Etikettarkiv: SSL-certifikat

Google favoriserar https

Som Google meddelade för några månader sedan gällande att de avser att favorisera webbsajter som använder sig av https är nu officiellt bekräftat.

Detta är så klart en bra utveckling men många webbhotell åtminstone i Sverige verkar inte riktigt vara med på banan.

För att citera några webbhotell:

”För att ha SSL-certifikat under eget domännamn krävs en egen IP-adress” – Loopia

”Ett SSL-cert med inkluderad privat ipv4-adress” – Binero

Det behövs ej egen IP-adress utan Server Name Indication (SNI) finns implementerat i TLS (SSL) och bör användas istället. Som alla vet så är IP-adresserna slut sedan länge och att slösa på detta sätt gynnar ingen som webbhotellen föreslår.

Att kräva privat IP-adress för tls är lite 1900-tal tycker jag, eller i varje fall före 2010. Vid 2010 påstår jag tåget gick.

Skriver Internetgurun Patrik Fältström i gruppen Kodapor på Facebook.

Det finns även en mängd andra saker som bör tänkas på (lämna gärna en kommentar om jag glömt något mer)

  • Använd protokollrelativa URL:er dvs // istället för http://domän (finns i RFC 1808 sedan 16 år tillbaka)
  • Testa så du får bra betyg via Qualys SSL-Test
  • Håll koll på när certifikatet förfaller
  • Hur gör du revokering om något inträffar såsom Heartbleed?
  • Använd PFS, secure cookies och HSTS.
  • Vilket certifikat ska användas? Domänvaliderat eller EV? Wildcard?
  • Kontollera så du ej har mixed content:

Mixed content

Lättaste sättet att hitta mixed-content är enligt mig att använda Chrome Developer Tools och klicka på Networks-tabben.

Och jag säljer så klart SSL-Certifikat via https.se.

Affiliateprogram för https.se

Jag säljer sedan några år tillbaka SSL-Certifikat på https.se och har nu startat ett affiliate-program via Adrecord. På https.se så hittar du SSL-Certifikat från bl.a. Comodo, GeoTrust  och RapidSSL.

Under Juli och Augusti så kan du tjäna hela 100kr per order. Jag har även försökt att underlätta flödet under beställning av certifikat så mycket som möjligt och använder bl.a. garlicjs. Och du kan så klart betala med Bitcoin, kort samt faktura vid beställning.

https_ad_250x250PS: Om du inte har testat Adrecord tidigare, gör det! Och använd gärna någon av ovan affiliate-länkar.

 

Vad händer?

blogbackupr

En liten statusuppdatering vad jag pysslar med eftersom jag är så dålig på att uppdatera bloggen:

Håller på att sälja av Blogbackupr + Bloggbackup och kommer snart att läggas upp på Flippa.

Har byggt om lite på https.se så det är lättare att beställa SSL-certifikat. Bl.a. möjligheten att välja faktura direkt och använder Billogram. Dock ej deras API ännu, men det kommer nog.

Förbereder sista delarna på en ny startup som kommer att ha release på Internetdagarna.

Underlättar administration av alla mina servrar med Python + Fabric och försöker bli en ninja på JavaScript.

På det mer personliga planet så har jag anmält mig till IRONMAN Kalmar 2014 och tränar en hel del inför tävlingen.

Så analyserar och använder du iPhone Appars API

Visste du att majoriteten av alla iPhone och iPad-appar använder någon form av API?

Jag tänkte gå igenom hur du själv kan använda dessa API:er i dina egna implementationer med hjälp av exempelvis PHP eller Python. Observera att informationen som du hämtar via API:er eventuellt inte användas till vad som helst då den kan omfattas av upphovsrätt eller andra lagar.

Först och främst så måste vi ladda hem någon form av Proxy-programmvara som medger analys av den API-trafik som går fram och tillbaka från iPhonen och Appen. Jag rekommenderar Charles Proxy som är gratis att använda men det finns även en betalversion för ynka 50$ som jag har köpt (du slipper ”nag-screens” och sådant). Charles Proxy fungerar för Linux, Mac och Windows.

