Сертифікати, TLS SSL, довіри

Поділіться цією статтею

Статей на цю тему немає.

сертифікати

26 КОМЕНТАРІВ

Цікава стаття, але я не знаю, скільки читачів насправді цікавляться і знають достатньо про тему, щоб зрозуміти її. По-друге, у статті узагальнено близько 3 інших, які я нещодавно бачив у публічному або частково публічному просторі (один написаний мною на спеціалізованому форумі з частково обмеженим доступом, тож ви, звичайно, не читали). Я думаю, це просто випадковість, враховуючи, що останнім часом серед тих, хто цікавиться криптографією, є гостра тема.

Ви можете дати посилання:)
Швидше, у статті узагальнено низку особистих скарг, пов’язаних із ознаками «бойкоту» саморобних ПКІ, які, на мою думку, базуються на очевидній фінансовій причині, співучасті розробників браузерів (деякі з яких потребують пожертв). Під приводом посилення безпеки користувачі істерикують з повідомленнями, що викликають тривогу, хоча мені здається більш природним попередження про доступ до сертифіката з підстановкою, навіть якщо він виданий verisign. Користувачі лякаються і телефонують мені; як би добре я їх не пояснював, вони все одно залишаються з крихтою сумніву, і при першому випадку, не маючи жодного зв'язку з цим, вони стають ще більш підозрілими.

"Одне обмеження SSL полягає в тому, що технічно на IP-адресу може працювати лише один сертифікат."

Індикація імені сервера вирішує це.

Так, дякую за пропозицію, я знав про це розширення, але знав, що воно не застосовується більшістю продуктів на ринку. Але, схоже, тим часом він дійшов до основних браузерів та серверів, тож ти маєш рацію, мене легко залишили позаду. Але сертифікати підстановки все ще продаються, саме про це йшлося:)

Узагальнюючі сертифікати мали досить гарну ідею: якщо організація має кілька серверів в одному полі, тоді підстановка може заощадити їм трохи грошей. Очевидно, що браузер буде протестувати, якщо він спробує отримати доступ до сервера, який не "підходить". Інакше це була б дуже серйозна проблема.

Але так, проблема починається з картеля CA, а точніше із стягуваних цін. Теоретично кожен повинен мати свій власний сертифікат, але скільки грошей потрібно ...

"Випадків компрометованих органів сертифікації не надто багато, випадків досить мало". Правильно, але також коли це сталося ... овець, овець, овець ...

Це траплялося, деякі працювали більше в наступні дні, інші платили більше, але я взяв це з самого початку, технологія вижила. Коли цепелін загорівся над Нью-Йорком, усі знали, що це остання гонка ...

З літа 2015 року можна буде отримати дійсні сертифікати SSL безкоштовно (і автоматично розпізнавати їх браузерами) через платформу Let’s Encrypt. Це вирішує проблему витрат.

Сертифікати підстановки можуть працювати правильно, якщо їх правильно впровадити (великі, якщо). Багато великих веб-інфраструктур використовують їх успішно, не відображаючи помилок браузера. З огляду на поширення та корисність узагальнюючих сертифікатів, не було б нормальним для браузера відображати попереджувальне повідомлення, коли він виявляє такий сертифікат. Якщо співробітники ІТ/ІТ-безпеки навіть не можуть належним чином встановити сертифікат на балансир навантаження ...

Моя проблема полягає в тому, що він не відображає помилок у браузері. Сертифікат призначений для ідентифікації сайту; якщо я вклав у сертифікат узагальнюючий знак, а браузер не реагує, мені здається, що ми маємо справу з логічним переломом: сайт добре, це хто завгодно:)
Натомість, якщо я підтримую свій власний центр сертифікації, замість того, щоб браузер повідомляв "цей сертифікат видається органом, якого немає в нашому списку. Якщо ви довіряєте badici.ro, введіть y "це показує мені щось на кшталт" тікай, вони заберуть твої гроші, розберуть твої володіння та відвезуть коней на CAP ":)

Насправді різниця є, у першій ситуації браузер каже: ви підключилися до сервера, що належить домену, із відомим адміністратором, тобто він має відоме ім'я та адресу.

У другому випадку браузер каже: ви підключилися до сервера, адміністратор якого невідомий, він стверджує, що це Badici, але це може бути абсолютно будь-хто. Він також виступив з адресою в Белізі. Перерахувати кошти?

:)
Якби тільки це було так. Насправді браузер відображає деякі попередження, хоча цілком можливо перевірити адресу, на яку вони дали, порівняти її із заявленою в сертифікаті та дозволити клієнту вибрати. Зазвичай мої клієнти мене знають:) Я не претендую на видачу сертифікатів для веб-сайтів електронної комерції або інших видів діяльності, що передбачають загальний доступ, але тенденція полягає в тому, щоб наводити думку про те, що менш безпечно спілкуватися з сервером компанії, в якій ви працюєте. якщо ви використовуєте свій власний PKI (я не кажу про самопідписані сертифікати, а про правильно налаштований PKI.).
В іншому випадку ви підключилися до сервера, адміністратор якого відомий (наприклад, Комодо), на якому розміщено кілька сайтів, які, як ми вважаємо, контролює адміністратор сервера, саме тому він дав нам гроші, тому ви можете мати повну впевненість. Перерахувати кошти!

