaster secret (thằng này có độ dài là 48 bytes, trong đó 2 bytes chứa phiên bản SSL mà client hỗ trợ, 46 bytes còn lại nó generate ngẫu nhiên), mã hoá nó với public key của server và gửi cho server
3. Server giải mã premaster secret này
4. Từ cái premaster secret này, cả server và client thực hiện một loạt các bước để tạo ra master secret. Và sau đó là tạo session key từ master secret. Session key này chính là symmetric key được dùng để mã hoá và giải mã thông tin, cũng như đảm bảo tính toàn vẹn của nó trong suốt một SSL session.

Chi tiết các bạn có thể đọc ở đây:
http://docs.sun.com/source/816-6156-10/contents.htm#1041640
http://publib.boulder.ibm.com/infocenter/wmqv6/v6r0/topic/com.ibm.mq.csqzas.doc/sy10660_.htm

Minh hoạ:
Code:
No.     Time        Source                Destination           Protocol Info
      4 0.026146    172.16.128.198        172.16.32.99          TLSv1    Client Hello

Frame 4 (233 bytes on wire, 233 bytes captured)
Ethernet II, Src: Fortinet_09:00:00 (00:09:0f:09:00:00), Dst: Micro-St_6f:94:f2 (00:19:db:6f:94:f2)
Internet Protocol, Src: 172.16.128.198 (172.16.128.198), Dst: 172.16.32.99 (172.16.32.99)
Transmission Control Protocol, Src Port: 28460 (28460), Dst Port: https (443), Seq: 1, Ack: 1, Len: 167
Secure Socket Layer
    TLSv1 Record Layer: Handshake Protocol: Client Hello
        Content Type: Handshake (22)
        Version: TLS 1.0 (0x0301)
        Length: 162
        Handshake Protocol: Client Hello
            Handshake Type: Client Hello (1)
            Length: 158
            Version: TLS 1.0 (0x0301)
            Random
            Session ID Length: 0
            Cipher Suites Length: 68
            Cipher Suites (34 suites)
            Compression Methods Length: 1
            Compression Methods (1 method)
            Extensions Length: 49
            Extension: server_name
            Extension: elliptic_curves
            Extension: ec_point_formats
            Extension: SessionTicket TLS

Code:
No.     Time        Source                Destination           Protocol Info
      6 0.034700    172.16.32.99          172.16.128.198        TLSv1    Server Hello, 

Frame 6 (1514 bytes on wire, 1514 bytes captured)
Ethernet II, Src: Micro-St_6f:94:f2 (00:19:db:6f:94:f2), Dst: Cisco_18:ea:c9 (00:21:d8:18:ea:c9)
Internet Protocol, Src: 172.16.32.99 (172.16.32.99), Dst: 172.16.128.198 (172.16.128.198)
Transmission Control Protocol, Src Port: https (443), Dst Port: 28460 (28460), Seq: 1, Ack: 168, Len: 1448
Secure Socket Layer
    TLSv1 Record Layer: Handshake Protocol: Server Hello
        Content Type: Handshake (22)
        Version: TLS 1.0 (0x0301)
        Length: 74
        Handshake Protocol: Server Hello
            Handshake Type: Server Hello (2)
            Length: 70
            Version: TLS 1.0 (0x0301)
            Random
            Session ID Length: 32
            Session ID: ECC86D2FC674A9E5B28C2AA1AB535FB48969C0477DF7677D...
            Cipher Suite: TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x0039)
            Compression Method: null (0)

Code:
No.     Time        Source                Destination           Protocol Info
     13 7.432028    172.16.128.198        172.16.32.99          TLSv1    Certificate, Client Key Exchange, Certificate Verify, Change Cipher Spec, Encrypted Handshake Message

