توجه : تمام نوشته شده است در اینجا تنها یک نظر خصوصی ، هیچ کدام از این متن به عنوان یک دستور از اعتبار نوشته شده بود ، و بر روی آن تکیه می کنند و نه به هیچ وجه ندارد ، به خصوص هر شرکت از انجام هر عمل را درک عمد ، آگاهانه ، و یا در تمام...
تا یک سال پیش ، در محل کار من ، ما استفاده از گواهینامه SSL خریداری شده از THAWTE.
THAWTE قدیمی ترین در بازار است ، و شاید حتی اولین بار (به خاطر نمی آورم).
THAWTE است نیز بسیار گران است. شما می توانید این سرویس را به دیگر ارائه دهندگان خدمات و دریافت -- برابر است و برای تمام اهداف -- که -- اطلاعات را از طریق یک امن دقیقا به همان شیوه.
چرا ما حتی نیاز به گواهینامه های SSL برای ایجاد یک ارتباط رمز شده با یک سرور از راه دور؟ خوب ، حقیقت این است که واقعا ضروری نیست. اتصال رمز شده می تواند به طور مستقل توسط گواهی SSL خود را امضا کرد ، و استفاده از تاسیس شده است.
اشکال فقط در صورت چنین کاری ، است ، مگر اینکه شما به چنین گذشته متصل شود ، و کنست کامپیوتر خود را امضا گواهی خود را ، آیا می دانید که سایت شما از اتصال به آن ، در واقع سایت شما انتظار برای اتصال به آن نیست. شاید فرد دیگری هم اتصال در وسط ، و پاسخ به شما به جای اتصال به سرور که به شما -- پس از آن در واقع ارتباطات خروجی خود را در واقع رمز -- اما نه برای فرستاده که در آن شما انتظار آن را حمل می شود ، اما در جایی دیگر.
در اینجا می آید این مفهوم است که یک بدن متهم به دو طرف یک امضای دیجیتال در رمزنگاری کلید سرور ، ثبت نام تا مشتریان می توانند با شخص ثالث که شخص ثالث را امضا گواهی نامه ، و انواع خاصی از خدمات بررسی ، اگر چه بررسی های قانونی در بدن همان که او آن را امضا گواهی انجام .
تا به حال خیلی خوب است.
که مشکل شروع می شود؟
مشکل آغاز می شود ، در نتیجه ، روند امضای یک روش است که می تواند توسط یک کامپیوتر ، ساخته شده است بدون تماس با انسان است. این یکسان است به امضای مستقل ، تنها است که آن را توسط یک شخص ثالث به امضا رساند ، اما همان عملیات فنی.
متاسفانه ، مرورگرهای وب ، از شخص ثالث تنها به گواهی ساختار از جمله خدمات شارژ ارائه دهندگان خدمات را برای امضای خود را (اگر چه ارائه دهندگان خدمات که مسئول پرداخت هزینه وجود دارد...). این باعث می شود که همه کسانی که سیاهههای مربوط به سایت ، سیگنال دیجیتال این است که توسط یکی از این شرکت های تجاری است که با اعمال مقدار زیادی از پول برای بهره برداری از چند ثانیه ، دریافت یک پیام هشدار (توجیه ، از نظر آنچه به عنوان مرورگر تعریف شد...) که سایت ممکن است قابل اعتماد نیست امضا ، که حتی اگر گواهی آدرس سایت وب ارسال (مهاجم ، نام دامنه ، و غیره) -- مهر و موم بدن قابلیت اطمینان سیستم از مجموعه ای نیست ، و آن را می دهد تا کاربر به انتخاب کنید که آیا برای ادامه یا نه.
اگر لیست امضا کنندگان قابل اعتماد خواهد بود حداقل یک ارائه دهنده خدمات رایگان عبارتند از ، تمام شرکت های دیگر اساسا می تواند به خانه ، آنها پول امروز برای Surfer در یک پیغام اخطار دریافت نمی زمانی که او را به یک سایت امن رفت.
