Certifikáty, TLS SSL, prispievatelia dôvery

Zdieľajte tento článok

O tejto téme nie sú zatiaľ žiadne články.

certifikáty

26 KOMENTÁRE

Zaujímavý článok, ale neviem, koľko čitateľov má skutočný záujem a dostatok informácií o danej téme, aby ho pochopili. Po druhé, článok sumarizuje asi 3 ďalšie, ktoré som nedávno videl na verejnom alebo čiastočne verejnom priestranstve (jeden píšem ja na špecializovanom fóre s čiastočne obmedzeným prístupom, takže ste ho určite nečítali). Myslím si, že je to len náhoda, pretože medzi záujemcami o kryptografiu je v poslednej dobe horúca téma.

Môžete dať odkaz:)
Článok skôr zhŕňa sériu osobných sťažností týkajúcich sa „bojkotu“ znakov vlastných PKI, ktoré sú podľa môjho názoru založené na zrejmých finančných dôvodoch, za spoluúčasti vývojárov prehľadávačov (z ktorých niektorí potrebujú dary). Pod zámienkou posilnenia bezpečnosti sú používatelia hysterickí varovnými textami, aj keď by sa mi javilo prirodzenejšie varovať ma pri prístupe k zástupnému certifikátu, aj keď je vydaný verisignom. Používatelia sa zľaknú a zavolajú mi; nech ich vysvetlím akokoľvek dobre, stále zostávajú s drobkami pochybností a pri prvom incidente bez akejkoľvek spojitosti s tým sú ešte podozrivejšie.

„Jedným obmedzením protokolu SSL je, že na IP adrese môže byť spustený technicky iba jeden certifikát.“

Toto vyrieši indikácia názvu servera.

Áno, ďakujem za návrh, vedel som o tomto rozšírení, ale vedel som, že nie je implementovaný väčšinou produktov na trhu. Zdá sa však, že medzitým sa dostal k hlavným prehliadačom a serverom, takže máte pravdu, ľahko som zostal pozadu. Ale certifikáty so zástupnými znakmi sú stále na predaj, o tom to bolo:)

Certifikáty so zástupnými znakmi mali za sebou celkom dobrý nápad: ak má organizácia viac serverov v rovnakom poli, zástupný znak by im mohol ušetriť nejaké peniaze. Prehliadač bude zjavne protestovať, ak sa pokúsi získať prístup na server, ktorý sa „nezmestí“. Inak by to bol veľmi vážny problém.

Ale áno, problém začína na karteli CA a presnejšie na účtovaných cenách. Teoreticky by každý mal mať svoj vlastný certifikát, ale koľko peňazí je potrebných ...

„Nie je príliš veľa prípadov narušenia certifikačných autorít, ide o zopár incidentov.“ Správne, ale aj keď sa to stalo ... ovce, ovce, ovce ...

Stalo sa, niektorí nasledujúce dni viac pracovali, iní platili viac, ale vzal som to od začiatku, technológia prežila. Keď nad New Yorkom vzplanul zeppelin, všetci vedeli, že to boli posledné preteky ...

Od leta 2015 bude možnosť získať bezplatné certifikáty SSL platné (a prehliadače ich rozpoznajú automaticky) prostredníctvom platformy Let’s Encrypt. To rieši problém s nákladmi.

Certifikáty so zástupnými znakmi môžu fungovať správne, ak sú implementované správne (veľké, ak). Mnoho veľkých webových infraštruktúr ich úspešne používa bez zobrazenia chýb prehľadávača. Vzhľadom na šírenie a užitočnosť zástupných certifikátov by nebolo bežné, aby prehľadávač zobrazil varovnú správu, keď takýto certifikát zistí. Ak pracovníci IT/IT Security nemôžu správne nainštalovať certifikát na nástroj na vyrovnávanie zaťaženia…

Môj problém je, že nezobrazuje chyby v prehliadači. Účelom certifikátu je identifikovať lokalitu; ak vložím do certifikátu zástupný znak a prehliadač nebude reagovať, zdá sa mi, že máme do činenia s logickou zlomeninou: stránka je v poriadku, je to ktokoľvek:)
Namiesto toho, ak si udržiavam svoju vlastnú CA, namiesto prehliadača, ktorý oznamuje „tento certifikát vydáva orgán, ktorý nie je na našom zozname. Ak dôverujete stránke badici.ro, napíšte y „zobrazí sa mi niečo ako„ utiecť, zoberú vám peniaze, prevedú vaše chovy a vaše kone odnesú na CAP “:)

V skutočnosti existuje rozdiel, v prvej situácii prehľadávač hovorí: pripojili ste sa k serveru patriacemu k doméne so známym správcom, tj má známy názov a adresu.

