Vsechny prohlizece respektujici odpovidajici standarty pracuji s obsahem
Subject Alt DNS Name. Porovnavaji to co zada uzivatel s subjaltname a
pokud to neodpovida tak varuji uzivatele o tom ze certifikat nejspis
neni v poradku. Teprve pokud neexistuje subjaltname se jde do subjectu.
Obdobne by to melo fungovat pro IP adresy ktery se snad do Subjectu ani
nepisou.
aha, to uz zni zajimaveji :) jen mi prijde, ze o tom nikdo nevi :-|
(viz treba tady http://www.jabber.cz/wiki/Self_signed_certificate)
Vi o tom spousta lidi :) A jeste vetsi ne..
Cela logika byla vymyslena pro HTTPs kdy to URL zada uzivatel - pak se
porovnava jeho vstup s tim co preda server. Pokud se jedna ale o kliknuti
na nejaky odkaz tak uz to zacne pokulhavat. Pokud ale CA neni devka
prodejna co
v tom je u ssl nejaky rozdil (rucni zadani url vs. kliknuti na link)?
nemyslim, ze by mel byt..
Problem je v tom, ze ten link k tobe muze doputovat nezabezpecenym kanalem
ktery muze byt po ceste zmodifikovan. Treba takova ebanka zacina na
http://www.ebanka.cz/logonBanka/bankaMEK.html a teprve pak te to smeruje na
nejakyho https://klient[0-9].ebanka.cz. A takovy VeriSign vyda certifikat
komukoliv kdo zaplati. Sice chteji potvrzeni o vlastnictvi domeny, ale
ebamka.cz by mozna slo prehlendout a jeji drzeni je zcela ok.
V podstate to, ze pouzivaji koren nejaky obecne uznavany CA je spis riziko.
Bylo by mnohem lepsi pokud by za a) dokazali provest takove technicke a
administrativni zabezpeceni vlastniho korene jako VeriSign a za b) donutili
klienty aby si jejich vlastni koren odnesli z pobocky a nainstalovali do sveho
prohlizece.
b) je bohuzel nerealisticke, klienti=uzivatele na takove veci kaslou. Takze je
lepsi ten vsude predinstalovany koren VeriSignu nebo CyberTrustu... je alespon
teoreticka sance ze kdyz by nekdo provadel neplechu z ebamka.cz tak mu
certifikat z revokuji... jenze on nikdo CRL nestahuje a OCSP zatim moc
nefrci... jsem nejak moc depresivni. Nastesti je tam jeste dalsi overovaci
faktor v podobe te kalkulacky/mobilu.
Jadro me prapuvodni namitky tkvelo v tom, ze Internet je zamoreny ruzne blbe
vydanymi certifikaty (nejde o koren ale o DNS name, pripadne vyexprovany
certifikat) ze uzivatele rezignovali (meli-li nekdy snahu) a klikaji na
ok/ignore a pisi sva hesla kamkoliv kde to vypada jen trosku slibne. V
pripade BBS jde naprosto o nic a klidne bych sem lezl telnetem, jde ale o
to ze lidi si zvyknou tady a pak je to neprekvapi ani v praci.
Je proste velika skoda k vseobecnemu bordelu prispivat svou vlastni hromadkou.
Semik
alfi
|
