TLS, lite status
Patrik Wallström, .SE & DFRI
X.509 (PKIX) Certifikat
X.509 är en ITU-standard för en publik nyckelinfrastruktur
(PKI)	

• Format för publika certifikat	
...
ASN.1
ASN.1,Abstract Syntax Notation One är ett standardiserat
formellt språk (ISO-IEC 8824) som används för att
represent...
Abstract Syntax Notation One
Certificate!
■ Version!
■ Serial Number!
■ Algorithm ID!
■ Issuer!
■ Validity!
■ Not Before!
■...
SSL/TLS-versioner
SSL!
Version 1.0 togs fram av Netscape
Version 2.0 - 1995
Version 3.0 - 1996
!
TLS!
Version 1.0, RFC 224...
Certifikatutfärdare
CA CA CA CA
ICA1
ICA1
Cert
Falskt cert
Var används TLS?
Transport Layer Security	

HTTP, SMTP, IMAP, XMPP,Tor och SIP	

!
Network layer security (VPN)	

IPSEC me...
Client Server
1: Send SSL version and known ciphers
1.1: Send SSL version and ciphers
1.2: Send identification
1.3: Send se...
TLS Uppkoppling…
SSL handshake has read 3704 bytes and written 369 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SH...
Prestanda på handskakning
Median: 296ms
Medel: 351ms
Webbserver Medel
Jetty 500ms
Lotus-Domino 399ms
Microsoft IIS 6.0 361...
Användning i .se
• 13283 hittade tjänster med
SSL på port 443.
• 10994 giltiga certifikat.
• Giltiga certifikat är gjorda av...
Trasigheter
2200
0
200
400
600
800
1000
1200
1400
1600
1800
2000
Type of error
Count
Broken Chain
Not yet valid
Expired
Ho...
Trasiga kedjor
Många köper certifikat som kräver konfiguration av “Intermediary
CAs”. Att lägga in dessa i webbserverns konfi...
Global statistik
Källa, SSL Pulse, https://www.trustworthyinternet.org/ssl-pulse/
!
5:e april 2014
Källa, SSL Pulse, https://www.trustworthyinternet.org/ssl-pulse/
!
5:e april 2014
Hinder för deployment
Krångligt	

!
Drar för mycket CPU…	

!
SNI + XP	

!
IPv4	

!
“Vi har inget skyddsvärt"
Poppis just nu
TLSA (aka “DANE”)	

!
HSTS - HTTP Strict Transport Security	

!
Perfect Forward Secrecy	

!
TLS 1.2	

!
Ign...
Framtiden
Google ger högre rating för sajter med TLS	

!
Certifikate pinning i HSTS?	

!
TLS 1.3	

!
Certificate transparenc...
TACK! Frågor?
TLS, lite status från #MeraKrypto
TLS, lite status från #MeraKrypto
TLS, lite status från #MeraKrypto
TLS, lite status från #MeraKrypto
Upcoming SlideShare
Loading in...5
×

TLS, lite status från #MeraKrypto

317

Published on

Presentation om TLS på #MeraKrypto

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
317
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
5
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

