Tanúsítványok, TLS SSL, megbízható közreműködők
Ossza meg ezt a cikket
Nincsenek cikkek ugyanarról a témáról.
26 MEGJEGYZÉSEK
Érdekes cikk, de nem tudom, hány olvasót érdekel és tud eléggé a téma, hogy megértse. Másodszor, a cikk 3 másik személyt foglal össze, amelyeket nemrégiben láttam a nyilvános vagy részben a nyilvános térben (az egyiket egy speciális, részben korlátozott hozzáférésű fórumon írtam, így biztosan nem olvastad el). Azt hiszem, ez csak egybeesés, tekintve, hogy a kriptográfia iránt érdeklődők körében mostanában kiemelt téma.
Adhatnál egy linket:)
A cikk inkább a saját készítésű PKI-k "bojkott" jeleihez kapcsolódó személyes sérelmek sorozatát foglalja össze, amelyek szerintem nyilvánvaló pénzügyi okokon alapulnak, a böngésző-fejlesztők bonyodalmával (akik közül néhánynak adományra van szükségük). A biztonság megerősítésének ürügyén a felhasználók hisztérikusak a riasztó szövegekkel, bár természetesebbnek tűnik, ha figyelmeztetést kapnék a helyettesítő tanúsítvány elérésekor, még akkor is, ha azt igazolással állítják ki. A felhasználók megijednek és felhívnak; bármennyire is jól megmagyarázom őket, továbbra is kétes morzsával maradnak, és az első esetnél minden kapcsolat nélkül még gyanúsabbá válnak.
"Az SSL egyik korlátja, hogy technikailag csak egy tanúsítvány futtatható egy IP-címen."
A kiszolgálónév jelzése megoldja ezt.
Igen, köszönöm a javaslatot, tudtam erről a kiterjesztésről, de tudtam, hogy a piacon lévő legtöbb termék nem hajtja végre. De úgy tűnik, hogy időközben elérte a fő böngészőket és szervereket, tehát igazad van, könnyen lemaradtam róla. De a helyettesítő tanúsítványok még mindig eladóak, erről volt szó:)
A helyettesítő tanúsítványok mögött nagyon jó ötlet állt: ha egy szervezetnek több kiszolgálója van ugyanazon a területen, akkor a helyettesítő karakterek pénzt takaríthatnak meg nekik. Nyilvánvalóan a böngésző tiltakozik, ha olyan szerverhez próbál hozzáférni, amely nem "illik". Egyébként nagyon komoly probléma lenne.
De igen, a probléma a CA-k kartelljéből, pontosabban a felszámított árakból indul ki. Elméletileg mindenkinek rendelkeznie kell saját tanúsítvánnyal, de mennyi pénzre van szükség…
"A veszélyeztetett tanúsító hatóságok esetei nem túl sokak, az esetek meglehetősen kevesek." Helyes, de akkor is, amikor megtörtént ... juh, juh, juh ...
Megtörtént, volt, aki a következő napokban többet dolgozott, mások többet fizettek, de én kezdettől fogva vettem, a technológia túlélte. Amikor a zeppelin kigyulladt New York felett, mindenki tudta, hogy ez az utolsó verseny ...
2015 nyarától ingyenes (és a böngészők által automatikusan felismert) SSL-tanúsítványokat lehet ingyenesen megszerezni a Let’s Encrypt platformon keresztül. Ez megoldja a költségproblémát.
A helyettesítő tanúsítványok helyesen működhetnek, ha megfelelően vannak bevezetve (nagy, ha). Sok nagy webes infrastruktúra sikeresen használja őket, a böngésző hibáinak megjelenítése nélkül. Tekintettel a helyettesítő tanúsítványok elterjedésére és hasznosságára, nem lenne normális, hogy a böngésző figyelmeztető üzenetet jelenítsen meg, amikor ilyen tanúsítványt észlel. Ha az IT/IT Security munkatársai még a tanúsítványt sem tudják megfelelően telepíteni a terheléselosztóra ...
