Forum » Informacijska varnost » Prevzem certifikata sigenca v WIN 10
Prevzem certifikata sigenca v WIN 10
MTB ::
Ker bo star certifikat pretekel, sem poskusil prevzeti novo digitalno potrdilo.
Sistem me obvesti, da prevzem ni možen s chromom ali MS edge. Ker uporabljam prvega, sem seveda uporabil IE v WIN10.
Preberem navodila, želi korensko potrdilo izdajatelja SI-TRUST Root. Inštaliram.
Vpišem referenčno številko, avtorizacijsko kodo. Napaka.
Ok, prepišem obe še enkrat, mogoče sem se zmotil. Ne dela.
Mogoče ima težave s korenskim potrdilom. Restartam IE, pogledam kje se nahaja potrdilo, vse ok.
Poskusim ponovno. Ne dela. Mogoče kak problem z AV ali požarnim zidom. Izklopim.
Ponovno. Ne dela. Pravi da naložim popravke za brskalnik. Ok, preverim, zadnji popravki.
Ponovno. Ne dela. Poskusim edge, itak ne dela.
Naložim firefox. Uvozim. Aleluja. Aha, sedaj export. Gledam pomoč, ta nima veze z zadnjim firefoxom. Še dobro, da nisem tako na vi z računalnikom, da mi uspe najti certifikat, ga izvoziti in uvoziti v chrome, oz. IE.
Preverim na spletni strani, certifikaz dela!
Navadnemu državljanu prijazno?
Sistem me obvesti, da prevzem ni možen s chromom ali MS edge. Ker uporabljam prvega, sem seveda uporabil IE v WIN10.
Preberem navodila, želi korensko potrdilo izdajatelja SI-TRUST Root. Inštaliram.
Vpišem referenčno številko, avtorizacijsko kodo. Napaka.
Ok, prepišem obe še enkrat, mogoče sem se zmotil. Ne dela.
Mogoče ima težave s korenskim potrdilom. Restartam IE, pogledam kje se nahaja potrdilo, vse ok.
Poskusim ponovno. Ne dela. Mogoče kak problem z AV ali požarnim zidom. Izklopim.
Ponovno. Ne dela. Pravi da naložim popravke za brskalnik. Ok, preverim, zadnji popravki.
Ponovno. Ne dela. Poskusim edge, itak ne dela.
Naložim firefox. Uvozim. Aleluja. Aha, sedaj export. Gledam pomoč, ta nima veze z zadnjim firefoxom. Še dobro, da nisem tako na vi z računalnikom, da mi uspe najti certifikat, ga izvoziti in uvoziti v chrome, oz. IE.
Preverim na spletni strani, certifikaz dela!
Navadnemu državljanu prijazno?
gusto ::
Ne, prijazno sicer ni, ampak upoštevaš navodila in uporabiš Firefox (ga pač inštaliraš), in ne smeti, kot je IE, drugo pa tako ni podprto. Če si vsaj na pol računalniško pismen, pa tudi najdeš opcijo za izvoz certifikata. Je pa res, da čez palec, polovica ljudi tega postopka ni možna izvesti (vem, ker so me prosili za pomoč). Zdaj pa ne vem, ali je problem v postopku, ali ljudeh.
#000000 ::
Ma moraš instalirat tudi setcce proxsign drugače ne dela, uvozi ga v firefox in maš mir, še bolje da ga uvoziš samo ko ga rabiš, in takoj kasneje izbrišeš.
in ja trije kliki v FF geslo in dela, komponenta za podpisovanje pa mora bit tudi inštalirana, drugače ti odpira E upravo, ampak ko hočeš kaj narest ti pa flikne opozorilo da ti manjka komponenta za podpisovanje (mislm ko hočeš kako vlogo oddat)
in ja trije kliki v FF geslo in dela, komponenta za podpisovanje pa mora bit tudi inštalirana, drugače ti odpira E upravo, ampak ko hočeš kaj narest ti pa flikne opozorilo da ti manjka komponenta za podpisovanje (mislm ko hočeš kako vlogo oddat)
Zgodovina sprememb…
- spremenilo: #000000 ()
vres.ales ::
Ja in ti odpira adobe readerja in tam javlja napako :)
Jaz sem tudi rabil enih 10min da sem skužil kaj hočejo od mene
Jaz sem tudi rabil enih 10min da sem skužil kaj hočejo od mene
konspirator ::
#000000
setcce proxsign se uporablja za digitalni podpis in ne za prevzem.
setcce proxsign se uporablja za digitalni podpis in ne za prevzem.
