» »

Uporabnikom za veljavnost certifikatov ni mar

Uporabnikom za veljavnost certifikatov ni mar

CNet - V študiji, ki so jo izvedli na Carnegie Mellon University in katere podrobne izsledke kanijo javnosti prikazati avgusta na Usenix Security Symposium, so raziskovalci ugotovili, da je zaščita z opozorili pred pretečenimi certifikati slabo uspešna. Opazovali so 409 uporabnikov, ki so v veliki večini pri opozorilu, da je certifikat SSL potekel, enostavno kliknili Prezri. Zanimivo je, da bolj kot so bili uporabniki vešči tehnologije, v večjem deležu so težavo ignorirali.

Smisel certifikatov SSL je uporabniku zagotoviti, da je stran, ki jo obiskuje, avtentična. Res je, da običajno potečejo iz banalnih razlogov, a pretečen certifikat lahko pomeni tudi, da je uporabnik žrtev MITM-napada. Med 50 odstotki uporabnikov, ki so dejansko razumeli, kaj pomeni napaka pretečeni certifikat, se jih 71 odstotkov ni obremenjevalo s tem. Celo 19 odstotkov izmed tistih, ki so vedeli, kaj pomeni neujemanje domene (domain mismatch), se ni vznemirjalo zaradi tega.

32 komentarjev

zigomir ::

Celo 19 odstotkov izmed tistih, ki so vedeli, kaj pomeni neujemanje domene (domain mismatch), se ni vznemirjalo zaradi tega.


Pol že niso prav dobro vedl kaj to pomen...

Bistri007 ::

Smisel certifikatov SSL je uporabniku zagotoviti, da je stran, ki jo obiskuje, avtentična.


Smisel certifikatov je šifriranje prometa in zaščita pred preprosto krajo gesel (npr za intranet), ki se drugače preko http pošiljajo plaintext.

A res ni nobene uporabnosti za self issued certifikate?
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...

tx-z ::

Nej pa nardijo tko da k certifikat poteče, da poteče, da si nimaš več kj z njim pomagat pa da se kr zbriše... :P
tx-z

Poldi112 ::

Saj, če greš na banko potem je sumljivo če ni veljaven. Če pa samo iščeš informacije o ne vem, bronotzavru in je pač na https, ti pa res dol visi za certifikat. Oz. si upravičeno jezen, ko ti firefox teže in ga moraš ročno dodati med zaupanja vredne.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

GapsoN ::

Ja super, tile certifikati so tko tko... V službi imamo eno ime serverja, za owo rabi drugo domeno, potem pa vedno javka, da se ne ujemata... ampak to je v bistvu prav...
nobody else

jlpktnst ::

Ja itak ker ima 90% strani pretečene certifikate. Zato je pač folk se navadu da so pretečeni :)

SunCell ::

Precej nenavadno se mi zdi, da tudi naša največja banka pri svojem spletnem bančništvu uporablja samopodpisani certifikat :\

Tomas 33 ::

Certifikat ni samopodpisan ampak izdan od njihove CA, ta pa je med zaupanja vrednimi izdajatelji (vsaj za MS).

Zgodovina sprememb…

  • spremenilo: Tomas 33 ()

MrStein ::

Zdaj odvisno (nisem še prebral), za kake strani se je šlo v testu. Za razne foo.mycoolblog.com bi jaz tudi takoj kliknil na "Ne teži in mi prilaži stran". Saj ni slabše kot 90% drugih strani, ki niti enkriptirani niso...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Bistri007 ::

Saj nedolgo nazaj je Google našel zadetke na https://slo-tech.com/ in ko si kliknil, ti je težil za nepravilen certifikat.
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...

Keyser Soze ::

Saj, če greš na banko potem je sumljivo če ni veljaven. Če pa samo iščeš informacije o ne vem, bronotzavru in je pač na https, ti pa res dol visi za certifikat. Oz. si upravičeno jezen, ko ti firefox teže in ga moraš ročno dodati med zaupanja vredne.

Ekola, to je to.
OM, F, G!

Matevžk ::

Saj, če greš na banko potem je sumljivo če ni veljaven. Če pa samo iščeš informacije o ne vem, bronotzavru in je pač na https, ti pa res dol visi za certifikat. Oz. si upravičeno jezen, ko ti firefox teže in ga moraš ročno dodati med zaupanja vredne.

