Största utfärdare av certifikat

Enligt en ny oberoende undersökning så är COMODO den största leverantören av installerade certifikat på internet.

Andra plats är GoDaddy följt av Let’s Encrypt som utfärdar gratis SSL-certifikat.

UnexpiredCertsByIssuer-3 (1)

Testa https med testssl.sh

Penetrationstest skriver om ett utmärkt verktyg som heter testssl.sh, som det låter så är det ett enkelt shellscript som du kan köra för att testa din https-installation.

Det enda beroendet som scriptet har är OpenSSL och det följer med de flesta Linux-varianter samt Mac OS X.

testssl.sh är ett bra alternativ till SSLLabs.com för den som vill testa interna nätverk eller inte vill skicka iväg all information till extern part.

Gratis SSL-certifikat med Let’s Encrypt

Projektet Let’s Encrypt som skulle ge gratis SSL-certifikat (vi måste börja använda ordet TLS-certifikat istället) har blivit försenat.

Enligt deras nya tidsplan gäller:

  • First certificate: Week of September 7, 2015
  • General availability: Week of November 16, 2015

Läs mer om projektet här: letsencrypt.org. Projektet sponsras av ett gäng stora företag och organisationer såsom:

Let's Encrypt

SSL-Certifikat på ditt privata nätverk

En fråga som då och då dyker upp är hur det är möjligt att använda SSL-certifikat på privata IP-adresser eller nätverk (såsom .local etc).

Det är tyvärr inte möjligt för oss att utfärda sådana certifikat men du kan själv skapa dessa certifikat så länge du har kontroll över server och klient. Dvs inga externa besökare eller liknande som ni ej själva administrerar.

Det ni måste göra är att skapa ett nytt root-certifikat och importera detta till de enheter som är aktuella och sedan installera certifikatet som ni skapar utifrån root-certifikatet på de servrar som ska användas.

Här finnes ett shellscript att ladda ner som skapar cerifikat + rootcertifikat: https://gist.github.com/WebReflection/b4b460ecfc92ee62a9a8

Läs även här: https://www.webreflection.co.uk/blog/2015/08/08/bringing-ssl-to-your-private-network

Vi sänker priserna på SSL-certifikat

spara pengarFör första gången så sänker vi nu priset på SSL-certifikat. Du kan nu köpa ett RapidSSL-certifikat för enbart 265 kr / år om du beställer tre år (totalpris 795 kr).

Vi rekommenderar alltid att beställa från minst två år för att slippa eventuell nertid vid byte av certifikat och problem som ett certifikat som går ut kan ställa till med.

 

Chrome version 42 kommer att visa SHA-1 SSL-Certifikat som osäkra

Från och med version 42 har Google meddelat att de kommer att göra en uppdatering till dess webbläsare Chrome som gör att SSL-Certifikat som är av typen SHA-1 kommer att få ett rött kryss. Version 42 släpps troligtvis den 14:de April 2015.

SHA1

Men redan med den version av Chrome som är ute nu så visas inte något hänglås. Här är xkcd som exempel igen:

xkcd_sha1_chrome

Samtliga certifikat som vi säljer kan du genomföra en såkallad reissue eller nyutgåva, du behåller då det tidigare förfallodatumet. Detta genomförs så klart kostnadsfritt, kontakta oss via E-post eller Kontakt-sidan.

Det viktiga när du skapar en ny CSR är att du använder -sha256 argumentet, likt detta för att erhålla ett SHA256 certifikatbegäran:

openssl req -sha256 -new -key domain.key -out domain.csr

Se även vår FAQ samt Filippos FAQ.

Uppdatering: På shaaaaaaaaaaaaa.com så kan du testa om just in sajt använder SHA1 (förutom SSLlabs.com så klart).

NodeJS och SSL-certifikat (https)

nodejs-https-tls

Denna guide beskriver hur du får A+ rating hos SSLlabs med hjälp av NodeJS. Det krävs ett antal åtgärder för att få högsta rating samt så utesluter du även äldre webbläsare.

Först och främst måste du se till att använda helmet som gör att du kan använda HSTS. Och helmet-modulen finns tillgänglig via npm.

var helmet = require('helmet');

var ONE_YEAR = 31536000000;
app.use(helmet.hsts({
    maxAge: ONE_YEAR,
    includeSubdomains: true,
    force: true
}));

Nästa steg är att använda sig av en ny io.js som innehåller följande patch. Den patchen stänger av dåliga krypteringsalgoritmer såsom RC4 och ser till att ECDHE används som standard.

Koden sedan ser ut enligt följande där key.pem är privata nyckeln och cert.pem är certifikatet.

var https = require('https');
var fs = require('fs');

var options = {
    key: fs.readFileSync('key.pem'),
    cert: fs.readFileSync('cert.pem'),
    ciphers: [
        'ECDHE-RSA-AES256-SHA384',
        'DHE-RSA-AES256-SHA384',
        'ECDHE-RSA-AES256-SHA256',
        'DHE-RSA-AES256-SHA256',
        'ECDHE-RSA-AES128-SHA256',
        'DHE-RSA-AES128-SHA256',
        'HIGH',
        '!aNULL',
        '!eNULL',
        '!EXPORT',
        '!DES',
        '!RC4',
        '!MD5',
        '!PSK',
        '!SRP',
        '!CAMELLIA'
    ].join(':'),
    ecdhCurve: 'prime256v1', // this is the default
    honorCipherOrder: true,
    secureOptions: require('constants').SSL_OP_NO_SSLv3|require('constants').SSL_OP_NO_TLSv1|require('constants').SSL_OP_NO_SSLv2
};

https.createServer(options, function (req, res) {
  res.writeHead(200);
  res.end("hello world\n");
}).listen(8000, '127.0.0.1');

Det var allt. Gå nu in på SSLlabs.com och testa så att konfigurationen fungerar som den ska.

Intermediate certificate (mellanliggande certifikat)

Ett intermediate certificate är ett eller flera extra certifikat som måste installeras för att certifikatkedjan ska bli komplett. Denna kedja brukar även kallas för förtroendekedja och ser till att det finns en kryptografisk relation mellan ditt certifikat och root-certifikatet hos utfärdaren.

Eftersom utfärdaren av certifikat är mån om att skydda sitt root-certifikat så används intermediate certificate.

Dock så kan detta ställa till det för vissa webbläsaren om du som systemadministratör ej har installerat korrekt intermediate certifikat i din webbserver. Vi rekommenderar att du testar med flertalet webbläsare på olika operativsystem.

Att använda mellanliggande certifikat gäller främst för RapidSSL som vi säljer.

Du kan även testa med verktyget från SSLlabs.com

VIKTIGT: Om du inte installerar de mellanliggande certifikaten tillsammans med ditt utfärdade SSL-certifikat, kanske kedjan med betrodda certifikat inte kan upprättas. Det betyder att när besökare försöker komma åt din webbplats kan det visas ett fel beträffande en ”säkerhetsvarning” som anger att ”Säkerhetscertifikatet har utfärdats av ett företag som du inte har valt att lita på…” När de ser en sådan varning vänder sig potentiella kunder antagligen någon annanstans.

Affiliateprogram

Visste du att vi har ett affiliate-program? Det innebär att du kan marknadsföra våra SSL-certifikat och tjäna pengar på det.

Vi betalar ut 50 kr för varje försäljning som du kan referera. Vi har även rabattkoder som du kan dela ut och finfin grafik i form av olika banners.

Besök Adrecord nedan som hanterar https.se affiliateprogram: