Ooit had ik een gratis certificaat dat volledig aan mijn eisen voldeed. Het was toentertijd een beetje knoeien om het aan de praat te krijgen. Op het moment dat het klaar was, wist ik niet eens meer hoe ik het gedaan had, dus het blogartikel dat ik toen geschreven had was nogal beperkt. Inmiddels heb ik een officieel betaald certificaat van Comodo draaien.
Om maar even bij het begin te beginnen. Waarom een certificaat? Nou er zijn verschillende opties:
- Geen certificaat
Wanneer je geen certificaat gebruikt dan gaat al het verkeer open en bloot over het internet, dus ook je inlogcredentials als je inlogt op poort 5000. - Een self-signed certificaat
Dit is een standaard aanwezig certificaat op je NAS. De verbinding is beveiligd als je op poort 5001 verbinding maakt, maar het certificaat wordt niet extern gecontroleerd. - Een certificaat uitgegeven door een Certificate Authority (CA)
Naast encryptie ook nog een controle van het certificaat. Dit is de meest veilige manier maar vraagt om wat uitzoekwerk of geld om een certificaat aan te schaffen.
Een certificaat zorgt voor encryptie
Een certificaat zorgt ervoor dat alle data die tussen twee punten heen en weer gaat versleuteld wordt. Hierdoor worden alle wachtwoorden en gebruikersnamen versleuteld en kan een derde deze over het algemeen niet meelezen. Je bank gebruikt ook zo’n certificaat, want je wilt natuurlijk niet dat iemand anders jouw gegevens kan zien. We hebben het over al het verkeer naar bijvoorbeeld een website of een NAS. Dus ook je saldo bij de bank valt hieronder wanneer je aan het bankieren bent. Bij je NAS is het ook belangrijk dat je data beveiligd is. Want je wilt niet dat een ander achter je admin-wachtwoord komt of je mail kan lezen.
Geen meldingen en waarschuwingen
Je hebt misschien de termen self-signed en officiele certificaten al eerder gelezen. Een self-signed certificaat is een certificaat dat je zelf maakt. Ditzorgt voor encryptie van de verbinding. Dus inloggen op https://domein.nl:5001 is veiliger dan inloggen op http://domein.nl:5000. Want als jij als Admin inlogt dan kan het zijn dat een ander meekijkt. Maar nu ben je er nog niet helemaal. Want iedereen kan certificaten maken, en die rode pagina in Chrome of andere waarschuwingen zien er ook niet zo mooi uit. Een officieel certificaat zorgt er in ieder geval voor dat je één keer minder hoeft te klikken alvorens je binnenkomt.
Een certificaat uitgegeven door een CA wordt gecontroleerd
En om zeker te weten dat een certificaat echt is moet er een derde partij gebruikt worden zoals bijvoorbeeld Thawte, Comodo of StartSSL. Iedereen kan een certificaat aanmaken, maar browsers vertrouwen alleen de officiële certificaten. Standaard zitten deze al in je besturingssysteem ingebakken. Een officieel certificaat dat verstrekt is door een CA (Certificate Authority). De CA checkt alvorens er een verbinding wordt gemaakt met je NAS of de computer die verbinding wilt maken wel is wie hij zegt dat hij is. Pas als de CA dit goedkeurt mag je verder en krijg je het groene slotje te zien in je browser.
Wat gebeurt er nu als je een verbinding maakt?
- Browser maakt verbinding naar een server (bijvoorbeeld website) beveiligd via SSL. De browser vraagt of de server zich kan identificeren.
- De server stuurt een kopie van zijn SSL certificaat in combinatie met de publieke sleutel.
- De browser controleert nu het root-certificaat bij de CA server (Comodo, Thawte et cetera) en of het certificaat nog geldig is en of de namen in het certificaat goed zijn. Wanneer de browser het certificaat vertrouwt, wordt er een op basis van de public key een sessiesleutel aangemaakt.
- De server ontsleutelt de sessiesleutel met zijn private key en stuurt een bevestiging versleuteld met de sessiesleutel om een versleutelde verbinding te starten
- Alle data die nu tussen de twee heen en weer gaan zal versleuteld zijn.
Een officieel certificaat afnemen
Binnenkort een post waarin ik aan ga geven hoe je goedkoop aan een certificaat kan komen, want voor vandaag hebben jullie al genoeg gelezen ;-).
Bedankt voor dit artikel. Is er al enig zicht op wanneer deel 2 verschijnt?
:$ probeerde er een beetje onderuit te komen, maar er blijft wel vraag naar. Ik heb 2 posts die ik nog moet doen, waarvan deze er dan één is. Ik zal proberen mijn prioriteiten goed te stellen aankomende week.
Blijkbaar ben je erg druk….
Ik zit met smart te wachten op deel 2…….
ik ook….
Anders ik wel.
ook interesse ^^
Ik wil de druk niet per sé verhogen in afwachting van het volgende artikel, maar ik ga alvast even verder zelf op onderzoek uit bij Comodo…
Eerder heb ik al een gratis certificaat geprobeerd via StartSSL, maar ik bleef de melding krijgen van een onveilige website naar mijn NAS.
Greetz,
Coxwen