HUOM! Voit itse lisätä ja muuttaa sisältöä muokkaa-painikkeiden avulla

 Olet itse vastuussa tämän teoksen käytöstä aiheutuvista vahingoista Lue lisää.

SSL

Kohteesta Wikikko - kansan taitopankki
Loikkaa: valikkoon, hakuun

Johdanto[muokkaa]

SSL on suojausmenetelmä esimerkiksi sivuston aitouden varmistamiseen.
Digital ID on suojaus esimerkiksi sähköpostin lähettäjän aitouden varmistamiseen ja sähköpostin salaamiseen. Katso tästä sivu Sähköpostin suojaaminen

SSL sertifikaatin asentaminen Magento verkkokauppaan[muokkaa]

Tämä ohje on tehty Thawten Web Server Cert -asennuksen yhteydessä.

  • Katso myös tietoa GlobalSign -sertifikaatista ja sen päällekkäisestä toiminnasta sivulta SiteGround.

Ensiksi on tehtävä avaimet. Ne voi tehdä cPanelin avulla tai päätteellä.

Avaimet ja Cpanel[muokkaa]

  • cPanel / Security / SSL/TLS Manager / Private Keys (KEY)
    • Generate a New Key / Valitse domainisi ja Key Size 2,048 bits / Generate / Return to SSL Manager
HUOM! ON ERI ASIA WWW.DOMAIN.FI KUIN DOMAIN.FI 
Tässä esimerkissä valittiin domain.fi
  • cPanel / Security / SSL/TLS Manager / Certificate Signing Requests (CSR)
    • Katso sivun ylälaidan tekstistä mikä palvelinohjelmisto on kyseessä. Esimerkiksi Apache web server.
    • Host valitse domainisi jolle teit Private key:n esim domainnimi.eu
    • Anna tiedot sen mukaan miten ne on rekisteröity domainisi tietoihin. ÄLÄ KÄYTÄ ÄÄKKÖSIÄ.
    • Country FI
    • State Yrityksen sijaintimaakunta
    • City Yrityksen sijaintikaupunki
    • Company Yrityksen virallinen nimi
    • Company Division Yrityksen osasto...??
    • Email sähköposti millä domain on virallisesti rekisteröity, jos .fi, tarvittaessa katso Viestintäviraston sivuilta domain.fi kirjautumalla sisään tunnuksillasi.
    • Pass Phrase Salasana KÄYTÄ VAIN KIRJAIMIA JA NUMEROITA. CSR contains unsupported extensions -virheilmoitus viittaa tähän.
    • Kopioi sertifikaatti (Cmd-A, Cmd-C) joka alkaa -----BEGIN CERTIFICATE REQUEST----- kokonaisuudessaan eli tämän Begin.. ja lopetuksen End...

Avaimet päätteellä[muokkaa]

Vaihtoehtoisesti voit tehdä päätteeltä avaimet seuraavilla komennoilla. Syntyvät tiedostot löytyvät siitä hakemistosta jossa komennot annat.

  • Seuraava komento tekee yksityisavaimen (private key). Syötä seuraava komento päätteessä. Kysyy salasanan ja varmistaa sen.
openssl genrsa -des3 -out www.palvelimesi.fi.key 2048
  • Seuraavalla komennolla teet avaimen jolla haet SSL:n sitä tarjoavalta yritykseltä. Jätä Optional company name tyhjäksi. Katso ohjeet yllä kohdasta cPanel.
openssl req -new -key www.palvelimesi.fi.key -out www.palvelimesi.fi.csr

Enroll Certificate lomake[muokkaa]

Avainten jälkeen tehdään Enroll Certificate. Täytä Enroll Certificate -lomake palveluntarjoajan kotisivuilta jolta SSL palvelun ostat. Täytä kyseisen lomakkeen kohdat myös ilman ääkkösiä ja samoin kuin avainta tehdessäsi.

