NL/SSL

From Chat4AllFAQ
Jump to: navigation, search

SSL

SSL staat voor Secure Socket Layer (Beveiligde Socket Laag). In het kort: het is een veiligere manier van verbinden naar een server. Het is gebaseerd op het versleutelen van al het dataverkeer met een encryptie sleutel.

SSL werkt alleen wanneer alle betrokken partijen SSL ondersteunen, aangezien ze anders niet zouden begrijpen wat er 'gezegd' wordt door de ander. Aangezien de Chat4All chatservers sinds 2004 SSL verbindingen ondersteunen, kan je nu ook met ons IRC netwerk verbinden met een SSL-ondersteunende IRC client op poort +7001.

Voordelen

Over het algemeen zouden chatters niet echt SSL nodig hebben, tenzij ze behoefte hebben aan een extra gevoel van privacy, of omdat ze vermoeden dat iemand in hun 'subnet' aan het afluisteren is. Dit kan zeker handig zijn wanneer het gaat om versturen van wachtwoorden, bijvoorbeeld bij het inloggen op NickServ of ChanServ.

Met normale verbindingen kan iedereen die je computer gehacked heeft, of op hetzelfde subnet zit, 'luisteren' naar alle informatiepakketen die over je netwerk-/internet-verbinding verstuurd wordt. Utilities zoals Ethercap, Ethereal en Wireshark lezen deze datapakketten gewoon als de platte tekst die over je lijn verzonden wordt, en in het geval dat er geen encryptie is, kunnen ze dus zo achter je wachtwoorden en accountgegevens komen. Hier zie je bijvoorbeeld het programma Ethereal in actie over een NIET-beveiligde verbinding:

Error creating thumbnail: Unable to save thumbnail to destination

(klik om te vergroten)

Echter, wanneer iemand je verbinding aftapt terwijl je SSL gebruikt, zullen ze alleen de geencodeerde data kunnen zien, wat eruitziet als onzin voor hun, aangezien ze dat niet makkelijk kunnen decoderen. Zo ziet Ethereal bijvoorbeeld data over een SSL verbinding:

Error creating thumbnail: Unable to save thumbnail to destination

(klik om te vergroten)

mIRCs omschrijving

Laten we mIRC.com citeren voor een andere beschrijving:

«Why the need for secure connections? mIRC is used by many organizations that need to communicate over secure connections, everything from corporate to governmental. Various educational organizations that provide online teaching also require communications to be secure for privacy purposes. Apart from that, many individuals around the world also depend on secure communications, whether for political, business, or other reasons. At the end of the day, it really depends on your own personal needs. If it’s not something that you think you need, then you probably don’t!»

Vrij vertaald betekent dit:

«Waarom hebben we beveiligde verbindingen nodig?

mIRC wordt gebruikt door diverse organisaties die moeten communiceren over beveiligde verbindingen, van bedrijven tot overheden. Diverse educatieve organisaties bieden ook online opleidingen die vereisen dat de communicatie veilig is vanwege privacy redenenen.

Daarnaast zijn vele diverse individuen over de gehele wereld ook afhankelijk van veilige communicatie; of het nu politiek, zakelijk, persoonlijk of om andere redenen is. Uiteindelijk draait het eigenlijk om je eigen persoonlijke benodigdheden. Als het niet iets is dat je nodig denkt te hebben, dan heb je het waarschijnlijk ook niet nodig!»

Hoe te gebruiken

In deze sectie beschrijven we hoe je OpenSSL ondersteuning kan installeren op je PC en het in kan stellen in je IRC-Client en hoe je kan verbinden via onze SSL poort op onze IRC servers.

Installatie voor Windows

Hoe je SSL gebruikt, hangt een beetje af van de client die je gebruikt. Sommige IRC-Clients hebben ingebouwde SSL ondersteuning, terwijl anderen vereisen dat je een SSL library zoals OpenSSL installeert en de library in de drivers/library directory van je besturingssysteem plaatst, terwijl anderen deze library in de directory van je IRC-Client willen. Aangezien een groot deel van onze gebruikers mIRC gebruiken, zal dit voorbeeld uitgaan van deze IRC client en je uitleggen wat je nodig hebt om mIRC aan de praat te krijgen met SSL.

Allereerst heb je de OpenSSL libaries nodig. Het beste is om de laatste versie van OpenSSL te installeren. De SSL pagina op mIRC.com biedt bijvoorbeeld vaak een vrij recente versie van de installer aan, en anders kan je recentere semi-officiële installers vinden via de binaries pagina op OpenSSL.org

Op elke Windows machine is de Win32 OpenSSL Light Installer 1.0.0.3 een goede recente optie (ten tijde van schrijven). De Windows 64Bit versie die op die site staat werkt (nog) niet voor mIRC.

Heb je geen zin om de installer te gebruiken, dan kan je ook een zip met versies 1.0.0.3 van libeay32.dll en ssleay32.dll downloaden van FiXato's pagina.

Het makkelijkste is om de SSL libraries in de Windows System directory te zetten (C:\Windows\System32 op veel systemen), aangezien dan andere applicaties ook gelijk gebruik kunnen maken van OpenSSL. De Windows installer biedt vaak de mogelijkheid hier al gelijk voor aan. Als je alleen OpenSSL met mIRC wilt gebruiken, dan kan je libeay32.dll en ssleay32.dll ook in de mIRC programma directory plaatsen.

