Агаворка: Усе напісанае тут з'яўляецца толькі прыватным меркаваннем, а не ўсё напісана ў гэтым тэксце ў якасці заявы аб праўдзе, не варта спадзявацца ў любым выпадку, асабліва не разумею любой кампаніі, ад любога дзеяння, здзейсненага наўмысна, свядома, ці на ўсіх ...
Да мінулага года, на працоўным месцы, мы выкарыстоўваем SSL сертыфікаты набылі ад Thawte.
Thawte з'яўляецца найстарэйшым рынку, і, магчыма, нават першым (я не памятаю).
Thawte таксама мы наведалі. Вы можаце атрымаць той жа сэрвіс з іншымі пастаўшчыкамі паслуг, а таксама - што эквівалентна ва ўсіх адносінах, - гэта значыць - інфармацыя забяспечана з дапамогай дакладна гэтак жа.
Што, чорт вазьмі SSL сертыфікаты ўсталяваць шыфраваныя злучэнне з выдаленым серверам? Ну, праўда гэта не трэба. Абароненыя злучэнне можна наладзіць самастойна самозаверяющих сертыфікатаў SSL, і выкарыстоўваць іх.
Адзіным недахопам такога віду, з'яўляецца, калі не падпіша такі сайт, перш чым, паставіць кампутар у уласны сертыфікат, вы не можаце ведаць, што на сайце вы падключыце да яго, сапраўды сайце вы збіраецеся падключыцца да яго. Можа быць, хто-небудзь яшчэ ёсць сувязі ў сярэдзіне, то месца на сэрвэры і адказы на якія вы падключыце - і тады выходных сродках масавай інфармацыі, сапраўды, зашыфраваныя з вашага кампутара, - але не паслаў туды, дзе я чакаў, што яна будзе адпраўлена, але ў іншым месцы.
А вось паняцце, што органам, адказным за два бакі падпішуць лічбавай подпісы ключа шыфравання сервера, так што карыстальнікі могуць праверыць у дачыненні да трэцяга боку, што трэцяя бок падпісала сертыфікат, і некаторыя віды паслуг, хоць і юрыдычнай праверкі ажыццяўляецца на тым жа целе, для якіх сертыфікат падпісаны .
Да гэтага часу ўсе добра.
Калі праблема пачынаецца?
Праблема пачынаецца, то яно, працэс падпісання ўяўляе сабой працэдуру, якая можа быць зроблена з дапамогай кампутара, без чалавечых кантактаў. Гэта дакладна такі ж незалежнай подпісы, толькі што падпісаны трэцяй бокам, але тыя ж тэхнічныя дзеянні.
На жаль, вэб-браўзэры, Ёсць трэцяя бок карты, пабудаваныя цалкам з такіх паслуг спаганяць плату за сваю подпіс абслугоўванне (хоць некаторыя пастаўшчыкі паслуг не спаганяць плату ...). Гэта прыводзіць, што ўсе, хто ўваходзіць у сайт, яго прызначэнне не лічбавы падпісаныя адным з гэтых гандлёвых кампаній падмацавана шмат грошай за дзеянні ў некалькі секунд, будзе атрымліваць папярэджаньне (апраўданым з пункту гледжання таго, што пэўны браўзэр ...), што сайт не можа быць надзейным, што, хаця сертыфікат Абарона адпаведных (сапраўды, дамен і г.д.) - ушчыльненне корпуса не настроены як давяраюць ў сістэме, і гэта дае карыстальніку абраць, ці варта працягваць ці не.
Калі ў спісе краін, якія падпісалі давяралі паслуг па крайняй меры адзін свабодны, усім астатнім кампаніям, у асноўным можа ісці дадому, яны робяць грошы сёння карыстальнік не будзе атрымліваць папярэджаньні, калі ён увайшоў у бяспечны сайт.
Дапусцім на хвіліну, той факт, што сабраныя грошы на гэта (справа) - не на гэтую пасаду. Цяпер усё, што я напісаў заклікана растлумачыць тэхнічныя фон на ўсім патрэбна гэтая паслуга.
Як адзначалася вышэй, як толькі адзін з трох рэчаў: друку, тэрмін дзеяння (пачатак і заканчэнне) і складаны, не адпавядае ўмовам, паказаным у браўзэры - вы атрымаеце папярэджанне. Папярэджаньне, не азначае, што злучэнне не з'яўляецца бяспечным. Яна толькі кажа, што хтосьці схапіў сродкаў масавай інфармацыі. Калі ні адзін схапіў сувязі, надзейнай сувязі, нават калі ўсе папярэджання крычаць "небяспекі".
А вось і праблемы.
Каб максимизировать прыбытак, падпісанне лічбавага сертыфіката на працягу абмежаванага часу, так што мы можам прадаваць той жа "прадукт" ў два разы. Што адбываецца на самой справе сертыфіката мінуў? Нічога на самой справе. Браўзэр ў рупар - Заўвага - Я праверыў карты, гэтая карта правільна, яна была падпісаная надзейнага крыніцы, што азначае, калі хтосьці скраў зашыфраваны сакрэтны ключ з сервера (шляхам узлому) - Вы нават не гаварыць на сервер вы думаеце, вы кажаце - Але звярніце ўвагу - уладальнік гэтага сервера проста не плаціць некалькі сотняў даляраў, каб не паказаць вам гэта папярэджанне. Зноў жа - я падкрэсліваю - цалкам бяспечныя камунікацыі на тым жа ўзроўні - у тым ліку праверкі сістэмы, да якой вы падключаецца да - усяго толькі папярэджанне ўсплываючае акне.
А цяпер - мы атрымалі паэтычны.
Год таму мы вырашылі размясціць сваю працу, прайсці яшчэ адзін пастаўшчык SSL, менш дарагім. У рэшце рэшт, як я ўжо гаварыў з пункту гледжання інфармацыйнай бяспекі, няма ніякай розьніцы.
На самой справе мы перажылі.
Стары носьбіт (Thawte) пасылае папярэджанні ад 3 месяцаў да заканчэння іх падпісання, і заклікае да аднаўлення подпісы (высокія цэны, як звычайна). Мы, вядома, улічваць, што ў нас ужо ёсць новы сертыфікат, і актыўны, і кліенты не атрымліваюць PopUp акна (зноў жа, не кажу, што злучэнне не з'яўляецца бяспечнай) на канец перыяду; Такім чынам, мы не турбуе.
У рэшце рэшт, гэта ў апошні дзень абнаўлення, якія толькі што атрымалі пагражаюць ліста, які сфармуляваў:
"Дзейнічайце зараз! Наступныя Пасведчанне (а) мінуў. Ваш сайт больш не бяспечны або пацверджана ".
І гэты паэтычны слупа. Пасля таго як я патлумачыў, што я патлумачыў вышэй, можна ўбачыць і зразумець, гэта выпрабаванне з'яўляецца поўная хлусьня. Нават калі б мы засталіся з іх пасведчанні асобы, - хоць бы папярэджанне скокнуць, але папярэджаньне, што яна кажа, сродкі масавай інфармацыі таксама пэўна бяспекі, друк настолькі надзейныя, толькі даты не дзейнічае, мы правяраем гадзіннік камп'ютэра ...
У заключэнне, чаму б не пагражаць яго кліент не быў упэўнены, што сайт толькі таму, што той не плаціў больш грошай, замест таго каб паказваць яму праўду? Калі вы жадаеце прадаць, здаецца, што ўсё дазволена ...