TLS, lite status från #MeraKrypto

  1. 1. TLS, lite status Patrik Wallström, .SE & DFRI
  2. 2. X.509 (PKIX) Certifikat X.509 är en ITU-standard för en publik nyckelinfrastruktur (PKI) • Format för publika certifikat • Certifikat-förfrågningar • Revokeringslistor • Certifikatsvalideringsalgoritmer ! X.509 är utvecklat för att hantera X.500-strukturen (katalogtjänster för OSI), och passar ganska dåligt in på det “nya” Internet. ! PKIX inom IETF om du vill följa det löpande öppna arbetet…
  3. 3. ASN.1 ASN.1,Abstract Syntax Notation One är ett standardiserat formellt språk (ISO-IEC 8824) som används för att representera data på ett implementationsoberoende sätt, och därmed möjliggöra informationsutbyte mellan olika applikationer, exempelvis via SNMP. ! Källa:Wikipedia
  4. 4. Abstract Syntax Notation One Certificate! ■ Version! ■ Serial Number! ■ Algorithm ID! ■ Issuer! ■ Validity! ■ Not Before! ■ Not After! ■ Subject! ■ Subject Public Key Info! ■ Public Key Algorithm! ■ Subject Public Key! ■ Issuer Unique Identifier (optional)! ■ Subject Unique Identifier (optional)! ■ Extensions (optional)! ■ ...! Certificate Signature Algorithm! Certificate Signature
  5. 5. SSL/TLS-versioner SSL! Version 1.0 togs fram av Netscape Version 2.0 - 1995 Version 3.0 - 1996 ! TLS! Version 1.0, RFC 2246 januari 1999 Version 1.1, RFC 4346 april 2006 Version 1.2, RFC 5246 augusti 2008
  6. 6. Certifikatutfärdare CA CA CA CA ICA1 ICA1 Cert Falskt cert
  7. 7. Var används TLS? Transport Layer Security HTTP, SMTP, IMAP, XMPP,Tor och SIP ! Network layer security (VPN) IPSEC med IKE, SSL-VPN ! Data link layer security 802.11i och 802.1AE, med EAP-TLS, EAP-TTLS och PEAP ! Message level protection Cryptographic Message Syntax (CMS) för S/MIME, XML-DSig ! Code signing Microsoft Authenticode,Apple, Java- och Javascript JAR och Mozilla NSS
  8. 8. Client Server 1: Send SSL version and known ciphers 1.1: Send SSL version and ciphers 1.2: Send identification 1.3: Send server public key 2: Create "pre-master" secret key 2.1: Encrypt "pre-master" with server public key 2.2: Send "pre-master" to server, along with client cert if requested 2.2.1: Decrypt "pre-master" with server private key 2.2.2: Generate master secret and session key 2.3: Generate master secret and session key 3: Send message "handshake complete" encrypted with session key 3.1: Send message "handshake complete", encrypted with session key All subsequent communications are encrypted symetrically using the session key
  9. 9. TLS Uppkoppling… SSL handshake has read 3704 bytes and written 369 bytes --- New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA Server public key is 1024 bit Secure Renegotiation IS supported Compression: zlib compression Expansion: zlib compression SSL-Session: Protocol : SSLv3 Cipher : DHE-RSA-AES256-SHA Session-ID: 957EFAD0005EBB32BD7ACBDEB725A93A205557D4B896A98E1CFF22DEB1E31D15 Session-ID-ctx: Master-Key: 6798E56776F96967C13791AAE5980709887A17AEDE19491F9257401151D6656BD8756C551BF19 36BA1308D764F793721 Key-Arg : None PSK identity: None PSK identity hint: None Compression: 1 (zlib compression) Start Time: 1306589571 Timeout : 7200 (sec)
  10. 10. Prestanda på handskakning Median: 296ms Medel: 351ms Webbserver Medel Jetty 500ms Lotus-Domino 399ms Microsoft IIS 6.0 361ms Apache* 341ms lighthttpd 326ms Microsoft IIS 7.* 322ms ngingx 293ms BigIP 293ms
  11. 11. Användning i .se • 13283 hittade tjänster med SSL på port 443. • 10994 giltiga certifikat. • Giltiga certifikat är gjorda av 72 stycken utfärdare.
  12. 12. Trasigheter 2200 0 200 400 600 800 1000 1200 1400 1600 1800 2000 Type of error Count Broken Chain Not yet valid Expired Hostname mismatch Revoced Bad common name Self-signed - Broken chain, saknar giltig utfärdare - Självsignerat - Utgånget - Hostname mismatch
  13. 13. Trasiga kedjor Många köper certifikat som kräver konfiguration av “Intermediary CAs”. Att lägga in dessa i webbserverns konfiguration är viktigt, annars kan inte webbservern validera certifikatkedjan. 1000 0 100 200 300 400 500 600 700 800 900 Hosts Unneded certificates Incomplete chains Wrong order
  14. 14. Global statistik Källa, SSL Pulse, https://www.trustworthyinternet.org/ssl-pulse/ ! 5:e april 2014
  15. 15. Källa, SSL Pulse, https://www.trustworthyinternet.org/ssl-pulse/ ! 5:e april 2014
  16. 16. Hinder för deployment Krångligt ! Drar för mycket CPU… ! SNI + XP ! IPv4 ! “Vi har inget skyddsvärt"
  17. 17. Poppis just nu TLSA (aka “DANE”) ! HSTS - HTTP Strict Transport Security ! Perfect Forward Secrecy ! TLS 1.2 ! Ignorera revokeringsuppslag ! Att uppgradera OpenSSL och revokera certifikat och lösenord… ! Laga OpenSSL
  18. 18. Framtiden Google ger högre rating för sajter med TLS ! Certifikate pinning i HSTS? ! TLS 1.3 ! Certificate transparency (“TRANS wg”) ! Gratis certifikat… ! HTTP2 ! Opportunistisk kryptering
  19. 19. TACK! Frågor?
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×