Сертификати, TLS SSL, соработници на доверба

Споделете го овој напис

Нема статии на истата тема.

електронскиот потпис

26 КОМЕНТАРИ

Интересна статија, но не знам колку читатели се навистина заинтересирани и знаат доволно за темата за да ја разберат. Второ, написот резимира уште 3 други што неодамна ги видов на јавен или делумно јавен простор (едниот е напишан од мене на специјализиран форум со делумно ограничен пристап, па сигурно не сте го прочитале). Мислам дека тоа е само случајност со оглед на тоа што во последно време меѓу оние кои се заинтересирани за криптографија е главна тема.

Може да дадеш линк:)
Наместо тоа, написот резимира низа лични поплаки поврзани со знаците на „бојкот“ на само-направени PKI, за кои велам дека се засноваат на очигледна финансиска причина, со соучесништво на развивачите на прелистувачи (на некои од нив им требаат донации). Под изговор за зајакнување на безбедноста, корисниците се хистерични со алармантни текстови, иако би ми се чинело поприродно да се предупредувам кога пристапувам до сертификат за вајлд-картичка, дури и ако е издаден од веризајн. Корисниците се плашат и ми се јавуваат; колку и да ги објаснам, тие сепак остануваат со трошка сомнеж и при првиот инцидент без никаква врска со ова стануваат уште посомнителни.

"Едно ограничување на SSL е дека технички само еден сертификат може да работи на IP адреса."

Индикацијата за името на серверот го решава ова.

Да, благодарам за предлогот, знаев за ова проширување, но знаев дека не е имплементирано од повеќето производи на пазарот. Но, се чини дека во меѓувреме стигна до главните прелистувачи и сервери, така што си во право, јас лесно останав зад мене. Но, сертификатите за вајлд карти се уште се продаваат, за тоа се работеше:)

Сертификатите за вајлдкард имаа прилично добра идеја зад себе: ако некоја организација има повеќе сервери во исто поле, тогаш вајлд-картичката може да им заштеди пари. Очигледно прелистувачот ќе протестира ако се обиде да пристапи до сервер кој не „одговара“. Во спротивно, би бил многу сериозен проблем.

Но, да, проблемот започнува од картелот на ИС и поточно од цените што се наплатуваат. Теоретски, секој треба да има свој сертификат, но колку пари се потребни

„Случаите со компромитирани органи за сертификација не се премногу, инцидентите се прилично малку“. Точно, но и кога се случило… овци, овци, овци

Се случи, некои работеа понапорно во следните денови, други платија повеќе, но јас го зедов тоа од почеток, технологијата преживеа. Кога цепелинот се запали над Newујорк, сите знаеја дека тоа е последната трка

Од летото 2015 година, ќе може да се добијат валидни SSL сертификати бесплатно (и автоматски препознаени од прелистувачите) преку платформата Let’s Encrypt. Тоа го решава проблемот со трошоците.

Сертификатите за вајлд кард можат да работат правилно ако се имплементираат правилно (големи ако). Многу големи веб-инфраструктури ги користат успешно, без прикажување грешки во прелистувачот. Со оглед на ширењето и корисноста на сертификатите за вајлд-картичка, не би било нормално прелистувачот да прикажува порака за предупредување кога открива таков сертификат. Доколку вработените во ИТ/ИТ безбедност не можат правилно да инсталираат сертификат на баланс на товар

Мојот проблем е што не прикажува грешки во прелистувачот. Сертификатот е наменет за идентификување на страницата; ако ставам вајлд-картичка во сертификатот и прелистувачот не реагира, ми се чини дека имаме работа со логична фрактура: страницата е во ред, секој е:)
Наместо тоа, ако одржувам сопствен CA, наместо прелистувачот да објави „овој сертификат го издава орган што не е на нашата листа. Ако му верувате на badici.ro, напишете y „тоа ми покажува нешто како„ бегај, тие ќе ти ги земат парите, ќе ги земат твоите фарми и ќе ги однесат твоите коњи на CAP “:)

Всушност, постои разлика, во првата ситуација прелистувачот вели: сте се поврзале на сервер што припаѓа на домен со познат администратор, односно има познато име и адреса.

Во вториот случај, прелистувачот вели: сте се поврзале со сервер чиј администратор е непознат, тој тврди дека е Бадичи, но може да биде апсолутно секој. Тој исто така даде обраќање во Белизе. Трансфер на средства?

:)
Само да беше така. Всушност, прелистувачот прикажува некои предупредувања, иако е совршено можно да ја проверите адресата на која ја добиле, да ја споредите со онаа што се тврди во сертификатот и да му дозволите на клиентот да избере. Обично, моите клиенти ме познаваат:) Јас не тврдам дека издавам сертификати за веб-страници за е-трговија или други активности што вклучуваат пристап до јавноста, но тенденцијата е да се предизвика идејата дека е помалку безбедно да се комуницира со серверот на компанијата во која работите. ако користите ваш сопствен PKI (не зборувам за самопотпишани сертификати, туку за правилно конфигуриран PKI.).
Во другиот случај, сте се поврзале со сервер чиј администратор е познат (од Комодо на пример), кој е домаќин на неколку страници за кои претпоставуваме дека администраторот ги контролира администраторот, затоа тој ни даде пари, може да имате целосна самодоверба. Трансфер на средства!

