Disclaimer: Kõik siin kirjutatakse, on vaid isikliku arvamuse, mitte kõik kirjalikud Käesolevas tekstis avaldus tõde, mitte tugineda kuidagi eriti ei mõista, iga ettevõte igasugusest tegevusest läbi tahtlikult, teadlikult või üldse ...
Aasta tagasi minu töökoht, me kasutada SSL sertifikaatide ostetud Thawte.
Thawte on vanim turg, ja võibolla isegi 1. (ma ei mäleta).
Thawte on ühtlasi väga kallis. Saad sama teenust teistele teenusepakkujatele kui ka - ja see on samaväärne igaks otstarbeks - mis on - teave tagatud läbi täpselt samamoodi.
Miks me üldse vaja luua SSL sertifikaatide krüpteeritud Seoses serveri? Noh, tõde ei ole tegelikult vajalik. Võimalik luua turvaline ühendus iseseisvalt iseallkirjastatud SSL sertifikaatide ja neid kasutada.
Ainsaks puuduseks kujul selline töö on, kui sa ühendada nii minevikus, ja arvuti Knesset allkirjastatud tõendi tema enda, sa ei tea saidi ühendamiseks see on tõepoolest kohapeal ootate ühendada see. Äkki keegi sai ühendus keskel, ja vastab siis selle asemel, et server kuhu ühendada - siis tõepoolest teie väljaminev side on tõesti krüpteeritud - aga ei saadetud, kus sa oodata, et see saadetakse, aga kusagil mujal.
Siin on mõiste, mis keha süüdistus kahe poole kirjutab digitaalallkirja serveri krüptovõtit, nii et klient saab kontrollida kolmanda isikuga, et kolmandate isikute allkirjastatud sertifikaat, ja teatud tüüpi teenuseid, kuigi õigusliku kontrolli käigus sama asutus, kes ta allkirjastatud sertifikaadi .
Siiani on kõik hästi.
Kui probleem hakkab?
Probleem algab seega allkirjastamist on protseduur, mida saab teha arvuti ilma inimese sekkumiseta. See on identne allkiri sõltumatu, ainult et see allkirjastatud kolmanda isiku poolt, kuid sama tehnilist toimimist.
Kahjuks brausereid, on kolmanda osapoole kaardid ehitatud ainult need pakkujad, kes tasu eest oma allkirja teenust (kuigi seal on teenusepakkujad, kes tasu ...). See põhjustab, et kõik, kes sisse logib kodukale, digitaalse signaali see ei ole alla kirjutanud üks neist äriühingud, mis panevad palju raha tööks paar sekundit, saavad hoiatuse (põhjendatud osas, mida defineeriti kui brauseri ...), et ala ei pruugi olla usaldusväärsed, et isegi kui sertifikaat sobivaid isiklikke koha (kehtiv domeeninimi jm) - kere tihend ei ole kehtestatud süsteemi usaldusväärsust, ja see annab kasutajale valida, kas jätkata või mitte.
Kui Allkirjastaja oli usaldusväärne teenusepakkuja on vähemalt üks tasuta, kõik teised ettevõtted võiksid põhimõtteliselt koju minna, nad teevad raha täna surfer ei saa hoiatus, kui ta asus turvalises kohas.
Oletame hetkeks, et tasuta raha selle (paremal) - mitte sellele ametikohale. Nüüd kõik, mida ma olen kirjutanud eesmärk selgitada tehnilise tausta üldse vaja seda teenust.
Nagu eespool selgitatud, kui üks 3 asja: seal, kehtivuse tähtajad (algus ja lõpp), kui keeruline, ei vasta tingimustele määratletud brauser - antakse hoiatus. Hoiatus ei tähenda, et ühendus pole turvaline. See tähendab lihtsalt, et see võib keegi haaras meedia. Kui keegi on haarasid meedia, turvalise side, isegi kui kõik hoiatused karjuvad "ohtlik".
Ja siin on probleem.
Maksimeerida kasumit, kirjutades digitaalne sertifikaat on piiratud aja jooksul, et ta saaks müüa sama "toode" kaks korda. Mis juhtub tegelikult aegunud sertifikaat? Midagi tõesti. Browser karjuda - märkus - ma kontrollisin sertifikaadi See tunnistus korralikult, ta oli allkirjastanud usaldusväärne, mis tähendab, et kui keegi on varastatud krüpteeritud isiklik võti serverist (mida häkkimise) - sa isegi räägid server sa arvad sa räägid - Aga pange tähele - omanik see server lihtsalt ei maksnud mitusada dollarit, nii et saad seda hoiatust. Jällegi - ma rõhutan - täiesti turvaline side samal tasemel - sealhulgas kontrollimise süsteemi, mis ühendavad - lihtsalt hoiatus popup aknas.
Ja nüüd - saime Poitiers.
Aasta tagasi me otsustasime panna oma tööd lähevad teise SSL poole vähem kõrge hinnaga. Lõppude lõpuks, kui ma selgitasin, turvalisuse mõttes, ei ole vahet.
Ja tegelikult oleme läbi elanud.
Vana tarnija (Thawte) saadab teateid kolm kuud enne aasta lõppu oma allkiri rünnakud ja kutsub üles taastama allkirja (premium hinnaga, nagu tavaliselt). Me muidugi ignoreerida, sest meil on juba uus allkirjastatud ja aktiivne, ja kliendid ei saada popup akna (jällegi ei ütle, et ühendus pole turvaline) on perioodi lõpuks, et me ei hooli.
Lõpuks on see viimane päev uudne, mida kuulsime email lihtsalt ähvardab, see sõnastati:
"Ärka üles! Järgmised tunnistus (ed) on lõppenud. Saidi ei ole enam turvaline või kinnitada. "
Ja see poeetiline selles postituses. Pärast selgitades, mida ma eespool selgitasin, võib näha ja mõista, see lause on täiesti vale. Isegi kui me viibis oma kaardi - hoiatus, tõepoolest oli hüpped, kuid hoiatus oli kirjutatud spetsiaalselt suhtlemine on turvaline, ja pitseerib nii usaldusväärne, just kuupäeva ei kehti, ja kontrollige arvuti kella ...
Kokkuvõtteks võib öelda, miks ei ohusta tema klient sait lihtsalt ei ole kindel, et ta ei maksnud rohkem raha asemel et näidata talle tõtt? Kui soovid müüa, ilmselt midagi läheb ...