Apel o Darowiznę: certyfikaty SSL

Apel o Darowiznę: certyfikaty SSL
Autor: Redakcja
Data publikacji: 9 grudnia 2013
http://www.fwioo.pl/article/apel-o-darowizne-certyfikaty-ssl
Wstyd się przyznać, FWiOO wciąż nie ma porządnych certyfikatów SSL - w naszej infrastrukturze królują certyfikaty
self-signed. Jest to sytuacja zdecydowanie do zmiany, niestety nabycie porządnego certyfikatu SSL to konkretny koszt. Koszt,
na który nigdy nie mieliśmy środków. Ogłaszamy więc Apel o Darowiznę w celu uzbierania środków na certyfikaty SSL dla
FWiOO.
Aktualizacja: otrzymaliśmy i zdecydowaliśmy się skorzystać z oferty zasponsorowania FWiOO certyfikatów SSL. Więcej informacji wkrótce.
Dziękujemy za dotychczasowe wsparcie. Wszystkie przekazane nam środki, zgodnie z regulaminem naszych apeli, przekazane zostaną na
następny apel.
O co chodzi?
___________________________
Szyfrowanie SSL jest szeroko stosowane w Internecie w celu zapewnienia dwóch rzeczy:
1. szyfrowania transmisji między klientem (np. przeglądarką, programem pocztowym) a serwerem;
2. uwierzytelnienia serwera, czyli udowodnienia, że klient komunikuje się naprawdę z tym serwerem, z którym chciał się komunikować.
Certyfikaty self-signed - czyli wystawione i podpisane przez samą organizację, która ich używa - są w stanie zapewnić 1. (czyli szyfrowanie),
ale ponieważ tożsamość serwera nie została potwierdzona przez zaufany Urząd Certyfikacji, nie zapewniają 2. (uwierzytelnienia serwera). To
oznacza, że w większości klientów wyświetli się komunikat informujący o tym fakcie (np. tu). FWiOO jest już na tyle dużą i poważną
organizacją, że powinna mieć porządny certyfikat SSL.
Chcielibyśmy więc zaapelować do Społeczności o wsparcie nas w celu zebrania środków na 4-letni podstawowy certyfikat wildcard SSL dla
domeny fwioo.pl oraz subdomen.
Czemu certyfikat wildcard?
Certyfikat tzw. "wildcard" to certyfikat ważny dla poddomen domeny, na którą jest wystawiony. To oznacza, że będzie ważny nie tylko na
fwioo.pl, ale również na my.fwioo.pl, wioolontariat.fwioo.pl i inne domeny, które uruchomiliśmy lub będziemy chcieli uruchomić niebawem.
Certyfikaty wildcard są nieco droższe, ale oferują znacznie większe możliwości.
Czemu na 4 lata?
Ponieważ to jest najdłuższy okres oferowany przez dostawcę certyfikatów, który jak udało nam się ustalić wydaje się oferować najtańsze
certyfikaty. Chcielibyśmy za jednym zamachem rozwiązać problem na dłuższy czas tak, by mieć wystarczająco dużo pola do manewru, by nie
powtarzać Apelu za szybko (i zdążyć uzbierać środki na następny certyfikat z innych źródeł).
Jeżeli jednak w wyznaczonym terminie nie uda się zebrać pełnej kwoty wymaganej do wykupienia 4-letniego certyfikatu, wykupimy certyfikat
na tak długo, na jak długo wystarczy nam środków.
Czemu tak drogo?
Certyfikaty SSL niestety tyle kosztują. My zbieramy na najbardziej podstawową (a zarazem najtańszą) wersję, czyli certyfikat DV (Domain
Validation - walidacja według domeny); certyfikaty lepiej zwalidowane (OV i EV) są niestety znacznie droższe. Nie są nam jednak na tym
etapie potrzebne, wersja najbardziej podstawowa w zupełności będzie dla Fundacji wystarczająca.
Jesteśmy oczywiście otwarci (i wolni!) na wszelkie sugestie i informacje dotyczące miejsc, w których takie certyfikaty można nabyć taniej.
Zasadnicze wymaganie jest takie, by były one rozpoznawane przez popularne przeglądarki (jak Firefox czy Chromium) domyślnie oraz by ich
użycie nie było ograniczone (np. "do celów niekomercyjnych"), zaś podstawowym kryterium wyboru jest cena w przeliczeniu na rok ważności
certyfikatu.
Do czego dokładnie potrzebne są certyfikaty?
Transmisja w Internecie przechodzi zawsze przez wiele punktów. Jeśli jest niezaszyfrowana, operator czy administrator każdego z tych
punktów może transmisję podejrzeć i przeczytać. W całości.
W przypadku zwykłego przeglądania stron internetowych, nie traktuje się tego jako duży problem, stąd na większość stron wchodzimy
nieszyfrowanym protokołem HTTP. W momencie jednak, gdy chcemy skorzystać z usług takich, jak e-mail, zależy nam na tym, by naszej
transmisji (w tym loginu, hasła, treści e-maili) nikt nie podejrzał. Aby zaszyfrować i zabezpieczyć transmisję w takien sytuacji niezbędny jest
1
WERSJA DO WYDRUKU
właśnie certyfikat SSL.
Dopóki usługi na naszych serwerach (jak poczta czy serwer Jabbera) uruchomione były tylko na wewnętrzne potrzeby Fundacji, nie było
potrzeby kupowania certyfikatów SSL - my mogliśmy zaufać własnym, samodzielnie wystawionym certyfikatom self-signed.
Ponieważ jednak przymierzamy się do uruchomienia usług dla naszych Wolontariuszy i Sympatyków, niezbędny jest porządny certyfikat SSL.
Czemu nie CACert?
CACert jest bardzo ciekawym rozwiązaniem podstawowego problemu z infrastrukturą SSL/TLS, czyli centralizacji kontroli nad nią w rękach
kilku podmiotów, które niekoniecznie są wystarczająco przejrzyste i godne zaufania, by opierać na nich tak znaczący element infrastruktury
sieciowej. Niestety, certyfikat CACert nie jest dodany do domyślnego zestawu certyfikatów większości przeglądarek, co oznacza, że nie
zrealizuje nam punktu 2. (uwierzytelnienia serwera).
Jeśli znajdziemy metodę serwowania certyfikatu CACert obok wykupionego (i akceptowanego przez większość przeglądarek) certyfikatu SSL, z
chęcią to zrobimy. Zapraszamy do dyskusji i pomocy.
Czemu nie StartSSL?
StartSSL oferuje darmowe certyfikaty ważne jeden rok. Niestety, StartSSL oferuje te certyfikaty wyłącznie na użytek osobisty, w celach
niekomercyjnych. Jako Fundacja mamy zarejestrowaną działalność gospodarczą i chcemy zachować możliwość otrzymywania wynagrodzenia
za niektóre nasze działania (np. szkolenia), co oznacza, że nie możemy wykorzystać certyfikatu StartSSL.
Zgodnie z regulaminem naszych apeli o darowiznę, ten apel zasilony został środkami, które zostały po poprzednich apelach:
• ...na Dyplomy - 160zł
• ...na Przystanek Woodstock 2013 - 421.27zł
2
WERSJA DO WYDRUKU