On Sat, 23 Jan 2010 21:26:14 +0000 (UTC), Sergiusz Rozanski
<w...@s...com> wrote:

>Dnia 22.01.2010 Maciek "Babcia" Dobosz <b...@j...org.pl> napisał/a:
>> wchodziło to w grę. Chciałem by kontakt był na moje_konto@doemna - nie
>> było takiej możliwości mimo że to moje domeny, ja płacę za
>> certyfikaty, to moja karta kredytowa i FV na mnie wystawiana.
>
>A oni sprzedają zaufanie. Stracili by je, gdyby wysłali podpis klucza
>na adres m...@m...tld bo on tak chce.

To powiedz mi jeszcze w jaki sposób weryfikują że moje_konto@domena
jest nieuprawniony a administrator@domena już jest? Właśnie na jednym
z moich serwerów wklepałem "adduser administrator" i utworzyłem konto
pocztowe dla pana Szymona który jest u mnie administraotorem budynku i
odpowiada w tej chwili głównie za odśnieżanie. Ma dostęp do konta
administrator? Czyli certyfikat w Unizeto odebrać sobie może. Czy jest
w związku z tym osoba uprawnioną? ;-)

Zdrówko

do góry

Sergiusz Rozanski wrote on 2010-01-23 22:26:

> A oni sprzedają zaufanie. Stracili by je, gdyby wysłali podpis klucza
> na adres m...@m...tld bo on tak chce.

Jednakowoż pozwolisz, że to kupujący sensu właściciel domeny będzie
decydował jakiego adresu e-mail używa.

--
* Maciej Wierzbicki * At paranoia's poison door *
* VOO1-RIPE *

do góry

Maciej Wierzbicki wrote:
> Sergiusz Rozanski wrote on 2010-01-23 22:26:
>
>> A oni sprzedają zaufanie. Stracili by je, gdyby wysłali podpis klucza
>> na adres m...@m...tld bo on tak chce.
>
> Jednakowoż pozwolisz, że to kupujący sensu właściciel domeny będzie
> decydował jakiego adresu e-mail używa.
>

W przypadku .pl jest problem, ale można by dawać mail z whois.

wer

do góry

"b...@n...pl" <b...@n...pl> writes:

>>> A oni sprzedają zaufanie. Stracili by je, gdyby wysłali podpis klucza
>>> na adres m...@m...tld bo on tak chce.
>>
>> Jednakowoż pozwolisz, że to kupujący sensu właściciel domeny będzie
>> decydował jakiego adresu e-mail używa.
>>
>
> W przypadku .pl jest problem, ale można by dawać mail z whois.

A nie lepiej po prostu zrobic cos w PHP na WWW, niech ludzie wklepuja
numer karty i date, i niech strona wciaga od kazdego i wypluwa
certyfikat. Kto zaplaci ten dostaje, brak dyskryminacji ze wzgledu na
nazwe domeny (czy co tam trzeba podpisac) lub np. stanowisko w firmie,
jesli w ogole chodzi o jakas firme.

Jesli certyfikat nie sluzy do potwierdzenia tozsamosci (a nie sluzy, bo
jak mozemy cos potwierdzac jesli sami nie mamy na ten temat bladego
pojecia), to po co bawic sie w te wszyskie pozory - w koncu chodzi tylko
i wylacznie o jedno.
--
Krzysztof Halasa

do góry

UNIZETO TECHNOLOGIES SA - CERTUM PCC wrote:

> certyfikaty dla klienta jest wystawiany przez certyfikaty pośrednie
> (...)
> I to w zasadzie tyle, nie robimy nic innego, czego nie robiłaby także
> nasza konkurencja.

