Opsætning af webserver med HTTPS og flere domæner

Fra wiki.klid.dk
Skift til: navigering, søgning

Ved at kryptere kan man sikre en rimelig grad af beskyttelse mod at der lyttes med på kommunikationsforbindelsen. Det vil dog stadigt være muligt at se hvilke to maskiner (ip-numre) der taler med hinanden.

Google siger at de vil give websider der bruger kryptering en bedre placering ved søgninger.

Man kan sætte en webserver op til at bruge krypteret kommunikation vila HTTPS-protokollen, som blot er en HTTP-protokol over en krypteret forbindelse. Man skal køre TLS, ikke SSL version 2 eller 3, som har sikkerhedsproblemer.

I Apache-serveren kan man gøre følgende: (mangler beskrivelse)

Man kan sætte Apache op til at køre HTTPS med flere domæner (vhosts). Dette kan fra Apache 2.2.12 bl.a gøres med SNI - Server Name Identification, som er en udvidelse til TLS protokollen, hvor man ved oprettelsen af den krypterede forbindelse afgør hvilket domæne og dermed hvilket certifikat der benyttes.

Dette kan bl.a. gøre i nyere udgaver af Debian, Ubuntu og Red Hat/Centos, men ikke Red Hat/Centos 5.

Certifikatet kan enten være selvunderskrevet, hvilket genererer en advarsel fra browserne, eller opnået fra en certifikatudsteder. Der findes mange certifikatudstedere. En kommerciel udbyder er https://startssl.com, som tilbyder gratis certifikater der løber et år. Også https://cacert.org tilbyder gratis certifikater, men disse er normalt ikke i listen af rodcertifikater, og vil derfor generere en advarsel i de fleste browsere. Et kommende initiativ omkring gratis certifikater er https://letsencrypt.org/ -dette er i luften endnu til test.

Afprøv om certifikat er i orden med https://www.ssllabs.com .

(mangler beskrivelse)