Сертификати, TLS SSL, Доверители

Споделете тази статия

Няма статии на същата тема.

доверители

26 КОМЕНТАРИ

Интересна статия, но не знам колко читатели наистина се интересуват и знаят достатъчно за темата, за да я разберат. На второ място, статията обобщава около 3 други, които наскоро видях в публичното или частично публичното пространство (едната е написана от мен на специализиран форум с частично ограничен достъп, така че със сигурност не сте я прочели). Мисля, че това е просто съвпадение, като се има предвид, че сред тези, които се интересуват от криптография, е актуална тема напоследък.

Можете да дадете линк:)
По-скоро статията обобщава поредица от лични оплаквания, свързани с признаците на „бойкот“ на самоизработените PKI, които според мен се основават на очевидна финансова причина, със съучастието на разработчиците на браузъри (някои от които се нуждаят от дарения). Под предлог за укрепване на сигурността потребителите истеризират с алармиращи текстове, макар че би било по-естествено за мен да получа предупреждение при достъп до заместващ сертификат, дори ако той е издаден от verisign. Потребителите се страхуват и ми се обаждат; колкото и добре да им обяснявам, те все още остават с малко съмнение и при първия инцидент, без никаква връзка с това, стават още по-подозрителни.

„Едно ограничение на SSL е, че технически само един сертификат може да работи на IP адрес.“

Индикацията за име на сървър решава това.

Да, благодаря за предложението, знаех за това разширение, но знаех, че то не се прилага от повечето продукти на пазара. Но изглежда, че междувременно е достигнал до основните браузъри и сървъри, така че сте прав, аз лесно бях изоставен. Но сертификатите за заместващи символи все още се продават, за това ставаше въпрос:)

Зад сертификатите има доста добра идея зад гърба си: ако организацията има множество сървъри в едно и също поле, тогава заместващият знак може да им спести малко пари. Очевидно браузърът ще протестира, ако се опита да осъществи достъп до сървър, който не се "побира". В противен случай би било много сериозен проблем.

Но да, проблемът започва от картела на CA и по-точно от начислените цени. Теоретично всеки трябва да има свой собствен сертификат, но колко пари се изисква ...

"Случаите на компрометирани сертифициращи органи не са твърде много, инцидентите са доста малко." Правилно, но и когато се е случило ... овце, овце, овце ...

Случи се, някои работеха по-усилено през следващите дни, други плащаха повече, но аз го взех от самото начало, технологията оцеля. Когато цепелинът се запали над Ню Йорк, всички знаеха, че това е последното състезание ...

От лятото на 2015 г. ще бъде възможно да се получат валидни SSL сертификати безплатно (и автоматично разпознати от браузърите) чрез платформата Let’s Encrypt. Това решава проблема с разходите.

Удостоверенията за заместващи знаци могат да работят правилно, ако се прилагат правилно (големи ако). Много големи уеб инфраструктури ги използват успешно, без да показват грешки в браузъра. Предвид разпространението и полезността на заместващите сертификати, не би било нормално браузърът да показва предупредително съобщение, когато открие такъв сертификат. Ако персоналът за ИТ/ИТ сигурност дори не може правилно да инсталира сертификат на балансиращ товар ...

Проблемът ми е, че не показва грешки в браузъра. Сертификатът е предназначен да идентифицира сайта; ако сложа заместител в сертификата и браузърът не реагира, струва ми се, че имаме работа с логическа фрактура: сайтът е ок, това е всеки:)
Вместо това, ако поддържам свой собствен CA, вместо браузърът да съобщава „този сертификат се издава от орган, който не е в нашия списък. Ако се доверите на badici.ro, напишете y ", това ми показва нещо като" бягай, те ще ти вземат парите, ще отнемат притежанията ти и ще заведат конете ти до CAP ":)

Всъщност има разлика, при първата ситуация браузърът казва: вие сте се свързали със сървър, принадлежащ на домейн с известен администратор, т.е. той има известно име и адрес.

Във втория случай браузърът казва: свързали сте се със сървър, чийто администратор е неизвестен, той твърди, че е Badici, но може да бъде абсолютно всеки. Той даде и адрес в Белиз. Прехвърляне на средства?