Prawdę mówiąc to konkurencja chwali się, że są fajniejsi bo właśnie tak
*nie* robią:

http://www.rapidssl.com/ssl-certificate-support/ssl-
faq.htm#8

Ja osobiście w zasadzie rozumiem koncepcję zabezpieczeń w przypadku łańcucha
certyfikatów, chociaż mam duże wątpliwości, czy kompromitacja jednego z
kilku certyfikatów pośrednich jest dużo przyjemniejsza od kompromitacji
certyfikatu głównego... Oczywiście upraszcza to firmie zarządzanie
certyfikatami (łatwa możliwość wprowadzania nowych cert. pośrednich) - ale
czy jest lepsze dla klienta?

pozdrawiam
--
Marcin Gryszkalis, PGP 0x9F183FA3
jabber jid:m...@f...pl, gg:2532994
http://the.fork.pl

do góry

Dnia 27.01.2010 Marcin Gryszkalis <m...@f...pl> napisał/a:
> UNIZETO TECHNOLOGIES SA - CERTUM PCC wrote:
>
>> certyfikaty dla klienta jest wystawiany przez certyfikaty pośrednie
>> (...)
>> I to w zasadzie tyle, nie robimy nic innego, czego nie robiłaby także
>> nasza konkurencja.
>
> Prawdę mówiąc to konkurencja chwali się, że są fajniejsi bo właśnie tak
> *nie* robią:
>
> http://www.rapidssl.com/ssl-certificate-support/ssl-
faq.htm#8
>
> Ja osobiście w zasadzie rozumiem koncepcję zabezpieczeń w przypadku łańcucha
> certyfikatów, chociaż mam duże wątpliwości, czy kompromitacja jednego z
> kilku certyfikatów pośrednich jest dużo przyjemniejsza od kompromitacji
> certyfikatu głównego... Oczywiście upraszcza to firmie zarządzanie
> certyfikatami (łatwa możliwość wprowadzania nowych cert. pośrednich) - ale
> czy jest lepsze dla klienta?

[OT] W konkurencji francuskiej (gandi) dają teraz 1 ssl za free do domeny :)
Co przy cenie 60zł za .com robi sie dość atrakcyjne.

--
"A cóż to za sens kupować samochód, żeby jeździć po asfalcie?
Tam, gdzie jest asfalt, nie ma nic ciekawego, a gdzie jest
coś ciekawego, tam nie ma asfaltu".
Strugaccy - Poniedziałek zaczyna się w sobotę.

do góry

Marcin Gryszkalis <m...@f...pl> writes:

> Ja osobiście w zasadzie rozumiem koncepcję zabezpieczeń w przypadku łańcucha
> certyfikatów, chociaż mam duże wątpliwości, czy kompromitacja jednego z
> kilku certyfikatów pośrednich jest dużo przyjemniejsza od kompromitacji
> certyfikatu głównego...

Oczywiscie, wtedy wystarczy uniewaznienie posredniego certyfikatu
(a wiec takze klientow, oczywiscie), nie mamy problemu z tym
certyfikatem, ktory jest w przegladarkach i/lub ktory pochodzi z innego
CA.

> Oczywiście upraszcza to firmie zarządzanie
> certyfikatami (łatwa możliwość wprowadzania nowych cert. pośrednich) - ale
> czy jest lepsze dla klienta?

A kto mowi ze to ma byc dobre dla kogos innego niz CA?
Albo moze inaczej, kto mowi ze PKI w obecnym ksztalcie ma byc dobra dla
kogos innego niz CA?

Przeciez to coraz bardziej bez sensu jest, te certyfikaty tak naprawde
tylko zapewniaja nas, ze np. w chwili ich wystawiania ruch od providera
(niczym nie zabezpieczony, w publicznym Internecie itd.) do "serwera"
dochodzil do maszyny bedacej pod (jakas) kontrola osoby zainteresowanej
certyfikatem. Co komu po takim poswiadczeniu to nie mam pojecia - w
sposob trywialny taki certyfikat moze wyludzic np. nieuczciwy pracownik,
moze * to zrobic ktos z dostepem do sieci np. LAN gdzies na drodze do
serwera (w firmie, provider, albo np. pajeczarz w piwnicy lub przy
szafce na ulicy), moze to zrobic wlamywacz z ChRL, mozna to takze zrobic
majac dostep do jednego z DNSow uzywanych przez CA do rozwiazania nazwy,
albo mozna je w jakis sposob (np. cache poisoning) zaatakowac zdalnie
itd. itd. W teorii SSL ma _zabezpieczac_ przed takimi zagrozeniami, w
praktyce sam proces wydawania certyfikatu jest _podatny_ na wlasnie
dokladnie te same zagrozenia.

