Browers met certificaat ondersteuning

[Joost E. Boere]

Om veilig een online agenda beschikbaar te kunnen stellen hebben we een webserver staan die een client-side certificaat vereist. Nu willen we deze site ook via een PDA kunnen benaderen en hebben daarvoor een Tungsten-W aangeschaft. Hierop staat Webbrower Pro. Tot onze grote schrik ondersteunt deze combinatie geen certifaten en waarschijnlijk zelfs geen SSL. Wie weet een alternatief?

[jean-paul]

Voor zover mijn informatie gaat is er geen enkele pda die clientcertificates ondersteunt. Dat is nog een beetje te vroeg op de muziek vooruit. Verder vind ik het persoonlijk niet zo handig van de applicatiebouwer dat dat niet even vantevoren is gecheckt. Overigens zit SSL wel in Web Browser Pro, zie hier: http://www.palm.com/software/webbrowserpro/

Citaat:

Secure transactions
Check your bank account, buy books online and access your web-based email – your data is secure. Web Pro uses 128-bit SSL encryption enabling you to visit secure websites.

-jp

[Joost E. Boere]

Certificaten: De "applicatiebouwers" zijn wijzelf. We hebben een bestaand produkt van SourceForge genomen en daar certificering voor geplaatst. Dat lostte de vraag naar een centraal bereikbare agenda netjes en veilig op. Het verzoek om dit ook vanaf een PDA te kunnen kwam pas later. Het idee dat een browser wel SSL en geen certificaten zou kunnen ondersteunen was niet in mij opgekomen. Vandaar mijn keuze voor de Tungsten-W.
Wel/geen SSL: ik heb zo snel geen site bij de hand die wel SSL en geen certificaten gebruikt. Wel heb ik een aanwijzing dat het met OS4 eventueel niet zou kunnen werken:

Citaat:

Gebruik SSL. EudoraWEB kan dat. Palm heeft er blijkbaar voor gekozen om SSL alleen op OS5 beschikbaar te stellen, blijkens de functionaliteit van Versamail 2.5: SSL alleen op PalmOS5. Dat is bijzonder jammer. Browsen zonder SSL is wel erg gevaarlijk.
Iemand bekend met Versamail die SSL gebruikt op PalmOS4?

[jean-paul]

Citaat:

Op 26-05-2003, om 16:03 heeft Joost E. Boere dit gezegd in bericht #3
Certificaten: De "applicatiebouwers" zijn wijzelf. We hebben een bestaand produkt van SourceForge genomen en daar certificering voor geplaatst. Dat lostte de vraag naar een centraal bereikbare agenda netjes en veilig op. Het verzoek om dit ook vanaf een PDA te kunnen kwam pas later. Het idee dat een browser wel SSL en geen certificaten zou kunnen ondersteunen was niet in mij opgekomen. Vandaar mijn keuze voor de Tungsten-W.

Je zou er voor kunnen kiezen om aan de hand van de browser-string de gebruikers van een T|W door te sluizen naar een SSL-pagina waar ze dienen aan te loggen met username/wachtwoord. Het gebruik van clientcertificaten blijft dan verplicht voor 'normale gebruikers' en mobiele gebruikers kunnen evengoed beveiligd inloggen, alleen dan wel nog op basis van username/password.

Citaat:

Wel/geen SSL: ik heb zo snel geen site bij de hand die wel SSL en geen certificaten gebruikt. Wel heb ik een aanwijzing dat het met OS4 eventueel niet zou kunnen werken:

Daar is vrij snel achter te komen. Pak de T|W, start Web Browser Pro en dan Options > About Palm Web Pro > Tik Credits -> Als hier een Certicom-logo staat is er SSL-ondersteuning aanwezig. Certicom is de leverancier van het SSL-deel (is volgens mij dezelfde aanbieder die EudoraWeb ook gebruikt).
Overigens moet je Versamail en Web Browser Pro niet door elkaar halen. Voor Versamail geldt inderdaad dat er alleen gebruik gemaakt kan worden van SSL vanaf PalmOS 5.2, zeer waarschijnlijk omdat OS 5.2 SSL-ondersteuning heeft op core niveau, en dus niet per applicatie.

