Disclaimer: Alle skrevet her er kun en privat udtalelse, ikke alle er skrevet i denne tekst som en erklæring om sandhed, og ikke stole på det på nogen måde, især ikke til at forstå noget selskab fra enhver handling udført med vilje, bevidst eller overhovedet ...
For et år siden, på min arbejdsplads, brugte vi SSL-certifikater købt fra Thawte.
Thawte er den ældste marked, og måske endda den første (jeg ikke huske).
Thawte også være meget dyrt. Du kan få den samme service til andre tjenesteudbydere som godt - og svarer til alle formål - det er - den information sikres gennem præcis samme måde.
Hvorfor vi endda nødt til at oprette SSL-certifikater krypteret forbindelse med en ekstern server? Tja, sandheden er egentlig ikke nødvendigt. Mulighed for at oprette en krypteret forbindelse uafhængigt af selvsignerede SSL-certifikater, og bruge dem.
Den eneste ulempe i form af dette arbejde, er, medmindre du opretter forbindelse til en sådan fortid, og din computer Knesset underskrevet certifikatet for sin egen, kan du ikke vide det websted, du opretter forbindelse til det, er faktisk det websted, du forventer at oprette forbindelse til den. Måske en anden fik tilslutning i midten, og reagerer på dig i stedet for den server, som du tilslutter - så ja dine udgående kommunikation er faktisk krypteret - men ikke sendt til, hvor du forventer, at det sendes, men et andet sted.
Her kommer begrebet, at et organ, der med de to sider vil underskrive en digital signatur på serverens krypteringsnøglen, så kunden kan kontrollere med en tredjepart, som tredjepart underskrevet certifikatet, og visse former for service, selv om juridisk kontrol udføres på den samme krop, som han underskrev attesten .
Så langt så godt.
Hvis problemet starter?
Problemet begynder således signaturen er en procedure, der kan fremstilles ved en computer, uden menneskelig indgriben. Dette er identisk med underskrivelsen af en uafhængig, kun at det er underskrevet af en tredjepart, men den samme tekniske drift.
Desværre, webbrowsere, der er tredjepart kort bygget udelukkende de udbydere, der opkræver et gebyr for deres underskrift service (skønt der er udbydere, der opkræver et gebyr ...). Dette bevirker at alle, der logger på stedet, det digitale signal dette ikke er underskrevet af en af disse kommercielle virksomheder, der pålægger en masse penge til driften af et par sekunder, modtager en advarsel (som skal begrundes i forhold til hvad der blev defineret som en browser ...), at stedet ikke kan være sikker, at selv om certifikatet egnede personlige websted (gyldigt domænenavn, osv.) - kroppen forseglingen ikke er indstillet systemets pålidelighed, og det giver brugeren mulighed for at vælge, om du vil fortsætte eller ej.
Hvis underskriverne blev betroet udbyder omfatter mindst en fri, kunne alle de andre selskaber dybest set gå hjem, er de at tjene penge i dag for en surfer ikke modtager en advarsel, da han trådte et sikkert sted.
Antag for et øjeblik på, at tager penge for det (til højre) - ikke på dette indlæg. Nu er alt jeg har skrevet til formål at forklare den tekniske baggrund overhovedet brug for denne service.
Som nævnt ovenfor, når en af tre ting: sæl, gyldighed datoer (start og slut), hvor kompleks, ikke opfylder betingelserne i browseren - du modtager en advarsel. Advarslen betyder ikke, at forbindelsen ikke er sikker. Det betyder blot, at det kan nogen greb medierne. Hvis ingen har grebet de medier, sikker kommunikation, selv om alle de advarsler skriger "fare".
Og her kommer problemet.
For at maksimere profit, underskrive et digitalt certifikat er for en begrænset tid, så det kan sælge den samme "vare" to gange. Hvad sker der egentlig udløbet certifikat? Intet virkelig. Browser råb - Bemærk - jeg tjekkede certifikatet, dette certifikat ordentligt, blev hun underskrevet af en pålidelig, hvilket betyder, at hvis nogen har stjålet den krypterede private nøgle fra serveren (ved hacking) - du selv taler til den server, du tror, du taler med - Men bemærk - ejeren af denne server simpelthen ikke betale flere hundrede dollars, så du får denne advarsel. Igen - jeg understreger - absolut sikker kommunikation på samme niveau - herunder kontrol system, som forbinder - bare en advarsel popup-vindue.
Og nu - vi kom til Poitiers.
For et år siden, besluttede vi at lægge mit arbejde, gå en anden SSL-udbyder, færre dyre. Efter alt, som jeg forklarede med hensyn til sikkerhed, er der ingen forskel.
Og i virkeligheden har vi været igennem.
Gammel leverandør (Thawte) sender beskeder fra tre måneder før udløbet af deres underskrift angreb, og opfordrer til at genoptage signatur (premium priser, som sædvanlig). Vi er naturligvis ignorere, fordi vi allerede har et nyt certifikat signeret og aktiv, og kunderne vil ikke modtage popup-vindue (igen, ikke at sige, at forbindelsen ikke er sikker) i slutningen af perioden, så vi er ligeglade.
I sidste ende er det den sidste dag i nyhed, som vi fik en e-mail lige truende, blev det formuleret:
"GØR NOGET NU! Følgende Certificate (r) er udløbet. Din hjemmeside er ikke længere sikker eller valideret. "
Og det er poetiske i dette indlæg. Efter at have forklaret, hvad jeg forklaret ovenfor, kan man se og forstå, denne sætning er helt forkert. Selv hvis vi havde opholdt sig med deres kort - en advarsel, ja sprang, men en advarsel blev skrevet specifikt med kommunikation er sikker, og forsegle så pålidelige, bare datoen ikke er gyldig, og du tjekke computerens ur ...
Konklusionen er, hvorfor så ikke true hans klient hjemmeside bare ikke sikker på, at han ikke betale flere penge i stedet for at vise ham sandheden? Når du ønsker at sælge, tilsyneladende noget går ...