Re: Súlyos hibát vétett a kínai tanúsítvány-kibocsátó
#1
Elküldve: 2015. 03. 25. 16:02
https://www.hwsw.hu/hirek/53752/google-tanusitvany-cnnic-titkositott-forgalom.html
#2
Elküldve: 2015. 03. 25. 16:02
#3
Elküldve: 2015. 03. 25. 20:40
pedig husdaralot kene rendezni egy ilyen utan, aztan a tobbiek is megvalogatnak hogy kinet mit hogyan.
#4
Elküldve: 2015. 03. 25. 20:54
Mi sem győzzük elmondani az ügyfeleinknek, hogy attól, hogy egy dokumentumon aláírás van, még nem fogjuk automatikusan megbízhatónak minősíteni és a tartalmat hitelesnek beállítani. Amit rendszeresen megkérdeznek, hogy az Adobe Reader miért nem jelez zöld pipát, ha a dokumentum alá van írva (mindezt olyan környezetben, ahol a joghatás releváns)? Sokszor azért nem, mert egy "self-signed certificate CN=Gipsz Jakab" nem igazán áll meg egy kicsit is szakértő bíróságon (egy igazságügyi szakértő előtt meg pláne nem).
#5
Elküldve: 2015. 03. 25. 21:05
1. bedöntik a CNNIC-t és egy csomó vállalkozás - aki csak a CNNIC-cel volt partner - lehúzhatja a rolót;
2. felülvizsgálják a CNNIC működését, ami alatt a "jól viselkedő" közbenső szolgáltatók átmennek más root CA-khoz. Ezen root CA-knak viszont szintén be kell vizsgálnia az újonnan belépőket, hogy a "megbízható" plecsnit megkaphassák.
Ez utóbbi kíméletesebb megoldás a tisztességes cégekkel. Aki a CNNIC-től jön, azt ezután valószínűleg minden root CA nagyítóval fogja átnézni, hogy minden stimmeljen (senki nem fog vakon bízni a CNNIC "megbízható" minősítésében).
Én is a második megoldás mellett döntenék és az intermediate CA-k helyében gyorsan elkezdenék egy vagy több másik root CA után nézni.
#6
Elküldve: 2015. 03. 25. 21:16
Hááát... ...én azért ennyire határozottan nem fogalmaznék - amilyen igazságügyi szakértői szakvéleményekbe lehet időnként belefutni.
(Amúgy igazad van a hitelességet tekintve, csak a hazai bíróság és a hozzá tartozó szakértői brigád szakmai hozzáértése meglehetősen megkérdőjelezhető.)
#8
Elküldve: 2015. 03. 25. 21:47
#9
Elküldve: 2015. 03. 25. 23:02
#10
Elküldve: 2015. 03. 26. 04:35
#11
Elküldve: 2015. 03. 26. 11:29
Pedig az esetek 99,999+ (sokkilences) százalékában biztonságos. És majdnem 100%-ban biztonságosabb, mint a sima http. És ha a befektetett energia több, mint a várható nyereség, akkor nem igazán kell tartani a rosszindulatú töréstől, megfigyeléstől. Ez az esetek sokkilences százalékára igaz.
Ma már ez elvárt minimum, és nem naiivitás kérdése, hanem a realitásé.
#12
Elküldve: 2015. 03. 26. 23:49
Idézet: Asker - Dátum: 2015. 03. 25. 20:40
pedig husdaralot kene rendezni egy ilyen utan, aztan a tobbiek is megvalogatnak hogy kinet mit hogyan.
Így van, "mar megint ez a too big to fail", lassan értelmezhetnéd is jelentését, ha már a hangzása annyira tetszik neked
Amúgy meg igen, megválogatom hogy kiben bízok. Kínai site-okkal - jó közelítéssel - szándékosan nem kerülök kapcsolatba, max ebay-en keresztül, de az ugye más bábszínház.
Ezt figyelembe véve nyugodt szívvel tiltom ezeket, max. ha valamit _tényleg_ el akarok érni és _az_ nem megy, akkor majd felülvizsgálom a korábbi szabályaimat. Evvan. A bizalom olyan dolog, amit könnyű elveszíteni.
Szerkesztette: xclusiv 2015. 03. 27. 00:05 -kor
#13
Elküldve: 2015. 03. 26. 23:57
Idézet: dragon1993 - Dátum: 2015. 03. 25. 23:02
Én nem hagytam, akármit is ad. Annyira nem bízok benne.