Pro-tip: Als je mIRC als een portable applicatie gebruikt (en dus met je meeneemt op bijvoorbeeld een USB geheugenstick), dan is het aan te raden om een kopie van de libraries in je mIRC programma directory te plaatsen, zodat je SSL support voor mIRC hebt op elke Windows computer waar je je het op draait, zonder elke keer eerst OpenSSL te moeten installeren!

Wanneer je mIRC hierna opstart, is er een extra 'SSL' tabblad of button beschikbaar in de mIRC opties onder Connect categorie en dan de Options subcategorie.

Importeren van het publiekelijk Chat4all CA certificaat

Deze stap is optioneel, maar wel enigszins aan te raden.

We hebben onze eigen Certificate Authority (CA / Certificaat Authoriteit) gegenereerd waarmee we onze SSL certificaten zullen 'ondertekenen' (signen). Dit biedt de volgende voordelen:

  1. Het biedt zekerheid dat de Chat4All staff het SSL server certificaat heeft gegenereerd en ondertekend.
  2. IRC clients zouden nu het SSL server certificaat volledig moeten accepteren, aangezien het niet langer een simpel self-signed certificaat betreft.
  3. Het certificaat zal niet langer afgewezen worden omdat het ondertekend is door een onbekende/niet-vertrouwde Certificate Authority.
  4. Het certificaat zal automatisch vertrouwd worden omdat je de CA vertrouwd.
  5. We kunnen ons certificaat veranderen/vernieuwen zo lang de CA niet verlopen is..
  6. IRC applicaties die een stricte SSL verificatie ondersteunen, zullen nu automatisch onze certificaten accepteren. Hierdoor wordt je automatisch geinformeerd als er iets is veranderd aan het certificaat.

Je kan binnenkort het CA Certificate van onze website downloaden.

Voor een gedetailleerde beschrijving hoe je het CA in je IRC client kan importeren, kan je ons aparte SSL CA Importeer instructies artikel lezen. Dit bevat onder andere instructies hoe je het kan importeren in mIRC, weechat en mogelijk andere IRC clients.

Verbinden

Om nu te verbinden naar een van onze servers via een SSL verbinding, is nu mogelijk via 2 manieren

De eerste is via het volgende simpele directe commando:

 /server irc.chat4all.net +7001

wat je zal verbinden met een random server op poort 7001 (vergeet niet het + (plus) teken, aangezien dat aangeeft dat het een SSL poort betreft).

De tweede manier is door de server informatie aan te passen. Vanuit het File-menu kies je Select Server (alt-e) optie, wat de mIRC Opties opent op het Select Server tabblad. Daar kies je de Chat4All server van de server lijst (of voeg je zelf toe met de ADD knop) en druk daarna op de Edit knop. Dit zal er waarschijnlijk ongeveer zo uit zien: http://chat4all.fixato.net/resources/wiki/mIRC-Chat4All-SSL_Server_Settings.jpg alhoewel de exacte namen en poorten die getoond zijn, kunnen verschillen.

Nu kan je de port-range aanpassen zodat +7001 toegevoegd wordt aan het begin (zodat je een fallback hebt om de niet-SSL poorten mocht er een probleem zijn), of zodat de +7000 poort de enige vermeldde poort is, waardoor je altijd alleen maar via SSL verbonden kan zijn. Let er opnieuw op dat het plus-teken voor de poort vermeld wordt.

Een andere manier (in plaats van aanpassen via 'Edit') is om een nieuwe server-listing toe te voegen, waarvan je de naam kan aanpassen naar iets zoals Chat4All_SSL_Server en waar je alleen de +7001 poort vermeldt en hem in dezelfde 'group' (groep) als je normale Chat4all verbinding zet.

Zodra je klaar bent, kan je de Select gevolgd door Connect knoppen indrukken om te verbinden via SSL met onze servers.

Extra's

Zodra je verbonden bent via een SSL verbinding, kan je ook channels joinen die de channelmode +z ingesteld hebben. Wanneer een kamer channelmode +z heeft, betekent het dat alleen gebruikers met een beveiligde verbinding ('is using a secure connection' in de /whois) dat kanaal kunnen binnengaan.

Een kamereigenaar kan zijn kamer op +z zetten met:

 /mode #vervangMetJeKamernaam +z

Let up dat met de huidige versie van onze IRC server dit alleen mogelijk is wanneer er geen niet-SSL gebruikers meer in het kanaal zitten. Dit gaat in de nabije toekomst veranderen met het verschil tussen de kamermodi +z en +Z.

Een nieuwe gebruikersmode is nu ook beschikbaar voor SSL gebruikers: gebruikersmode +Z. Zodra je deze mode geactiveerd hebt, kunnen alleen andere SSL gebruikers privé-berichten naar je sturen. Alle queries van niet-SSL gebruikers zullen geblokkeerd worden. Je kan dit activeren met:

 /mode vervangMetJouwNickname +Z

Standaard krijg je ook de usermode +z, wat gewoon aangeeft dat je een SSL verbinding gebruikt.