W tej sytuacji certyfikat wystawiony przez siebie samego jest
bezpieczniejszy, poniewaz po jednorazowym potwierdzeniu autentycznosci
przy uzyciu innego, bezpiecznego tym razem kanalu (co, jak wynika z
powyzszego, jest niezbedne tak czy owak), kazda zmiana skutkuje
wyswietleniem odpowiedniego komunikatu. W przypadku podpisu ze znanego
przeglararce CA, uzycie np. wyludzonego certyfikatu nie skutkuje niczym
spektakularnym.


Zapewne bezpieczniejszy od wlasnego certyfikatu bylby taki, ktory
wystawialaby firma na podstawie przekazanych jej osobiscie dokumentow,
ktorych autentycznosc firma sama sprawdzalaby na swoja odpowiedzialnosc,
podobnie jak by sie to dzialo np. z tozsamoscia osoby żądającej
certyfikatu. Oczywiscie przegladarki musialyby ufac tylko takiemu CA.
Ale to chyba nie jest dobry model biznesowy dla wiekszosci klientow,
zwlaszcza biorac pod uwage, ze "wszyscy biora stowe i robia to samo" :-(
--
Krzysztof Halasa

* np. konto "administrator" dla stroza, pamietam tez ze chyba w CIUWie
(PLEARN) jeden ze studentow mial konto "root".

do góry

Krzysztof Halasa <k...@p...waw.pl> wrote:
> Przeciez to coraz bardziej bez sensu jest, te certyfikaty tak naprawde
> tylko zapewniaja nas, ze np. w chwili ich wystawiania ruch od providera
> (niczym nie zabezpieczony, w publicznym Internecie itd.) do "serwera"
> dochodzil do maszyny bedacej pod (jakas) kontrola osoby zainteresowanej
> certyfikatem.

Są różne poziomy certyfikatów, niektóre sprawdzają dane bardzo dokładnie.

p.

--
Beware of he who would deny you access to information, for in his
heart he dreams himself your master. -- Commissioner Pravin Lal

do góry

Krzysztof Halasa <k...@p...waw.pl> wrote:

> Zapewne bezpieczniejszy od wlasnego certyfikatu bylby taki, ktory
> wystawialaby firma na podstawie przekazanych jej osobiscie dokumentow,
> ktorych autentycznosc firma sama sprawdzalaby na swoja odpowiedzialnosc,
> podobnie jak by sie to dzialo np. z tozsamoscia osoby żądającej
> certyfikatu. Oczywiscie przegladarki musialyby ufac tylko takiemu CA.
> Ale to chyba nie jest dobry model biznesowy dla wiekszosci klientow,
> zwlaszcza biorac pod uwage, ze "wszyscy biora stowe i robia to samo" :-(

Swoją drogą, spora rzesza (jeśli nie znaczna większość - trzeba by pewnie
jakieś badania poczynić) użytkowników internetu i tak nie rozumie
całej zabawy z certyfikatami i bezmyślnie klika "akcpetuj" nawet wtedy,
kiedy przeglądarka informuje w języku ojczystym o potencjalnie płynących
zagrożeniach wynikających z niezgodności certyfikatu.

--
ŁT

do góry

Sergiusz Rozanski pisze:

>
> [OT] W konkurencji francuskiej (gandi) dają teraz 1 ssl za free do domeny :)
> Co przy cenie 60zł za .com robi sie dość atrakcyjne.
>

Dają albo nie dają. Kupowanie domen w gandi to czysta loteria o czym
przekonałem się dość boleśnie.
Oferta gandi nie jest atrakcyjna nawet gdyby to gandi płaciło klientom
za korzystanie z ich usług. Co mi po niskiej cenie skoro nagle gandi ma
problemy techniczne z przedłużeniem ważności domeny dla pierwotnego jej
właściciela, ale nie ma żadnych technicznych problemów ze sprzedaniem
tejże domeny handlarzowi.

do góry