وضع مدونة

تنويه: جميع كتب هنا هو مجرد رأي الخاص، ليس فقط في كتابة هذا النص بوصفه بيانا للحقيقة، وليس الاعتماد على ذلك بأي شكل من الأشكال، وخصوصا عدم فهم أي شركة من أي إجراء يقوم عمدا، عن قصد، أو في جميع ...

وقبل عام، في مكان العمل، وكنا شهادات SSL التي تم شراؤها من Thawte.

Thawte هي أقدم السوق، وربما حتى أول. (لا أذكر)

Thawte يجري أيضا مكلفة للغاية. يمكنك الحصول على نفس الخدمة لمقدمي الخدمات الأخرى وكذلك - وتعادل لجميع الأغراض - وهذا هو - على المعلومات من خلال تأمين بنفس الطريقة تماما.

لماذا نحتاج حتى لإعداد شهادات SSL اتصال مشفر مع خادم بعيد؟ حسنا، الحقيقة هي ليست ضرورية حقا. ممكن لإقامة اتصال مشفر بشكل مستقل من قبل موقعة ذاتيا شهادات SSL، واستخدامها.

والعيب الوحيد في شكل مثل هذا العمل، هو، إلا إذا قمت بالاتصال الماضي من هذا القبيل، والكنيست الكمبيوتر وقعت على شهادة من تلقاء نفسه، لا يمكنك معرفة الموقع الذي تتصل به، هو في الواقع في موقع كنت تتوقع للاتصال به. ربما حصلت على شخص آخر اتصال في الوسط، ويستجيب لكنت بدلا من الخادم الذي قمت بالاتصال - ثم في الواقع اتصالاتك الصادرة في الواقع مشفرة - ولكن لم يرسل إلى حيث كنت تتوقع أن يتم شحنها، ولكن في مكان آخر.

هنا يأتي مفهوم أن الهيئة المكلفة الجانبين سيوقعان التوقيع الرقمي على مفتاح التشفير الموجودة على الخادم، بحيث يمكن للعميل أن تحقق مع طرف ثالث هذا الطرف الثالث وقعت على شهادة، وأنواع معينة من الخدمة، على الرغم من أن المراجعة القانونية التي أجريت على نفس الهيئة التي وقعت على شهادة .

حتى الآن جيد جدا.

حيث تبدأ المشكلة؟

المشكلة تبدأ، وبالتالي، فإن عملية توقيع هو إجراء يمكن أن يتخذ من قبل جهاز كمبيوتر، ودون تدخل بشري. هذا مطابق لتوقيع دولة فلسطينية مستقلة، إلا انه وقعت من قبل طرف ثالث، ولكن نفس العملية الفنية.

للأسف، ومتصفحات الويب، وهناك طرف ثالث بطاقات بنيت فقط لمقدمي الخدمات الذين رسما لخدمة بالتوقيع عليها (على الرغم من وجود مقدمي الخدمات الذين رسما ...). هذه الأسباب أن جميع الذين بتسجيل الدخول إلى موقع، في إشارة رقمية لم يتم توقيع هذا من قبل واحدة من هذه الشركات التجارية التي تفرض الكثير من المال لتشغيل بضع ثوان، تتلقى رسالة تحذير (له ما يبرره من حيث ما تم تعريفه على أنه المتصفح ...) ان الموقع قد لا تكون موثوقة، وهذا حتى لو كانت الشهادة لم يتم تعيين هيئة ختم موثوقية النظام، وأنه يعطي للمستخدم لاختيار ما إذا كان سيستمر أم لا - موقع الشخصية المناسبة (صالحة اسم النطاق، وما إلى ذلك).

إذا كان محل ثقة الموقعين مقدم الخدمة تشمل ما لا يقل عن واحد حر، وجميع الشركات الأخرى يمكن أن تذهب أساسا منزلهم، فإنهم بذلك صنع المال اليوم للحصول على سيرفر لا تتلقى تحذيرا عند دخوله إلى موقع آمن.

لنفترض لحظة إلى أن تهمة المال من أجل هذا (الحق) - ليس في هذا المنصب. الآن ويقصد جميع كنت قد كتبت لشرح خلفية تقنية في كل حاجة هذه الخدمة.

كما هو موضح أعلاه، مرة واحدة من ثلاثة أشياء: الختم، وتواريخ الصلاحية (البداية والنهاية)، حيث معقدة، لا يستوفي الشروط المحددة في المتصفح - تتلقى تحذيرا. هذا التحذير لا يعني أن العلاقة ليست آمنة. بل يعني فقط أنه قد أمسك شخص ما وسائل الإعلام. اذا لم يكن احد قد أمسك وسائل الإعلام والاتصالات المؤمنة، حتى لو كان كل التحذيرات يصرخون "الخطر".

وهنا تأتي المشكلة.

لتعظيم الأرباح، والتوقيع على شهادة رقمية هو لفترة زمنية محدودة، لذلك يمكن أن يبيع نفسه "المنتج" مرتين. ما يحدث في الواقع شهادة منتهية الصلاحية؟ لا شيء حقا. صيحة المتصفح - ملاحظة - وراجعت الشهادة، هذه الشهادة بشكل صحيح، انها وقعت من قبل موثوق بها، مما يعني أن ما لم شخص ما قد سرق مفتاح مشفرة خاصة من خادم (الاختراق) - تتحدث حتى إلى خادم كنت تعتقد انك تتحدث معه - لكن لاحظ - صاحب هذا الخادم ببساطة لم تدفع عدة مئات من الدولارات حتى يتسنى لك الحصول على هذا التحذير. مرة أخرى - وأشدد - اتصالات آمن تماما على المستوى نفسه - بما في ذلك نظام التحقق الذي ربط - مجرد نافذة تحذير منبثقة.

والآن - وصلنا الى بواتييه.

وقبل عام، قررنا أن مكان عملي، لتمرير آخر مزود SSL، أقل عالية الثمن. بعد كل شيء، كما شرحت، من حيث الأمن، ليس هناك فرق.

في واقع الأمر كنا من خلال.

المورد القديم (Thawte) يرسل تنبيهات من قبل ثلاثة أشهر من نهاية للهجمات بالتوقيع عليها، ويدعو لاستئناف توقيع (أسعار ممتازة، كما جرت العادة). نحن بالطبع تجاهل، لأن لدينا بالفعل وقعت على شهادة جديدة ونشطة، والعملاء لن يحصلوا على نافذة منبثقة (مرة أخرى، لا أقول أن الاتصال غير آمن) في نهاية الفترة لذلك نحن لا نهتم.

في النهاية، انه في اليوم الأخير من الجدة، والتي وصلنا بالبريد الالكتروني تهدد فقط، وقد وضعت فيه:

"تحرك الآن! على شهادة التالية (ق) قد انتهت صلاحيتها. موقعك لم يعد آمن أو التحقق من صحتها. "

وهذا هو شعري في هذا المنصب. بعد شرح ما شرحت أعلاه، يمكن للمرء أن يرى ويفهم، هذه الجملة هو زائف تماما. حتى لو كنا قد بقيت مع بطاقاتهم - تحذيرا بالفعل والقفز، ولكن تم كتابة تحذير على وجه التحديد مع اتصالات غير آمنة، وختم موثوق بها جدا، مجرد تاريخ غير صالح، ويرجى التحقق من ساعة الكمبيوتر ...

في الختام، لماذا لا تهدد موقع موكله فقط غير متأكد من أنه لم يدفع المزيد من المال بدلا من ذلك أن تظهر له الحقيقة؟ عندما تريد بيع، وعلى ما يبدو أي شيء يذهب ...