Отговорности: Всички писмени тук е само лично мнение; Никой на този текст е написан като изявление за автентичност, а не разчитат на него по никакъв начин не особено, за да разберем всяка компания от всякакви действия, извършени умишлено, съзнателно, или на всички ...
До преди една година, в моя работното място ние използваме SSL сертификати, закупени от Thawte.
Thawte е най-старият пазар, и може би дори на първа (не помня).
Thawte е също е много скъпо. Можете да получите и съща услуга на други доставчици на услуги, както и - и е еквивалентен във всички случаи - това е - информацията чрез сигурна точно по същия начин.
Защо е необходимо дори SSL сертификати за създаване на криптирана връзка с отдалечен сървър? Е, истината не е наистина необходимо. Криптирана връзка може да се установи независимо от самоподписани SSL сертификати, както и използване.
Единственият недостатък във формата на тази работа, е, освен ако не се свърже с такова минало, и вашия компютър Кнесета подписа сертификат за собствената си, не знаеш ли, че сайтът се свързвате към него, е наистина на сайта, който се очаква да се свърже с него. Може би някой друг има връзка в средата, и отговаря на вас, вместо на сървър, който се свързвате - тогава наистина си изходящи комуникации наистина е криптирана - но не се изпраща до мястото, където се очаква да бъдат транспортирани, но някъде другаде.
Тук идва идеята, че един орган, натоварен с двете страни ще подпишат цифров подпис на ключа за шифроване на сървъра, така че клиентите могат да проверят с трета страна, която трета страна, подписаха сертификат, както и някои видове услуги, въпреки че юридически проверка се провежда на същия орган, който той подписа сертификат .
Дотук добре.
Когато проблемът започва?
Проблемът започва, по този начин, подписа процес е процедура, която може да се направи от един компютър, без контакт с хора. Това е идентичен с подписа на един независим, а само че подписан от трета страна, но същите технически операция.
За съжаление, уеб браузъри, там са граждани на трета страна сертификати само структурирани като доставчици на услуги такса за подписа си услуга (въпреки че има доставчици на услуги, които събират такса ...). Това причинява че всички, които влезе в сайта, цифров сигнал това не е подписан от един от тези търговски дружества, които налагат много пари за операцията на няколко секунди, получавате предупредително съобщение (оправдано от гледна точка на това, което се определя като браузър ...), че сайтът не може да бъде надеждна, че дори ако сертификатът Bookmark Уебсайт (нападател, Domain Name, и т.н.) - тялото печат не е настроен надеждността на системата, и го дава на потребителя да избере дали да продължи или не.
Ако списъкът на подписалите доверие ще включва най-малко един свободен доставчик на услуги, всички други дружества, основно може да се прибера вкъщи, те са печелене на пари днес за сърфист няма да получите предупреждение, когато отиде на сигурно място.
Да предположим за момент, на факта, че искат пари за това (дясно) - не по тази публикация. Сега всичко, което са писали е предназначен да обяснят техническите фона на всички се нуждаят от тази услуга.
Както е обяснено по-горе, веднъж един от следните три неща: печат, дата на валидност (старта и финала) име на домейн, не отговаря на условията, определени в браузъра - получавате предупреждение. Предупреждението не означава, че връзката не е сигурна. Това просто означава, че може някой грабна медии. Ако никой не е сграбчи медиите, сигурни комуникации, дори ако всички предупреждения крещи "опасно".
И тук идва проблемът.
За да максимизират печалбите, подписване на цифров сертификат е за ограничен период от време, така че могат да продават едни и същи "продукт" два пъти. Какво се случва всъщност изтекъл сертификат? Нищо наистина. Shout браузър - моля, имайте предвид - аз проверих картата, тази карта правилно, тя е подписана от надеждна, което означава, че ако някой е откраднал криптирана частния ключ от сървъра (чрез хакване) - Вие не сте дори да говорите с сървъра, който мислиш, че си говоря с - Но имайте предвид - собственик на този сървър просто не плати няколко стотин долара, така че вие ще получите това предупреждение. Отново - искам да подчертая - абсолютно сигурна комуникация на същото ниво - в това число проверка система, към която се свързвате - само предупреждение, изскачащ прозорец.
И сега - ние трябва да Поатие.
Преди една година, ние решихме да поставят работата си, да преминат към друг доставчик на SSL, по-малко скъпо. В края на краищата, както обясни, по отношение на сигурността, няма разлика.
И всъщност ние сме били през.
Стария доставчик (Thawte) изпраща сигнали от три месеца преди края на подписа си атаки, и призовава за възобновяване на подпис (високи цени, както обикновено). Ние, разбира се пренебрегне, защото вече имаме нови подписан сертификат и активни, и клиентите няма да получат Fofaf прозорец (отново, не казвам, че връзката не е сигурна) в края на периода, така че не ни пука.
И накрая, в последния ден на подновяване, които сме получили имейл, просто заплашва, тя е формулирана:
"Действайте сега! Следните Сертификат (и) е изтекъл. Вашият сайт вече не е сигурна или утвърдени. "
И това е поетично в тази публикация. След като обяснява това, което обяснено по-горе, може да се види и разбере, че това проучване е пълна лъжа. Дори ако бяхме останали с карта - предупреждение направих беше скок, но предупреждение е написана специално с комуникацията е сигурен и надежден печат така, само датата не е валиден, и моля, проверете часовник на компютъра ...
В заключение, защо да не застраши мястото на клиента му просто не сте сигурни, че не са платили повече пари, вместо да му покаже истината? Когато искате да продадете, предполагам, че нещо не е ...