På grund av gemensamma bestämmelser (efter inrådan av Apple) utfärdas nu bara vanliga TLS-certifikat för tjänster på ett år. Man kan fortfarande köpa för flera år, men får då förnya sitt certifikat en gång per år. Kontakta oss för mer information!
Vi har nu code-signing certificates från Digicert och Thawte. För Microsoft-program behöver du ett EV Code Signing Certificate där EV står för extended validation – alltså en noggrannare kontroll innan utfärdande av certifikat.
Dessa certifikat fungerar givetvis bra med PrimeKey’s signing server, både open source och i applicance-varianten.
Webbläsarna höjer löpande kraven på certifikat. Det senaste är att man anser att checksumme-algoritmen SHA1 är osäker, något som nyligen bevisats. Därför accepteras inte längre certifikat signerade med den checksumman. Det gäller framför allt gamla certifikat som varit giltiga ett par år och snart går ut.
Det finns två sätt att lösa det här. Vi kan kostnadsfritt byta ut ditt Geotrust-certifikat till ett nytt med samma giltighetstid. Du kan också beställa ett nytt som är giltigt längre. I båda fallen måste du byta ut både certifikat och “mellan-certifikat”, det som på engelska kallas intermediate certificate.
Dom nya certifikaten är baserade på SHA256.
Kontakta oss så hjälper vi dig!
Wildcard-certifikat (eller joker-certifikat) gäller för flera namn i samma domän. Ett jokertecken i form av en stjärna betyder att valfritt datornamn kan användas. Ett certifikat för “*.namn.se” gäller för “www.namn.se”, “test.namn.se” och många till. Det kommer dock inte att fungera för flera förled, typ “*.finans.namn.se”.
Lönar sig vid mer än fem servrar
Jokercertifikat är dyrare än vanligare certifikat. Vi har jokercert från flera leverantörer, men gemensamt är att priset är högre. Om man bara behöver ett fåtal certifikat kan det vara bättre att beställa enstaka QuickSSL-certifikat. Om man tänker ha många servrar så är wildcard ett alternativ.
Glöm inte den hemliga nyckeln!
Viktigt är att wildcard-certifikatet hör ihop med en hemlig nyckel, som skapades när du beställde certifikatet. Om du vill köra certifikatet på flera servrar måste du exportera och importera den hemliga nyckeln – utan att säkerheten riskeras. Den får inte komma på avvägar. Ibland kan du behöva konvertera format på nycklar och certifikat – olika servrar och programspråk har olika idéer om filformatet.
Du kan läsa mer om certifikat på vår certifikatsida. Vi rekommenderar Geotrust True Business Wildcard Certificate.
Säkerhetmarknades ändras ständigt. För några år sedan accepterades certifikat med 512 bitars nyckelstorlek. Idag kan en sådan nyckel knäckas ganska lätt. Processorerna blir allt kraftfullare och då måste kryptot bli starkare – därför accepteras bara certifikat med minst 2048 bitars nyckelstorlek idag. Dom här stora nycklarna används i inledningen av en TLS-session för identifiering och skapande av en sessionsnyckel, som har en mindre storlek.
Större nycklar accepteras också. Om du testar på sajten TLS-O-MATIC.COM (som drivs av vårt systerbolag Edvina) så är nyckelstorleken 4096 bitar. Den sajten har också en modern TLS-konfiguration för stark kryptering, som gör att den klassades med ett stort A i Qualys SSL-TEST.
En del av säkerheten för en nyckel är livslängden. En lång livslängd är inte bra. Därför rekommenderar vi alltid att man byter nyckelpar när ett certifikat förnyas. Nu har CAB Forum som sätter branchstandarden för certifikat bestämt att kommersiella certifikat ska ha en maximal livslängd på tre år. Det är ett bra beslut.
Har du frågor om certifikat, TLS och behöver hjälp i snårskogen – hör av dig till oss!
I veckan kom nyheten om Heartbleed – en allvarlig programmeringsmiss i OpenSSL, ett bibliotek som används för säkra TLS-förbindelser på väldigt många system, både inbäddade system och mail, telefoni och webb-servrar. Det är alla versioner från OpenSSL 1.0 och uppåt som är drabbade.
Buggen i koden gör att man kan komma åt hemliga nycklar och slumpmässig vald data i servrar och i viss mån i klienter. Det är givetvis inte bra.