Frame 13 (1172 bytes on wire, 1172 bytes captured)
Ethernet II, Src: Fortinet_09:00:00 (00:09:0f:09:00:00), Dst: Micro-St_6f:94:f2 (00:19:db:6f:94:f2)
Internet Protocol, Src: 172.16.128.198 (172.16.128.198), Dst: 172.16.32.99 (172.16.32.99)
Transmission Control Protocol, Src Port: 28460 (28460), Dst Port: https (443), Seq: 168, Ack: 2561, Len: 1106
Secure Socket Layer
    TLSv1 Record Layer: Handshake Protocol: Multiple Handshake Messages
        Content Type: Handshake (22)
        Version: TLS 1.0 (0x0301)
        Length: 1042
        Handshake Protocol: Certificate
            Handshake Type: Certificate (11)
            Length: 770
            Certificates Length: 767
            Certificates (767 bytes)
                Certificate Length: 764
                Certificate (pkcs-9-at-emailAddress=xx,id-at-commonName=xx,id-at-organizationalUnitName=xx,id-at-organizationName=xx,id-at-localityName=HN,id-at-stateOrProvinceName=Ha Noi,id-at-countryName=VN)
        Handshake Protocol: Client Key Exchange
            Handshake Type: Client Key Exchange (16)
            Length: 130
        Handshake Protocol: Certificate Verify
            Handshake Type: Certificate Verify (15)
            Length: 130
    TLSv1 Record Layer: Change Cipher Spec Protocol: Change Cipher Spec
        Content Type: Change Cipher Spec (20)
        Version: TLS 1.0 (0x0301)
        Length: 1
        Change Cipher Spec Message
    TLSv1 Record Layer: Handshake Protocol: Encrypted Handshake Message
        Content Type: Handshake (22)
        Version: TLS 1.0 (0x0301)
        Length: 48
        Handshake Protocol: Encrypted Handshake Message

Code:
No.     Time        Source                Destination           Protocol Info
     14 7.441706    172.16.32.99          172.16.128.198        TLSv1    Change Cipher Spec, Encrypted Handshake Message

Frame 14 (125 bytes on wire, 125 bytes captured)
Ethernet II, Src: Micro-St_6f:94:f2 (00:19:db:6f:94:f2), Dst: Cisco_18:ea:c9 (00:21:d8:18:ea:c9)
Internet Protocol, Src: 172.16.32.99 (172.16.32.99), Dst: 172.16.128.198 (172.16.128.198)
Transmission Control Protocol, Src Port: https (443), Dst Port: 28460 (28460), Seq: 2561, Ack: 1274, Len: 59
Secure Socket Layer
    TLSv1 Record Layer: Change Cipher Spec Protocol: Change Cipher Spec
        Content Type: Change Cipher Spec (20)
        Version: TLS 1.0 (0x0301)
        Length: 1
        Change Cipher Spec Message
    TLSv1 Record Layer: Handshake Protocol: Encrypted Handshake Message
        Content Type: Handshake (22)
        Version: TLS 1.0 (0x0301)
        Length: 48
        Handshake Protocol: Encrypted Handshake Message

Code:
No.     Time        Source                Destination           Protocol Info
     26 12.645327   172.16.128.198        172.16.32.99          TLSv1    Client Hello

Frame 26 (265 bytes on wire, 265 bytes captured)
Ethernet II, Src: Fortinet_09:00:00 (00:09:0f:09:00:00), Dst: Micro-St_6f:94:f2 (00:19:db:6f:94:f2)
Internet Protocol, Src: 172.16.128.198 (172.16.128.198), Dst: 172.16.32.99 (172.16.32.99)
Transmission Control Protocol, Src Port: 28462 (28462), Dst Port: https (443), Seq: 1, Ack: 1, Len: 199
Secure Socket Layer
    TLSv1 Record Layer: Handshake Protocol: Client Hello
        Content Type: Handshake (22)
        Version: TLS 1.0 (0x0301)
        Length: 194
        Handshake Protocol: Client Hello
            Handshake Type: Client Hello (1)
            Length: 190
            Version: TLS 1.0 (0x0301)
            Random
            Session ID Length: 32
            Session ID: ECC86D2FC674A9E5B28C2AA1AB535FB48969C0477DF7677D...
            Cipher Suites Length: 68
            Cipher Suites (34 suites)
            Compression Methods Length: 1
            Compression Methods (1 method)
            Extensions Length: 49
            Extension: server_name
            Extension: elliptic_curves
            Extension: ec_point_formats
            Extension: SessionTicket TLS

