Descàrrec de responsabilitat: Tots els textos aquí és només una opinió personal, no tot escrit en aquest text com una declaració de la veritat, i no dependre de cap manera, no especialment per entendre qualsevol empresa de qualsevol acte realitzat intencionalment, a posta, o en absolut ...
Fa un any, en el meu lloc de treball, hem utilitzat els certificats SSL de Thawte adquirits.
Thawte és el mercat més antic, i potser fins i tot la primera (no recordo).
Thawte també està sent molt car. Vostè pot obtenir el mateix servei a altres proveïdors de serveis, així - i és equivalent amb caràcter general - és a dir - la informació obtinguda a través de la mateixa manera.
Per què tan sols necessita per configurar certificats SSL connexió xifrada amb un servidor remot? Bé, la veritat no és realment necessari. És possible establir una connexió xifrada de manera independent amb signatura de certificats SSL, i usar-los.
L'únic inconvenient a la forma d'aquest treball, és a dir, a menys que es connecti a un passat, i el Knesset equip va signar el certificat de la seva propietat, no es pot saber el lloc que s'està connectant a aquesta, és sens dubte el lloc que vostè espera per connectar-se a ell. Potser algú més té la connexió en el medi, i respon al fet que en lloc del servidor que connecta - llavors certament les seves comunicacions de sortida és de fet xifrat -, però no s'envien a on s'espera que sigui enviat, però en un altre lloc.
Aquí ve el concepte de que un òrgan encarregat de les dues parts signaran una signatura digital en clau de xifrat del servidor, de manera que el client pot comprovar amb un tercer, aquest tercer va signar el certificat, i certs tipus de servei, tot i la verificació jurídica realitzada en el mateix òrgan que va signar el certificat de .
Fins aquí tot bé.
On comença el problema?
El problema comença, per tant, el procés de signatura és un procediment que pot ser feta per un ordinador, sense intervenció humana. Això és idèntic a la signatura d'un independent, només que signat per un tercer, però l'operació tècnica mateixa.
Desafortunadament, els navegadors web, hi ha targetes de tercers construït únicament els proveïdors de serveis que cobren una tarifa pel seu servei de firma (encara que hi ha proveïdors de serveis que cobren una tarifa ...). Això fa que tots els que entreu en el lloc, el senyal digital no està signada per una d'aquestes empreses comercials que imposen un munt de diners per a l'operació d'uns pocs segons, rebrà un missatge d'advertència (que s'han de justificar en termes del que es va definir com un navegador ...) que el lloc no poden ser fiables, que fins i tot si el certificat lloc apropiat personal (nom de domini vàlid, etc) - el segell del cos no s'ha establert la fiabilitat del sistema, i que ofereix a l'usuari decidir si vol continuar o no.
Si els signants va ser el proveïdor de serveis de confiança inclou almenys una gratuïta, totes les altres empreses, bàsicament, podria anar a casa, que estan fent diners avui mateix per a una persona que practica surf no rep un avís quan va entrar en un lloc segur.
Suposem per un moment el fet que cobren diners per a aquest (dreta) - no en aquest blog. Ara tot el que he escrit està destinat a explicar la formació tècnica en tota la necessitat d'aquest servei.
Com es va explicar anteriorment, una vegada que una de les tres coses: la foca, les dates de validesa (inici i final), on complexa, no compleix amb les condicions definides en el navegador - que rebrà una advertència. L'advertiment no significa que la connexió no és segura. Només significa que pot ser que algú va prendre els mitjans de comunicació. Si ningú ha acaparat els mitjans de comunicació, comunicacions segures, fins i tot si totes les advertències cridant "perill".
I aquí ve el problema.
Per maximitzar els beneficis, la signatura d'un certificat digital és per un temps limitat, pel que pot vendre el mateix "producte" dues vegades. Què passa en realitat certificat caducat? En realitat res. Crit de Navegador - Nota - Ho vaig comprovar el certificat, el certificat correctament, que va ser signat per un sistema fiable, el que significa que a menys que algú li ha robat la clau de xifrat privada del servidor (per la pirateria) - vostè pot fins i tot parlar amb el servidor on creus que estàs parlant - Fixeu-vos, - l'amo d'aquest servidor simplement no pagar diversos centenars de dòlars perquè vostè rebrà aquest advertiment. Una vegada més - insisteixo - la comunicació absolutament segura en el mateix nivell - incloent el sistema de verificació que es connecten - només una finestra d'avís emergent.
I ara - arribem a Poitiers.
Fa un any, hem decidit posar la meva feina, passar a un altre proveïdor de SSL, menys car. Després de tot, com he explicat, en termes de seguretat, no hi ha cap diferència.
I de fet el que hem passat.
Proveïdor d'Old (Thawte) envia missatges d'alerta de tres mesos abans de la fi dels atacs de les seves firmes, i crida a reprendre la signatura (preus més alts, com de costum). Nosaltres, per descomptat, ignorar, perquè ja tenim un nou certificat signat i actiu, i els clients no rebran finestra emergent (de nou, sense dir que la connexió no és segura) al final del període, així que no m'importa.
Al final, és l'últim dia de la novetat, que ens van donar un correu electrònic acaba d'amenaçar, que es va formular:
"ACTUAR ARA! El següent certificat (s) ha expirat. El seu lloc ja no és segura o validat. "
I això és poètica en aquest post. Després d'explicar el que s'explica més amunt, es pot veure i entendre, aquesta frase és completament fals. Fins i tot si ens haguéssim quedat amb la seva targeta - una advertència que de fet estava saltant, però una advertència va ser escrit específicament amb la comunicació és segura, i segellar tan fiable, igual que la data no és vàlida, i si us plau consulteu el rellotge de l'equip ...
En conclusió, per què no posar en perill el seu lloc del client, no només assegurar-se que no pagui més diners en lloc de mostrar-li la veritat? Quan es vol vendre, pel que sembla, tot s'hi val ...