Disclaimer: Tutto scritto qui è solo una opinione privata, non tutto scritto in questo testo come una dichiarazione di verità, e non fare affidamento su di esso in qualsiasi modo, non particolarmente a capire qualsiasi azienda di qualsiasi atto compiuto intenzionalmente, consapevolmente, o per niente ...
Un anno fa, al mio posto di lavoro, abbiamo utilizzato i certificati SSL acquistati da Thawte.
Thawte è il mercato più antico, e forse anche la prima (non ricordo).
Thawte è anche essere molto costoso. È possibile ottenere lo stesso servizio ad altri fornitori di servizi, come pure - ed è equivalente a tutti gli effetti - cioè - l'informazione garantito attraverso esattamente nello stesso modo.
Perché abbiamo ancora bisogno di configurare i certificati SSL connessione crittografata con un server remoto? Beh, la verità non è davvero necessario. Possibile stabilire una connessione crittografata in modo indipendente da certificati SSL self-signed, e li usa.
L'unico inconveniente in forma di tale lavoro, è, a meno che non ci si connette a un passato, e il Knesset del computer ha firmato il certificato del proprio, non si può sapere il sito ci si collega ad esso, è infatti il sito si prevede di connettersi ad esso. Forse qualcun altro ha la connessione a metà, e risponde a voi al posto del server che si collega - allora davvero le comunicazioni in uscita è infatti codificato - ma non vengono inviate a dove ci si aspetta che venga spedito, ma da qualche altra parte.
Ecco il concetto che un corpo carico, con le due parti firmeranno una firma digitale sulla chiave di crittografia del server, in modo che il cliente può verificare con una terza parte che di terze parti ha firmato il certificato, e alcuni tipi di servizio, anche se la verifica legale effettuata sul corpo stesso che ha firmato il certificato .
Fin qui tutto bene.
Dove inizia il problema?
Il problema inizia, così, il processo di firma è una procedura che può essere fatta da un computer, senza intervento umano. Questo è identico alla firma di uno Stato indipendente, ma solo che ha firmato da un terzo, ma la stessa operazione tecnica.
Purtroppo, browser web, ci sono schede di terze parti costruite esclusivamente i prestatori di servizi che imporre una tassa per il servizio di firma (anche se ci sono fornitori di servizi che imporre una tassa ...). Questo fa sì che tutti coloro che accede al sito, il segnale digitale, questo non è firmato da una di queste società commerciali che impongono un sacco di soldi per l'operazione di pochi secondi, ricevere un messaggio di avviso (per essere giustificata in termini di ciò che è stato definito come un browser ...) che il sito potrebbero non essere affidabili, che, anche se il certificato appropriate sito personale (nome di dominio valido, ecc) - la guarnizione del corpo non è impostato l'affidabilità del sistema, e dà all'utente di scegliere se continuare o meno.
Se firmatari è stato fidato fornitore di servizi include almeno uno libero, tutte le altre società potrebbero tornare a casa in fondo, stanno oggi facendo i soldi per un navigatore non riceve un avviso quando entrò in un sito sicuro.
Supponiamo per un momento sul fatto che far pagare per questo (a destra) - non su questo post. Ora tutto ciò che ho scritto ha lo scopo di spiegare il background tecnico affatto bisogno di questo servizio.
Come spiegato in precedenza, una volta uno dei tre cose: di tenuta, date di validità (inizio e fine), dove complesso, non soddisfa le condizioni definite nel browser - si riceve un avviso. L'avviso non significa che la connessione non è sicura. Significa solo che può qualcuno ha afferrato i media. Se nessuno ha afferrato i media, le comunicazioni sicure "pericolo". Anche se tutte le avvertenze urlando
E qui arriva il problema.
Per massimizzare i profitti, la firma di un certificato digitale è per un tempo limitato, in modo da poter vendere lo stesso "prodotto" due volte. Cosa succede in realtà certificato scaduto? Niente di veramente. Grido Browser - Nota - ho controllato il certificato, questo certificato correttamente, è stata firmata da un affidabile, il che significa che a meno che qualcuno ha rubato la chiave privata cifrata dal server (da hacking) - che persino a parlare con il server si pensa stai parlando - Ma nota - il proprietario di questo server semplicemente non ha pagato diverse centinaia di dollari in modo che si ottiene questo avviso. Anche in questo caso - ripeto - la comunicazione assolutamente sicura allo stesso livello - compreso il sistema di verifica che si collegano - solo una finestra popup di avviso.
E adesso - siamo arrivati a Poitiers.
Un anno fa, abbiamo deciso di collocare il mio lavoro, passare un altro provider SSL, meno costosi. Dopo tutto, come ho spiegato, in termini di sicurezza, non c'è differenza.
E infatti ci siamo già passati.
Vecchio fornitore (Thawte) invia avvisi da tre mesi prima della fine del loro attacchi della firma, e chiama a riprendere la firma (prezzi più elevati, come al solito). Noi naturalmente ignorare, perché abbiamo già un nuovo certificato firmato e attiva, ei clienti non riceveranno finestra popup (ancora una volta, non dicendo che la connessione non è protetta) alla fine del periodo di così non ci interessa.
Alla fine, è l'ultimo giorno di novità, che abbiamo ricevuto una email appena minaccioso, è stato formulato:
"AGIRE ORA! Il certificato di seguito (s) è scaduto. Tuo sito non è più sicuro o convalidato. "
E questo è poetico in questo post. Dopo aver spiegato ciò che ho spiegato sopra, si può vedere e capire, questa frase è completamente falsa. Anche se fossimo rimasti con la loro carta - un avvertimento in effetti era saltato, ma un avvertimento è stato scritto appositamente con la comunicazione sia sicura, e sigillare in modo affidabile, solo la data non è valida, e vi prego di controllare l'orologio del computer ...
In conclusione, perché non minacciare la sua sede del cliente non solo sicuro che lui non ha pagato più soldi, invece di mostrargli la verità? Quando si vuole vendere, a quanto pare va bene tutto ...