Userbase

Paswoorden en logins worden nog in plain tekst verstuurd (en kunnen makkelijk door isp's en derden gevolgd worden).

Userbase is bereikbaar via https://userbase.be, maar het is nog niet standaard.

Hier ook al lang op HTTPS waardoor allemaal externe flimpjes niet werken (http verkeer - "unsafe content") en uiteraard "signatures" moet je ook uitzetten of die sniffen met externe links ook mee (unsafe content)

Inloggen via https: OK dat werkt.
Maar alles blijft niet via https verlopen.
Kiest men bijvoorbeeld op de frontpagina iets in "Laatste forumberichten" dan verloopt alles weer over http.

Merci voor de melding; is aangepast naar https://userbase.be/ ...
Zelf had ik het niet gemerkt wegens plugin HTTPS Everywhere.

Is er iets verandert qua instellingen/configuratie op de Userbase server?
Browser: Firefox 37.0.1
(klik op de afbeelding om te vergroten)

Dat is eigenaardig... Chrome piept helemaal niet. Zijn er nog die 't zelfde hebben?

eternum schreef:Is er iets verandert qua instellingen/configuratie op de Userbase server?
Browser: Firefox 37.0.1

UB_https.png

(klik op de afbeelding om te vergroten)

Hier ook al paar keer gehad op div sites, firefox issue vermoed ik.

Hier ook dit probleem op Firefox.

[ Post made via mobile device ]

Er lijkt mij wel meer aan de hand met de configuratie hier:
https://www.ssllabs.com/ssltest/analyze ... serbase.be

Vanmiddag ook met PaleMoon 25.3.1 (x64) maar nu werkt het weer.

Kenw00t schreef:Er lijkt mij wel meer aan de hand met de configuratie hier:
https://www.ssllabs.com/ssltest/analyze ... serbase.be

Beter nu?
De leuze is: we zijn geen bank. En toegegeven: encryptie en toestanden is zo niet mijn ding.

Er draait Apache/2.2.22 (Debian)
Volgens de php versie draait er wheezy
Als alles dan up to date is draait er deze openssl : 1.0.1e-2+deb7u16

Ik gok dat jullie gewoon mod_ssl gebruiken.

Dus gooi er gewoon een config op dit gebaseerd in : https://mozilla.github.io/server-side-t ... termediate

Nu is het ok hier.

werkt niet meer in chrome

ik krijg "pagina is niet beschikbaar"

zonder https geen enkel probleem

werkt met Chrome Version 41.0.2272.118 m

Hier werkt alles perfect en heeft ook alles altijd perfect gewerkt.

Chrome 41.0.2272.118 m (64-bit) op Windows 8.1 Pro x64 met HTTPS Everywhere plugin uiteraard

Waarom gebruiken jullie geen HSTS?

Sub Zero schreef:

Kenw00t schreef:Er lijkt mij wel meer aan de hand met de configuratie hier:
https://www.ssllabs.com/ssltest/analyze ... serbase.be

Beter nu?
De leuze is: we zijn geen bank. En toegegeven: encryptie en toestanden is zo niet mijn ding.

Op 4 uur tijd zoiets oplossen, en dan nog op Pasen.

PS: A+ is de hoogste score

Leuk, ik zou zo te zien nog een stapje lager gegaan zijn, er zijn namelijk een hoopje oudere browsers die nog niet te oud zijn die nu niet meer kunnen connecteren, ikzelf laat meestal tls1.0 tem 1.2 staan. Maar dit werkt natuurlijk super op alles wat up to date is.

Die A+ haal je alleen als je je certificaat in SHA2 zet, meeste certificaatboeren op dit moment beginnen te mailen om het certificaat te hergenereren met de nieuwe settings, zal wel komen dus.

Ah, ik dacht dat je voor A+ vooral HSTS nodig had.

Zie ook deze guide hier: https://certsimple.com/blog/a-plus-node-js-ssl
En hun score: https://www.ssllabs.com/ssltest/analyze ... com&latest

Zoals je ziet hoef je TLS 1.0 en 1.1 inderdaad niet uit te schakelen om de hoogste score te halen. Ik denk niet dat je veel verstand moet hebben van encryptie. Het is gewoon een kwestie van het nieuws en de best practices continue te volgen.

