CNet - V študiji, ki so jo izvedli na Carnegie Mellon University in katere podrobne izsledke kanijo javnosti prikazati avgusta na Usenix Security Symposium, so raziskovalci ugotovili, da je zaščita z opozorili pred pretečenimi certifikati slabo uspešna. Opazovali so 409 uporabnikov, ki so v veliki večini pri opozorilu, da je certifikat SSL potekel, enostavno kliknili Prezri. Zanimivo je, da bolj kot so bili uporabniki vešči tehnologije, v večjem deležu so težavo ignorirali.
Smisel certifikatov SSL je uporabniku zagotoviti, da je stran, ki jo obiskuje, avtentična. Res je, da običajno potečejo iz banalnih razlogov, a pretečen certifikat lahko pomeni tudi, da je uporabnik žrtev MITM-napada. Med 50 odstotki uporabnikov, ki so dejansko razumeli, kaj pomeni napaka pretečeni certifikat, se jih 71 odstotkov ni obremenjevalo s tem. Celo 19 odstotkov izmed tistih, ki so vedeli, kaj pomeni neujemanje domene (domain mismatch), se ni vznemirjalo zaradi tega.
Smisel certifikatov SSL je uporabniku zagotoviti, da je stran, ki jo obiskuje, avtentična.
Smisel certifikatov je šifriranje prometa in zaščita pred preprosto krajo gesel (npr za intranet), ki se drugače preko http pošiljajo plaintext.
A res ni nobene uporabnosti za self issued certifikate?
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...
Saj, če greš na banko potem je sumljivo če ni veljaven. Če pa samo iščeš informacije o ne vem, bronotzavru in je pač na https, ti pa res dol visi za certifikat. Oz. si upravičeno jezen, ko ti firefox teže in ga moraš ročno dodati med zaupanja vredne.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Ja super, tile certifikati so tko tko... V službi imamo eno ime serverja, za owo rabi drugo domeno, potem pa vedno javka, da se ne ujemata... ampak to je v bistvu prav...
Zdaj odvisno (nisem še prebral), za kake strani se je šlo v testu. Za razne foo.mycoolblog.com bi jaz tudi takoj kliknil na "Ne teži in mi prilaži stran". Saj ni slabše kot 90% drugih strani, ki niti enkriptirani niso...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Saj nedolgo nazaj je Google našel zadetke na https://slo-tech.com/ in ko si kliknil, ti je težil za nepravilen certifikat.
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...
Saj, če greš na banko potem je sumljivo če ni veljaven. Če pa samo iščeš informacije o ne vem, bronotzavru in je pač na https, ti pa res dol visi za certifikat. Oz. si upravičeno jezen, ko ti firefox teže in ga moraš ročno dodati med zaupanja vredne.
Saj, če greš na banko potem je sumljivo če ni veljaven. Če pa samo iščeš informacije o ne vem, bronotzavru in je pač na https, ti pa res dol visi za certifikat. Oz. si upravičeno jezen, ko ti firefox teže in ga moraš ročno dodati med zaupanja vredne.
Poldi112, točno tako. Za strani, kjer se sploh ne rabim prijaviti, mi dol visi, če mi teži z napačnim certifikatom. Saj bom itak samo pregledal stran, ali vsebuje informacije, ki me zanimajo. Pri banki, davkih itd. pa je zgodba precej drugačna. Vsaj z moje strani.
kdorkol po defaultu userja redirecta na https strani in ma gor napisano informacijo, ki se pri pomembnosti mogoce kosa s informacijo konfekcijske stevilke mojih spodnjic...je tko al tko falil point certifikatov.
Ima v Sloveniji sploh kdo veljaven certifikat? Jaz še nisem videla navodil banke ali uradne državne institucije, ki se ne bi začela z besedami "klikni prezri, ko te opozori o neveljavnem certifikatu".
