Disclaimer: Tất cả các văn bản ở đây chỉ là một ý kiến tư nhân; không phải tất cả văn bản trong văn bản này như một tuyên bố của sự thật, không nên dựa vào bất kỳ cách nào, đặc biệt là không hiểu bất kỳ công ty từ bất kỳ hành động cố ý thực hiện, cố ý, hoặc tại tất cả ...
Cho đến khi một năm trước, tại nơi làm việc của tôi, chúng tôi sử dụng giấy chứng nhận SSL mua từ Thawte.
Thawte là thị trường lâu đời nhất, và có thể là người đầu tiên (Tôi không nhớ).
Thawte cũng được chúng tôi viếng thăm. Bạn có thể nhận được cùng một dịch vụ để cung cấp dịch vụ khác như là tốt - là tương đương về mọi phương diện - đó là - những thông tin bảo đảm thông qua cách giống.
Những gì địa ngục có giấy chứng nhận SSL để thiết lập một kết nối được mã hóa với một máy chủ từ xa? Vâng, sự thật là không thực sự cần thiết. kết nối được mật mã có thể được thiết lập độc lập tự do đã ký giấy chứng nhận SSL, và sử dụng chúng.
Điều bất lợi duy nhất của hình thức như vậy, là, trừ khi bạn đăng nhập như một trang web trước, đưa máy tính vào chứng chỉ tự ký tự, bạn không thể biết rằng các trang web mà bạn kết nối với nó, thực sự là trang web mà bạn mong đợi để kết nối với nó. Có lẽ một người nào khác có kết nối ở giữa, bạn đặt máy chủ và các câu trả lời mà bạn kết nối - và sau đó các phương tiện truyền thông đã thực sự được mã hóa gửi đi từ máy tính của bạn - nhưng không được gửi đến nơi mà tôi mong đợi của mình để được gửi, nhưng ở một nơi khác.
Ở đây có khái niệm rằng một cơ quan chịu trách nhiệm về hai bên sẽ ký một chữ ký kỹ thuật số trên khoá mật mã của máy chủ, do đó, khách hàng có thể xác nhận đối với một bên thứ ba mà bên thứ ba đã ký giấy chứng nhận, và một số loại dịch vụ, mặc dù pháp lý xác minh được thực hiện trên cơ thể giống nhau cho mà chứng nhận được ký kết .
Cho đến nay, tất cả tốt và tốt.
Trường hợp vấn đề bắt đầu?
Vấn đề bắt đầu, nó, quá trình ký kết là một thủ tục có thể được thực hiện bởi một máy tính, mà không có liên hệ với con người. Đây chính là chữ ký cùng độc lập, chỉ là nó được ký bởi một bên thứ ba, nhưng những hành động kỹ thuật tương tự.
Thật không may, trình duyệt Web, có thẻ của bên thứ ba, được xây dựng hoàn toàn của các nhà cung cấp dịch vụ như thu phí cho dịch vụ chữ ký của họ (mặc dù một số nhà cung cấp dịch vụ không tính lệ phí ...). Điều này gây ra rằng tất cả những ai đăng nhập vào trang web, điểm đến của nó không phải là kỹ thuật số chữ ký của một trong những công ty thương mại được hỗ trợ bởi rất nhiều tiền cho một hành động của một vài giây, sẽ nhận được một thông điệp cảnh báo (biện minh về những gì được định nghĩa một trình duyệt ...) mà các trang web có thể không đáng tin cậy, rằng mặc dù giấy chứng nhận Bảo mật thích hợp (hợp lệ, tên miền, vv) - Con dấu cơ thể không được cấu hình như là đáng tin cậy trong hệ thống, và nó sẽ cho người sử dụng chọn để tiếp tục hay không.
Nếu danh sách các chữ ký được tin cậy cung cấp dịch vụ có ít nhất một miễn phí, tất cả các công ty khác về cơ bản có thể về nhà, họ là kiếm tiền ngay hôm nay để lướt sóng sẽ không nhận được một cảnh báo khi ông bước vào một trang web an toàn.
