-
Data: 2010-01-27 21:19:15
Temat: Re: certyfikaty SSL z unizeto ?
Od: Krzysztof Halasa <k...@p...waw.pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]Marcin Gryszkalis <m...@f...pl> writes:
> Ja osobiście w zasadzie rozumiem koncepcję zabezpieczeń w przypadku łańcucha
> certyfikatów, chociaż mam duże wątpliwości, czy kompromitacja jednego z
> kilku certyfikatów pośrednich jest dużo przyjemniejsza od kompromitacji
> certyfikatu głównego...
Oczywiscie, wtedy wystarczy uniewaznienie posredniego certyfikatu
(a wiec takze klientow, oczywiscie), nie mamy problemu z tym
certyfikatem, ktory jest w przegladarkach i/lub ktory pochodzi z innego
CA.
> Oczywiście upraszcza to firmie zarządzanie
> certyfikatami (łatwa możliwość wprowadzania nowych cert. pośrednich) - ale
> czy jest lepsze dla klienta?
A kto mowi ze to ma byc dobre dla kogos innego niz CA?
Albo moze inaczej, kto mowi ze PKI w obecnym ksztalcie ma byc dobra dla
kogos innego niz CA?
Przeciez to coraz bardziej bez sensu jest, te certyfikaty tak naprawde
tylko zapewniaja nas, ze np. w chwili ich wystawiania ruch od providera
(niczym nie zabezpieczony, w publicznym Internecie itd.) do "serwera"
dochodzil do maszyny bedacej pod (jakas) kontrola osoby zainteresowanej
certyfikatem. Co komu po takim poswiadczeniu to nie mam pojecia - w
sposob trywialny taki certyfikat moze wyludzic np. nieuczciwy pracownik,
moze * to zrobic ktos z dostepem do sieci np. LAN gdzies na drodze do
serwera (w firmie, provider, albo np. pajeczarz w piwnicy lub przy
szafce na ulicy), moze to zrobic wlamywacz z ChRL, mozna to takze zrobic
majac dostep do jednego z DNSow uzywanych przez CA do rozwiazania nazwy,
albo mozna je w jakis sposob (np. cache poisoning) zaatakowac zdalnie
itd. itd. W teorii SSL ma _zabezpieczac_ przed takimi zagrozeniami, w
praktyce sam proces wydawania certyfikatu jest _podatny_ na wlasnie
dokladnie te same zagrozenia.
W tej sytuacji certyfikat wystawiony przez siebie samego jest
bezpieczniejszy, poniewaz po jednorazowym potwierdzeniu autentycznosci
przy uzyciu innego, bezpiecznego tym razem kanalu (co, jak wynika z
powyzszego, jest niezbedne tak czy owak), kazda zmiana skutkuje
wyswietleniem odpowiedniego komunikatu. W przypadku podpisu ze znanego
przeglararce CA, uzycie np. wyludzonego certyfikatu nie skutkuje niczym
spektakularnym.
Zapewne bezpieczniejszy od wlasnego certyfikatu bylby taki, ktory
wystawialaby firma na podstawie przekazanych jej osobiscie dokumentow,
ktorych autentycznosc firma sama sprawdzalaby na swoja odpowiedzialnosc,
podobnie jak by sie to dzialo np. z tozsamoscia osoby żądającej
certyfikatu. Oczywiscie przegladarki musialyby ufac tylko takiemu CA.
Ale to chyba nie jest dobry model biznesowy dla wiekszosci klientow,
zwlaszcza biorac pod uwage, ze "wszyscy biora stowe i robia to samo" :-(
--
Krzysztof Halasa
* np. konto "administrator" dla stroza, pamietam tez ze chyba w CIUWie
(PLEARN) jeden ze studentow mial konto "root".
Następne wpisy z tego wątku
- 28.01.10 10:20 Lukasz Trabinski
- 28.01.10 12:24 Asmodeusz
- 28.01.10 15:34 Krzysztof Halasa
- 31.01.10 19:20 Mr.FX
Najnowsze wątki z tej grupy
- Jest tutaj kto? Halo, Darius Expert?
- Czy to konieczne? ATMAN - 30.06.2019 - Wyłączenie news.atman.pl
- pl.internet.polip - is DEAD?
- ovh
- INEA
- Prośba o traceroute z Vectry
- BGP - wszyscy wkładają głowę w piasek.
- http://pl
- Re: Czemu jest wylaczany serwer w3cache.icm.edu.pl ?
- Taaaka integracaj na rynku, a tu nikt, nic..
- Alternatywna sieć dla internetu kiedyś w Polsce
- ooerator gsm + stały ip z revdns
- Dostęp do ip nostrady
- narzędzia do weryfikacji poprawności bazy WHOIS
- T-mobile bawi się w MITM....
Najnowsze wątki
- 2025-03-19 Brak ograniczeń dla chińskiego kapitału - wam nie do rządu, tylko na zmywak do chińskiej knajpy!!!
- 2025-03-19 Wietnam wykłada 500M$ i chce zbudować fabrykę za 50G$
- 2025-03-19 szal-Unia == federacja policyjna
- 2025-03-19 Polsza == państwo policyjne
- 2025-03-19 Grzegorz Płaczek o programie szczepień dzieci. ,,Stworzono eldorado dla firm farmaceutycznych"
- 2025-03-19 Wietnam wykłada 500M$ i chce zbudować fabrykę za 50G$
- 2025-03-19 Gemini
- 2025-03-19 Mokry sen Zenka :)
- 2025-03-19 Re: Dlaczego tak odstają od Tesli?
- 2025-03-19 Czy grupa p.s.prawo przetrwa najbliższe wybory (prezydenta)?
- 2025-03-19 Warszawa => Frontend Developer (obszar Angular13+) <=
- 2025-03-19 Czy "niedopuszczony pełnomocnik" jest w prawie się na to skarżyć jak "świadek" zmarła bez zostawienia mu takiej instrukcji?
- 2025-03-19 Kraków => Business Development Manager - Network and Network Security
- 2025-03-19 Ostrów Świętokrzy => Node.js / Fullstack Developer <=
- 2025-03-19 Kraków => IT Expert (Network Systems area) <=