Je kan idd gelijk hebben die sha2 is vooral voor die weak signature warning, maar ik denk niet dat ze daar al ratings voor afhalen, het zou best die HSTS kunnen zijn.

Persoonlijk target ik overal A ben ik best tevreden mee, soms vraagt dat al mirakels.

Het werkt met mijn Firefox versie terug.
Bedankt!!

Kenw00t schreef:Op 4 uur tijd zoiets oplossen, en dan nog op Pasen.

Ik zat toch op kantoor en had wat tijd tussendoor. Lang leve geplande chances op feestdagen!

Still issues here:

Secure Connection Failed

An error occurred during a connection to http://www.userbase.be. The server rejected the handshake because the client downgraded to a lower TLS version than the server supports. (Error code: ssl_error_inappropriate_fallback_alert)

The page you are trying to view cannot be shown because the authenticity of the received data could not be verified.
Please contact the website owners to inform them of this problem.

Firefox 35.0.1

Updating

Hier nochtans geen enkel probleem met FF 35.0.1

Na update heb ik nu (voordien had ik 35 en nu 37):

Secure Connection Failed

The connection to the server was reset while the page was loading.

The page you are trying to view cannot be shown because the authenticity of the received data could not be verified.
Please contact the website owners to inform them of this problem.

//Edit --> Werkt enkel niet op Firefox op het werk, thuis werkt het perfect ... Must be blockage at our side

Google eens op ssl_error_inappropriate_fallback_alert ... is heel wat over te vinden.

Is het mogelijk dat het Certificaat vandaag vervallen is?

Ik krijg een error wanneer ik de site wil bezoeken.

Als ik op een link van userbase klik met https in krijg ik een foutmelding en geen pagina; enkel op te lossen door manueel in de url er http van te maken.

[ Post made via mobile device ]

En ineens die push naar HTTPS uit zetten aub. Op het werk (achter een proxy) moet ik telkens dit weer aanpassen naar HTTP omdat de proxy nog geen TLS 1.2 doet (waarom geen TLS 1.0 toelaten trouwens ?)

Hier hetzelfde probleem ...

Excuses voor het ongemak. Men zal dit checken zodra hij online komt.

[ Post made via mobile device ]

TLS 1.0 is deprecated. De systeembeheerders die nu nog altijd geen TLS 1.2 ondersteunen gaan beter op zoek naar een nieuwe job

Zie ook:
http://blog.varonis.com/ssl-and-tls-1-0 ... ompliance/
https://security.stackexchange.com/ques ... an-tls-1-2
https://security.stackexchange.com/ques ... ort-breaks

Bij deze is 't in orde - nieuw cert is installed.

VOiD schreef:En ineens die push naar HTTPS uit zetten aub

We doen nergens een push naar HTTPS hoor. Bezoekers die via http binnen komen, blijven verder gaan via http.

Ik denk dat je dit wel doet hoor:

Hier ook een push naar https blijkbaar

Het is niet zozeer een push naar HTTPS, maar wel dat op die plek enkel absolute links gebruikt kunnen worden. En dan denk ik liever van HTTP naar HTTPS geforceerd worden dan van HTTPS naar HTTP.

Als HTTPS met TLS 1.2 bij jullie niet kan zou ik dat toch eens beginnen aan te kaarten, want dan zal je als maar meer sites onbereikbaar zien worden...

Staat op de planning maar momenteel kunnen we niet upgraden omwille van een bug in de firewall firmware (en ik spreek hier over een van de meest geavanceerde firewall leveranciers ter wereld. Voor de prijs van dat ding koop je meerdere Tesla's ).
In een enterprise omgeving is het alles behalve evident om op de meest recente versies te draaien. Veel userbase gebruikers willen dit maar niet snappen blijkbaar.

Bwa, herinner u nog het voorval van begin dit jaar: http://datanews.knack.be/ict/ssl-beveil ... 33611.html
Toen hebben zo goed als alle banken binnen enkele dagen moeten patchen. Als het echt moet kan je olifanten laten dansen hoor.

Haha. Wij hebben toen "meegedanst" Maar meer om "imago" redenen dan omwille van security.