V druhom prípade prehľadávač hovorí: pripojili ste sa k serveru, ktorého správca nie je známy, tvrdí, že je to Badici, ale môže to byť úplne ktokoľvek. Uviedol tiež adresu v Belize. Prevod finančných prostriedkov?

:)
Keby to tak bolo. Prehliadač v skutočnosti zobrazuje niektoré varovania, aj keď je úplne možné skontrolovať adresu, na ktorú sa dostali, porovnať ju s adresou uvedenou v certifikáte a nechať klienta na výber. Zvyčajne ma moji klienti poznajú:) Netvrdím, že vydávam certifikáty pre webové stránky elektronického obchodu alebo iné činnosti, ktoré zahŕňajú prístup verejnosti, ale tendencia je navodzovať myšlienku, že je menej bezpečné komunikovať so serverom spoločnosti, pre ktorú pracujete. ak používate svoj vlastný PKI (nehovorím o certifikátoch s vlastným podpisom, ale o správne nakonfigurovanom PKI.).
V druhom prípade ste sa pripojili k serveru, ktorého správcu poznáme (napríklad Comodo), ktorý hostí niekoľko webov, ktoré podľa nášho názoru ovláda správca servera, a preto nám dal peniaze, takže môžete mať úplnú dôveru. Prevod finančných prostriedkov!

správa od google chrome je taká:
„Vaše pripojenie nie je súkromné“ (čo je lož):)
Útočníci sa možno pokúšajú ukradnúť vaše osobné informácie, napríklad heslá, správy alebo kreditné karty. “

Pokiaľ viem, kontrola, či adresa domény, ku ktorej sa chcete pripojiť, zodpovedá adrese v prijatom certifikáte, je jednou z prvých vecí, ktorú prehliadače robia. Keď sa to nestane, je to zlé.

Ale ak už existuje PKI a počet zákazníkov je obmedzený, prečo by nebolo možné ručne distribuovať certifikát CA každému z nich?

V prípade, že správca servera má na svojej hlave veľa stránok, buď ich ovláda (je to pre nich aj webový administrátor), a potom je to v poriadku alebo nie, v takom prípade by každá stránka mala mať svoj vlastný certifikát a to by nemalo byť jeho úloha, ale web príslušných správcov.

„V starej paradigme“ som mohol certifikát distribuovať prostredníctvom politiky AD. Teraz sú veci komplikovanejšie, ľudia sa pohybujú, kupujú nové notebooky, tablety, telefóny atď. Nakoniec to robím, ručne distribuujem certifikát CA, existujú technické riešenia, ale čo chcem povedať je, že sa mi zdá, že hra má tendenciu byť čoraz viac „neférová“.

„Morálna“ autorita certifikačných inštitúcií (minimálne v Rumunsku) je daná rýľom, ktorý dali, aby sa z nich stali „akreditované orgány“. Zákon o elektronickom podpise bol vyrobený podľa obrazu a podoby týchto spoločností (UTI, digisign atď.). Všetci cítime účinok v našich peňaženkách. V Rumunsku stojí elektronický podpis každý rok 30 eur + DPH, aby mal „privilégium“ byť schopný podať daňové priznanie spoločnosti 12-krát. A krátka doba platnosti, iba jeden rok, sa mi zdá smiešna, nehovoriac o byrokracii súvisiacej so získaním alebo predĺžením platnosti elektronického podpisu. Napríklad na Slovensku stojí elektronický podpis 8 eur ročne a v Nemecku ho možno získať bezplatne na daňovom úrade s dobou platnosti 3 roky.