  • Liitä kopioimasi avain lomakkeen loppuun. Jos kyseessä on Apache server jolla kotisivusi sijaitsee, valitse Other ja Window serverille vuorostaan IIS kohdassa Web Server Software.
  • Kun päivität sertifikaatin statuksen palveluntarjoajan sivuilla, näet mahdollisesti tilana: Certificate Status näkyy Pending, Verification Status WF_MANUAL_VETTING ja Final Verification Status Description Waiting for Manual Vetting
  • Jää odottamaan yhteyttä sertifikaatin myöntäjältä.

Sertifikaatin myöntäjä ottaa yhteyttä[muokkaa]

  • Ulkomailta tulee puhelu antamaasi puhelinnumeroon englanniksi
    • Jos puhelua ei kuulu pariin päivään, ota yhteyttä esimerkiksi sertifikaatin myöntäjään sen tarjoaman mahdollisen chat-palvelun avulla tai palveluntarjoajaan jolta sertifikaatin ostit. Jos yrityksen nimessä on ääkkösiä ja koska ne piti jättää pois että Enroll saatiin suoritettua, voisivatko ne kenties olla viivästymisen syy?
  • Kun puhelu on tullut ja asiat ovat kunnossa, sertifikaatti myönnetään mahdollisesti jo tunnin sisään ja näet status-sivulla avaimen ja saat sähköpostia.

Sertifikaatin asentaminen[muokkaa]

  • cPanel / Security / SSL/TLS Manager / Certificates (CRT) Generate... /
  • Kopioi palveluntarjoajan sivuilta tai sähköpostissa sertifikaatin myöntäjältä saamasi avain kohtaan Paste the crt below ja paina Upload
  • Tarvittaessa tarkista minkä tyyppisen sertifikaatin hankit ja seuraa sen mukaisia Thawten asennusohjeita. Ohje löytyy myös cPanelille ja manuaaliseen päätteen kautta asentamiseen.
  • Tämän esimerkin asennuksen suoritti loppuun palvelinpalvelun tarjoaja.

Tarkistus[muokkaa]

http://www.sslshopper.com/ssl-checker.html

Asennus Magentossa[muokkaa]

  • Kirjaudu ylläpitoon / Järjestelmä / Asetukset / Inernet / Salattu (SSL)
  • Lisää kohtaan juuriosoite s-kirjain eli https://www.osoite.fi/magento/ tai mikä osoitteesi sitten onkaan. Muista vinoviiva lopussa!
    • Jos käytät esm. addon domainia kuten www.osoite2.fi ja olet ilmoittanut SSL-palveluun www.osoite1.fi osoitteen, tällöin on käytettävä osoitetta www.osoite1.fi muodossa https://www.osoite1.fi/magento koska muutoin esm. et pysty kirjautumaan enää ylläpitoon. Jos näin käy, vaihda asetus tietokannassa esm. phpMyAdmin:lla.
ÄLÄ klikkaa aluksi suojausta päälle ylläpidossa, koska jos sertifikaatin kanssa on ongelmia, saattaa olla ettet pysty kirjautumaan ylläpitoon (kts. vikatilanteita)

Seal-logon lisääminen[muokkaa]

Sivulle kannattaa yleensä asentaa suojauksesta kertova "seal" -logo. Logoa klikkaamalla asiakkaat voivat tarkistaa sivuston oikeellisuuden. Logon ilmestyminen asiakkaan nähtäville voi joskus kestää Thawten palvelimen kuormituksesta riippuen tai jostain syystä se vain ei ilmesty. Eräs vaihtoehto on ladata logo omalle palvelimelle, jolloin tietysti muuttuvaa päivämäärää ei voida logoon sisällyttää, ja laitaa vasta logo klikatessa latautumaan tiedot.