A startcom is ad ingyen cert-et, igaz csak egy évre. Bár amikor a játszós szerveremre akartam cert-et okozni akkor épp köhögtek, szóval inkább kiadtam kemény 8 dollárt egy comodo-s cert-re egy évre. Ez még a mai, elborult dollár árakon is 2200 Ft.
Na ha valaki ennyit nem tud kiadni egy cert-ért, és tényleg meg is akarom nézni az oldalát, akkor egyedileg engedélyezem...
#14
Elküldve: 2015. 03. 27. 00:04
Idézet: Leni - Dátum: 2015. 03. 26. 11:29
Pedig az esetek 99,999+ (sokkilences) százalékában biztonságos. És majdnem 100%-ban biztonságosabb, mint a sima http. És ha a befektetett energia több, mint a várható nyereség, akkor nem igazán kell tartani a rosszindulatú töréstől, megfigyeléstől. Ez az esetek sokkilences százalékára igaz.
Ma már ez elvárt minimum, és nem naiivitás kérdése, hanem a realitásé.
És ez egészen addig igaz, amíg nem jön egy - a böngésződ vagy egyéb sw-ed által - megbízhatónak tartott CA, ami kiad valakinek tanúsítványt pl. a gmail.com, facebook.com, outlook.com, és stb. oldalakra. Vagy akár ad jogot arra bárkinek, hogy ilyen cert-et állítson ki magának.
#16
Elküldve: 2015. 03. 28. 02:21
Idézet: Leni - Dátum: 2015. 03. 27. 00:09
Értelmezem, és továbbra is úgy gondolom ahogy.
Persze, a http-nél jobb a https, még self signed cert-tel is. Ez nem is kérdés.
Az igazi probléma ott van, amikor megbízol egy zöld címsorban, ahol a cert nem is az, aminek kellene lenni, de a böngésződ megbízik a root CA-ban. Ennek persze kicsi az esélye, nyilván. De a cikk szerint is valós a lehetőség.
Mert honnan tudhatod, hogy az egyiptomi XY holding csak saját magának adott ki cert-et, és nem adott ki pl. az egyiptomi elhárításnak?
Vagy épp a magyar "hárombetűs"cégeknek, amivel persze nyugodtan használod a gmail-t, outlook-ot, facebook-ot, akármit, akár otthonról is. Aztán másnap bent az állami cégnél egy elbocsátó szép üzenet vár, hogy köszönik szépen az eddigi munkádat de a továbbiakban nem kívánnak alkalmazni. Magyarázat persze nincs...
Valószínű? Nem.
Elképzelhető? Igen.
Persze megoldható a certificate pinning és egyebek, de ezt egy r=1 usernek nem fogod elmagyarázni...
#17
Elküldve: 2015. 03. 28. 20:30
És én kb ennyit állítottam.
továbbá:
"És ha a befektetett energia több, mint a várható nyereség, akkor nem igazán kell tartani a rosszindulatú töréstől, megfigyeléstől. "
#18
Elküldve: 2015. 03. 30. 23:46
Idézet: Leni - Dátum: 2015. 03. 28. 20:30
És én kb ennyit állítottam.
Igen, csak gerike azon állítására, hogy "nagy naivitás kell ahhoz, hogy a szép zöld https feliratra ráállva a biztonságos webcím sallangot elhigyje valaki"
Ami a cikk alapján amúgy igaz. Bármennyire is furcsa nekem, hogy egyetértek gerivel. Mert hamis biztonságérzetet ad az a zöld sáv...
Idézet
"És ha a befektetett energia több, mint a várható nyereség, akkor nem igazán kell tartani a rosszindulatú töréstől, megfigyeléstől. "
Ez mind igaz, de ugye egy olyan országról beszélünk, ahol simán elvették a nyugdíjpénzeket, simán bezártak vasárnap szinte mindent, meg éjjel is amúgy, amiről szinte szó se esik. Belepofáznak erőszakkal az életedbe, ha nekik úgy tetszik...
Kommandósokat küldtek civil szervezetekre, amik közpénzt ugyan nem kaptak, de a közpénzek ellenőrzésére hivatott kehi-vel basztatták őket, mert a pártnak nem tetszett az irány...
A netadóval is bepróbálkoztak (azóta is megy ennek a szánalmas utánrengése tompikával vezetve), csak ott az ncore népébe beletört ugye a bicskájuk.
Szóval nem mondom én azt, hogy komoly kockázata van, hogy r=1 emberek ellen ilyet használjanak ezek. Én is tolom publikusan bátran, nagy pofával "s" nélküli http-n, mert leszarom.
De azért egy halk "éberség, elvtársak" azért erősen indokolt szerintem, már ha érted mire gondolok...