Chrome version 42 kommer att visa SHA-1 SSL-Certifikat som osäkra

Från och med version 42 har Google meddelat att de kommer att göra en uppdatering till dess webbläsare Chrome som gör att SSL-Certifikat som är av typen SHA-1 kommer att få ett rött kryss. Version 42 släpps troligtvis den 14:de April 2015.

SHA1

Men redan med den version av Chrome som är ute nu så visas inte något hänglås. Här är xkcd som exempel igen:

xkcd_sha1_chrome

Samtliga certifikat som vi säljer kan du genomföra en såkallad reissue eller nyutgåva, du behåller då det tidigare förfallodatumet. Detta genomförs så klart kostnadsfritt, kontakta oss via E-post eller Kontakt-sidan.

Det viktiga när du skapar en ny CSR är att du använder -sha256 argumentet, likt detta för att erhålla ett SHA256 certifikatbegäran:

openssl req -sha256 -new -key domain.key -out domain.csr

Se även vår FAQ samt Filippos FAQ.

Uppdatering: På shaaaaaaaaaaaaa.com så kan du testa om just in sajt använder SHA1 (förutom SSLlabs.com så klart).

NodeJS och SSL-certifikat (https)

nodejs-https-tls

Denna guide beskriver hur du får A+ rating hos SSLlabs med hjälp av NodeJS. Det krävs ett antal åtgärder för att få högsta rating samt så utesluter du även äldre webbläsare.

Först och främst måste du se till att använda helmet som gör att du kan använda HSTS. Och helmet-modulen finns tillgänglig via npm.

var helmet = require('helmet');

var ONE_YEAR = 31536000000;
app.use(helmet.hsts({
    maxAge: ONE_YEAR,
    includeSubdomains: true,
    force: true
}));

Nästa steg är att använda sig av en ny io.js som innehåller följande patch. Den patchen stänger av dåliga krypteringsalgoritmer såsom RC4 och ser till att ECDHE används som standard.

Koden sedan ser ut enligt följande där key.pem är privata nyckeln och cert.pem är certifikatet.

var https = require('https');
var fs = require('fs');

var options = {
    key: fs.readFileSync('key.pem'),
    cert: fs.readFileSync('cert.pem'),
    ciphers: [
        'ECDHE-RSA-AES256-SHA384',
        'DHE-RSA-AES256-SHA384',
        'ECDHE-RSA-AES256-SHA256',
        'DHE-RSA-AES256-SHA256',
        'ECDHE-RSA-AES128-SHA256',
        'DHE-RSA-AES128-SHA256',
        'HIGH',
        '!aNULL',
        '!eNULL',
        '!EXPORT',
        '!DES',
        '!RC4',
        '!MD5',
        '!PSK',
        '!SRP',
        '!CAMELLIA'
    ].join(':'),
    ecdhCurve: 'prime256v1', // this is the default
    honorCipherOrder: true,
    secureOptions: require('constants').SSL_OP_NO_SSLv3|require('constants').SSL_OP_NO_TLSv1|require('constants').SSL_OP_NO_SSLv2
};

https.createServer(options, function (req, res) {
  res.writeHead(200);
  res.end("hello world\n");
}).listen(8000, '127.0.0.1');

Det var allt. Gå nu in på SSLlabs.com och testa så att konfigurationen fungerar som den ska.

Intermediate certificate (mellanliggande certifikat)

Ett intermediate certificate är ett eller flera extra certifikat som måste installeras för att certifikatkedjan ska bli komplett. Denna kedja brukar även kallas för förtroendekedja och ser till att det finns en kryptografisk relation mellan ditt certifikat och root-certifikatet hos utfärdaren.

Eftersom utfärdaren av certifikat är mån om att skydda sitt root-certifikat så används intermediate certificate.

Dock så kan detta ställa till det för vissa webbläsaren om du som systemadministratör ej har installerat korrekt intermediate certifikat i din webbserver. Vi rekommenderar att du testar med flertalet webbläsare på olika operativsystem.

Att använda mellanliggande certifikat gäller främst för RapidSSL som vi säljer.

Du kan även testa med verktyget från SSLlabs.com

VIKTIGT: Om du inte installerar de mellanliggande certifikaten tillsammans med ditt utfärdade SSL-certifikat, kanske kedjan med betrodda certifikat inte kan upprättas. Det betyder att när besökare försöker komma åt din webbplats kan det visas ett fel beträffande en ”säkerhetsvarning” som anger att ”Säkerhetscertifikatet har utfärdats av ett företag som du inte har valt att lita på…” När de ser en sådan varning vänder sig potentiella kunder antagligen någon annanstans.

Affiliateprogram

Visste du att vi har ett affiliate-program? Det innebär att du kan marknadsföra våra SSL-certifikat och tjäna pengar på det.

Vi betalar ut 50 kr för varje försäljning som du kan referera. Vi har även rabattkoder som du kan dela ut och finfin grafik i form av olika banners.

Besök Adrecord nedan som hanterar https.se affiliateprogram:

SEO-Expert rekommenderar https

Brath ABEn av sveriges främste SEO-Experter vid namn Magnus Bråth väljer nu att rekommendera https. Magnus har bl.a. grundat flertalet SEO-företag och är författare till boken Guldläge på Nätet.

