Zo spannend is het dus niet: GlobalSign heeft zijn crl-service via ipv6 bereikbaar gemaakt. SSL-certificaten kon je altijd al over IPv6 gebruiken, die zijn niet speciaal voor IPv4 of IPv6 geconfigureerd.
Desalniettemin goed nieuws, hoe sneller de wereld over is op IPv6 hoe beter.
Inderdaad.
Daarmee kunnen talloze certificaten ook op servers met ipv6-adressen worden gebruikt.
Dat is echt de meest ongelukkige woordkeuze hoewel het hele artikel een vrij ongelukkige interpretatie van het origineel is..
Waar het om gaat is het volgende; een partij als GlobalSign geeft wereldwijd certificaten uit die de authenticiteit van een site/dienst/entiteit bevestigen. Dit certificaat wordt uitgegeven aan de partij die het aanvraagt en afhankelijk van welk 'level' (lees 'meer geld overmaakt') certificaat je aanvraagt wordt er bepaalde validatie uitgevoerd om te controleren of jij wel echt een certificaat voor deze site/dienst/entiteit mag aanvragen. De meeste goedkope certificaten doen amper aan validatie, die certificaten waar je een groene balk voor terug krijgt (EV/Extended Validation) vereisen als het goed is heel wat formuliertjes en een paar telefoontjes.
Het probleem is echter, dat certificaat wordt uitgegeven met een bepaalde houdbaarheidsdatum, meestal 1 tot 2 jaar, soms 5 (dit geldt niet voor de Certificate Authority zelf, diens certificaat is meestal een decennium of meer geldig). In dat tijdsbestek kan je certificaat echter ongeldig worden, je server is bijvoorbeeld gehackt en iemand heeft de 'private key' van je certificaat bemachtigd en kan zich nu als jouw server voort doen / man-in-the-middle spelen.
Om dit tegen te gaan kun je bij de Authority aangeven dat je certificaat als ongeldig moet worden gezien en wordt het serienummer er van opgenomen in de CRL. Het is vervolgens aan de client die verbinding met jou opzet om in die CRL te controleren of je certificaat nog echt geldig is. Dit is meestal een bestand wat je via HTTP kunt ophalen (die CRL is zelf vaak ook weer cryptografisch getekend zodat je kunt valideren dat je wel echt de lijst van GlobalSign hebt).
Er is ook nog een ander protocol genaamd OCSP (online certificate status protocol) die effectief hetzelfde doet alleen daar vraag je aan de andere kant of dit specifieke certificaat nog geldig is. Je hoeft dan zelf weer niet de CRL te downloaden, valideren, parsen en het certificaat er mee te checken.
Die CRL/OCSP is waar het om gaat. De server(s) die de CRL/OCSP-dienst hosten namens GlobalSign zijn nu ook via IPv6 te benaderen waardoor een IPv6-only client nu wel bij GlobalSign kan nagaan of je certificaat nog echt geldig is.
Het kunnen gebruiken van een certificaat om jezelf als client of server te identificeren heeft helemaal niks met IPv6 te maken noch zijn er speciale IPv6-SSL certificaten nodig.
[Reactie gewijzigd door Daenney op 26 juli 2024 06:44]
/i/2001714923.png?f=fpa)
/i/1281172651.png?f=fpa)
/i/1265019028.png?f=fpa)
:strip_exif()/i/1296738143.gif?f=fpa)
/i/1301055229.png?f=fpa)
/i/1224595087.png?f=fpa)
:strip_exif()/i/1296035437.gif?f=fpa)
:strip_exif()/i/1034032919.jpg?f=fpa)
/i/1315389021.png?f=fpa)
:strip_exif()/i/1298563907.gif?f=fpa)
/u/47938/garfield4.png?f=community){kind=small}
:strip_exif()/u/634/crop56eab269d97ab.gif?f=community){kind=small}
/u/298895/crop5620d9e595c62.png?f=community){kind=small}
.
/u/70160/herko-icon.png?f=community){kind=icon}
/u/53007/DustPuppy.png?f=community){kind=small}
/u/28121/avatar_kleiner.png?f=community){kind=avatar}
/u/33305/crop60893dfd18ede_cropped.png?f=community){kind=small}
maar goed, google op IPv6 en de eerste hit is bovenstaand link (bij mij dan)