Helemaal into SSL

Afgelopen dagen heb ik mijn drang tot technisch geneuzel weer even de vrije loop gelaten. Mijn SSL certificaat van Traxotic was namelijk vrij oud en nodig toe aan vervanging. En toen ik eenmaal bezig was besloot ik om naast mijn webserver ook mijn mail services van de nodige SSL certificaten te voorzien.

Omdat ik niet voor een SSL certificaat wil betalen, maak en onderteken ik ze zelf. Ik ben dus mijn eigen Certification Authority. Ok, het geeft niet zoveel garanties dan een gekocht SSL certificaat, maar voor mijn gebruikers is het meer dan voldoende. Ze vertrouwen me toch al door hun sites bij mij te hosten, dus dan zie ik geen enkele reden dat ze mijn SSL certificaten niet vertrouwen. Bovendien is het merendeel van mijn gebruikers zich niet heel erg bewust van eventuele beveiligingsrisico’s. Maar ja, het zijn dan ook geen staatsgeheimen die op mijn server staan. Toch vind ik dat ik, ondanks het informele en (doorgeslagen) hobbymatige karakter van mijn diensten, een verantwoordelijkheid heb naar mijn “klanten”.

Daarom heb ik nu een apart subdomein ingericht voor alle webservices die SSL vereisen: https://secure.traxotic.net. Op deze manier hoef ik geen URL rewrites meer te doen, omdat hier weer risico’s omtrent cookie-gebruik aan vast zitten. Het root certificaat vind je hier: http://www.traxotic.net/ca.crt. Als je dit certificaat download en toevoegt aan de lijst met vertrouwde instanties in je browser, dan krijg je bij het bezoeken van secure.traxotic.net geen foutmeldingen meer dat de uitgevende instantie van het certificaat niet wordt vertrouwd. Lekker makkelijk toch?

Hetzelfde geldt voor mijn SMTP server. Verificatie voor mijn SMTP server had ik al langer, maar vanaf vandaag kan dat ook over SSL. Ook mijn POP3 en IMAP diensten zijn vanaf nu voorzien van SSL. Hierdoor wordt het onderscheppen van wachtwoorden door kwaadwillende hackers in ieder geval stukken moeilijker dan voorheen.

Op dit moment dwing ik het gebruik van SSL nog niet af bij mijn gebruikers. Eerst maar eens een duidelijk handleiding voor ze maken, met wat verklarende tekst erbij. Daarna denk ik er serieus over na om de niet beveiligde diensten uit te schakelen. Even mijn gebruikers opvoeden! :-)