På grund av gemensamma bestämmelser (efter inrådan av Apple) utfärdas nu bara vanliga TLS-certifikat för tjänster på ett år. Man kan fortfarande köpa för flera år, men får då förnya sitt certifikat en gång per år. Kontakta oss för mer information!
Vi har nu code-signing certificates från Digicert och Thawte. För Microsoft-program behöver du ett EV Code Signing Certificate där EV står för extended validation – alltså en noggrannare kontroll innan utfärdande av certifikat.
Dessa certifikat fungerar givetvis bra med PrimeKey’s signing server, både open source och i applicance-varianten.
Wildcard-certifikat (eller joker-certifikat) gäller för flera namn i samma domän. Ett jokertecken i form av en stjärna betyder att valfritt datornamn kan användas. Ett certifikat för “*.namn.se” gäller för “www.namn.se”, “test.namn.se” och många till. Det kommer dock inte att fungera för flera förled, typ “*.finans.namn.se”.
Lönar sig vid mer än fem servrar
Jokercertifikat är dyrare än vanligare certifikat. Vi har jokercert från flera leverantörer, men gemensamt är att priset är högre. Om man bara behöver ett fåtal certifikat kan det vara bättre att beställa enstaka QuickSSL-certifikat. Om man tänker ha många servrar så är wildcard ett alternativ.
Glöm inte den hemliga nyckeln!
Viktigt är att wildcard-certifikatet hör ihop med en hemlig nyckel, som skapades när du beställde certifikatet. Om du vill köra certifikatet på flera servrar måste du exportera och importera den hemliga nyckeln – utan att säkerheten riskeras. Den får inte komma på avvägar. Ibland kan du behöva konvertera format på nycklar och certifikat – olika servrar och programspråk har olika idéer om filformatet.
Du kan läsa mer om certifikat på vår certifikatsida. Vi rekommenderar Geotrust True Business Wildcard Certificate.
Säkerhetmarknades ändras ständigt. För några år sedan accepterades certifikat med 512 bitars nyckelstorlek. Idag kan en sådan nyckel knäckas ganska lätt. Processorerna blir allt kraftfullare och då måste kryptot bli starkare – därför accepteras bara certifikat med minst 2048 bitars nyckelstorlek idag. Dom här stora nycklarna används i inledningen av en TLS-session för identifiering och skapande av en sessionsnyckel, som har en mindre storlek.
Större nycklar accepteras också. Om du testar på sajten TLS-O-MATIC.COM (som drivs av vårt systerbolag Edvina) så är nyckelstorleken 4096 bitar. Den sajten har också en modern TLS-konfiguration för stark kryptering, som gör att den klassades med ett stort A i Qualys SSL-TEST.
En del av säkerheten för en nyckel är livslängden. En lång livslängd är inte bra. Därför rekommenderar vi alltid att man byter nyckelpar när ett certifikat förnyas. Nu har CAB Forum som sätter branchstandarden för certifikat bestämt att kommersiella certifikat ska ha en maximal livslängd på tre år. Det är ett bra beslut.
Har du frågor om certifikat, TLS och behöver hjälp i snårskogen – hör av dig till oss!
I veckan kom nyheten om Heartbleed – en allvarlig programmeringsmiss i OpenSSL, ett bibliotek som används för säkra TLS-förbindelser på väldigt många system, både inbäddade system och mail, telefoni och webb-servrar. Det är alla versioner från OpenSSL 1.0 och uppåt som är drabbade.
Buggen i koden gör att man kan komma åt hemliga nycklar och slumpmässig vald data i servrar och i viss mån i klienter. Det är givetvis inte bra.
Du måste kolla din server. För Linux/Unix-system kör du kommandot “openssl version” i kommandoprompten. Om du har ett drabbat system, stäng då av programmen – Apache, Nginx, Asterisk, Kamailio, Postfix – alla som använder OpenSSL. Uppgradera sedan systemet till den senaste och säkraste versionen. Alla Linux-distributioner och *BSD-system har tillgängliga uppdateringar som fixar den här buggen.
Skapa ett nytt nyckelpar, beställ ett nytt certifikat – det är oftast kostnadsfritt – och starta om.
Sedan är det upp till dig att avgöra vad skadan kan innebära. Någon kan utan din vetskap ha kommit åt transaktioner, användarnas lösenord och mycket annat. Hur långt du går i att reparera skadan beror som alltid på transaktionernas värde och vilken data systemet hanterar.
Om du har frågor – kontakta oss på support@webway.se
Läs mer:
I samarbete med Geotrust sänker vi nu priserna för våra TLS-certifikat. Ett QuickSSL-certifikat kostar nu 950:- ex moms per år – mindre än 100 kr per månad! Geotrust TrueBusiness ID wildcard och EV har också sänkts väsentligt och är nu ett mycket mer attraktivt alternativ.
Kolla in dom nya priserna här!
Vi lanserar nu nya True Business ID SAN certifikat från Geotrust. Det är certifikat för Unified Communication som är kompatibla med Microsoft Exchange och Microsoft Lync. Certifikaten kan innehålla upp till 20 domäner, varav fyra ingår i baspriset. Geotrust är en av dom företag som är partners med Microsoft för SSL/TLS-certifikat.
För ett år kostar TrueBusiness ID SAN 1.950 kronor ex moms fram till 31 december 2012!
Kontakta oss för mer information!
Webway har tagit fram en kort presentation av vad certifikat är och hur det fungerar. Här hittar du information om vad CSR är och vad den gör, hur nycklar hör ihop med certifikatet och mycket mer. Du kan läsa presentationen här:
Sedan ett år tillbaka kräver alla certifikatutfärdare att du har nycklar med minst 2048 bitars längd. Det är ett sätt att höja säkerheten på nätet i takt med att datorerna blir mer och mer kraftfulla. Det som var säkert för tio år sedan är inte säkert nu, när en standard-PC har flera CPU-kärnor med en massiv kapacitet.
När används Certifikat-nycklarna?
Nycklarna i certifikaten används för att kontrollera en servers (och kanske också en klients) identitet vid start av en TLS eller SSL-session. Med stöd av dessa starka nycklar skapas en kortare krypteringsnyckel som används för att kryptera dataströmmen. Den används bara för sessionen och kastas därefter. Att kryptera hela dataströmmen med nycklar på 2048 bitar skulle ta alldeles för mycket kapacitet. Genom att använda dessa för att skydda identitetskontroll och utbyte av nycklar för kryptering av sessionen får man en hög säkerhet.
Vad innebär det här för mig?
Om du har ett gammalt certifikat du ska förnya, så måste du skapa nya nycklar och skapa en ny CSR – oavsett vilken webbserver du använder. Att byta nycklar med några års mellanrum är förmodligen en bra idé ändå. Om du söker ett nytt certifikat, så ska du ange minst 2048 bitar när du startar processen med att skapa en CSR och därmed generera nycklarna.
Om programvaran inte stödjer mer än 1024 bitar?
Om din programvara är så gammal att den inte stödjer större nyckellängd än 1024 bitar så har du inget val annat än att uppgradera programmet. Certifikatutfärdarna gör inte några undantag som innebär en lägre säkerhet i certifikatkedjan.