فرض کنید برای یک لحظه به این واقعیت است که پول برای این اتهام (سمت راست) -- و نه در این پست. در حال حاضر تمام من نوشته شده است در نظر گرفته شده برای توضیح زمینه های فنی در تمام این خدمات نیاز دارند.
همانطور که در بالا توضیح داده شد ، یک بار یکی از سه چیز : : مهر و موم ، تاریخ انقضا (شروع و پایان) نام دامنه ، نشانی از شرایط تعریف شده در مرورگر را برآورده نمی -- اگر شما از یک هشدار. این هشدار به این معنا نیست که اتصال ایمن نیست. این فقط بدان معنی است که ممکن است کسی ربوده رسانه ها. اگر هیچ کس برداشت رسانه ها ، ارتباطات امن ، حتی اگر تمام هشدارها فریاد "خطر".
و در اینجا می آید مشکل است.
برای به حداکثر رساندن سود ، امضای گواهی دیجیتال است که برای یک زمان محدود است ، بنابراین می توان آن را همان "محصول" دو بار به فروش برساند. چه اتفاقی می افتد در واقع گواهی منقضی شده؟ هیچ چیز واقعا. مرورگر فریاد -- لطفا توجه داشته باشید -- من چک کارت ، این کارت به درستی ، او توسط یک قابل اعتماد ، به این معنی که مگر اینکه کسی که کلید خصوصی رمز شده از سرور (های هک) به سرقت برده بود امضا شد -- شما حتی به سرور شما فکر می کنید در حال صحبت کردن به صحبت کردن در -- اما توجه داشته باشید -- صاحب این سرور به سادگی به چند صد دلار پرداخت نمی کند به طوری که شما این هشدار را دریافت کنید. باز هم -- من استرس -- کاملا امن ارتباطات در همان سطح -- از جمله سیستم راستی آزمایی که به شما برای اتصال -- فقط یک پنجره هشدار پنجره.
و اکنون -- ما به Poitiers شد.
یک سال پیش ، ما تصمیم به محل کار من ، تبدیل به یکی دیگر از ارائه دهنده اس اس ال ، ارزان تر. پس از همه ، به من توضیح داد ، از نظر امنیتی است ، تفاوت وجود دارد.
و در واقع ما از طریق.
منبع قدیمی (THAWTE) می فرستد هشدار را از سه ماه قبل از پایان حملات امضای خود را ، و سر را به امضای (قیمت حق بیمه ، به طور معمول). ما البته نادیده گرفته میشوند ، چرا که ما در حال حاضر یک گواهینامه جدید امضا و فعال ، و مشتریان خواهد شد پنجره Fofaf (باز هم گفت که اتصال امن نیست) در پایان دوره دریافت نمی کنید تا ما اهمیتی نمی دهند.
در نهایت ، در آخرین روز از تجدید ، که ما آن را دریافت و فقط یک ایمیل به تهدید ، آن را فرمول بندی :
"اکنون اقدام کنید! گواهینامه زیر (های) منقضی شده است. سایت شما امن است و دیگر و یا تایید شده است. "
و این شعر در این ارسال. بعد از توضیح آنچه که من در بالا توضیح داده ، می توان دید و درک ، این محاکمه یک دروغ کامل است. حتی اگر ما با کارت خود باقی مانده بود -- یک هشدار پرش بود ، اما هشدار دهنده به طور خاص نوشته شده بود با برقراری ارتباط امن ، قابل اعتماد و مهر و موم ، بنابراین ، فقط از تاریخ معتبر نیست ، و لطفا ساعت کامپیوتر...
در نتیجه ، به همین دلیل سایت فقط مطمئن شوید که او پول بیشتری پرداخت نمی کند به جای آن به او حقیقت را نشان می دهد موکل او را تهدید نخواهد؟ وقتی می خواهید برای فروش ، من حدس می زنم هر چیزی می رود...