Främsta anledningen till att han nu rekommenderar https uppges att vara Google Chrome meddelat att de kommer att börja visa ett utropstecken när användaren besöker en URL som ej är krypterad med https. Detta kommer att ske inom en framtid och troligtvis under år 2015.

Så här skriver Brath AB på sin SEO-blogg:

Vi ändrar alltså vår rekommendation till att det finns anledningar att byta till https, även om de inte är rent SEO-mässiga. De problem man tidigare fick med https i Google (i mångt och mycket vägrade Google indexera förr) verkar inte längre finnas.

Källa: http://brath.se/vi-andrar-var-rekommendation-dags-for-https/

Så funkar det med Gratis SSL

gratis_sslEtt av de mer populära tjänsterna för att erhålla gratis SSL-certifikat heter StartSSL. Bakom StartSSL står StartCom som är ett Israeliskt företag. Viktigt att känna till är att dessa certifikat ej är gratis för företag utan enbart icke kommersiellt bruk.

Detta finnes beskrivet i dokumentet ”StartCom Certificate Policy & Practice Statements” och §3.1.2.1.

Även så tillkommer en avgift för exempelvis revokering och vilket andra företag såsom RapidSSL och Comodo som vi säljer ej tar ut. Även så ingår ett nytt utfärdat certifikat vid revokering från de SSL-certifikat som vi säljer.

I samband med den allvarliga säkerhetsbuggen Heartbleed så fick även många problem med StartSSL då de tar ut en hög avgift för revokering.

Har du funderingar om SSL-certifkat? Tveka inte att använda kontaktformuläret eller ring oss.

Google Chrome HSTS preload

Google Chrome HSTSVi rekommenderar samtliga användare av SSL/TLS att nyttja den säkerhetshöjande funktionen HSTS eller Strict Transport Security som det också kallas. HSTS berättar för webbläsaren att domänen använder sig av https samt försvårar nedgraderingsattacker såsom sslstrip.

Google Chrome har även en lista med domäner som läses in i förväg och gör då att besökaren alltid kommer att välja den krypterade versionen av Er hemsida.

Observera att följande http-header måste skickas med (läs här hur ni lägger till den):

Strict-Transport-Security: max-age=10886400; includeSubDomains; preload

Denna header säger bl.a. att ni kommer att stödja https i minst 18 veckor frammåt samt att samtliga underdomäner också kommer att vara krypterade med SSL/TLS. Observera att detta dock kan ställa till problem om ni innehar underdomäner som ej använder sig av https.

Här lägger du till Er domän till Chromes HSTS preload-lista:

Så får du A+ av SSL Labs

Om du ser nedan omdöme så betyder det att du har en installation av webbserver och certifikat som är mycket bra: A+.

Det är inte dock helt trivialt att erhålla detta betyg av SSL Labs.SSL LabsFörst och främst måste ni ange vilka protokoll som stödjs:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Detta är för Nginx och innebär dock att ni väljer bort ett få antal besökare som ej kan nå Er webbplats. Men till följd att säkerheten blir bättre.

Sedan är det dags att berätta vilka protokoll vi vill använda oss av:

ssl_prefer_server_ciphers on;
ssl_ciphers AES256+EECDH:AES256+EDH:!aNULL;

Sedan måste bättre DHE-parametrar skapas:

$ cd /etc/ssl/certs
$ openssl dhparam -out dhparam.pem 4096

Och läggas till i konfigurationsfilen:

ssl_dhparam /etc/ssl/certs/dhparam.pem;

Och slå sedan på stöd för TLS:

# Enable SSL on all domains - you may also want to enable this on a per-site
# basis instead if you are supporting multiple virtual hosts.
ssl on;

# Cache SSL sessions for 10m (this is about 40,000 sessions), timing them out
# after 24 hours.
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 24h;

# Set the buffer size to 1400 bytes (that way it fits into a single MTU).
ssl_buffer_size 1400;

Även så lägger vi till stöd för OCSP-stapling:

ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.4.4 8.8.8.8 valid=300s;
resolver_timeout 10s;

Och sist men inte minst så bör vi även använda oss av HSTS:

# Enable HSTS
add_header Strict-Transport-Security max-age=63072000; includeSubDomains; preload;

# Do not allow this site to be displayed in iframes
add_header X-Frame-Options DENY;

# Do not permit Content-Type sniffing.
add_header X-Content-Type-Options nosniff;

När du infört ovan konfiguration så bör du även läsa in konfigurationsfilen igen samt se till att eventuella intermediate-certifikat laddas in. Kontrollera sedan igen med SSLLabs.com och se att du får ett A+ betyg.

Vi rekommenderar även att du lägger till domänen till Google Chrome HSTS-preload lista.

Denna artikel baseras på denna.

Gratis SSL

Ett nytt initiativ med backning från bl.a. EFF, Akamai och Mozilla har som mål att tillhandahålla gratis SSL från och med sommaren 2015.

Vår sysstersajt kryptera.se har skrivit mer om denna nyhet här:

Let's encrypt

Ny logo

Vi har nu bytt logotyp och den nya ser ut enligt följande:

https