Se popolnoma strinjam!
lp, Matevžk

misek ::

Poldi112, točno tako. Za strani, kjer se sploh ne rabim prijaviti, mi dol visi, če mi teži z napačnim certifikatom. Saj bom itak samo pregledal stran, ali vsebuje informacije, ki me zanimajo.
Pri banki, davkih itd. pa je zgodba precej drugačna. Vsaj z moje strani.

Odyn ::

Pa če ne bi v Sloveniji imelo ogromno državnih agencij neveljavne certifikate, bi se nivo osveščenosti tudi malo dvignil.

Looooooka ::

kdorkol po defaultu userja redirecta na https strani in ma gor napisano informacijo, ki se pri pomembnosti mogoce kosa s informacijo konfekcijske stevilke mojih spodnjic...je tko al tko falil point certifikatov.

mojca ::

Ima v Sloveniji sploh kdo veljaven certifikat? Jaz še nisem videla navodil banke ali uradne državne institucije, ki se ne bi začela z besedami "klikni prezri, ko te opozori o neveljavnem certifikatu".

darkolord ::

Seveda imajo, duh.

Keyser Soze ::

Ja, samo tule ni point v neveljavnosti certifikata. "Problem" je v overitelju certifikata in brskalniku, ker ta ne "prepozna" certifikata izdanega s strani ACNLB, SICERT, SIGOVCA, ipd...
OM, F, G!

Zgodovina sprememb…

Looooooka ::

mojca...problem je v tem, da ce hoces met certifikat, ki je magicno veljaven v browserjih(govormo za windowse)...mora ta bit izdan od nekoga, ki je shranjen v sistemu kot certified root authority.
To si naceloma lahko tudi ti(microsoft na mesec al 2 updejta zadevo, ce se najde kaksen nov vnos)...AMPAK problem je v tem, da moras met za sabo banko, ki bo krila tvojo dejavnost(da si veljaven CA)...plus kup papirologije....na konc se streznik, ki je dovolj varen da ti nekdo ne pokrade glavnih certifikatov in njihovih kljucev...
ko sestejes vse to skupi se ti bolj splaca kupit certifikat pri verisignu al pa komu drugemu.

Problem pri nasih bankah je pa to...da ti one tudi izdajajo certifikate s katerimi preverjajo, da si ti ti.Se prav bi mogl oni pri verisignu kupit certifikat, ki jim to omogoca(ce se hoces it chain trust...te verisign spet nategne tko da zase ne ves).Stroski so spet...HUGE.Ceprav bi jih banke mogle bit sposobne pokrit.Se posebi za tok majhno drzavo kot smo mi.
Ampak dokler je edina razlika med certifikatom od banke in tistim od verisigna to, da je nekdo za drugega mastno placal...koga briga tist warning.Vazn, da ti zaupas osebi, ki ti je izdala certifikat.To je tud point certifikatov.Vse ostalo so dodal za nateg in denar.Ogromen nateg za ogromno denarja.

Zgodovina sprememb…

  • spremenilo: Looooooka ()

MrStein ::

Ja, samo kako vem, da je nepodpisan certifikat, za katerega me sprašuje browser res ob NLB in ne od RussianMafiaSyndicate ?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

MrStein ::

ob=od
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

drola ::

@MrStein: na spletni strani z navodili imaš screenshot s prstnim odtisom certifikata:

AC NLB



Verjetno pa dobiš to zadevo tudi v natisnjeni obliki po pošti.
https://drola.si

Zgodovina sprememb…

  • zavarovalo slike: gzibret ()

ABX ::

Saj, če greš na banko potem je sumljivo če ni veljaven. Če pa samo iščeš informacije o ne vem, bronotzavru in je pač na https, ti pa res dol visi za certifikat. Oz. si upravičeno jezen, ko ti firefox teže in ga moraš ročno dodati med zaupanja vredne.

Se popolnoma strinjam!


+1
Vaša inštalacija je uspešno spodletela!