A problémám az, hogy nem jelenít meg hibákat a böngészőben. A tanúsítvány célja a helyszín azonosítása; ha helyettesítőt teszek a tanúsítványba, és a böngésző nem reagál, akkor nekem úgy tűnik, hogy logikai töréssel van dolgunk: a webhely rendben van, bárki:)
Ehelyett, ha fenntartom a saját hitelesítésszolgáltatómat, a böngésző helyett "a tanúsítványt egy olyan hatóság állítja ki, amely nem szerepel a listán. Ha bízol a badici.ro-ban, írd be az y-t: ez valami olyasmit mutat, hogy "menekülj el, elviszik a pénzedet, elbocsátják a gazdaságaidat és a lovaidat a KAP-ba viszik":)
Valójában van különbség, az első helyzetben a böngésző azt mondja: egy adminisztrátorhoz csatlakozott egy tartományhoz tartozó szerverhez, vagyis ismert neve és címe van.
A második esetben a böngésző azt mondja: olyan szerverhez csatlakozott, amelynek rendszergazdája ismeretlen, azt állítja, hogy Badici, de abszolút bárki lehet. Belize-ben címet is adott. Átutalás?
:)
Ha csak így lenne. Valójában a böngésző néhány figyelmeztetést jelenít meg, bár tökéletesen ellenőrizhető a cím, amelyen megszerezték, összehasonlítható a tanúsítványban igényeltel, és az ügyfél választhat. Általában az ügyfeleim ismernek engem:) Nem állítom, hogy tanúsítványokat állítanék ki az e-kereskedelmi webhelyek vagy más olyan tevékenységek számára, amelyek nyilvános hozzáférést jelentenek, de az a tendencia, hogy azt az elképzelést váltják ki, hogy kevésbé biztonságos kommunikálni a vállalat szerverével, ahol dolgozol. ha saját PKI-t használ (nem önaláírt tanúsítványokról beszélek, hanem egy helyesen konfigurált PKI-ról.).
A másik esetben egy olyan szerverhez csatlakozott, amelynek rendszergazdája ismert (például a Comodo), amely több olyan webhelyet is üzemeltet, amelyekről feltételezzük, hogy a szerver rendszergazdája vezérli, ezért adott pénzt nekünk, tehát teljes bizalmad lehet. Átutalás!
a google chrome üzenete a következő:
"A kapcsolatod nem privát":) ami hazugság:)
A támadók megpróbálhatják ellopni az Ön személyes adatait, például jelszavakat, üzeneteket vagy hitelkártyákat. ”
Ha jól tudom, annak ellenőrzése, hogy a csatlakoztatni kívánt tartománycím megegyezik-e a kapott tanúsítványban szereplő címmel, az első dolog, amit a böngészők végeznek. Amikor nem történik meg, akkor rossz.
De ha már van PKI, és az ügyfelek száma korlátozott, miért ne lehetne manuálisan kiosztani a CA tanúsítványt mindegyiküknek?
Abban az esetben, ha a kiszolgáló rendszergazdája sok oldallal rendelkezik a fején, vagy ellenőrzi őket (ez egy webadminisztrátor is nekik), és akkor rendben van, vagy sem, ebben az esetben minden webhelynek rendelkeznie kell saját tanúsítvánnyal, és ez nem így lehet. feladata, hanem az adott rendszergazdák webének feladata.
"A régi paradigmában" terjeszteni tudtam a tanúsítványt egy AD házirend segítségével. Most már bonyolultabb a helyzet, az emberek mozognak, új laptopokat, táblagépeket, telefonokat vásárolnak stb. Végül ezt csinálom, kézzel terjesztem a CA tanúsítványt, léteznek technikai megoldások, de azt akarom mondani, hogy számomra úgy tűnik, hogy a játék egyre inkább "igazságtalanabbá" válik.
A tanúsító intézmények "erkölcsi" tekintélyét (legalábbis Romániában) az ásó adja meg, hogy "akkreditált hatóságokká" váljanak. Az elektronikus aláírás törvényét e vállalatok arculata és hasonlósága alapján hozták meg (UTI, digisign stb.). Mindannyian érezzük a pénztárcánkban a hatást. Romániában az elektronikus aláírás minden évben 30 euró + áfa, annak érdekében, hogy "kiváltságot élvezhessen", hogy 12 alkalommal nyújthatja be a cég adóbevallásait. A rövid, csak egyéves érvényességi idő pedig nevetségesnek tűnik számomra, nem beszélve az elektronikus aláírás érvényességének megszerzésével vagy meghosszabbításával kapcsolatos bürokráciáról. Szlovákiában például az elektronikus aláírás évente 8 euróba kerül, Németországban pedig ingyenesen, az adóhivataltól lehet megszerezni, 3 éves érvényességi idővel.