--
Zgodovina sprememb…
- odbrisalo: darkolord ()
PromeuZ ::
Še en z isto izkušnjo, vendar dodatnim problemom - izvoženega potrdila iz FF mi namreč noče uvoziti v sistemsko shrambo potrdil. Pri uvozu v sistemsko shrambo mi javi, da je geslo nepravilno. Probal s parimi izvozi in različnimi gesli - od enostavnih, do bolj kompleksnih a je končni rezultat vedno enak. Kakšna ideja? Naj omenim, da me pri prevzemu potrdila v FF ni vprašalo po nikakršni določitvi gesla ali opcije, da bo certifikat exportable.
<!-- https://pisalnik.wordpress.com -->
Apple ::
Da bo cert exportable, te nikoli ne vprasa v postopku, ko ga prevzemas.
Geslo dolocis sele, ko ga exportas.
Geslo dolocis sele, ko ga exportas.
LP, Apple
PromeuZ ::
Glede na stackoverflow je problem lahko zaradi FF verzije 59 (rešitev naj bi bila uvoz v verzijo 57 in izvoz iz nje). Sam sem zadevo rešil z uvozom v middleware aplikacijo za hendlanje certifikatov in izvozom iz te aplikacije. Sedaj je SigenCA potrdilo na svojem mestu v sistemski shrambi.
<!-- https://pisalnik.wordpress.com -->
MrStein ::
Več informacij:
Blog o tej nekompatibilnosti Firefox-a 59 in Windows:
Firefox 59, Windows und Probleme mit dem Zertifikatexport
Ter bugzilla ticket pri mozilli: Bug 1436873 - Exported certificates exceed Windows' password iteration count of 600k
Blog o tej nekompatibilnosti Firefox-a 59 in Windows:
Firefox 59, Windows und Probleme mit dem Zertifikatexport
Ter bugzilla ticket pri mozilli: Bug 1436873 - Exported certificates exceed Windows' password iteration count of 600k
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
MrStein ::
Sicer pa lep kiks, če upoštevamo da je velika večina uporabnikov FF na Windows.
Nasploh je podpora certifikatov na psu. Pardon, daleč pod psom.
Pa drugi browserji niso dosti boljši.
Nasploh je podpora certifikatov na psu. Pardon, daleč pod psom.
Pa drugi browserji niso dosti boljši.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
McClane ::
No tole z bugom je pa lepa informacija, ker sem tudi sam želel usposobiti certifikat v ostalih brskalnikih pa sem odnehal. Sigenca bi se res morala malo bolj posvetiti končnim uporabnikom...kriptične napake, omenjanje Netcapea leta 2018, nepodpora Chroma in IE...
\"You want us to build WHAT??\" - Ancient Chinese Wall Engineer
CyberPunk ::
Lihkar se s tem problemom ukvarjam (prevzel v FF, hotel uvoziti v IE, pa javlja, da ni pravo geslo) in sem ze hotel napisati post, nakar vidim, da smo "vsi" na istem. A potem malo pocakam, da zadevo resijo (mudi se mi namrec ne - vsaj dokler ne naletim na kaksno gov stran, ki bo delala zgolj v IE...)?
Iz FF 59.0.2 izvozen certifikat sem pa lahko brez problema uvozil v iPhone.
Iz FF 59.0.2 izvozen certifikat sem pa lahko brez problema uvozil v iPhone.
nsa_ag3nt ::
V starejših win je PKCS12 tevilo iteracij pri geslih tudi problem ali gre bolj za težavo FF quantum (57,58,59) ?
edit:
kot kaže gre za za win10 problem, kajti na win7 lahko dummy cert. uvozim v win store/ff 59 brez problema.
https://bugzilla.mozilla.org/show_bug.c...
edit:
kot kaže gre za za win10 problem, kajti na win7 lahko dummy cert. uvozim v win store/ff 59 brez problema.
https://bugzilla.mozilla.org/show_bug.c...
https://gizmodo.com/c/goodbye-big-five
Zgodovina sprememb…
- spremenilo: nsa_ag3nt ()
MrStein ::
Hmm, bugzilla.mozilla.org ne odpre.
Zgleda kot DNS problemi pri njih.