Asentaminen päivittymään sivua ladattaessa[muokkaa]

  • http://www.thawte.com/ssl/secured-seal Tee koodi sivulla olevien valintojen mukaan. Huomaa että käytät sitä domain-osoitetta jolle sen olet hankkinut. Esim. jos siinä ei ole edessä www, niin silloin kirjoita pelkästään osoite.fi Kun kerran olet saanut koodin, voit tehdä siihen muutoksia suoraan koodiin, eikä uutta tarvitse luoda Thawten sivuilla.
  • Lisää räätälöity koodi kotisivuille. Thawte suosittelee sivuja, joissa käyttäjän oletetaan tarvitsevan suojaa. Tällaisia ovat esimerkiksi kirjautuminen ja maksaminen. Linkki on tällöin näkyvillä ja helpottaa tarkastustoimea. Nämä sivut Magento automaattisesti muuttaa https -sivuiksi, joten logo ilmesty automaattisesti.
  • Linkin voi asentaa myös esimerkiksi alatunnisteeseen. Koodi sisältää skriptin, joten Magenton ylläpidon editorit eivät hyväksy sitä...?
    • Lisää tästä johtuen suoraan koodiin. Alatunniste löytyy: /app/design/frontend/default/ulkoasusi/template/page/html/footer.phtml
    • Lisää skripti esimerkiksi samalle siennystasolle <address><?php echo $this->getCopyright() ?></address> -alapuolelle.
    • Suomennos voi olla esim. "Klikkaa tarkistaaksesi sivuston oikeellisuuden - Verkkokauppa on suojattu Thawte SSL sertifikaatilla."
  • HUOM! Logo ei välttämättä ilmesty heti näkyviin. Tyhjentele Magenton välimuistia ja selaimen välimuistia ja jos nämäkään eivät tuo sitä näkyviin odota jonkin aikaa. Ohjeita vianetsintään löytyy samalta sivulta jossa koodi luodaan.

Asentaminen päivittymään vasta logoa klikatessa[muokkaa]

Huomaa että tämä vaihtoehto näyttää logon KAIKILLA sivuilla kun edellinen vaihtoehto näyttää vain https-sivuilla.

  1. http://www.thawte.com/ssl/secured-seal Tee koodi valitsemalla nyt vain pelkkä kuva. Katso tarkempi ohje edellisestä vaihtoehdosta.
  2. Järjestelmä > Asetukset > Yleinen > Ulkoasu > Alatunniste > Tekijänoikeudet. Lisää koodi <br><br><p align="center"><a href ="http://www.verkkokaupanosoite.fi/mahdollinenpolku/thawte"><img src="http://www.verkkokaupanosoite.fi/mahdollinenpolku/media/thawte/logo.gif" border=0></a></p>
    1. Tyhjennä välimuisti
  3. Lisää CMS sivu käyttäen URL-avaimena: thawte
    1. Lisää sisällöksi seuraava ilman wysiwyg-editoria. Huomaa että skriptin sisällä oleva verkko-osoite saattaa olla muotoa www.osoite.fi tai osoite.fi sen mukaan miten sertifikaatti on ostettu.
<center>
<p>Klikkaamalla logoa avautuu ajantasainen ponnahdusikkuna sivuston oikeellisuudesta</p>
<script type="text/javascript" src="https://seal.thawte.com/getthawteseal?host_name=verkkokaupanosoite.fi&size=S&lang=fi"></script>
</center>
<p align="center"><a style="color: #ad0034;" href="http://www.thawte.com/digital-certificates/" target="_new"> <span style="font-family: arial; font-size: 10px; color: #ad0034;"> Yleistietoa Thawten SSL -sertifikaateista</span> </a></p>
  1. Kuva ei näy vielä alatunnisteessa. Odota pari tuntia kun luomasi logo asentuu Thawten palvelimelle.
  2. Kun logo latautuu verkkokauppasi thawte -sivulle, tallenna kuva /media/thawte -kansioon nimellä logo.gif Nyt kuva ilmestyy myös alatunnisteeseen.

