lista 2

zadanie 1

a

YWxhIG1hIGtvdGE=
IPv6 Certification Badge for qbojj

b

Certyfikat self-signed może każdy wygenerować. Przez to przeglądarki im nie ufają. Można z nich korzystać, tak że jak mamy certyfikat to nikt jego nie skopiuje (po manualnej akceptacji, dostaniemy informację, że ktoś się podszywa pod nasz serwer jak się certyfikat zmieni).

c

-----BEGIN CERTIFICATE-----
MIIFuzCCA6OgAwIBAgIULDVvEU5MtS+dFbj4+leYaGVDrAIwDQYJKoZIhvcNAQEL
BQAwZTELMAkGA1UEBhMCUEwxFTATBgNVBAgMDERvbG5vc2xhc2tpZTEQMA4GA1UE
BwwHV3JvY2xhdzENMAsGA1UECgwETXlDQTELMAkGA1UECwwCSVQxETAPBgNVBAMM
CE15Um9vdENBMB4XDTI1MTAzMDE4MTQzMFoXDTM1MTAyODE4MTQzMFowZTELMAkG
A1UEBhMCUEwxFTATBgNVBAgMDERvbG5vc2xhc2tpZTEQMA4GA1UEBwwHV3JvY2xh
dzENMAsGA1UECgwETXlDQTELMAkGA1UECwwCSVQxETAPBgNVBAMMCE15Um9vdENB
MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAr1GvKW67OswGPFber0z/
PZPeIv7vRNn3hpWznsqs+ASkUpCCwyht/sZ9dXZKWiDFavZJCy/4xPWPpvWOiZVu
tlRcXga19GTHOSPtHoUykRT5sonc0PvDqQPBWKQ9mgib45b+tCuL+/XNEp1OjkxZ
FeHGIDcG5TC5NnUEeuk6F7ZmM6t7sQZ8EgM0XO4EK/1WHdAd7yjVHRderXhs+qE2
3Pd0ULW8xjwtwxK5HQmo3tKVCB5sTvQyokPv2I+WYW3/pWohqo3yUks1+Tr06f9k
UJlam4oFy9badQ1gLKzE6hdCVnI4CTjI6dE6SYOJjZdsdDUkDzSUL6oh2ZziSngF
YK6z6f1op9t0+KY7jDfH6AUjCxoyovBcEd2wFF2qmvTqWnaUkVOXkBm70I0o62je
fd50YyHIX3Nde2gqTNqhcfC87sd8QE9s5J3ZZcaTF+tdPYpn88mdW+yc5Y9u4ils
usRRGftusgjW3XBbIGNf9h9UpxAfGZe9kpG9sMBnVIjHXnlYNFyMHuer7YYTWsRc
icvOtIOxIfetjPQpUTOhgX/DWaRyU1mw6OQFVeCu/2a+/wQmm9Ka407Qgj4+9E+Z
ZAfyA7/ARCAZI24H0B3TU70UVXKEgq3iQNXkvy39eLCiNAIvEba03WQmFQXFKG98
a08oc+YxI9LIPqcC4KD0daECAwEAAaNjMGEwHQYDVR0OBBYEFCZYS4W6z/i5RDfs
qZXf5qm35IK4MB8GA1UdIwQYMBaAFCZYS4W6z/i5RDfsqZXf5qm35IK4MA8GA1Ud
EwEB/wQFMAMBAf8wDgYDVR0PAQH/BAQDAgEGMA0GCSqGSIb3DQEBCwUAA4ICAQAU
n4AuU2qsiFPKV76ignp3FhZvmJlMf42HD54WpzhHkYZLFjnyTnSqL5Bk65vmFLDc
e/vLCjSMkdugBiRC2L3Osl8tg7r/N4VvinIYOUEKDXfS/auqYByJ2OTAoR3Ck1Pk
wFP/UT1NAgaGXzO3mCYHuWVx+wCptNJSIy4aKm3xltBu2kzPP/VBNkHLbaKo6ncQ
AIZR0y5Tgadm9yj7xwsUAU63TvLX5WnYFopE1rTctdrOFYDo5/GED2blumzR78HE
WEDQDP1X9+ekl59Ivz/OPdwc180dmTyM/9EqDEKLkITshTFJzD81GE93lus97I+t
0B0CFUV5orsnHGrrkdZptUhvde+HfCdP8WyW3dwht22EMhqB9XVxXFWk18ghsUJP
GXzewXKWoemE9xKXtarTW7/CzksQl1MWfDcav27IEV882Eq9YbgOVDIt8erQWUg9
Ds98aUK/Lio1bSYRIXv/EFl0xNfASQKQOBbuMP7RuYnLwEieMHTPk56o7ATJcvsl
FdoTrcCjVCYWTnXJFjDYvo1YZPDzrGXYbWTAYTFodHFbB5IfbTL42PxMMzlhlcc5
XcRd5oZbcEE++arGnPfb12QkbAptZp7XUN3jwu/ddzP6KSs/ZK+lgHWAtdtuZVX6
ECH7p1ETGLEwiF7VAP2/xSa3LrY1XzElF6i7ovhwWA==
-----END CERTIFICATE-----

