Disclaimer: Tutte scritto qui è solo una opinione privata; Niente di tutto questo testo è stato scritto come una dichiarazione di autenticità, e non dipendere in alcun modo, non particolarmente a capire qualsiasi azienda di qualsiasi atto compiuto intenzionalmente, consapevolmente, o per niente ...
Fino a un anno fa, al mio posto di lavoro che utilizzano certificati SSL acquistati da Thawte.
Thawte è il mercato più antico, e forse anche il primo (non ricordo).
Thawte è anche essere molto costoso. È possibile ottenere lo stesso servizio ad altri fornitori di servizi, come pure - ed è equivalente a tutti gli effetti - cioè - le informazioni attraverso un sicuro esattamente allo stesso modo.
Perché abbiamo ancora bisogno di certificati SSL per stabilire una connessione crittografata con un server remoto? Beh, la verità non è davvero necessario. Connessione crittografata è stato possibile stabilire in modo indipendente dai certificati SSL self-signed, e l'uso.
L'unico inconveniente in forma di tale lavoro, è, a meno che non si connette a un passato, e il Knesset del computer ha firmato il certificato di suo, non lo sai che il sito ci si connette ad esso, è infatti il sito si aspetta di connettersi ad esso. Forse qualcun altro ha la connessione a metà, e risponde a voi al posto del server cui ci si collega - allora davvero le vostre comunicazioni in uscita è infatti codificato - ma non vengono inviate a dove ci si aspetta di essere spedito, ma da qualche altra parte.
Ecco il concetto che un corpo carico con le due parti firmeranno una firma digitale sulla chiave di crittografia del server, per cui i clienti possono verificare con una terza parte che di terze parti ha firmato il certificato, e alcuni tipi di servizio, anche se la verifica legale eseguita sul corpo stesso che ha firmato il certificato .
Fin qui tutto bene.
Dove il problema comincia?
Il problema inizia, così, il processo di firma è una procedura che può essere fatta da un computer, senza contatto umano. Questo è identico alla firma di uno Stato indipendente, ma solo che ha firmato da parte di terzi, ma la stessa operazione tecnica.
Purtroppo, browser web, ci sono certificati di terze parti solo strutturato in modo tale carica fornitori di servizi per il loro servizio firma (anche se ci sono fornitori di servizi che imporre una tassa ...). Questo fa sì che tutti coloro che accede al sito, il segnale digitale, questo non è firmato da una di queste società commerciali che impongono un sacco di soldi per l'operazione di pochi secondi, ricevere un messaggio di avviso (giustificata, in termini di ciò che è stato definito come il browser ...) che il sito potrebbe non essere affidabili, che anche se il certificato Sito web preferito (attaccante, Domain Name, ecc) - la tenuta del corpo non è impostato l'affidabilità del sistema, e offre all'utente di scegliere se continuare o no.
Se l'elenco dei firmatari di fiducia dovrebbe includere almeno un fornitore di servizio gratuito, tutte le altre società potrebbe fondamentalmente tornare a casa, stanno facendo i soldi oggi per il surfista non riceveranno un avviso quando è andato a un sito sicuro.
Supponiamo per un attimo al fatto che il denaro farsi pagare per questo (a destra) - non su questo post. Ora tutto quello che ho scritto ha lo scopo di spiegare il background tecnico a tutti bisogno di questo servizio.
Come spiegato in precedenza, una volta che una di queste tre cose: un sigillo, data di scadenza (inizio e fine) il nome di dominio, non soddisfano le condizioni definite nel browser - si riceve un avviso. L'avviso non significa che la connessione non è protetta. Significa solo che può Qualcuno ha strappato la media. Se nessuno ha afferrato i media, le comunicazioni sicure, anche se tutti gli avvertimenti urlando 'pericolo'.
E qui viene il problema.
Per massimizzare i profitti, la firma di un certificato digitale è per un tempo limitato, in modo da poter vendere lo stesso "prodotto" due volte. Che cosa succede effettivamente certificato scaduto? Niente di veramente. Shout browser - si prega di notare - ho controllato la scheda, la scheda correttamente, è stata firmata da un affidabile, il che significa che a meno che qualcuno aveva rubato la chiave privata cifrata dal server (di hacking) - Non sei nemmeno a parlare con il server si pensa che stai parlando - ma si noti - il proprietario di questo server semplicemente non ha pagato diverse centinaia di dollari in modo che si ottiene questo avvertimento. Ancora una volta - sottolineo - la comunicazione di assoluta sicurezza allo stesso livello - compreso il sistema di verifica a cui si collega - solo una finestra di avviso popup.
E ora - siamo arrivati a Poitiers.
Un anno fa, abbiamo deciso di mettere il mio lavoro, passare a un altro fornitore di SSL, meno costoso. Dopo tutto, come ho spiegato, in termini di sicurezza, non c'è differenza.
E infatti ci siamo già passati.
Vecchio fornitore (Thawte) invia avvisi da tre mesi prima della fine del loro attacchi firma e chiede di riprendere la firma (prezzi premium, come al solito). Ci sono naturalmente ignorati, perché abbiamo già un nuovo certificato firmato e attivo, ei clienti non riceveranno finestra Fofaf (ancora una volta, non dicendo che la connessione non è protetta) alla fine del periodo, così non ci importa.
Alla fine, l'ultimo giorno di rinnovamento, che abbiamo appena ricevuto una mail minacciosa, questa formula:
"ACT NOW! Il certificato segue (s) è scaduto. Il vostro sito non è più sicuro o convalidato. "
E questo è poetico in questo post. Dopo aver spiegato ciò che ho spiegato sopra, si può vedere e capire, questo processo è una bugia completa. Anche se fossimo rimasti con la carta - un avvertimento fatto era saltare, ma di avvertimento è stato scritto appositamente con la comunicazione sia sicura, e la guarnizione in modo affidabile, solo la data non è valida, e controllare l'orologio del computer ...
In conclusione, perché non minacciare sito solo non è sicuro che lui non ha pagato più soldi, invece di mostrargli la verità del suo cliente? Quando si vuole vendere, penso che va bene tutto ...