MrStein ::

drola:
MrStein: na spletni strani z navodili imaš screenshot s prstnim odtisom certifikata:

Na spletni strani ? Brez enkripcije ? In naj mu zaupam ?
Zakaj potem sploh rabimo enkriptirane strani ? ;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

drola ::

drola:
MrStein: na spletni strani z navodili imaš screenshot s prstnim odtisom certifikata:

Na spletni strani ? Brez enkripcije ? In naj mu zaupam ?
Zakaj potem sploh rabimo enkriptirane strani ? ;)


Naj ti odgovori nekdo, ki dejansko uporablja Klik, ampak skoraj zagotovo dobiš ob naročilu te storitve tudi navodila v papirnati obliki ali pa kak elektronski medij, kjer je hash zapisan.
https://drola.si

MrStein ::

Jaz sem odgovarjal glede na web stran.
Tisto s papirjem je drugo.

Ampak se tudi redko uporablja. Recimo kolosej.si tudi nima podpisan certifikat. (https://vstopnice.kolosej.si/)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

dussan ::

drola:
MrStein: na spletni strani z navodili imaš screenshot s prstnim odtisom certifikata:

Na spletni strani ? Brez enkripcije ? In naj mu zaupam ?
Zakaj potem sploh rabimo enkriptirane strani ? ;)


Naj ti odgovori nekdo, ki dejansko uporablja Klik, ampak skoraj zagotovo dobiš ob naročilu te storitve tudi navodila v papirnati obliki ali pa kak elektronski medij, kjer je hash zapisan.


Hmm.. Ne dobiš :(
Ravno včeraj sem namestil ACNLB certifikat, pa v papirologiji ni nobenega fingerprinta.. Je pa res, da IE ACNLB prepozna... FF pa ne. Ne vem pa, ali je v IE prenesen z MS osvežitvami ali direktno.

lp, Dussan

techfreak :) ::

Jaz samo ne razumem, zakaj moram za self-signed certifikat prb. 5x klikniti v Firefoxu, da sploh pridem na stran?

Oz. zakaj brskalniki domnevajo, da je self-signed certifikat toliko slabši od navadnega http prometa?

Poldi112 ::

Zato, da ko dejansko pride do zlorabe lahko rečejo, da so ti 5x povedali, pa si še kar hotel naprej.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

techfreak :) ::

Še dobro da pri HTTP ne more priti do zlorabe ...

jype ::

DejanL15> Še dobro da pri HTTP ne more priti do zlorabe ...

Ja, pa res :)

Mmmm, cookies!

BlueRunner ::

Logika kričanja pri nepreverjenih digitalnih podapisih je sledeča:
- morda si res pristal sredi MITM napada
- morda nisi sredi MITM napada, vendar pa je ta neopazno možen - ne zaupaj 100% takšni varnosti

V obeh primerih se gre zato, da niti pod razno ne smeš verjeti, da si varen.

Firefox od 3.0 naprej vključuje enostaven in pravilen mehanizem, po katerem lahko dodaš takšen podpis na svoj oseben seznam veljavnih podapisov. S tem si izjavil, da podpis poznaš in mu zaupaš, kasneje pa bo FF natančno vedel, če si sredi MITM napada, saj bo vedel, da je nekdo podtaknil nek tretji podpis. Tehniki v obsedenosti s PKI-jem pogosto pozabijo, da je X.509 lahko samo kozarec v katerem dobimo podatke o ključu. Te podatke pa lahko preverimo tudi sami na drug način, ne poterbujemo pa nujno CA-ja za to opravilo.

IE je tukaj še v ozadju.

Opera in Safari pa v kameni dobi.

Seveda pa bi bil počasi že čas, da se nekriptiran HTTP promet počasi ukine. Danes se skoraj že vsakdo zaradi nekih višjih razlogov čuti poklicanega, da nekaj šari po vsebini naših komunikacij. Kar se mi osebno zdi najmanj neokusno, če ne še kaj hujšega.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Pornhub s HTTPS protokolom nad požrešne ISP-je (strani: 1 2 )

Oddelek: Novice / Zasebnost
5821933 (10590) M.B.
»

NLB mora povrniti škodo zaradi phishinga (strani: 1 2 3 )

Oddelek: Novice / Varnost
12850755 (43826) tony1
»

Slo-Tech preko TLS povezave (strani: 1 2 3 )

Oddelek: Novice / Obvestila
12016977 (12617) Jst
»

Uporabnikom za veljavnost certifikatov ni mar

Oddelek: Novice / Varnost
325049 (3690) BlueRunner
»

hosting za podjetje

Oddelek: Izdelava spletišč
81538 (1271) kocba

Več podobnih tem