Disclaimer: Alle schriftlichen hier ist nur eine private Meinung; Keine dieser Text wurde als eine Erklärung der Authentizität geschrieben, und nicht darauf verlassen in irgendeiner Weise, insbesondere nicht für jedes Unternehmen von einer Handlung zu verstehen durchgeführt absichtlich, wissentlich oder überhaupt ...
Bis vor einem Jahr, an meinem Arbeitsplatz verwenden wir SSL-Zertifikate von Thawte gekauft.
Thawte ist der älteste Markt, und vielleicht sogar die erste (ich erinnere mich nicht).
Thawte wird auch sehr teuer. Sie können den gleichen Service zu anderen Anbietern auch - und ist gleichwertig für alle Zwecke - das ist - die Informationen über einen sicheren genau die gleiche Weise.
Warum brauchen wir sogar SSL-Zertifikate, um eine verschlüsselte Verbindung mit einem Remote-Server herzustellen? Nun, die Wahrheit ist nicht wirklich notwendig. Verschlüsselte Verbindung konnte unabhängig von der self-signed SSL-Zertifikate, und verwenden Sie hergestellt werden.
Der einzige Nachteil in der Form einer solchen Arbeit ist, es sei denn, Sie eine Verbindung zu einer solchen Vergangenheit, und Ihr Computer Knesset unterzeichnet das Zertifikat seiner eigenen, wissen Sie nicht, dass die Website, die Sie zu verbinden, ist in der Tat die Website, die Sie erwarten, um eine Verbindung herzustellen. Vielleicht hat jemand anderes hat die Verbindung in der Mitte, und reagiert auf sie anstelle des Servers, die Sie verbinden - dann in der Tat Ihre ausgehende Kommunikation ist in der Tat verschlüsselt - aber nicht zu richten, wo Sie es verschickt werden erwartet, aber woanders.
Hier kommt das Konzept, dass ein Körper mit den beiden Seiten berechnet eine digitale Signatur auf der Server-Schlüssel unterschreiben, so dass Kunden mit einem Dritten, dass Dritte das Zertifikat, und bestimmte Arten von Dienstleistungen unterzeichnet überprüfen, obwohl rechtlichen Überprüfung auf der gleichen Stelle, die er unterzeichnet die Bescheinigung durchgeführt .
So weit so gut.
Wo beginnt das Problem?
Das Problem beginnt, so wird die Signatur-Prozess ein Verfahren, das von einem Computer vorgenommen werden können, ohne menschlichen Kontakt. Dies ist identisch mit der Unterschrift eines unabhängigen, nur dass es von einer dritten Partei unterzeichnet, aber die gleichen technischen Betrieb.
Leider Web-Browser gibt es Zertifikate von Drittanbietern nur so strukturiert, Dienstleister kostenlos für ihre Signatur-Service (allerdings gibt es Dienstleister, die eine Gebühr ...). Dies führt dazu, dass alle, die sich auf der Website anmeldet, das digitale Signal nicht durch eine dieser kommerziellen Firmen, die eine Menge Geld für den Betrieb von ein paar Sekunden zu verhängen, wird eine Warnmeldung angezeigt (gerechtfertigt, in dem, was war da der Browser definiert ...), dass die Seite möglicherweise nicht zuverlässig unterschrieben, dass, selbst wenn das Zertifikat Bookmark Website (Angreifer, Domain Name, etc.) - der Körper Dichtung ist nicht die Zuverlässigkeit des Systems gesetzt, und es gibt dem Benutzer wählen, ob sie fortgesetzt wird oder nicht.
Wenn die Liste der vertrauenswürdigen Unterzeichner mindestens eine freie Dienstleister umfassen würde, all die anderen Unternehmen konnten im Grunde nach Hause gehen, sie machen heute Geld für Surfer erhalten keine Warnung, wenn er auf eine sichere Seite gegangen.
Nehmen wir für einen Moment, um die Tatsache, dass Geld nehmen für diese (rechts) - nicht zu diesem Beitrag. Alles was ich jetzt geschrieben habe, soll der technische Hintergrund auf alle brauchen diesen Service zu erklären.
Wie oben erläutert, einst eines der drei Dinge: ein Siegel, das Ablaufdatum (Start und Ziel) Domain-Namen, nicht die Voraussetzungen erfüllen, in den Browser definiert - Sie erhalten eine Warnung. Die Warnung bedeutet nicht, dass die Verbindung nicht sicher ist. Es bedeutet nur, dass es jemand den Medien entrissen. Wenn niemand die Medien, sichere Kommunikation, auch wenn alle Warnungen schreien "Gefahr" packte.
Und hier kommt das Problem.
Um die Gewinne zu maximieren, die Unterzeichnung eines digitalen Zertifikats ist für eine begrenzte Zeit, so kann es die gleiche "Produkt" zweimal zu verkaufen. Was passiert eigentlich abgelaufenes Zertifikat? Eigentlich nichts. Shout Browser - bitte beachten - Ich überprüfte die Karte, diese Karte richtig, wurde sie von einer zuverlässigen, was bedeutet, dass, wenn jemand die verschlüsselten privaten Schlüssel vom Server (durch Hacking) gestohlen hatte bedeutet, unterzeichnet - Du bist nicht einmal im Gespräch mit dem Server, den Sie denken, Sie sprechen - Aber beachten Sie - der Besitzer dieses Servers einfach nicht zahlen mehrere hundert Euro, so dass Sie diese Warnung erhalten. Again - ich betone - absolut sichere Kommunikation auf der gleichen Ebene - einschließlich der Überprüfung, an das Sie eine Verbindung herstellen - nur eine Warnung Popup-Fenster.
Und jetzt - wir haben nach Poitiers.
Vor einem Jahr haben wir beschlossen, meinen Arbeitsplatz, zu einem anderen wechseln SSL-Anbieter, weniger teuer. Schließlich, als ich erklärte, in Bezug auf Sicherheit, gibt es keinen Unterschied.
Und in der Tat was wir durchgemacht haben.
Old Lieferanten (Thawte) sendet Warnungen von drei Monaten vor dem Ende ihrer Unterschrift Angriffe und fordert die Signatur (Premium-Preise, wie üblich) wieder aufzunehmen. Wir sind natürlich ignoriert, da haben wir schon ein neues Zertifikat signiert und aktiv, und die Kunden erhalten keine Fofaf Fenster (auch hier nicht sagen, dass die Verbindung nicht sicher ist) am Ende der Periode; so ist uns egal.
Schließlich, am letzten Tag der Erneuerung, die wir erhalten eine E-Mail nur bedrohlich, es war formuliert:
"JETZT HANDELN! Die folgenden Certificate (s) abgelaufen ist. Ihre Website ist nicht mehr sicher oder bestätigt. "
Und das ist in diesem Beitrag nicht poetisch. Nach der Erläuterung, was ich oben erklärt, kann man sehen und zu verstehen, ist diese Studie eine komplette Lüge. Selbst wenn wir mit ihrer Karte blieb - eine Warnung tat, war zu springen, aber Warnung wurde speziell für die Kommunikation ist sicher geschrieben und Dichtung so zuverlässig, ist nur das Datum nicht gültig ist, und überprüfen Sie bitte die Uhr des Computers ...
Abschließend, warum nicht bedrohen seine Kunden vor Ort einfach nicht sicher, dass er nicht mehr bezahlen Geld statt zu zeigen, ihm die Wahrheit? Wenn Sie verkaufen wollen, ich denke, alles geht ...