Kar je še ena kritika na FF. Namesto, da prikaže neko smiselno sporočilo o napaki, kaže glupi "Ojoj, nekaj je narobe".
Zgleda kot DNS problemi pri njih.
Kar je še ena kritika na FF. Namesto, da prikaže neko smiselno sporočilo o napaki, kaže glupi "Ojoj, nekaj je narobe".
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
jukoz ::
Em, če pravilno razumem se pritožujete ker FF uporablja močnejšo enkripcijo, kot jo je sposoben win10. Mislim da se tule pritožujete nad napačnim produktom =)
To je tako kot pri Win7 in 8 z outlookom in tls 1.2 šifriranjem. V teoriji in praksi jo podpirajo tako win kot outlook, samo iz nekega razloga ni vključen in moraš šariti 2 uri po registru:
https://blogs.technet.microsoft.com/sch...
To je tako kot pri Win7 in 8 z outlookom in tls 1.2 šifriranjem. V teoriji in praksi jo podpirajo tako win kot outlook, samo iz nekega razloga ni vključen in moraš šariti 2 uri po registru:
https://blogs.technet.microsoft.com/sch...
borutzi ::
Jaz sem zadevo rešil tako, ker sem imel že prevzetega na 59 verziji da sem ga exportal, nato odstranil 59 in namestil 57, kamor je import lepo šel. Exportan iz 57 pa gre lepo tudi drugam (IE,....)
MrStein ::
Em, če pravilno razumem se pritožujete ker FF uporablja močnejšo enkripcijo, kot jo je sposoben win10. Mislim da se tule pritožujete nad napačnim produktom =)
Je, če TAM izdela širši (boljši!) avtobus in se zatakne v karavanškem tunelu, ni kriv TAM, ampak tunel.
Sicer pa je debata akademska, so vmes že popravili FF.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
mihagr ::
Jaz imam tudi problem. Certifikat sem prejel s FF (z veliko muko) nato sem ga izvozil v datoteko in tudi uvoz v IE je šel v redu.
Problem pa je da mi pri preizkusu namestitve (https://www.si-ca.si/cgi-bin/auth/izpis... v IE in edge-u javlja napako: Varnostno potrdilo spletnega mesta ima šibek podpis in ni varno. Koda napake: DLG_FLAGS_WEAK_SIGNATURE. Napaka je tudi v Chrome.
V FF se ista stran naloži normalno.
Tega problema pa ne znam rešiti. Ali kdo ve kakšna težava je to?
Problem pa je da mi pri preizkusu namestitve (https://www.si-ca.si/cgi-bin/auth/izpis... v IE in edge-u javlja napako: Varnostno potrdilo spletnega mesta ima šibek podpis in ni varno. Koda napake: DLG_FLAGS_WEAK_SIGNATURE. Napaka je tudi v Chrome.
V FF se ista stran naloži normalno.
Tega problema pa ne znam rešiti. Ali kdo ve kakšna težava je to?
Konlov ::
Ne, prijazno sicer ni, ampak upoštevaš navodila in uporabiš Firefox (ga pač inštaliraš), in ne smeti, kot je IE, drugo pa tako ni podprto. Če si vsaj na pol računalniško pismen, pa tudi najdeš opcijo za izvoz certifikata. Je pa res, da čez palec, polovica ljudi tega postopka ni možna izvesti (vem, ker so me prosili za pomoč). Zdaj pa ne vem, ali je problem v postopku, ali ljudeh.
Lepo povzameš vse skupaj. Ni user frendly.
cmx89 ::
Ne, prijazno sicer ni, ampak upoštevaš navodila in uporabiš Firefox (ga pač inštaliraš), in ne smeti, kot je IE, drugo pa tako ni podprto. Če si vsaj na pol računalniško pismen, pa tudi najdeš opcijo za izvoz certifikata. Je pa res, da čez palec, polovica ljudi tega postopka ni možna izvesti (vem, ker so me prosili za pomoč). Zdaj pa ne vem, ali je problem v postopku, ali ljudeh.
Lepo povzameš vse skupaj. Ni user frendly.
Tu se ne gre za računalniško pismenost. Gre se za neuporabna navodila. Da ne govorimo o supportu...
ciki57 ::
Sigen-ca = šalabajzerji. Se sploh ne čudim da njihovega root certifikata microsoft, mozzila in apple ne dajo v svoje privzete truststore brskalnikov.