Du måste kolla din server. För Linux/Unix-system kör du kommandot “openssl version” i kommandoprompten. Om du har ett drabbat system, stäng då av programmen – Apache, Nginx, Asterisk, Kamailio, Postfix – alla som använder OpenSSL. Uppgradera sedan systemet till den senaste och säkraste versionen. Alla Linux-distributioner och *BSD-system har tillgängliga uppdateringar som fixar den här buggen.
Skapa ett nytt nyckelpar, beställ ett nytt certifikat – det är oftast kostnadsfritt – och starta om.
Sedan är det upp till dig att avgöra vad skadan kan innebära. Någon kan utan din vetskap ha kommit åt transaktioner, användarnas lösenord och mycket annat. Hur långt du går i att reparera skadan beror som alltid på transaktionernas värde och vilken data systemet hanterar.
Om du har frågor – kontakta oss på support@webway.se
Läs mer:
I samarbete med Geotrust sänker vi nu priserna för våra TLS-certifikat. Ett QuickSSL-certifikat kostar nu 950:- ex moms per år – mindre än 100 kr per månad! Geotrust TrueBusiness ID wildcard och EV har också sänkts väsentligt och är nu ett mycket mer attraktivt alternativ.
Kolla in dom nya priserna här!
Vi lanserar nu nya True Business ID SAN certifikat från Geotrust. Det är certifikat för Unified Communication som är kompatibla med Microsoft Exchange och Microsoft Lync. Certifikaten kan innehålla upp till 20 domäner, varav fyra ingår i baspriset. Geotrust är en av dom företag som är partners med Microsoft för SSL/TLS-certifikat.
För ett år kostar TrueBusiness ID SAN 1.950 kronor ex moms fram till 31 december 2012!
Kontakta oss för mer information!
Dagens nyheter skriver idag om hur du styr din egen nätnärvaro genom att ha eget domännamn. Det är ett mycket bra råd. Att binda företagets kommunikation till en operatörs domän är inte bra för dig. Du har då inte friheten att byta leverantör och samtidigt behålla adressen till bloggen, webben eller epostkontot.
Domänen är basen för Internet-kommunikationen
En Internet-domän är namnet före “.se” i webbläsaren ovanför, i vårt fall “webway”. Genom att betala en avgift varje år (eller i förskott för flera år) för rätten att ha en domän, så kan du skapa nya namn och resurser som alla hänger ihop med din domän.
- Blogg och Webb-adress – oftast www.namn.se eller bara namn.se
- Epost-adresser – fornamn.efternamn@namn.se
- IP-telefoni-adresser – fornamn.efternamn@namn.se
- Chatt-adresser – fornamn.efternamn@namn.se
- Datornamn – bilbo.namn.se, remoteaccess.namn.se
I domännamnsystemet, DNS, så skapar man namnen och binder dom till olika datorsystem. Det är därför viktigt att du vet på vilken server eller vilket företag som hanterar din domän. Det är i domänen man kan flytta till nya operatörer (utan behov av att flytta domänen från nuvarande operatör). Det är i domänen man styr e-post, IP-telefoni, chatt och hittar nya namn för tjänster.
Webway hjälper dig med dina domäner, från ansökan till drift på både IPv4 och IPv6! Kontakta oss idag.
Internet Society lanserade i veckan World IPv6 Launch. För ett år sedan hade man World IPv6 Day där man för en dag testade IPv6 på sina webbservrar. Det gick så bra att man nu bestämt sig för att slå på IPv6 på en rad sajter den 6 juni 2012 och behålla det påslaget. Google, Facebook och många andra är med på banan och fler sajter, operatörer och tillverkare anmäler sig löpande. Webway är givetvis också med. Vår webb har redan stöd för IPv6, liksom vår DNS och E-postserver.
Nyckeln till IPv6 på webben – testa, testa, testa!
Det kan låta enkelt att lägga till IPv6 till en webbsajt, men en modern webbsite är inte sällan en del av ett mycket större system. Brandväggar, analysverktyg, olika komponenter i webbsidorna som ansluter till externa system. Vanligt är att man har små rutor från Twitter, Facebook, Google eller andra system. För att det ska fungera från en webbläsare som använder IPv6 måste även dessa system stödja IPv6. Annars kan det blir konstiga resultat när man använder webben.
Du kan läsa mer om World IPv6 Launch och IPv6 på bloggen IPv6Friday.org! Du kan också hitta information på IPv6-Forum.SE där Webway är medlemmar.