Ja, samo tule ni point v neveljavnosti certifikata. "Problem" je v overitelju certifikata in brskalniku, ker ta ne "prepozna" certifikata izdanega s strani ACNLB, SICERT, SIGOVCA, ipd...
mojca...problem je v tem, da ce hoces met certifikat, ki je magicno veljaven v browserjih(govormo za windowse)...mora ta bit izdan od nekoga, ki je shranjen v sistemu kot certified root authority. To si naceloma lahko tudi ti(microsoft na mesec al 2 updejta zadevo, ce se najde kaksen nov vnos)...AMPAK problem je v tem, da moras met za sabo banko, ki bo krila tvojo dejavnost(da si veljaven CA)...plus kup papirologije....na konc se streznik, ki je dovolj varen da ti nekdo ne pokrade glavnih certifikatov in njihovih kljucev... ko sestejes vse to skupi se ti bolj splaca kupit certifikat pri verisignu al pa komu drugemu.
Problem pri nasih bankah je pa to...da ti one tudi izdajajo certifikate s katerimi preverjajo, da si ti ti.Se prav bi mogl oni pri verisignu kupit certifikat, ki jim to omogoca(ce se hoces it chain trust...te verisign spet nategne tko da zase ne ves).Stroski so spet...HUGE.Ceprav bi jih banke mogle bit sposobne pokrit.Se posebi za tok majhno drzavo kot smo mi. Ampak dokler je edina razlika med certifikatom od banke in tistim od verisigna to, da je nekdo za drugega mastno placal...koga briga tist warning.Vazn, da ti zaupas osebi, ki ti je izdala certifikat.To je tud point certifikatov.Vse ostalo so dodal za nateg in denar.Ogromen nateg za ogromno denarja.
Saj, če greš na banko potem je sumljivo če ni veljaven. Če pa samo iščeš informacije o ne vem, bronotzavru in je pač na https, ti pa res dol visi za certifikat. Oz. si upravičeno jezen, ko ti firefox teže in ga moraš ročno dodati med zaupanja vredne.
MrStein: na spletni strani z navodili imaš screenshot s prstnim odtisom certifikata:
Na spletni strani ? Brez enkripcije ? In naj mu zaupam ? Zakaj potem sploh rabimo enkriptirane strani ?
Naj ti odgovori nekdo, ki dejansko uporablja Klik, ampak skoraj zagotovo dobiš ob naročilu te storitve tudi navodila v papirnati obliki ali pa kak elektronski medij, kjer je hash zapisan.
MrStein: na spletni strani z navodili imaš screenshot s prstnim odtisom certifikata:
Na spletni strani ? Brez enkripcije ? In naj mu zaupam ? Zakaj potem sploh rabimo enkriptirane strani ?
Naj ti odgovori nekdo, ki dejansko uporablja Klik, ampak skoraj zagotovo dobiš ob naročilu te storitve tudi navodila v papirnati obliki ali pa kak elektronski medij, kjer je hash zapisan.
Hmm.. Ne dobiš :( Ravno včeraj sem namestil ACNLB certifikat, pa v papirologiji ni nobenega fingerprinta.. Je pa res, da IE ACNLB prepozna... FF pa ne. Ne vem pa, ali je v IE prenesen z MS osvežitvami ali direktno.
Logika kričanja pri nepreverjenih digitalnih podapisih je sledeča: - morda si res pristal sredi MITM napada - morda nisi sredi MITM napada, vendar pa je ta neopazno možen - ne zaupaj 100% takšni varnosti
V obeh primerih se gre zato, da niti pod razno ne smeš verjeti, da si varen.
Firefox od 3.0 naprej vključuje enostaven in pravilen mehanizem, po katerem lahko dodaš takšen podpis na svoj oseben seznam veljavnih podapisov. S tem si izjavil, da podpis poznaš in mu zaupaš, kasneje pa bo FF natančno vedel, če si sredi MITM napada, saj bo vedel, da je nekdo podtaknil nek tretji podpis. Tehniki v obsedenosti s PKI-jem pogosto pozabijo, da je X.509 lahko samo kozarec v katerem dobimo podatke o ključu. Te podatke pa lahko preverimo tudi sami na drug način, ne poterbujemo pa nujno CA-ja za to opravilo.
IE je tukaj še v ozadju.
Opera in Safari pa v kameni dobi.
Seveda pa bi bil počasi že čas, da se nekriptiran HTTP promet počasi ukine. Danes se skoraj že vsakdo zaradi nekih višjih razlogov čuti poklicanega, da nekaj šari po vsebini naših komunikacij. Kar se mi osebno zdi najmanj neokusno, če ne še kaj hujšega.
