Avertissement: Toutes les écrit ici est seulement une opinion privée; Aucune de ce texte a été écrit comme une déclaration d'authenticité, et ne pas compter sur elle en aucune façon, et surtout pas à comprendre toute entreprise de tout acte accompli intentionnellement, sciemment, ou à tout ...
Jusqu'à il ya un an, à mon lieu de travail, nous utilisons des certificats SSL de Thawte acheté.
Thawte est le plus vieux marché, et peut-être même la première (je ne me souviens pas).
Thawte est également très coûteux. Vous pouvez obtenir le même service aux autres fournisseurs de services aussi bien - et est équivalent à toutes fins - qui est - l'information à travers une sécurité de la même façon.
Pourquoi avons-nous même pas besoin de certificats SSL pour établir une connexion cryptée avec un serveur distant? Eh bien, la vérité n'est pas vraiment nécessaire. Connexion cryptée pourrait être établi de façon indépendante par les certificats SSL auto-signé, et à utiliser.
Le seul inconvénient, sous la forme de ces travaux, est, à moins que vous vous connectez à un tel passé, et votre Knesset informatique a signé le certificat de la sienne, vous ne savez pas que le site vous vous connectez à elle, est en effet le site que vous attendez pour vous y connecter. Peut-être que quelqu'un d'autre a obtenu le raccordement au milieu, et répond à vous au lieu du serveur auquel vous vous connectez - alors effectivement vos communications sortantes est effectivement crypté - mais pas encore envoyé de l'endroit où vous vous attendez à être expédié, mais ailleurs.
Voici le concept selon lequel un organisme chargé avec les deux parties signeront une signature numérique sur clé de cryptage du serveur, afin que les clients peuvent vérifier avec un tiers de ce tiers a signé le certificat, et certains types de service, bien que la vérification légale pratiquée sur le corps même qui a signé le certificat .
Jusqu'ici tout va bien.
Lorsque le problème commence?
Le problème commence, donc, le processus de signature est une procédure qui peut être fait par un ordinateur, sans contact humain. Ceci est identique à la signature d'un indépendant, mais seulement qu'il a signé par un tiers, mais la même opération technique.
Malheureusement, les navigateurs Web, il ya des certificats tiers seulement structurés tels les fournisseurs de services facturent leurs services de signature (même si il ya des fournisseurs de services qui facturent des honoraires ...). Ceci fait que tous ceux qui se connecte sur le site, le signal numérique, ce n'est pas signé par une de ces sociétés commerciales qui imposent beaucoup d'argent pour le fonctionnement de quelques secondes, de recevoir un message d'avertissement (justifiée, en termes de ce qui était défini comme navigateur ...) que le site peut ne pas être fiable, que même si le certificat Site Web favori (attaquant, Nom de domaine, etc) - le joint de corps n'est pas encore défini la fiabilité du système, et il donne à l'utilisateur de choisir s'il faut continuer ou non.
Si la liste des signataires de confiance comprendrait au moins un fournisseur de service gratuit, toutes les autres sociétés pourraient essentiellement rentrer à la maison, ils font de l'argent aujourd'hui pour surfeur ne sera pas recevoir un avertissement quand il est allé à un site sécurisé.
Supposons un instant au fait que l'argent frais pour ce (à droite) - non pas sur ce post. Maintenant, tout ce que j'ai écrit est destiné à expliquer le contexte technique à tous les besoin de ce service.
Comme expliqué plus haut, une fois l'une des trois choses: un sceau, date d'expiration (début et fin) Le nom de domaine, ne remplit pas les conditions définies dans le navigateur - vous recevez un avertissement. L'avertissement ne signifie pas que la connexion n'est pas sécurisée. Cela signifie simplement qu'il peut Quelqu'un arraché les médias. Si personne n'a attrapé les médias, les communications sécurisées, même si tous les avertissements hurler «danger».
Et voici le problème.
Pour maximiser les profits, la signature d'un certificat numérique est pour un temps limité, de sorte qu'il peut vendre le même «produit» à deux reprises. Qu'arrive-t-certificat de réalité expiré? Rien de bien. Shout navigateur - s'il vous plaît noter - j'ai vérifié la carte, cette carte correctement, elle a été signée par un système fiable, ce qui signifie que si quelqu'un avait volé la clé privée cryptée à partir du serveur (par piratage) - Vous ne parlons même pas sur le serveur que vous pensez que vous parlez à - Mais notez - le propriétaire de ce serveur n'a tout simplement pas payer plusieurs centaines de dollars de sorte que vous obtiendrez cet avertissement. Encore une fois - je le souligne - de la communication absolument sûr au même niveau - y compris le système de vérification à laquelle vous vous connectez - juste une fenêtre d'avertissement contextuel.
Et maintenant - nous sommes arrivés à Poitiers.
Il ya un an, nous avons décidé de placer mon travail, changer de fournisseur SSL, moins coûteux. Après tout, comme j'ai expliqué, en termes de sécurité, il n'ya aucune différence.
Et en fait nous avons vécu.
Ancien fournisseur (Thawte) envoie des alertes à partir de trois mois avant la fin de leurs attaques la signature, et appelle à reprendre la signature (prix élevés, comme d'habitude). Nous sommes évidemment ignorée, car nous avons déjà signé un nouveau certificat et active, et les clients ne recevront pas de fenêtre de Fofaf (encore une fois, ne dis pas que la connexion n'est pas sécurisée) à la fin de la période, de sorte que nous ne m'inquiète pas.
Enfin, le dernier jour du renouvellement, nous avons reçu un email simplement menaçant, elle a été formulée:
"ACT NOW! Le certificat suivant (s) a expiré. Votre site n'est plus sécurisé ou validée. "
Et c'est poétique dans ce post. Après avoir expliqué ce que j'ai expliqué plus haut, on peut voir et comprendre, ce procès est un mensonge complet. Même si nous étions restés avec leur carte - un avertissement n'a été sauter, mais d'avertissement a été écrit spécifiquement à la communication est sécurisée, et sceller si fiable, juste la date n'est pas valide, et s'il vous plaît vérifier l'horloge de l'ordinateur ...
En conclusion, pourquoi ne pas menacer le site tout simplement pas sûr qu'il n'a pas à payer plus d'argent au lieu de lui montrer la vérité de son client? Lorsque vous voulez vendre, je suppose que quelque chose se passe ...