Kot prvo stran www.sigen-ca.si sploh ni na https po defaultu ampak samo če eksplicitno vpišeš https://www.sigen-ca.si. To je ravno 5 minut dela, da naredijo redirect - ampak ok, zdaj vsaj imajo https stran, včasih še tega ni bilo...
Kot drugo, kar je že bilo omenjeno, prenos certifikata v IE na Windows 10 ne dela in v njihovih zastarelih navodilih tega nikjer ne piše, napaka ki jo dobiš pa seveda tudi ni nikjer na seznamu pogostih napak.
Se pravi je treba prevzeti v Firefox potem exportati in naložiti v windows store, da lahko uporabljaš certifikat v Chrome,Edge ali (bohnedaj) IE. Za enega ki ve kaj dela to sicer ni tak problem, ena teta ki komaj zna uporabljati računalnik pa zna imeti s tem velike težave.
In tretjič - zakaj se sploh jebemo s temi certifikati za avtentikacijo. Naj raje vsem državjanom ki želijo dajo OTP tokene, ki jih uporabljajo že banke in to vključijo v sistem SI-PASS ( https://sicas.gov.si ) za centralno avtentikacijo in digitalno podpisovanje. To bi delovalo v vseh brskalnikih in napravah in se ne bi bilo treba jebati s certifikati, podpisnimi komponentami in ostalim šrotom.
rant over
Kot prvo stran www.sigen-ca.si sploh ni na https po defaultu ampak samo če eksplicitno vpišeš https://www.sigen-ca.si. To je ravno 5 minut dela, da naredijo redirect - ampak ok, zdaj vsaj imajo https stran, včasih še tega ni bilo...
Kot drugo, kar je že bilo omenjeno, prenos certifikata v IE na Windows 10 ne dela in v njihovih zastarelih navodilih tega nikjer ne piše, napaka ki jo dobiš pa seveda tudi ni nikjer na seznamu pogostih napak.
Se pravi je treba prevzeti v Firefox potem exportati in naložiti v windows store, da lahko uporabljaš certifikat v Chrome,Edge ali (bohnedaj) IE. Za enega ki ve kaj dela to sicer ni tak problem, ena teta ki komaj zna uporabljati računalnik pa zna imeti s tem velike težave.
In tretjič - zakaj se sploh jebemo s temi certifikati za avtentikacijo. Naj raje vsem državjanom ki želijo dajo OTP tokene, ki jih uporabljajo že banke in to vključijo v sistem SI-PASS ( https://sicas.gov.si ) za centralno avtentikacijo in digitalno podpisovanje. To bi delovalo v vseh brskalnikih in napravah in se ne bi bilo treba jebati s certifikati, podpisnimi komponentami in ostalim šrotom.
rant over
darkolord ::
In tretjič - zakaj se sploh jebemo s temi certifikati za avtentikacijo. Naj raje vsem državjanom ki želijo dajo OTP tokene, ki jih uporabljajo že banke in to vključijo v sistem SI-PASS ( https://sicas.gov.si ) za centralno avtentikacijo in digitalno podpisovanje.Kaj ti bo torba, če si kupil kolo?
Certifikat je izključno pri meni in z njim lahko podpisujem zadeve izključno jaz.
Zgodovina sprememb…
- spremenilo: darkolord ()
ciki57 ::
In tretjič - zakaj se sploh jebemo s temi certifikati za avtentikacijo. Naj raje vsem državjanom ki želijo dajo OTP tokene, ki jih uporabljajo že banke in to vključijo v sistem SI-PASS ( https://sicas.gov.si ) za centralno avtentikacijo in digitalno podpisovanje.Kaj ti bo torba, če si kupil kolo?
Certifikat je izključno pri meni in z njim lahko podpisujem zadeve izključno jaz.
Če ti ga noben ne spizdi ja. En vaški "računalničar" lahko komot dobi private key-e vseh tet na vasi, ki jim je pomagal prenesti certifikat. OTP token pa bolj težko brez da to opazijo.
darkolord ::
Če je podpisovanje centralno, potem niti ni treba ničesar spizditi, ker je vse že tam, na enem kupu.
Zgodovina sprememb…
- spremenilo: darkolord ()
ciki57 ::
Če se država spravi nate si itak fucked, ne samo zaradi tega :)
Najboljše bi bilo da ima uporabnik obe možnost: servis za podpis ali lokalno podpisovanje - pa naj se odloči.