opisy

Adres Zachowanie przeglądarki Krótkie wyjaśnienie
www1.qbojj.eu Przeglądarka pokaże ostrzeżenie o niezaufanym certyfikacie (czerwony/złamany kłódkowy znak), wymaga ręcznego zaakceptowania wyjątku. Certyfikat self-signed nie jest podpisany przez znanego wystawcę — brak łańcucha zaufania w systemie.
www2.qbojj.eu Jeśli CA nie jest zainstalowany jako zaufany — ostrzeżenie o niezaufanym certyfikacie. Jeśli zainstalowany w systemie/przeglądarce — pokazuje się zaufane połączenie (kłódka). Certyfikat podpisany przez prywatne CA — działa prawidłowo tylko gdy CA jest zaufany w systemie; w przeciwnym razie wygląda jak self-signed.
www3.qbojj.eu Tak jak wyżej: bez zainstalowanego CA — ostrzeżenie; z zainstalowanym CA — zaufane połączenie. Kłódka jeśli nazwa pasuje do wildcard. To wildcard (*.eu i *.qbojj.eu) podpisany przez prywatne CA — obejmuje subdomeny (np. www3), ale wymaga zaufania do tego CA
qbojj.eu Przeglądarka pokaże zaufane połączenie (kłódka) — certyfikat od Let's Encrypt jest rozpoznawany przez większość przeglądarek. Let's Encrypt wydaje publicznie zaufany certyfikat (krótka ważność ~90 dni, automatyczne odnawiane), pełne zaufanie bez ręcznych działań.
www.qbojj.eu Wyświetla zaufane połączenie (kłódka) analogicznie do powyżej. Certyfikat Let's Encrypt obejmuje qbojj.eu i www.qbojj.eu — przeglądarka widzi ważny łańcuch zaufania i nie wyświetla ostrzeżeń.

Zadanie 2

https://www.ssllabs.com/ssltest/analyze.html?d=qbojj.eu
SkrótWyjaśnienie
HSTSMechanizm bezpieczeństwa, który wymusza użycie HTTPS dla danej domeny. Chroni użytkowników przed próbami przekierowania na nieszyfrowane połączenie HTTP i atakami typu man-in-the-middle.
PFS / FSZapewnia, że każda sesja TLS ma własny, tymczasowy klucz szyfrowania. Nawet jeśli klucz główny serwera zostanie ujawniony, stare sesje pozostają bezpieczne i nie mogą być odszyfrowane.
ALPNRozszerzenie TLS, które pozwala klientowi i serwerowi ustalić, z jakiego protokołu aplikacyjnego (np. HTTP/2 lub HTTP/1.1) będą korzystać, bez dodatkowych opóźnień w komunikacji.
NPNStarszy, niezalecany już sposób negocjacji protokołu w TLS. Działał podobnie do ALPN, ale został zastąpiony przez nowszy i bardziej zgodny standard. Efektywnie ALPN ale z dodatkowym round-tripem.
CAARekord DNS, który wskazuje, które urzędy certyfikacji mają prawo wydawać certyfikaty TLS dla danej domeny. Pomaga zapobiegać wydaniu nieautoryzowanych certyfikatów.
OCSPProtokół służący do sprawdzania, czy certyfikat TLS jest nadal ważny. Umożliwia przeglądarce weryfikację statusu certyfikatu w czasie rzeczywistym poprzez zapytanie do urzędu certyfikacji.

Zadanie 3

https://securityheaders.com/?q=www.qbojj.eu&followRedirects=on
SkrótWyjaśnienie
XSS (Cross-Site Scripting) Atak polegający na wstrzyknięciu złośliwego kodu JavaScript do strony internetowej. Kod ten wykonuje się w przeglądarce ofiary, co może prowadzić do kradzieży danych, przejęcia sesji lub modyfikacji treści strony. Występuje w odmianach: stored, reflected i DOM-based. Ochrona polega na filtrowaniu danych wejściowych, stosowaniu escapingu oraz nagłówków bezpieczeństwa.
CSP (Content Security Policy) Mechanizm zabezpieczeń w formie nagłówka HTTP, który określa, jakie zasoby (np. skrypty, style, obrazy) mogą być ładowane i wykonywane na stronie. Pomaga zapobiegać atakom XSS. Przykład: Content-Security-Policy: default-src 'self'; script-src 'self' https://apis.google.com;. CSP nie eliminuje XSS całkowicie, ale znacznie ogranicza jego skutki.