Mnohé sa začali objavovať na celom svete a predávajú lacné certifikáty. To však neodporuje tomu, čo hovoríte.

Podľa mojich skúseností je doba platnosti jeden rok veľmi dobrá. Pretože tí, ktorí spravujú certifikáty, to veľmi často robia podľa sluchu a s použitím časti tela, ktorá zaisťuje veľkú stabilitu pri sedení na stoličke. Nehovoriac o tom, že málokto už počul o zoznamoch odvolaní a ešte menej ich používa (plus ich implementácia niekedy zostáva veľmi žiaduca).
Takže je dobré, že to dosť rýchlo vyprší.

V interakcii s rumunským štátom neexistuje iný dôvod ako vyplienenie obete - daňového poplatníka. Pojem bezpečnosť je druhoradý.
Nechápem, prečo je jednoročný certifikát lepší ako štvorročný - ak odhliadnem od vyššej pravdepodobnosti zlomenia, ktorá je aj tak veľmi blízko k 0.

Mám na mysli samozrejme kryptografické princípy. Schéma ssl je platná, aj keď sú niektoré algoritmy diskutabilné (a iné slabnú so zvyšujúcim sa výpočtovým výkonom). Otázka certifikačných autorít je chúlostivá; ak vo svojej vlastnej sieti dávam prednosť vydávaniu vlastných certifikátov (moje obľúbené príslovie je „ak nedôverujete adminovi, vykopnite ho“:)), vo vzťahu k vonkajšiemu svetu dôverujem priateľovi (firefox), ktorý má kamarát (Comodo), ktorému nemôže nič odoprieť, tak mi vyfarbí zelenú tyčinku. A niekedy je kamarátkin priateľ loaza, ako v náčrtoch strýkov Iancu:)

Riešenie GnuTLS s webom dôveryhodných sietí pozostávajúcich z kľúčov predtým vymenených s ľuďmi, ktorým dôverujete.

Bohužiaľ, licenčný model GNU je tiež väzením „slobody“.

EÚ vydala nariadenie 910/2014 o elektronickej identifikácii, keď sa s ňou zaobchádza, a vydávaní certifikátov pre webové servery.

Bude sa uplatňovať od roku 2016 a potom sa zruší smernica o elektronických podpisoch, ktorá je základom zákona o elektronických podpisoch v Rumunsku a ďalších členských štátoch.

Nariadenie 910/2014 požaduje, aby certifikáty vydával „kvalifikovaný dôveryhodný poskytovateľ služieb“. Týmto spôsobom sú chránení zákonní vlastníci domén - certifikáty sa nevydávajú márne bez ich vyžiadania - a používatelia, ktorí vedia, že vstupujú na legitímne stránky, najmä pokiaľ ide o banky, spracovateľov platieb atď.

Najskôr sa mi páči toto tvrdenie: „Prehliadač nebude mať k čomu komentovať, aj keď ten istý certifikát autentizuje spoločnosti Vasile SRL a ivanivanovici.ru. Namiesto toho bude veľmi drastické a vydesí zákazníkov, ak certifikát poštového servera vydá nejaký pálkar. “ je to úplne falošné a dokazuje to, že skutočne neviete, čo je zástupný certifikát. ak ide o zástupný znak, skontrolujte príponu domény; mali by ste vedieť, čo to znamená.

K tomu povieme nasledovné:
„Namiesto toho, ak si udržiavam svoju vlastnú CA, namiesto oznámenia prehliadača“ tento certifikát vydáva orgán, ktorý nie je na našom zozname. Ak dôverujete stránke badici.ro, napíšte y „zobrazí sa mi niečo ako„ utiecť, vezmú vám peniaze, prevedú vaše chovy a vaše kone odnesú na CAP ““
Ktokoľvek môže tvrdiť, že je zlý. Kde skontrolujete, či je to tak?
Preto sú v prehliadači tieto dôveryhodné zoznamy.

Predtým, ako napíšete, by vám pomohlo nejaké čítanie (RFC).