Citaat:

Encrypted account passwords.
Strong, 128-bit AES encryption safeguards your passwords.

Receive SSL email.
Supported in handhelds running Palm OS 5.2 or later only, VersaMail will pull mail from SSL mail providers like AT&T-Comcast Broadband.

[jean-paul]

Meer over security in het PalmOS: http://www.palm.com/asia/pdf/palm_en...s_security.pdf

Citaat:

Palm also offers multiple methods to uniquely identify the handheld,
including Hardware Serial Number (HSN), flash ID, and Mobile
Access Number (MAN). Any of these unique identifiers can be
used to authenticate the handheld for network access, allowing
Palm handhelds to be used as a physical token for two-factor
authentication. Popular authentication tokens, such as RSA’s
SecurID and Secure Computing’s SafeWord, can be used with
Palm handhelds. Up to eight RSA SecurID tokens can be stored
on the Palm handheld, eliminating the need to carry multiple key
fobs. SecurID support is a planned feature for a future version
of the Mobile Information Management Server (MIM Server).

Citaat:

Palm Solution Group’s Crypto Manager is currently pending FIPS
140-2 certification. Crypto Manager provides strong cryptographic
services to Palm applications, ensuring that critical security
functions such as encryption, decryption, key generation, check-sums,
and pseudo random number generation are performed
correctly. Crypto Manager is used with the Tungsten Mobile
Information Management Solution (Tungsten MIM Solution) to
ensure message security. This certification indicates a trusted
platform not only for the government but for any enterprise that
wishes to protect its digital data.

En deze is ook interessant: http://www.palm.com/europe/enterpris...curing_env.pdf

[Joost E. Boere]

Bedankt voor de handige links. Helaas komt het er op neer dat VPN nog het eenvoudigst is, de rest is proprietary/niet standaard/heel duur, vooral omdat er aan de serverkant extra maatregelen nodig zijn. VPN is momenteel nog een brug te ver. We wachten af wat de tijd brengt...

[patrickl]

Ik zou zweren dat ik met de NetFront browser wel eens op een site met een certificate geweest ben. Ben alleen even vergeten waar dat was. Zou ook zo niet een voorbeeld weten. Kan ook zijn dat ik het verwar met een SSL site. Die site gaf normaal gesproken wel zo'n pop-up.

Ik heb hem weer gevonden (een RemotelyAnywhere site die ik had geprobeerd), dat werkt inderdaad. Tenminste ik krijg zo'm pop-up met een scherm warop ik het certificaat kan bekijken. NetFront gaat daar gewoon doorheen zonder dat te laten zien. Krijg gewoon een inlog scherm. Alleen werkt de Java boel van RemotelyAnywhere uiteindelijk niet.

[jean-paul]

Dat is niet hetzelfde als een clientcertificate. Een clientcertificate moet op jouw naam of organisatie zijn uitgegeven en geinstalleerd worden in je eigen browser (of goed gezegd: certificate store). Met dat clientcertificate kun je bijvoorbeeld inloggen op een website die om die functionaliteit vraagt ('require client authentication'), maar je kunt er ook digitaal getekende e-mail mee sturen of een SFTP/SSH-connectie mee opzetten.
Wat jij gezien hebt is dus zeer waarschijnlijk het SSL-servercertificaat.

- jp

[patrickl]

Ah ja, da's waar ook, dat is een server certificaat. Nee, een certificaat op de Clie zelf zou ik ook niet zo snel kwijt kunnen.

[patrickl]

Ik zag net een aankondiging van NetFront 3.1 Daar zou ondersteuning voor certificaten in moeten komen. Misschien dat dat ook doorfiltert in Web Browser 2 (of 2.1 dan)