:)
Само да беше така. Всъщност браузърът показва някои предупреждения, въпреки че е напълно възможно да проверите адреса, на който са го получили, да го сравните с заявения в сертификата и да позволите на клиента да избере. Обикновено клиентите ме познават:) Не твърдя, че издавам сертификати за сайтове за електронна търговия или други дейности, които включват публичен достъп, но тенденцията е да се породи идеята, че е по-малко сигурно да комуникирате със сървъра на компанията, за която работите. ако използвате свой собствен PKI (не говоря за самоподписани сертификати, а за правилно конфигуриран PKI.).
В другия случай сте се свързали със сървър, чийто администратор е известен (например от Comodo), който хоства няколко сайта, които предполагаме, че администраторът на сървъра контролира, затова той ни даде пари, така че можете да имате пълно доверие. Прехвърляне на средства!

съобщението от google chrome е следното:
"Вашата връзка не е частна":) което е лъжа:)
Нападателите може да се опитват да откраднат вашата лична информация, например пароли, съобщения или кредитни карти ”

Доколкото знам, проверката дали адресът на домейна, към който искате да се свържете, съответства на този в получения сертификат, е едно от първите неща, които браузърите правят. Когато не се случи, е лошо.

Но ако вече има PKI и броят на клиентите е ограничен, защо да не можете ръчно да разпространявате CA сертификата на всеки от тях?

В случай на сървърния администратор с много сайтове на главата, той или ги контролира (това също е уеб администратор за тях) и тогава е добре или не, в този случай всеки сайт трябва да има свой собствен сертификат и това не би трябвало да е така. неговата задача, но мрежата на съответните администратори.

„В старата парадигма“ можех да разпространя сертификата чрез AD политика. Сега нещата са по-сложни, хората се движат, купуват нови лаптопи, таблети, телефони и т.н. В крайна сметка това правя, ръчно разпространявам CA сертификата, има технически решения, но това, което искам да кажа, е, че ми се струва, че играта има тенденция да става все по-„несправедлива“.

„Моралният“ авторитет на сертифициращите институции (поне в Румъния) се дава от лопатите, които те дадоха, за да станат „акредитирани органи“. Законът за електронния подпис е направен според имиджа и подобието на тези компании (UTI, digisign и др.). Всички усещаме ефекта в портфейлите си. В Румъния електронният подпис струва 30 евро + ДДС всяка година, за да има "привилегията" да може да подава данъчните декларации на компанията 12 пъти. А краткият срок на валидност, само една година, ми се струва смешен, камо ли бюрокрацията, свързана с получаването или удължаването на валидността на електронния подпис. Например в Словакия електронният подпис струва 8 евро годишно, а в Германия той може да бъде получен безплатно от данъчната служба със срок на валидност 3 години.

Много от тях започнаха да се появяват в световен мащаб, продавайки евтини сертификати. Но това не противоречи на това, което казвате.

Срокът на валидност от една година, според моя опит, е много добър. Защото много често тези, които администрират сертификатите, го правят на ухо и с помощта на част от тялото, която осигурява голяма стабилност, когато седи на стол. Да не говорим, че малцина са чували за списъци за оттегляне и още по-малко ги използват (плюс прилагането им понякога оставя много да се желае).
Така че е добре, че изтича доста бързо.

Във взаимодействието с румънската държава няма друга причина освен грабежа на жертвата - данъкоплатеца. Понятието сигурност е второстепенно.
Не разбирам защо едногодишният сертификат е по-добър от 4-годишния сертификат - като оставим настрана по-голямата вероятност за счупване, която така или иначе е много близка до 0.

Имам предвид криптографски принципи, разбира се. Ssl схемата е валидна, дори ако някои алгоритми са спорни (а други са отслабнали с увеличаването на изчислителната мощност) Въпросът със сертифициращите органи е деликатен; ако в собствената си мрежа предпочитам да издавам свои собствени сертификати (любимата ми поговорка е "ако нямате доверие на администратора, уволнете го":)), във връзки с външния свят имам доверие на приятел (firefox), който има приятел (Комодо), на когото не може да откаже нищо, затова оцветява лентата ми в зелено. И понякога приятелят на приятеля е лоза, както е в скиците на чичовци Янку:)

Решение GnuTLS с мрежа от мрежи на доверие, състояща се от ключове, предварително обменени с хора, на които имате доверие.

За съжаление моделът за лицензиране на Gnu също е затвор за „свобода“.

ЕС издаде Регламент 910/2014 относно електронната идентификация, където се обработва и издаването на сертификати за уеб сървъри.

Той ще се прилага от 2016 г. и тогава Директивата за електронните подписи ще бъде отменена, което е в основата на закона за електронните подписи в Румъния и други държави-членки.

Регламент 910/2014 изисква сертификатите да се издават от "квалифицирания доверен доставчик на услуги". По този начин законните собственици на домейните са защитени - сертификатите не се издават напразно, без те да поискат - и потребители, които знаят, че влизат в легитимен сайт, особено когато става въпрос за банки, платежни процесори и т.н.