Vikatilanteita[muokkaa]

  • Lukkomerkintä selaimessa antaa virheilmoituksen.
    • Tarkista, oletko esimerkiksi lisännyt asetuksissa alatunnisteeseen valokuvia, jotka noudetaan http:// -osoitteesta. https-sivu on oikein, kun se sisältää pelkästään suojattua sisältöä, eikä sekaisin http ja https -sisältöä.
  • 404 Not Found
    • Sertifikaatin asennuksen jälkeen ylläpidon puolelle pääsy estyy ja etusivun puolella ei kirjautuminen tai omat tiedot sivuille pääse
    • Ensimmäisenä kokeile seuraavaa:
    • Avaa PhpMyAdmin ja taulu core_config_data ja etsi rivi web/secure/use_in_adminhtml (helpottaa kun aakkostat sarakkeen aluksi)
    • Vaihda arvoksi web/secure/use_in_adminhtml arvoksi 0
    • Poista /var/cache ja /var/session kansioiden sisältö.
    • Varmista että web/unsecure/base_url on http eikä https ja että osoite on varmasti oikea eikä osoita esimerkiksi palvelimellasi mahdollisesti olevaan toiseen Magentohakemistoon.
    • Varmista myös että jos tietokannassa on useita magento-asennuksia että teet muutokset juuri sen kaupan tauluihin ;-)
  • Uusi sertifikaatti ei tule näkyviin vaan vanha sertifikaatti on yhä edelleen.
    • Asennus palvelimelle ei ole todennäköisesti vielä valmis

Ongelmia[muokkaa]

  • Your CSR contains a challenge phrase. Adding a challenge phrase to a CSR is not a secure practice. Please generate a new CSR that does not contain a challenge phrase.

It's not a security risk... unless it contains a challenge passphrase. Then anybody with the CSR can revoke your certificate, if your registrar allows challenge phrases in the CSR. That's why putting the challenge phrase in the CSR is not a secure practice.

  • Wrong certificate installed. The domain name does not match the certificate common name or SAN.

Esimerkiksi jos syötit www.domain.pääte niin se ei ole sama jolla olet rekisteröinyt suojauspalvelun, se voi olla esimerkiksi domain.pääte eli ilman www:tä.

SSL sertifikaatin asentaminen Drupal -järjestelmään[muokkaa]

?

OpenSSL ja OS X Sierra[muokkaa]

  • sudo port install openssl

OpenSSL suojaus ja purku[muokkaa]

SUOJAUS
openssl [suojaustyyppi] -in [suojattavatiedosto] -out [uusisuojattutiedostonimi]
AVAUS
openssl [suojaustyyppi] -d -in [suojattutiedosto] - out [avattutiedostonimi]
  • Jättämällä -out -komennon pois saattaa ilmetä ongelmia!
  • "Salt" on pala satunnaisia bittejä, jotka muodostetaan suojattaessa ja tallennetaan tiedoston "headeriin". Purettaessa suojausta salt haetaan headerista.
  • Suojattu tiedosto alkaa: Salted__ ja tämän jälkeen salt (epämääräisä merkkejä).
  • SSANA.
    • Salasanoissa merkitsee entropy. Ei sen pituus tai käytetyt merkit. Entropy on "a measure of what the password could have been". Entropy on sen prosessin analysointia, joka generoi salasanan.

des3[muokkaa]

SUOJAUS
openssl des3 -in suojattavatekstitiedosto.txt -out uusisuojattutekstitiedosto.txt
  • Pyytää salasanaa, jolla tiedosto suojataan ja myös avataan.
AVAUS
openssl des3 -d -in suojattutekstitiedosto.txt -out uusiavattutekstitiedosto.txt
  • Pyytää salasanaa, jolla tiedost suojattiin.

enc[muokkaa]

openssl enc -aes-256-cbc -pass pass:SSANA -in suojattavatekstitiedosto.txt -out uusisuojattutekstitiedosto.txt

-p tulostaa saltin, avaimen (key) ja iv:n ja suojaa
-P tulostaa salt:n, avaimen (key) ja iv:n mutta ei suojaa tai avaa
Näyttää suojatun tiedoston saltin, avaimen ja iv:n:
openssl enc -aes-256-cbc -pass pass:salasana -d -P -in suojattutekstitiedosto.txt
-S salt-arvon määrittäminen
-nosalt ei käytetä salttia (heikentää suojausta!)
  • Salasanalla tulee olla erittäin korkea entropy! Vähintään 80 bittiä.

Linkkejä[muokkaa]

http://security.stackexchange.com