повідомлення від google chrome таке:
"Ваш зв’язок не приватний":) що брехня:)
Можливо, зловмисники намагаються викрасти вашу особисту інформацію, наприклад паролі, повідомлення чи кредитні картки "

Наскільки мені відомо, перевірка відповідності адреси домену, до якої ви хочете підключитися, відповідає адресі в отриманому сертифікаті, є одним із перших дій, які роблять браузери. Коли цього не відбувається, це погано.

Але якщо вже є PKI, а кількість клієнтів обмежена, чому б не мати можливості вручну розподілити сертифікат CA кожному з них?

У випадку адміністратора сервера з великою кількістю сайтів на голові, він або керує ними (це також веб-адміністратор для них), і тоді це нормально чи ні, і в цьому випадку кожен сайт повинен мати свій власний сертифікат, і це не повинно бути його завдання, але мережа відповідних адміністраторів.

"За старою парадигмою" я міг розповсюджувати сертифікат за допомогою політики AD. Зараз все складніше, люди пересуваються, купують нові ноутбуки, планшети, телефони тощо. Зрештою, це те, що я роблю, я вручну розподіляю сертифікат ЦС, є технічні рішення, але те, що я хочу сказати, це те, що мені здається, що гра, як правило, стає все більш і більш "несправедливою".

"Моральний" авторитет сертифікаційних установ (принаймні в Румунії) надається лопатою, яку вони дали для того, щоб стати "акредитованими органами влади". Закон електронного підпису був складений відповідно до іміджу та подоби цих компаній (UTI, digisign тощо). Ми всі відчуваємо ефект у своїх гаманцях. У Румунії електронний підпис коштує 30 євро + ПДВ щороку, щоб мати «привілей» мати можливість подавати податкові декларації компанії 12 разів. І короткий термін дії, який становить лише один рік, здається мені смішним, не кажучи вже про бюрократію, пов’язану з отриманням або продовженням строку дії електронного підпису. Наприклад, у Словаччині електронний підпис коштує 8 євро на рік, а в Німеччині його можна безкоштовно отримати у податкових органах із терміном дії 3 роки.

Багато хто почав виходити у всьому світі, продаючи дешеві сертифікати. Але це не суперечить тому, що ви говорите.

Термін дії одного року, на мій досвід, дуже хороший. Оскільки дуже часто ті, хто видає сертифікати, роблять це на слух і використовуючи частину тіла, яка забезпечує велику стійкість, сидячи на стільці. Не кажучи вже про те, що мало хто чув про списки відкликань і ще менше використовує їх (плюс їх впровадження іноді залишає бажати кращого).
Тож добре, що термін його дії закінчується досить швидко.

У взаємодії з румунською державою немає жодної іншої причини, як грабунок жертви - платника податків. Поняття безпеки є другорядним.
Я не розумію, чому однорічний сертифікат кращий, ніж 4-річний - залишаючи осторонь більшу ймовірність зламу, яка в будь-якому випадку дуже близька до 0.

Я маю на увазі криптографічні принципи, звичайно. Схема ssl є дійсною, навіть якщо деякі алгоритми є спірними (а інші стають слабкими із збільшенням обчислювальної потужності) Питання про органи сертифікації є делікатним; якщо у своїй мережі я віддаю перевагу видавати власні сертифікати (улюблена приказка: "якщо ти не довіряєш адміністратору, виганяй його":)), у стосунках із зовнішнім світом я довіряю другові (firefox), який має друг (Комодо), якому він ні в чому не може відмовити, тому він забарвлює мою планку в зелений. А іноді другом друга є лоаза, як на ескізах дядьків Янку:)

Рішення GnuTLS із мережею довірчих мереж, що складається з ключів, попередньо обмінених із людьми, яким ви довіряєте.

На жаль, модель ліцензування Гну - це також тюрма "свободи".

ЄС видав Регламент 910/2014 про електронну ідентифікацію, де вона обробляється, та видачу сертифікатів для веб-серверів.

Він застосовуватиметься з 2016 року, а потім Директива про електронні підписи буде скасована, що є основою закону про електронні підписи в Румунії та інших державах-членах.

Регламент 910/2014 вимагає видачі сертифікатів "кваліфікованим перевіреним постачальником послуг". Таким чином захищаються законні власники доменів - сертифікати не видаються даремно без їх запиту - а також користувачі, які знають, що вони потрапляють на законний сайт, особливо якщо це стосується банків, платіжних процесорів тощо.