На първо място, като това твърдение: „Браузърът няма какво да коментира, дори ако един и същ сертификат удостоверява Vasile SRL и ivanivanovici.ru. Вместо това ще бъде много драстично и ще изплаши клиентите, ако сертификатът на пощенския сървър бъде издаден от някой батсман. " той е напълно фалшив и доказва, че всъщност не знаете какво е сертификат за заместване. ако е заместващ знак, проверете суфикса на домейн; трябва да знаете какво означава това.

Преминавайки през това, казвате следното:
„Вместо това, ако поддържам свой собствен CA, вместо браузърът да съобщава“ този сертификат се издава от орган, който не е в нашия списък. Ако се доверите на badici.ro, напишете y "той ми показва нещо като" бягай, те ще ти вземат парите, ще вземат парите ти и ще заведат конете ти до CAP "
ВСЕКИ може да твърди, че е лош. Където проверявате, че е така?
Ето защо в браузъра има тези доверени списъци.

Във всеки случай някои четения (на RFC) биха помогнали, преди да пишете.

Има заместващи символи, които не се отнасят само до суфикса на домейна (суфикс от първо ниво)
Какво ще кажете за тези?
https://www.godaddy.com/ssl/ssl-certificates-config.aspx?origin=pod&plan=ssl_std_3_5
Проверката, че сертификатът е издаден от Badici, се извършва по същия начин, както при останалите, чрез инсталиране на сертификата на съответния орган. Освен това мога да запазя CRL и CA сертификата на моя сайт. Очевидно говоря за ограничена власт за онези, с които работя, нямам предвид сайтове, предназначени за широката публика. Тенденцията е да се принуждавам да купувам сертификати за задачи, когато това не е оправдано.
Има и безплатни публични CAs като http://www.selso.com/, които видях доста популярни във Франция. Дали можете да им се доверите е трудно да се каже, защото зависи от употребата.

Що се отнася до вашия личен авторитет, очевидно можете да направите това (и аз правя същото), но не можете да твърдите, че аз, който влизам във вашия сайт и който няма йерархията, издадена от вашия CA, за да се доверите, че имам разбрах правилно. Може би съм на сайта на хакер от Афганистан, който реши да издаде сертификати за http://www.badici.ro. Може би не?

Ако прочетете предишния отговор, ще видите, че не казвам нищо друго. Разбира се, възможно е афганистански хакер да закупи домейна badici.ro (добре, това е взето:)) и може би дори да купи сертификат от verisign, тъй като за обичайните сертификати не се изисква съдимост. Не знам при разширената проверка какво точно се прави, но се правят някои проверки, наскоро купих такава за някого и продължи около седмица (очевидно не ме провериха, но клиента)
Моят проблем е, че сте правилно информирани: например: „влезли сте в защитен сайт със сертификат на Михай Бадичи. Съответният CA не се появява в root сертификати, така че ако не му вярвате, оставете навигацията ".
Вие, които не сте мой клиент, вероятно ще спрете до тук; Моите клиенти трябва да ми се доверят или най-много да ми се обадят. Но когато показвате съобщения като това, дадено от Chrome (публикувах го в друг отговор, но можете да проверите лично) каква според вас ще бъде реакцията на клиента? Периодично ми се обаждаше някой, който се страхуваше, че някой ще му открадне парите, казва Chrome.

Що се отнася до сертификатите за заместващи знаци, поне преди около две години със сигурност знам, че са продадени; при обикновено търсене не ги намерих, но намерих "сертификати, които осигуряват над 100 домейна" от приложената връзка. Колко доверие имате към сайт на сървър, който осигурява над 100 сайта с един сертификат? И все пак, браузърът няма да коментира в този случай.

При публикуването на статията издателят „загуби“ връзката към доверената политика за регистрация на root, както и към mozilla, която бях дал като пример. Сега забелязах и го поправих, това изречение нямаше смисъл без връзка. С връзката ще разберете, че знам за какво говоря; след като преодолеете този аспект, ще разберете, че не искам да заема мястото на основните CA, нито да твърдя, че съм по-безопасен от тях, но посочвам само аспект, който ми се струва "несправедлив". Бих го оприличил на борбата на малките производители с глобалните: големите използват силата на "супермаркетите", за да задушат малките.

Е, нека направим CA, казвам:

Прочетете коментарите, те са вкусни.

Михай, убеден съм, че си спомняш какво генерира този шум

PS:
Поне един браузър проверява за определени сертификати след вътрешен "твърдо кодиран" списък, без значение какво има в списъка "Trusted Root CA"