Disclaimer: Kaikki kirjoitettu on vain yksityinen mielipide, ei kaikki kirjoitettu tämän tekstin ilmoitus totuuden, eikä vedota siihen mitenkään, ei varsinkaan ymmärrä mitään yrityksen teosta tehty tarkoituksella, tietoisesti tai ollenkaan ...
Vuosi sitten minun työpaikalla, käytimme SSL-varmenteiden ostetaan Thawte.
Thawte on vanhin markkinoilla, ja ehkä jopa ensimmäinen (en muista).
Thawte on myös ne ovat hyvin kalliita. Saat saman palvelun muille palveluntarjoajille sekä - ja vastaa kaikkiin tarkoituksiin - tämä on - tieto turvataan täsmälleen samalla tavalla.
Miksi meidän edes tarvitse perustaa SSL-varmenteita salatun yhteyden etäpalvelimeen? No, totuus ei ole välttämättä tarpeen. Mahdollista luoda salatun yhteyden itsenäisesti Itseallekirjoitettu SSL-varmenteita, ja käyttää niitä.
Ainoa haittapuoli siinä muodossa tällaista työtä on, jos liität tällaiseen ohi, ja tietokone Knessetin allekirjoitettu todistus oman, et voi tietää sivustoa olet yhteydessä siihen on todellakin sivusto odottaa yhteyden siihen. Ehkä joku muu sai yhteyden keskellä, ja vastaa sinulle sen sijaan palvelimen jonka liität - sitten todellakin lähtevät viestintää on todellakin salattu - mutta ei lähetetty, jos odotatte sitä kuljetetaan, vaan jossain muualla.
Täältä tulee ajatus, että elin, jossa osapuolet allekirjoittavat digitaalinen allekirjoitus palvelimen salausavaimen, jotta asiakas voi tarkistaa kolmannen osapuolen kanssa, joka kolmas osapuoli allekirjoitti todistuksen, ja tietyntyyppisiä palveluja, vaikka oikeudellinen tarkistus suoritetaan sama elin, jonka hän allekirjoitti todistuksen .
Hyvä niin.
Jos ongelma alkaa?
Ongelma alkaa siten, allekirjoitus prosessi on menetelmä, joka voidaan valmistaa tietokoneella ilman käyttäjän väliintuloa. Tämä on sama allekirjoitus itsenäinen, vain että se allekirjoittanut kolmas osapuoli, mutta sama tekninen toimenpide.
Valitettavasti selaimet, on kolmannen osapuolen kortit rakennettu ainoastaan niille palveluntarjoajille, jotka laskuttavat heidän allekirjoituspalvelun (vaikka palveluntarjoajille, jotka laskuttavat ...). Tämä aiheuttaa, että kaikki, jotka kirjautuu sivustoon, digitaalinen signaali tämä ei ole allekirjoittanut yksi näistä kaupallisten yritysten käyttöön paljon rahaa toimintaan muutaman sekunnin, saavat varoituksen (voidaan perustella mitä määriteltiin selain ...), että sivusto voi olla luotettavia, että vaikka varmenteen Käytettävä henkilökohtaisia sivusto (kelvollinen verkkotunnuksen nimi, jne.) - runko tiiviste ei ole asetettu järjestelmän luotettavuutta, ja se antaa käyttäjän valita, haluatko jatkaa vai ei.
Jos allekirjoittajista oli luotettava palveluntarjoaja kuuluu vähintään yksi vapaa, kaikki muut yhtiöt voisivat periaatteessa mennä kotiin, ne tekevät rahaa tänään surffaaja ei saa varoituksen, kun hän tuli turvallinen sivusto.
Oletetaan hetkeksi, että maksu rahaa tätä (oikealla) - ei tähän tehtävään. Nyt olen kirjoittanut pyritään selittämään teknistä taustaa lainkaan tarpeen tätä palvelua.
Kuten edellä, kun yksi kolmesta asiasta: tiiviste, voimassaoloaikoineen (alku ja loppu), jossa monimutkainen, ei täytä määritellyin edellytyksin selaimessa - saat varoituksen. Varoitus ei tarkoita, että yhteys ei ole turvallinen. Se vain tarkoittaa, että voi joku tarttui media. Jos kukaan ei ole tarttunut media, turvallisesti, vaikka kaikki varoitukset huutaen "vaara".
Ja tässä tulee ongelma.
Jos haluat maksimoida voittonsa, allekirjoittamalla digitaalinen sertifikaatti on rajoitetun ajan, joten se voi myydä samaa "tuote" kahdesti. Mitä tapahtuu todella varmenteella? Ei oikeastaan. Selain huuto - Note - Olen tarkistanut varmenteen, tämä todistus oikein, hän allekirjoitti luotettava, mikä tarkoittaa, että jos joku on varastanut salatun yksityisen avaimen palvelimelta (by hakkerointi) - edes puhuu palvelimelle luulet puhut - Mutta huomautus - omistaja palvelin yksinkertaisesti ei maksa useita satoja dollareita, jotta saat tämän varoituksen. Jälleen - korostan - täysin turvalliseen viestintään samalla tasolla - kuten todentaminen, joka yhdistää - vain varoituksen ponnahdusikkunassa.
Ja nyt - saimme Poitiers.
Vuosi sitten, päätimme sijoittaa työni, siirtää toiselle SSL tarjoaja, vähemmän kalliita. Loppujen lopuksi, kuten selitin, turvallisuuden kannalta ei ole eroa.
Ja itse asiassa olemme käyneet läpi.
Vanha toimittaja (Thawte) lähettää ilmoitukset kolme kuukautta ennen niiden allekirjoittamista hyökkäyksiä, ja pyytää jatkamaan allekirjoitus (korkeammat hinnat, kuten tavallista). Me tietysti sivuuttaa, koska meillä on jo uusi allekirjoittama todistus ja aktiivisia, ja asiakkaat eivät saa ponnahdusikkunassa (taas, sano että yhteys ei ole turvallinen) oli lopussa niin emme välitä.
Loppujen lopuksi se on viimeinen päivä uutuuden, jonka saimme sähköpostia vain uhkaa, se oli muotoiltu:
"Toimi nyt! Seuraavat Certificate (s) on päättynyt. Sivusto ei ole enää turvallista tai validoitu. "
Ja se on runollinen tässä viestissä. Kun selvitetään, mitä edellä selitin, voi nähdä ja ymmärtää, tämä lause on täysin väärä. Vaikka meillä olisi jäänyt heidän kortilla - varoitus todellakin hyppäsi, mutta varoitus on kirjoitettu nimenomaan viestintä on turvallinen, ja sinetöidä niin luotettava, vain päivämäärä ei ole kelvollinen, ja tarkista tietokoneen kellon ...
Lopuksi, miksi ei uhkaa hänen asiakkaansa sivusto vain ole varma, että hän ei maksa enemmän rahaa sen sijaan näyttää hänelle totuuden? Jos haluat myydä, ilmeisesti kaikki menee ...