Code:
No.     Time        Source                Destination           Protocol Info
     28 12.647093   172.16.32.99          172.16.128.198        TLSv1    Server Hello, Change Cipher Spec, Encrypted Handshake Message

Frame 28 (204 bytes on wire, 204 bytes captured)
Ethernet II, Src: Micro-St_6f:94:f2 (00:19:db:6f:94:f2), Dst: Cisco_18:ea:c9 (00:21:d8:18:ea:c9)
Internet Protocol, Src: 172.16.32.99 (172.16.32.99), Dst: 172.16.128.198 (172.16.128.198)
Transmission Control Protocol, Src Port: https (443), Dst Port: 28462 (28462), Seq: 1, Ack: 200, Len: 138
Secure Socket Layer
    TLSv1 Record Layer: Handshake Protocol: Server Hello
        Content Type: Handshake (22)
        Version: TLS 1.0 (0x0301)
        Length: 74
        Handshake Protocol: Server Hello
            Handshake Type: Server Hello (2)
            Length: 70
            Version: TLS 1.0 (0x0301)
            Random
            Session ID Length: 32
            Session ID: ECC86D2FC674A9E5B28C2AA1AB535FB48969C0477DF7677D...
            Cipher Suite: TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x0039)
            Compression Method: null (0)
    TLSv1 Record Layer: Change Cipher Spec Protocol: Change Cipher Spec
        Content Type: Change Cipher Spec (20)
        Version: TLS 1.0 (0x0301)
        Length: 1
        Change Cipher Spec Message
    TLSv1 Record Layer: Handshake Protocol: Encrypted Handshake Message
        Content Type: Handshake (22)
        Version: TLS 1.0 (0x0301)
        Length: 48
        Handshake Protocol: Encrypted Handshake Message

Code:
No.     Time        Source                Destination           Protocol Info
     30 12.677193   172.16.128.198        172.16.32.99          TLSv1    Change Cipher Spec, Encrypted Handshake Message, Application Data

Frame 30 (722 bytes on wire, 722 bytes captured)
Ethernet II, Src: Fortinet_09:00:00 (00:09:0f:09:00:00), Dst: Micro-St_6f:94:f2 (00:19:db:6f:94:f2)
Internet Protocol, Src: 172.16.128.198 (172.16.128.198), Dst: 172.16.32.99 (172.16.32.99)
Transmission Control Protocol, Src Port: 28462 (28462), Dst Port: https (443), Seq: 200, Ack: 139, Len: 656
Secure Socket Layer
    TLSv1 Record Layer: Change Cipher Spec Protocol: Change Cipher Spec
        Content Type: Change Cipher Spec (20)
        Version: TLS 1.0 (0x0301)
        Length: 1
        Change Cipher Spec Message
    TLSv1 Record Layer: Handshake Protocol: Encrypted Handshake Message
        Content Type: Handshake (22)
        Version: TLS 1.0 (0x0301)
        Length: 48
        Handshake Protocol: Encrypted Handshake Message
    TLSv1 Record Layer: Application Data Protocol: http
        Content Type: Application Data (23)
        Version: TLS 1.0 (0x0301)
        Length: 592
        Encrypted Application Data: 721F353AA5343A689F449FB76514F3F08A6E4E76275FFAB2...


@vikjava: bạn có thể tìm đọc về CipherSuites và CipherSpecs.
Let's build on a great foundation!
[Up] [Print Copy]
  [Discussion]   Dùng Cert từ verisgn trên nhiều Web Server chạy song song? 09/06/2010 16:51:49 (+0700) | #65 | 212893
phonghp
Member
[Minus]    0    [Plus]
Joined: 26/11/2008 19:12:51
Messages: 25
Offline
[Profile] [PM]
- Hi anh có thể sử dụng gói Wildcard nhưng gói này bị hạn chế chỉ sử dụng được 1 số platform
- Gói này hỗ trợ tối đa 10 subdomain
- Khi 1 domain bị thu hồi hoặc bị lỗi gì đó thì tất cả các domain còn lại đều bị thu hồi cert
- ...........................................
>> Verisign khuyến cáo không lên sử dụng smilie
[Up] [Print Copy]
Go to Page:  First Page Page 2
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|