Giả sử cho một thời điểm rất thực tế rằng số tiền thu về quyền này () - không phải về bài đăng này. Bây giờ tất cả tôi đã viết là nhằm giải thích những nền tảng kỹ thuật ở tất cả các nhu cầu dịch vụ này.
Như đã giải thích ở trên, một khi một trong ba điều: con dấu, ngày hết hạn (bắt đầu và kết thúc) và phức tạp, không đáp ứng điều kiện quy định trong trình duyệt - bạn nhận được một cảnh báo. Các cảnh báo không có nghĩa là kết nối được không an toàn. Cô chỉ nói rằng ai đó nắm lấy các phương tiện truyền thông. Nếu không có ai nắm lấy các thông tin liên lạc, thông tin liên lạc an toàn, ngay cả khi tất cả các cảnh báo la hét "nguy hiểm."
Và ở đây có vấn đề.
Để tối đa hóa lợi nhuận, ký giấy chứng nhận kỹ thuật số là trong một thời gian giới hạn, để chúng ta có thể bán các sản phẩm "cùng" hai lần. Điều gì xảy ra trong thực tế, giấy chứng nhận hết hạn? Không có gì thực sự. Browser kêu la - Lưu ý - Tôi đã kiểm tra thẻ, thẻ này đúng, cô đã được ký kết bởi một nguồn đáng tin cậy, có nghĩa là trừ khi ai đó lấy trộm chìa khóa mật mã riêng từ máy chủ (bởi hacking) - Bạn thậm chí không nói chuyện với các máy chủ mà bạn nghĩ rằng bạn đang nói chuyện với - Nhưng - chủ sở hữu của máy chủ lưu ý này chỉ đơn giản không phải trả vài trăm đô la để không cho bạn thấy cảnh báo này. Một lần nữa - Tôi stress - thông tin liên lạc hoàn toàn an toàn ở mức độ đó - bao gồm các hệ thống xác minh mà bạn kết nối tới - chỉ cần một cửa sổ popup cảnh báo.
Và bây giờ - chúng tôi đã nhận thơ mộng.
Một năm trước, chúng tôi quyết định nơi làm việc của tôi, thông qua một nhà cung cấp SSL, ít tốn kém. Sau khi tất cả, như tôi đã giải thích về mặt an ninh thông tin, không có sự khác biệt.
Trong thực tế chúng tôi đã được thông qua.
Old tàu sân bay (Thawte) sẽ gửi thông báo từ ba tháng trước khi kết thúc chữ ký của họ, và kêu gọi nối lại các chữ ký (giá cao, như thường lệ). Chúng tôi tất nhiên bỏ qua mà chúng tôi đã có một chứng chỉ mới ký và đang hoạt động, và khách hàng không nhận được cửa sổ PopUp (một lần nữa, không nói rằng kết nối không an toàn) vào cuối kỳ; Vì vậy, chúng tôi không lo lắng.
Cuối cùng, đó là ngày cuối cùng của đổi mới, mà chỉ cần nhận được thư đe dọa, mà là công thức:
"ACT NOW! Sau s (Giấy chứng nhận) đã hết hạn. Của bạn. Trang web không còn an toàn hay xác nhận "
Và bài thơ này. Sau khi tôi giải thích những gì tôi giải thích ở trên, có thể thấy và hiểu, thử nghiệm này là một tổng nằm. Ngay cả khi chúng tôi đã được trái với thẻ ID của họ - mặc dù một cảnh báo sẽ nhảy, nhưng cảnh báo nó đã nói các phương tiện truyền thông cũng chắc chắn an toàn, có con dấu nên đáng tin cậy, chỉ cần ngày không hợp lệ, chúng tôi kiểm tra đồng hồ của máy tính ...
Trong kết luận, tại sao không đe dọa khách hàng của ông đã không được đảm bảo rằng các trang web chỉ vì ông đã không trả nhiều tiền hơn, thay vì hiển thị các ông sự thật? Khi bạn muốn bán, có vẻ như là tất cả mọi thứ được phép ...