Här är en skärmdump på hur det ser ut när du startat upp Charles Proxy:

Så, det första vi ska göra är att stänga av så att vi ej ser all webbsurf till och från vår egna dator och det kan man göra under Proyx-fliken och sedan se till att ”Windows Proxy” ej är förkryssad.

Nästa steg är att vi ska skicka ett E-brev med Charles SSL-certifikat till vår iPhone för att ges möjlighet att analysera krypterad HTTPS-trafik till och från telefonen. Ladda hem följande ZIP-fil: charlesproxy.com/ssl.zip och packa upp den där du sedan hittar en .CRT fil som du bifogar i ett mail som du sedan kan öppna på din iPhone (Dropbox eller annan typ av filöverföring går säkert också bra).

När du lagt in Charles certifikat i din telefon bör det se ut så här under Inställningar -> Allmän -> Profil (längst ner):

Då var det nästa steg, och det är att ta reda på IP-adressen till din dator. Jag brukar använda cmd.exe och sedan skriva ipconfig så bör det se ut något i stil med:

Denna IP-adress skall vi ange under inställningarna som det nätverk vår iPhone är ansluten till. I mitt fall så är det via WiFi och längst ner under inställningarna för det trådlösa nätverket anger jag IP-adressen till min dator som kör Charles Proxy så det ser ut så här:

Sedan är det bara att starta den App som vi vill analysera på iPhonen, i mitt fall så startar jag Swedavias App vid namn Arlanda flygplats. Och se hur Charles Proxy visar API-anropen efter varandra. Eftersom vi är intresserad av Avångar så klickar jag helt enkelt på Avångar i Arlanda Appen och får upp följande intressanta API-anrop i Charles:

Fleratalet parametrar är intressanta att anteckna eftersom de behövs vid anrop från PHP eller Python. Det varierar från app till app men i detta fall är det URL:en för anrop som innehåller flygplats (airport=arn_utr) samt datum (searchDate=2011-08-10).

Tittar vi på XML-svaret så ser det ut enligt följande:

När vi sedan implementerat en funktion som härmar denna förfrågan så bör vi få ut samma XML-svar i slutändan och kan då exempelvis hämta hem avgångar med PHP och CURL på följande sätt:

<?php
  $today = date("Y-m-d");
  $path = '/ArrivalsDeparturesMobile/ArrDepMobileService/ArrDep.asmx/GetDeparturesFlightTable?airport=arn_utr&language=sv&searchString=&searchDate='.$today;
  $host = "wsc1.swedavia.se";

  $headers = array(
    "GET $path HTTP/1.1",
    "Host: $host",
    "User-Agent: Arlanda/1.4 CFNetwork/485.13.9 Darwin/11.0.0",
    "Authorization: Basic V1NBcnJEZXBNb2JpbGU6c1AtR0U1NWJlY3I4c1BhKWhlMHBlNXJ1NkVmYUNyRSE=",
    "Accept: */*",
    "Accept-Language: sv-se",
    "Accept-Encoding: gzip, deflate",
    "Pragma: no-cache",
    "Connection: keep-alive"
  );

  $ch = curl_init();
  curl_setopt($ch, CURLOPT_URL, "http://".$host.$path);
  curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
  curl_setopt($ch, CURLOPT_HTTPHEADER, $headers);

  $sXML = curl_exec($ch);

  $oXML = new SimpleXMLElement($sXML);

  print_r($oXML);

?>

Ovan kod kan du sedan köra från kommandotolken enligt följande:

$ php swedavia.php

Tadaa! Nu slipper vi använda vår iPhone varje gång vi ska se avgångar från Arlanda. I detta exempel så behövdes ej SSL-certifikatet användas då anropen skickas i klartext.

SSL-Certifikat

Sedan en tid tillbaka så äger jag domännamnet https.se där jag säljer SSL-certifikat för att använda till https:// sajter. Beställningssystemet finslipas dagligen och snart är förhoppningsvis majoriteten av alla buggar åtgärdade.

Vill du erhålla 200kr rabatt vid beställning av valfritt certifikat? Använd då följande rabattkod: UTVB91

Eller följande direktlänk: https.se/coupon.php?kod=UTVB91

Om du är bloggare och vill erbjuda dina bloggläsare rabatt eller erhålla ett gratis SSL-certifikat att lotta ut, hör av dig till mig.