Перш за все, як це твердження: «Браузеру не буде чого коментувати, навіть якщо той самий сертифікат автентифікує Vasile SRL та ivanivanovici.ru. Натомість це буде дуже радикально і налякає клієнтів, якщо сертифікат поштового сервера видасть якийсь батсмен ". це повністю підроблено і доводить, що ви насправді не знаєте, що таке сертифікат із підстановкою. якщо це підстановочний знак, перевірте суфікс домену; ви повинні знати, що це означає.

Переглядаючи це, ви говорите наступне:
"Натомість, якщо я зберігаю власну CA, замість того, щоб озвучувати браузер", цей сертифікат видається органом, якого немає в нашому списку. Якщо ви довіряєте badici.ro типу y ", це показує мені щось на кшталт" тікай, вони заберуть твої гроші, розберуть твої володіння та відвезуть коней на CAP "
КОЖНИЙ може стверджувати, що він поганий. Де ви перевіряєте, що це так?
Ось чому в браузері є ці довірені списки.

У будь-якому випадку, деяке читання (RFC) допоможе перед тим, як писати.

Існують символи підстановки, які не просто посилаються на суфікс домену (суфікс першого рівня)
Як щодо цих?
https://www.godaddy.com/ssl/ssl-certificates-config.aspx?origin=pod&plan=ssl_std_3_5
Перевірка того, що сертифікат виданий Badici, проводиться так само, як і у випадку інших, шляхом встановлення сертифіката відповідного органу. Крім того, я можу зберігати CRL та сертифікат CA на своєму сайті. Очевидно, що я говорю про обмежені повноваження для тих, з ким я працюю, я не маю на увазі сайти, призначені для широкої громадськості. Тенденція полягає в тому, щоб змусити мене купувати сертифікати для завдань, де це не виправдано.
Існують також безкоштовні державні центри сертифікації, такі як http://www.selso.com/, які я бачив досить популярними у Франції. Чи можна довіряти їм чи ні, сказати важко, оскільки це залежить від використання.

Що стосується ваших особистих повноважень, очевидно, ви можете це зробити (і я роблю те саме), але ви не можете стверджувати, що я, хто заходжу на ваш сайт і не маю ієрархії, виданої вашим ЦС, щоб довіряти, що я маю правильно зрозумів. Можливо, я перебуваю на сайті хакера з Афганістану, який вирішив видати сертифікати на http://www.badici.ro. Можливо, не?

Якщо ви прочитаєте попередню відповідь, то побачите, що я більше нічого не кажу. Звичайно, афганський хакер може придбати домен badici.ro (ну, це взято:)) і, можливо, навіть купити довідку від verisign, оскільки для звичайних довідок судимість не потрібна. На розширеній верифікації я не знаю, що саме зроблено, але зроблено деякі перевірки, нещодавно я купив її для когось, і це тривало близько тижня (очевидно, вони перевіряли не мене, а замовника)
Моя проблема полягає в тому, що ви правильно проінформовані: наприклад: “Ви потрапили на захищений сайт із сертифікатом Міхай Бадічі. Відповідний ЦС не відображається в кореневих сертифікатах, тому, якщо ви йому не довіряєте, залиште навігацію ".
Ви, хто не є моїм клієнтом, напевно зупинитесь на цьому; Мої клієнти повинні довіряти мені або, щонайбільше, телефонувати мені. Але коли ви відображаєте повідомлення, подібні до повідомлень Chrome (я розмістив це в іншій відповіді, але ви можете перевірити особисто), як ви думаєте, якою буде реакція клієнта? Мені періодично дзвонив той, хто боявся, що хтось вкраде його гроші, каже Хром.

Що стосується сертифікатів з підстановкою, то принаймні два роки тому я точно знаю, що вони були продані; під час простого пошуку я їх не знайшов, але за доданим посиланням знайшов "сертифікати, які захищають понад 100 доменів". Наскільки ви довіряєте сайту на сервері, який захищає понад 100 сайтів одним сертифікатом? І все ж браузер у цьому випадку не буде коментувати.

Опублікувавши статтю, редактор "загубив" посилання на політику довіреної кореневої реєстрації, а також на mozilla, яку я навів як приклад. Я зараз це помітив і виправив, це речення не мало сенсу без посилання. Маючи посилання, ви зрозумієте, що я знаю, про що кажу; як тільки ви подолаєте цей аспект, ви зрозумієте, що я не хочу замінювати місце кореневих центрів сертифікації, ані стверджувати, що я безпечніший за них, а лише вказую на аспект, який мені здається "несправедливим". Я б це порівняв із боротьбою дрібних виробників зі світовими: великі використовують силу "супермаркетів", щоб задушити малих.

Ну, давайте зробимо CA, я кажу:

Прочитайте коментарі, вони смачні.

Міхай, я переконаний, що ти пам'ятаєш, що породив цей жулик

PS:
Принаймні один браузер перевіряє певні сертифікати після внутрішнього "жорстко закодованого" списку, незалежно від того, що є в списку "Довірені кореневі центри сертифікації"