Existujú zástupné znaky, ktoré sa netýkajú iba prípony domény (prípona prvej úrovne)
A čo tieto?
https://www.godaddy.com/ssl/ssl-certificates-config.aspx?origin=pod&plan=ssl_std_3_5
Overenie, či certifikát vydal Badici, sa vykonáva rovnakým spôsobom ako v prípade ostatných, inštaláciou certifikátu príslušného orgánu. Ďalej si na svojej stránke môžem ponechať certifikát CRL a certifikát CA. Je zrejmé, že hovorím o obmedzenom oprávnení pre tých, s ktorými pracujem, nemám na mysli stránky určené pre širokú verejnosť. Tendencia je nútiť sa kupovať certifikáty na úlohy, ktoré nie sú opodstatnené.
Existujú aj bezplatné verejné CA, ako napríklad http://www.selso.com/, ktoré som vo Francúzsku videl veľmi populárne. Je ťažké povedať, či im môžete dôverovať alebo nie, pretože to závisí od použitia.

Pokiaľ ide o vašu osobnú autoritu, samozrejme to môžete urobiť (a robím to isté), ale nemôžete tvrdiť, že ja, ktorý vstúpim na vaše stránky a ktorí nemajú hierarchiu vydanú vašim CA, aby verili, že mám správne to chápem. Možno som na webe hackera z Afganistanu, ktorý sa rozhodol vydať certifikáty pre stránku http://www.badici.ro. Možno nie?

Ak si prečítate predchádzajúcu odpoveď, uvidíte, že nehovorím nič iné. Samozrejme, je možné, že si afganský hacker kúpi doménu badici.ro (no, to sa bralo:)) a možno si kúpi aj certifikát od verisignu, pretože pre bežné certifikáty nie je potrebný register trestov. Neviem na rozšírenom overovaní, čo sa presne robí, ale robia sa nejaké kontroly, nedávno som niekomu kúpil jeden a trval asi týždeň (nekontrolovali ma, samozrejme, zákazníka)
Môj problém je, že ste správne informovaní: napríklad: „ste sa dostali na zabezpečenú stránku s certifikátom Mihai Badici. Príslušná CA sa v koreňových certifikátoch neobjavuje, takže ak jej nedôverujete, opustite navigáciu ".
Vy, ktorí nie ste mojím klientom, sa tu pravdepodobne zastavíte; Moji klienti by mi mali dôverovať alebo mi maximálne zavolať. Čo si však myslíte, že bude reakcia zákazníka na zobrazenie správ, ako sú správy od prehliadača Chrome (zverejnil som ich v inej odpovedi, ale môžete ich skontrolovať osobne)? Pravidelne mi volal niekto, kto sa bál, že mu niekto ukradne peniaze, hovorí Chrome.

Čo sa týka certifikátov so zástupnými znakmi, minimálne pred dvoma rokmi viem s istotou, že sa predali; jednoduchým vyhľadávaním som ich nenašiel, ale z priloženého odkazu som našiel „certifikáty, ktoré zabezpečujú viac ako 100 domén“. Akú veľkú dôveru máte v server na serveri, ktorý zabezpečuje viac ako 100 serverov pomocou jediného certifikátu? Prehliadač však v tomto prípade nebude komentovať.

Pri uverejňovaní článku vydavateľ „stratil“ odkaz na dôveryhodnú politiku registrácie root, pokiaľ ide o mozillu, ktorú som uviedol ako príklad. Všimol som si to teraz a napravil som to, tá veta bez odkazu nemala zmysel. Použitím odkazu pochopíte, že viem, o čom hovorím; akonáhle prekonáte tento aspekt, pochopíte, že nechcem nahradiť koreňové CA ani tvrdiť, že som bezpečnejší ako oni, ale poukazujem iba na aspekt, ktorý sa mi zdá „nefér“. Prirovnal by som to k boju malých výrobcov s globálnymi: tí veľkí používajú silu „supermarketov“ na udusenie malých.

Urobme CA a hovorím:

Prečítajte si komentáre, sú chutné.

Mihai, som presvedčený, že si pamätáš, čo tento bugid vygeneroval

PS:
Aspoň jeden prehliadač kontroluje určité certifikáty po internom „pevne zakódovanom“ zozname, bez ohľadu na to, čo je v zozname „Trusted Root CA“.