Sokan kezdtek megjelenni globálisan, olcsó tanúsítványokat árulnak. De ez nem mond ellent annak, amit mondasz.
Az egyéves érvényességi idő tapasztalataim szerint nagyon jó. Mert nagyon gyakran azok, akik a tanúsítványokat adminisztrálják, fül által és a test egy olyan részének felhasználásával teszik lehetővé, amely nagy stabilitást biztosít a székre ülve. Nem beszélve arról, hogy kevesen hallottak már a visszavonási listákról, és még kevesebben használják őket (ráadásul megvalósításuk néha sok kívánnivalót hagy maga után).
Szóval jó, hogy elég gyorsan lejár.
A román állammal való kölcsönhatásban nincs más ok, mint az áldozat - az adózó - kifosztása. A biztonság fogalma másodlagos.
Nem értem, miért jobb az egyéves bizonyítvány, mint a 4 éves tanúsítvány - eltekintve attól a nagyobb valószínűségtől, hogy megtörik, ami egyébként nagyon közel áll a 0-hoz.
Természetesen rejtjelezési elvekre gondolok. Az ssl séma akkor is érvényes, ha egyes algoritmusok vitathatóak (mások pedig gyengék lettek a számítási teljesítmény növekedésével). A tanúsító hatóságok kérdése kényes; ha a saját hálózatomban inkább saját tanúsítványokat állítok ki (kedvenc mondásom: "ha nem bízol az adminban, rúgd ki":)), a külvilággal való kapcsolataimban megbízok egy barátomban (firefox), akinek van barátom (Comodo), akinek nem tagadhat meg semmit, ezért zöldre színezi a sávomat. És néha a barát barátja loaza, mint Iancu bácsik vázlatain:)
GnuTLS megoldás bizalmi hálózatokkal, amelyek kulcsokból állnak, amelyeket korábban kicseréltek a megbízható emberekkel.
Sajnos a Gnu engedélyezési modell a "szabadság" börtönét is jelenti.
Az EU kiadta a 910/2014/EK rendeletet az elektronikus azonosításról és a webszerverek tanúsítványainak kiadásáról.
2016-tól alkalmazandó, majd hatályon kívül helyezik az elektronikus aláírásokról szóló irányelvet, amely a romániai és más tagállamok elektronikus aláírásáról szóló törvény alapja.
A 910/2014/EU rendelet előírja, hogy a tanúsítványokat a "minősített, megbízható szolgáltató" állítja ki. Ez védi a domainek törvényes tulajdonosait - a tanúsítványokat nem hiába adják ki anélkül, hogy kérnék őket -, valamint azokat a felhasználókat, akik tudják, hogy törvényes webhelyre lépnek be, különösen, ha bankokról, fizetési feldolgozókról stb.
Először is, hasonlóan ehhez az állításhoz: „A böngészőnek nincs mit kommentálnia, még akkor sem, ha ugyanaz a tanúsítvány hitelesíti a Vasile SRL-t és az ivanivanovici.ru-t. Ehelyett nagyon drasztikus lesz, és meg fogja ijeszteni az ügyfeleket, ha a mail szerver tanúsítványát valami ütő adja ki. " teljesen hamis, és bebizonyítja, hogy nem igazán tudod, mi a helyettesítő tanúsítvány. ha helyettesítő karakter, ellenőrizze a tartomány utótagját; tudnia kell, hogy ez mit jelent.
Ezen túlmenve a következőket mondja:
"Ehelyett, ha saját CA-t fenntartok, ahelyett, hogy a böngésző bejelentené", ezt a tanúsítványt egy olyan hatóság állítja ki, amely nem szerepel a listánkon. Ha bízik a badici.ro-ban, írja be az y szót: ez valami olyasmit mutat, hogy "menekülj el, elviszik a pénzedet, elbocsátják a gazdaságaidat és a lovaidat a CAP-be" "
Senki sem állíthatja rossznak. Hol ellenőrzi, hogy így van-e?
Ezért vannak azok a megbízható listák a böngészőben.
Egyébként néhány olvasás (az RFC-kről) segítene, mielőtt írna.
