Krautkanal.com

Veröffentlicht am 2016-12-20 21:03:24 in /prog/

/prog/ 9663: SSL-Fickerei

pjnes Avatar
pjnes:#9663

Hallo Systemarchitektbernd und Verschlüsselungsexperde,

Bernd ist schlechter Informatiker und hat für einen Kunden eine Android/iOS/WinPhone-App zu einem bereits bestehenden Produkt entwickelt.

Dieses Produkt hat einen eigenen Server, welcher von Endkunden betrieben wird. Angestellte des Endkunden nutzen meine App um sich mit dem Server zu verbinden und mit der App Dinge zu machen.

Die App wurde bereits veröffentlicht und funktioniert ausgezeichnet, abgesehen davon, dass der Datenverkehr nicht verschlüsselt ist.

Grade bin ich dabei den Verkehr mit SSL zu verschlüsseln, jedoch gibt es aufgrund dieser Architektur ein Problem.

Ich müsste für jeden Endkunden ein verifiziertes Zertifikat bereitstellen, weil alle Host unterschiedliche Standorte und Namen haben. Dies kostet pro Endkunde ca. 80 Euro, ist jedoch aufgrund der Preispolitik meines Kunden nicht annehmbar.

Natürlich könnte ich auf die SSL-Verschlüsselung verzichten und den Netzwerkverkehr zwischen Server und App selbst asymetrisch verschlüsseln. Jedoch zwingt mich Apple ab dem 1.1.2017 nur noch SSL-verschlüsselte Verbindungen zu nutzen.

Hat Bernd eine Lösung wie ich ein einziges SSL-Zertifikat für alle Server nutzen kann?

Drinbevor: nicht dein persönliches Stapelüberlauf, iOS nicht unterstützen

millinet Avatar
millinet:#9664

Man must du wildcard cert nemen

1. wildcard cert auf server setzen
2. public und private keys vom server kopieren
3. Kopie jedes keys auf jeden Server
4. Kopie des certs auf jeden server

und jetzt gibe provision

vladarbatov Avatar
vladarbatov:#9667

>>9664
Wildcard-Zertifikate erlauben doch nur eine Änderung der Sub-Domain?! Bei mir können die Hostnamen/Domains auch IP-Adressen sein.

katiemdaly Avatar
katiemdaly:#9668

>Dies kostet pro Endkunde ca. 80 Euro
was ist lassunsverschluesseln

atariboy Avatar
atariboy:#9670

>>9663
Entweder du nutzt deine eigene CA (selfsigned Cert, falls das bei Apfel möglich ist), oder du findest einen billigen Anbieter wie LassunsVerschlüsseln.

>>9664
>3. Kopie jedes keys auf jeden Server
Super sicher Bernd! Warum packst du die Keys nicht gleich in GitHub, damit die anderen immer die aktuelle Version aus dem Repo pullen können wenn die Keys ablaufen und durch neue ersetzt werden müssen?

superoutman Avatar
superoutman:#9673

>>9663
Selbstsignierte Zertifikate sind die Antwort. Sollte man eigentlich sowieso immer benutzen sobald man als Anbieter sowohl Server- als auch Clientseite kontrolliert.

nehemiasec Avatar
nehemiasec:#9674

Kannst du das SSL-Zertifikat in deinem eigenen Kot verifizieren? Falls ja, fahre selbstsigniert und trage den öffentlichen Schlüssel direkt in dein Programm ein.

Oder muss das ein laut Apple gültiges Zertifikat sein? Falls ja, bleibt dir vielleicht noch LetsEncrypt offen.

Neuste Fäden in diesem Brett: