Disclaimer: Kõik siin kirjutatakse, on vaid isikliku arvamuse; Midagi sellist teksti kirjutada avalduse autentsust, ja mitte tugineda mis tahes viisil, eriti mitte aru saada mis tahes äriühing mis tahes teost, tehakse tahtlikult, teadlikult või üldse ...
Kuni aasta tagasi, minu töökohas me kasutame SSL sertifikaatide ostetud Thawte.
Thawte on vanim turg, ja võibolla isegi esimene (ma ei mäleta).
Thawte Samuti on väga kallis. Saad sama teenust teistele teenusepakkujatele kui ka - ja see on samaväärne igaks otstarbeks - mis on - info läbi turvalise täpselt samamoodi.
Miks me isegi vaja SSL sertifikaate luua turvaline ühendus koos kaug-server? Noh, tõde ei ole tegelikult vajalik. Krüpteeritud ühendus võiks luua iseseisvalt ise allkirjastatud SSL sertifikaatide ja kasutada.
Ainsaks puuduseks kujul sellist tööd, on, kui loote sellist minevikku, ja arvuti Knesset allkirjastatud tõendi tema enda, kas sa ei tea, et saidi ühendamiseks see on tõepoolest saidi ootate ühendada see. Äkki keegi sai ühendus keskel, ja vastab teile selle asemel, serveris, kuhu te ühenduda - siis tõesti sinu väljaminev side on tõesti krüpteeritud - aga ei saadetud, kus sa oodata, et see saadetakse, aga kusagil mujal.
Siin on kontseptsioon, et organ, kes vastutab kaks külge märk digitaalallkirja serveri krüptovõtit, nii et kliendid saavad kontrollida kolmanda isikuga nimetatud kolmanda isiku allkirjastatud sertifikaat, ja teatud tüüpi teenuseid, kuigi õigusliku kontrolli teostatakse sama organ, mis ta kirjutas sertifikaat .
Siiani on kõik hästi.
Kui probleem algab?
Probleem algab, seega allkirjastamist on protseduur, mis saab teha arvuti ilma inimese kontakt. See on identne allkiri sõltumatu, ainult, et see allkirjastati kolmanda isiku poolt, kuid sama tehnilist toimimist.
Kahjuks veebibrauserite, on kolmanda osapoole sertifikaadi ainult struktureeritud nagu teenusepakkujad tasu oma allkiri teenust (kuigi on ka teenuseosutajaid, kes tasu ...). See põhjustab et kõik, kes sisse logib kodukale, digitaalse signaali see ei ole alla kirjutanud üks neist äriettevõtetes, mis panevad palju raha tööks paar sekundit, saada hoiatusteate (põhjendatud, selle järgi, mida defineeriti kui brauseri ...), et ala ei pruugi olla usaldusväärsed, et isegi kui sertifikaadi Järjehoidja Koduleht (ründaja, Domain Name jne), - kere tihend ei ole kehtestatud süsteemi usaldusväärsust ja annab kasutaja valida, kas jätkata või mitte.
Kui loend usaldusväärsete allkirjastaja hõlmaks vähemalt üks tasuta teenusepakkuja kõik teised ettevõtted võiksid põhimõtteliselt koju minna, nad on raha täna surfer ei saada hoiatuse, kui ta läks turvalise kohas.
Oletame hetkeks, et tasuta raha selle (paremal) - mitte sellele ametikohale. Nüüd kõik, mida ma olen kirjutanud, on kavas selgitada tehnilise tausta üldse vaja seda teenust.
Nagu eespool selgitatud, kui üks kolmest asjast: pitsat, aegumiskuupäev (algus ja lõpp) domeeninime ei vasta määratletud tingimustele brauser - saate hoiatus. Hoiatus ei tähenda, et ühendus pole turvaline. See tähendab lihtsalt, et see võib Keegi haaras meedia. Kui keegi on haarasid meedia, turvaline side, isegi kui kõik hoiatused karjuvad "ohtu".
Ja siin on probleem.
Maksimeerida kasumit, allkirjastamine digitaalse sertifikaadi on piiratud aja jooksul, nii et seda saab müüa sama "toode" kaks korda. Mis juhtub tegelikult aegunud sertifikaat? Midagi tõesti. Shout brauser - palun - ma kontrollisin kaardi, see kaart korralikult, ta oli allkirjastanud usaldusväärne, mis tähendab, et kui keegi oli varastatud krüpteeritud privaatvõti serverist (mida häkkimine) - Sa isegi ei rääkinud server sa arvad sa räägid - Aga pange tähele - omanik see server lihtsalt ei maksnud mitusada dollarit, nii et saad seda hoiatust. Jällegi - ma rõhutan - täiesti turvaline side samal tasemel - sealhulgas kontrollimise süsteem, kuhu ühendada - just hoiatus popup aknas.
Ja nüüd - saime Poitiers.
Aasta tagasi me otsustasime koht minu töö, vahetada SSL pakkuja, odavam. Lõppude lõpuks, nagu ma seletada, turvalisuse mõttes ei ole vahet.
Ja tegelikult oleme läbi elanud.
Vana tarnija (Thawte) saadab teateid kolm kuud enne aasta lõppu oma allkirja rünnakud, ning kutsub üles taastama allkirja (lisatasu hinnad, nagu tavaliselt). Oleme muidugi ignoreerida, sest meil on juba uus allkirjastatud ja aktiivne, ja kliendid ei saa Fofaf aken (jällegi ei ütle, et ühendus pole turvaline) on perioodi lõpuks, nii et me ei hooli.
Lõpuks viimasel päeval uuendamist, mis me saime email lihtsalt ähvardab, see oli sõnastatud:
"Ärka üles! Järgmised tõend (id) on lõppenud. Saidi ei ole enam turvaline või kinnitatud. "
Ja see poeetiline seda postitust. Pärast selgitades, mida ma eespool selgitasin, on võimalik näha ja mõista, see uuring on täielik vale. Isegi kui me viibis oma kaart - hoiatus ei olnud hüpata, kuid hoiatus oli kirjutatud spetsiaalselt suhtlemine on turvaline, ja pitsat, nii usaldusväärne, just kuupäeva ei kehti, ja palun kontrollige arvuti kella ...
Kokkuvõtteks võib öelda, miks ei ohusta tema kliendi sait lihtsalt ei ole kindel, et ta ei maksnud rohkem raha asemel, et näidata talle tõtt? Kui soovid müüa, ma arvan, et midagi läheb ...