пораката од google chrome е вака:
„Вашата врска не е приватна“:) што е лага:)
Напаѓачите можеби се обидуваат да ги украдат вашите лични информации, на пример лозинки, пораки или кредитни картички “

Колку што знам, проверувањето дали адресата на доменот на која сакате да се поврзете одговара на онаа во добиениот сертификат е една од првите работи што ги прават прелистувачите. Кога тоа не се случи, тоа е лошо.

Но, ако веќе има PKI и бројот на клиенти е ограничен, зошто да не можете рачно да го дистрибуирате CA-сертификатот на секој од нив?

Во случај на администратор на серверот со многу страници на главата, тој или ги контролира (тоа е исто така веб-администратор за нив) и тогаш е во ред или не, во тој случај секоја страница треба да има свој сертификат и тоа не треба да биде неговата задача, но мрежата на соодветните администратори.

„Во старата парадигма“ можев да го дистрибуирам сертификатот преку политика за АД. Сега работите се посложени, луѓето се движат наоколу, купуваат нови лаптопи, таблети, телефони итн. На крајот, тоа е она што го правам, рачно го дистрибуирам CA-сертификатот, постојат технички решенија, но она што сакам да го кажам е дека ми се чини дека играта има сè повеќе „нефер“.

„Моралниот“ авторитет на институциите за сертификација (барем во Романија) го дава лопата што тие ја дадоа за да станат „акредитирани органи“. Законот за електронски потпис е направен според сликата и сличноста на овие компании (ИУТ, дигизајн, итн.). Сите го чувствуваме ефектот во нашите паричници. Во Романија, електронскиот потпис чини 30 евра + ДДВ секоја година, со цел да се има „привилегија“ да може да се доставуваат даночните пријави на компанијата 12 пати. И краткиот рок на важење, од само една година, ми изгледа смешен, а камоли бирократијата поврзана со добивање или продолжување на важноста на електронскиот потпис. Во Словачка, на пример, електронскиот потпис чини 8 евра годишно, а во Германија може да се добие бесплатно, од даночната служба, со рок на важење од 3 години.

Многумина почнаа да се појавуваат на глобално ниво, продавајќи ефтини сертификати. Но, тоа не е во спротивност со она што го зборувате.

Според моето искуство, периодот на важење од една година е многу добар. Бидејќи, многу често, оние кои ги даваат сертификатите го прават тоа со уво и со користење на дел од телото што обезбедува голема стабилност кога седите на стол. Да не спомнувам, малкумина слушнале за списоци за отповикување, а уште помалку ги користат (плус нивното спроведување понекогаш остава многу да се посакува).
Па добро е што истекува прилично брзо.

Во интеракцијата со романската држава нема друга причина освен грабежот на жртвата - даночниот обврзник. Поимот за безбедност е споредно.
Не разбирам зошто едногодишниот сертификат е подобар од 4-годишниот сертификат - оставајќи ја настрана поголема веројатност да се скрши, што е и покрај тоа многу близу до 0.

Мислам на криптографски принципи, се разбира. Шемата ssl е валидна, дури и ако некои алгоритми се дискутабилни (а други станаа слаби бидејќи компјутерската моќ се зголеми) Прашањето на органите за сертификација е деликатно; ако во мојата сопствена мрежа претпочитам да издавам свои сертификати (мојата омилена изрека е „ако не му веруваш на администраторот, отпушти го од работа“:)), во односите со надворешниот свет верувам на пријател (firefox) кој има пријател (Комодо) на кого не може да му порекне ништо, па ја обои мојата лента во зелена боја. И, понекогаш пријателот на пријателот е лоза, како во скиците на чичковците Јанку:)

Решение GnuTLS со мрежи на доверба што се состои од клучеви претходно разменети со луѓе на кои им верувате.

За жал, моделот за лиценцирање на Гну е исто така затвор на „слободата“.

ЕУ ја издаде Регулативата 910/2014 за електронска идентификација каде се третира и издавање сертификати за веб-сервери.

Applyе се применува од 2016 година, а потоа Директивата за електронски потписи ќе биде укината, што е основа на законот за електронски потписи во Романија и другите земји-членки.

Регулативата 910/2014 бара сертификати да се издаваат од „квалификуван доверлив давател на услуги“. Ова ги штити легалните сопственици на домените - сертификатите не се издаваат залудно без нивно барање - и корисниците кои знаат дека влегуваат во легитимна страница, особено кога станува збор за банки, процесори за плаќање итн.

