Avertissement: Tout écrit ici n'est qu'une opinion personnelle, pas toutes écrites dans ce texte comme une déclaration de la vérité, et ne pas compter sur elle en aucune façon, et surtout pas à comprendre une société de tout acte accompli intentionnellement, sciemment, ou pas du tout ...
Il ya un an, à mon lieu de travail, nous avons utilisé les certificats SSL de Thawte achetés.
Thawte est le plus vieux marché, et peut-être même le premier (je ne me souviens pas).
Thawte est également très cher. Vous pouvez obtenir le même service à d'autres prestataires ainsi - et est équivalent à toutes fins - qui est - l'information garanti par exactement de la même manière.
Pourquoi avons-nous même pas besoin de mettre en place des certificats SSL connexion cryptée avec un serveur distant? Eh bien, la vérité n'est pas vraiment nécessaire. Possible d'établir une connexion cryptée de façon indépendante par certificats auto-signés SSL, et de les utiliser.
Le seul inconvénient, sous la forme d'un tel travail, est, à moins que vous vous connectez à un tel passé, et votre Knesset ordinateur a signé le certificat de la sienne, vous ne pouvez pas connaître le site vous vous connectez à elle, est en effet le site que vous attendez pour vous y connecter. Peut-être quelqu'un d'autre a eu la connexion dans le milieu, et répond à vous au lieu du serveur auquel vous vous connectez - alors en effet vos communications sortantes est en effet chiffré - mais pas encore envoyé à l'endroit où vous vous attendez à être expédié, mais ailleurs.
Voici le concept selon lequel un organisme chargé avec les deux parties vont signer une signature numérique sur clé de cryptage du serveur, de sorte que le client peut vérifier avec un tiers de ce tiers a signé le certificat, et certains types de service, bien que la vérification légale pratiquée sur le corps même dont il a signé le certificat .
Jusqu'ici tout va bien.
Lorsque le problème commence?
Le problème commence, donc, le processus de signature est une procédure qui peut être faite par un ordinateur, sans intervention humaine. Ceci est identique à la signature d'un indépendant, mais seulement qu'il a signé par un tiers, mais la même opération technique.
Malheureusement, les navigateurs Web, il ya des cartes tierces construite uniquement les fournisseurs de services qui demandent une rémunération pour leur service de signature (bien qu'il existe des fournisseurs de services qui demandent une rémunération ...). Cela entraîne que tous ceux qui se connecte sur le site, le signal numérique ce n'est pas signé par l'un de ces sociétés commerciales qui imposent beaucoup d'argent pour le fonctionnement de quelques secondes, de recevoir un message d'avertissement (à justifier en termes de ce qui a été défini comme un navigateur ...) que le site ne sont pas fiables, que même si le certificat appropriée site personnel (nom de domaine valide, etc) - le joint de corps n'est pas réglé la fiabilité du système, et il donne à l'utilisateur de choisir s'il faut continuer ou non.
Si signataires a été prestataire de services de confiance comprend au moins un gratuit, toutes les autres sociétés pourraient essentiellement rentrer à la maison, ils gagnent de l'argent aujourd'hui pour un internaute ne reçoit pas un avertissement quand il est entré sur un site sécurisé.
Supposons un instant sur le fait que la charge de l'argent pour cela (à droite) - non pas sur ce post. Maintenant, tout ce que j'ai écrit est destiné à expliquer le contexte technique à tous les besoins de ce service.
Comme expliqué ci-dessus, une fois l'une des trois choses: d'étanchéité, les dates de validité (début et fin), où complexe, ne répond pas aux conditions définies dans le navigateur - vous recevez un avertissement. L'avertissement ne signifie pas que la connexion n'est pas sécurisée. Cela signifie simplement qu'il peut quelqu'un a attrapé les médias. Si personne n'a attrapé les médias, les communications sécurisées, même si tous les avertissements crier «danger».
Et voici le problème.
Pour maximiser les profits, la signature d'un certificat numérique est pour un temps limité, de sorte qu'il peut vendre le même «produit» à deux reprises. Qu'arrive-t-certificat effectivement expiré? Rien de vraiment. Cri navigateur - Note - J'ai vérifié le certificat, ce certificat correctement, elle a été signée par une personne fiable, ce qui signifie que si quelqu'un a volé la clé privée cryptée à partir du serveur (par piratage) - vous parle même pas sur le serveur que vous pensez que vous parlez à - Mais la note - le propriétaire de ce serveur n'a tout simplement pas payer plusieurs centaines de dollars de sorte que vous obtiendrez cet avertissement. Encore une fois - je le souligne - de communication complètement sécurisée au même niveau - y compris le système de vérification qui relient - juste une fenêtre d'avertissement contextuel.
Et maintenant - nous sommes arrivés à Poitiers.
Il ya un an, nous avons décidé de placer mon travail, passer d'un autre fournisseur SSL, moins à prix élevé. Après tout, comme je l'ai expliqué, en termes de sécurité, il n'ya aucune différence.
Et en fait, nous avons vécu.
Ancien fournisseur (Thawte) envoie des alertes à partir de trois mois avant la fin de leurs attaques de signature, et appelle à reprendre la signature (des prix plus élevés, comme d'habitude). Nous avons bien sûr ignorer, car nous avons déjà un nouveau certificat signé et active, et les clients ne recevront pas de fenêtre pop-up (encore une fois, ne dis pas que la connexion n'est pas sécurisée) à la fin de la période afin de ne pas s'occuper.
En fin de compte, c'est le dernier jour de la nouveauté, qui nous nous sommes simplement un e-mail menaçant, il a été formulé:
"AGIR MAINTENANT! Le certificat suivant (s) a expiré. Votre site n'est plus sûr ou validés. "
Et c'est poétique dans ce post. Après avoir expliqué ce que j'ai expliqué ci-dessus, on peut voir et comprendre, cette phrase est complètement fausse. Même si nous étions restés avec leur carte - un avertissement en effet été le saut, mais un avertissement a été écrit spécifiquement à la communication est sécurisée, et sceller si fiable, juste la date n'est pas valide, et s'il vous plaît vérifier l'horloge de l'ordinateur ...
En conclusion, pourquoi ne pas menacer son site client tout simplement pas sûr qu'il n'a pas payer plus d'argent au lieu de lui montrer la vérité? Lorsque vous désirez vendre, apparemment quelque chose se passe ...