Vannak helyettesítő karakterek, amelyek nem csak a tartomány utótagjára utalnak (első szintű utótag)
Mi van ezekkel?
https://www.godaddy.com/ssl/ssl-certificates-config.aspx?origin=pod&plan=ssl_std_3_5
Annak igazolása, hogy a tanúsítványt Badici állította ki, ugyanúgy történik, mint a többiek esetében, az illetékes hatóság tanúsítványának telepítésével. Ezenkívül megtarthatom a CRL-t és a CA tanúsítványt a webhelyemen. Nyilvánvalóan korlátozott jogosultságról beszélek azok számára, akikkel dolgozom, nem a nagyközönségnek szánt webhelyekre gondolok. Az a tendencia, hogy arra kényszerítem magam, hogy tanúsítványokat vásároljak olyan feladatokra, ahol ez nem indokolt.
Vannak ingyenes nyilvános CA-k is, például a http://www.selso.com/, amelyet Franciaországban elég népszerűnek láttam. Hogy megbízhat bennük vagy sem, nehéz megmondani, mert a felhasználástól függ.
Ami a személyes jogkörét illeti, nyilvánvalóan megteheti ezt (és én is így teszek), de nem állíthatja, hogy én, aki belépek az Ön webhelyére, és aki nem rendelkezik az Ön CA által kiadott hierarchiával, hogy megbízhassak abban, hogy én rendelkezem jól értettem. Talán egy afganisztáni hacker oldalán vagyok, aki úgy döntött, hogy tanúsítványokat állít ki a http://www.badici.ro webhelyhez. Talán nem?
Ha elolvassa az előző választ, látni fogja, hogy nem mondok mást. Természetesen lehetséges, hogy egy afgán hacker megvásárolja a badici.ro domaint (nos, ezt elvették:)), és talán még igazolást is vásárolhat a verisign-tól, mert a szokásos igazolásokhoz nem szükséges a bűnügyi nyilvántartás. A kiterjesztett ellenőrzéskor nem tudom, hogy pontosan mit is csinálnak, de néhány ellenőrzés megtörtént, nemrég vettem valakinek egyet, és körülbelül egy hétig tartott (nyilván nem engem, hanem az ügyfelet ellenőriztek)
A problémám az, hogy helyesen tájékozódtak: például: „Biztonságos webhelyre léptél be Mihai Badici igazolásával. A megfelelő CA nem jelenik meg a gyökértanúsítványokban, ezért ha nem bízik benne, hagyja el a navigációt ".
Te, aki nem az ügyfelem, valószínűleg itt fogsz megállni; Ügyfeleimnek bízniuk kell bennük, vagy legfeljebb felhívniuk kell. De ha olyan üzeneteket jelenít meg, amelyeket a Chrome adott (egy másik válaszban tettem közzé, de személyesen is ellenőrizheti), mit gondol, mi lesz az ügyfél reakciója? Rendszeresen felhívott valaki, aki félt, hogy valaki ellopja a pénzét - mondja a Chrome.
Ami a helyettesítő bizonyítványokat illeti, legalább két évvel ezelőtt biztosan tudom, hogy eladták őket; egyszerű keresés során nem találtam meg őket, de a csatolt linkből találtam "több mint 100 domaint védő tanúsítványokat". Mennyire bízik egy olyan kiszolgáló webhelyében, amely több mint 100 webhelyet biztosít egyetlen tanúsítvánnyal? Ennek ellenére a böngésző ebben az esetben nem nyilatkozik.
A cikk közzétételekor a szerkesztő "elveszítette" a megbízható gyökérregisztrációs irányelvre mutató hivatkozást az általam példaként bemutatott mozilla kapcsán. Most vettem észre és kijavítottam, a mondatnak link nélkül nincs értelme. A link birtokában megérted, hogy tudom, miről beszélek; miután legyőzte ezt a szempontot, meg fogja érteni, hogy sem a gyökér CA-k helyét nem akarom elfoglalni, sem azt állítani, hogy biztonságosabb vagyok náluk, de csak egy olyan szempontot emelek ki, amely számomra "igazságtalan" tűnik. A kistermelők és a globálisok küzdelméhez hasonlítanám: a nagyok a "szupermarketek" erejével fojtják el a kicsieket.
Készítsünk egy CA-t, amit mondok:
Olvassa el a megjegyzéseket, ízletesek.
Mihai, meggyőződésem, hogy emlékszel, mit generált ez a hiba
PS:
Legalább egy böngésző ellenőrzi, hogy vannak-e bizonyos tanúsítványok egy belső "hardcoded" lista után, függetlenül attól, hogy mi szerepel a "Trusted Root CA" listában