Како прво, како ова тврдење: „Прелистувачот нема да има за што да коментира, дури и ако истиот сертификат ги провери Василе СЦ и ivanivanovici.ru. Наместо тоа, тоа ќе биде многу драстично и ќе ги исплаши клиентите ако сертификатот за серверот за пошта го издаде некој ловец “. тоа е целосно лажно и докажува дека навистина не знаете што е сертификат за вајлд-картичка. ако е вајлд-картичка, проверете суфикс на домен; треба да знаете што значи тоа.

Преминувајќи над ова, го кажувате следново:
„Наместо тоа, ако одржувам сопствен CA, наместо прелистувачот да објави“, овој сертификат го издава орган што не е на нашата листа. Ако му верувате на badici.ro, напишете y "тоа ми покажува нешто како" бегај, тие ќе ти ги земат парите, ќе ги земат твоите фарми и ќе ги однесат твоите коњи на CAP "
Секој може да тврди дека е лош. Каде проверувате дали е така?
Затоа, има такви доверливи списоци во прелистувачот.

Како и да е, некое читање (на RFC) ќе ви помогне пред да напишете.

Постојат диви знаци кои не се однесуваат само на наставката на доменот (наставка на прво ниво)
Како за овие?
https://www.godaddy.com/ssl/ssl-certificates-config.aspx?origin=pod&plan=ssl_std_3_5
Верификацијата дека сертификатот е издаден од Бадичи се врши на ист начин како и во случајот на другите, со инсталирање на сертификатот на соодветниот орган. Дополнително, можам да ги чувам CRL и CA сертификатот на мојата страница. Очигледно, зборувам за ограничен авторитет на оние со кои работам, не се осврнувам на страници наменети за пошироката јавност. Тенденцијата е да се натерам да купувам сертификати за задачи каде што тоа не е оправдано.
Исто така, постојат бесплатни јавни ИС, како што се http://www.selso.com/, кои сум ги видел доста популарни во Франција. Дали може да им верувате или не, тешко е да се каже бидејќи зависи од употребата.

Што се однесува до вашиот личен авторитет, очигледно можете да го сторите тоа (и јас го правам истото), но не можете да тврдите дека јас што влегувам на вашата страница и кои немам хиерархија издадена од вашиот CA да верувам дека имам сфатив како што треба. Можеби сум на страницата на хакер од Авганистан кој реши да издаде сертификати за http://www.badici.ro. Можеби не?

Ако го прочитате претходниот одговор ќе видите дека не велам ништо друго. Се разбира, можно е авганистански хакер да го купи доменот badici.ro (добро, тоа е преземено:)) и можеби дури и да купи сертификат од веризајн, бидејќи за вообичаените сертификати не е потребно кривично досие. Не знам на проширената верификација што точно се прави, но се прават некои проверки, неодамна купив една за некого и траеше околу една недела (не ме проверуваа мене, туку клиентот, очигледно)
Мојот проблем е што сте правилно информирани: на пример: „влеговте на безбедна страница со сертификат на Михаи Бадичи. Соодветниот CA не се појавува во root сертификатите, па ако не и верувате, оставете ја навигацијата ".
Вие што не сте мојот клиент веројатно ќе застанете тука; Моите клиенти треба да ми веруваат или најмногу да ми се јават. Но, кога прикажувате пораки како онаа дадена од Chrome (јас го објавив во друг одговор, но можете да проверите лично) што мислите каква ќе биде реакцијата на клиентот? Периодично ме повикуваше некој што се плашеше дека некој ќе му ги украде парите, вели Кром.

Што се однесува до сертификатите за вајлд кард, барем пред околу две години со сигурност знам дека се продадени; при едноставно пребарување не ги најдов, но најдов „сертификати кои обезбедуваат над 100 домени“ од приложената врска. Колку имате доверба во страница на сервер што обезбедува преку 100 страници со еден сертификат? А сепак, прелистувачот нема да коментира во овој случај.

Кога ја објавуваше статијата, уредникот ја „изгуби“ врската до доверливата политика за регистрација на коренот, како и до мозилата што ја дадов како пример. Забележав сега и ја поправив, реченицата немаше значење без врска. Имајќи ја врската, ќе разберете дека знам за што зборувам; штом ќе го надминете овој аспект, ќе разберете дека не сакам да го заземам местото на коренските CA, ниту да тврдам дека сум побезбеден од нив, туку само посочувам на еден аспект што ми изгледа „нефер“. Јас би го споредил со борбата на малите производители со глобалните: големите ја користат силата на „супермаркетите“ за да ги задушат малите.

Па, ајде да направиме ЦА велам:

Прочитајте ги коментарите, тие се вкусни.

Михаи, убеден сум дека се сеќаваш што генерираше оваа грешка

ПС:
Барем еден прелистувач проверува дали има одредени сертификати по внатрешна „тврда кодирана“ листа, без разлика што има во списокот „Trusted Root CA“