Ampak moj rant je bil v glavnem namenjen avtentikaciji ne toliko podpisovanju - pri avtentikaciji res ne vidim nobene predonosti certifikatov. Še celo NLB, ki je tudi izdajatelj certifikatov prehaja na OTP.
Še en dodatni fail sigen-ca: če naročiš strežniški certifikat za avtentikacijo kakšnih spletnih servisov med strežniki ga mora naročiti ena oseba v podjetju in na certifikat se veže davčna številka te osebe kar je čisti fail. V določene spletne strani se je potem mogoče prijaviti kot ta oseba s tem strežniškim certifikatom!! Do certifikata pa ima dostop vsak administrator, ki ima dostop do strežnika, kjer se uporablja.
Najboljše bi bilo da ima uporabnik obe možnost: servis za podpis ali lokalno podpisovanje - pa naj se odloči.
Ampak moj rant je bil v glavnem namenjen avtentikaciji ne toliko podpisovanju - pri avtentikaciji res ne vidim nobene predonosti certifikatov. Še celo NLB, ki je tudi izdajatelj certifikatov prehaja na OTP.
Še en dodatni fail sigen-ca: če naročiš strežniški certifikat za avtentikacijo kakšnih spletnih servisov med strežniki ga mora naročiti ena oseba v podjetju in na certifikat se veže davčna številka te osebe kar je čisti fail. V določene spletne strani se je potem mogoče prijaviti kot ta oseba s tem strežniškim certifikatom!! Do certifikata pa ima dostop vsak administrator, ki ima dostop do strežnika, kjer se uporablja.
jukoz ::
Pojdi malo ven na zrak, se predihaj in razmisli nad čem bentiš.
Certifikati so kar dobra rešitev. Če pa nisi ti (ali tvoja teta) sposoben varovati svojih identifikacijskih podatkov ti pa država ne more pomagati.
Certifikati so kar dobra rešitev. Če pa nisi ti (ali tvoja teta) sposoben varovati svojih identifikacijskih podatkov ti pa država ne more pomagati.
ciki57 ::
Pojdi malo ven na zrak, se predihaj in razmisli nad čem bentiš.
Certifikati so kar dobra rešitev. Če pa nisi ti (ali tvoja teta) sposoben varovati svojih identifikacijskih podatkov ti pa država ne more pomagati.
Cerifikati so odlična rešitev za marsikaj. Enako tudi tovornjaki. Da greš s tovornjakom v trgovino po kruh je pa brezveze. Enako tudi da se moraš nujno s certifikatom prijavljati na strani javne uporave.
Na zrak sem šel včeraj ko je bilo lepo vreme, danes raje pizdim po internetu ker je bil dež.
MrStein ::
Certifikat je izključno pri meni in z njim lahko podpisujem zadeve izključno jaz.
Hello SI-CES !
Certifikati so kar dobra rešitev. Če pa nisi ti (ali tvoja teta) sposoben
Certifikati imajo dobre in slabe strani.
Če se slabe strani zanika (obvezno argumentiranje z žalitvami sogovornika...) namesto rešuje, bo še slabše.
Zakaj "vsi" opuščajo rabo certifikata na client strani?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
jukoz ::
Dobre strani so, da ga izdaš uporabniku (ki ga lahko potem razširja naokoli kolikor hoče) in ko posta cert zanič/se uporabnik sumljivo obnaša/karkoližepač mu ga skenslaš in izdaš novega (ali pa ne seveda). Pri OTP generatorjih jim moraš poslati novega fizično. Ko so 2010(?) odkrili, da so kitajci pohekali RSA OTP generatorje, da so lahko vdrli v Lockheed, se bankam (NKBM) in drugim organizacijam (moj takratni delodajalec, globalna korporacija) ni mudilo zamenjato OTP generatorjev (ker to stane) in smo imeli ta šit v uporabi še par let. _Po tem ko so bili komprimirani_.
Slabih strani se ne zanika - zoprni so za inštalacijo. Ampak zoprna je tudi ključavnica na vratih stanovanja. Res zoprna, ker moraš iskat tiste trapaste ključe pa neki. Ampak smo se navadili. In tudi na druge varnostne zadeve se bomo. Osebno so mi OTP generatorji v SW obliki čist všeč. Samo ko ne vem kako naj zaupam tistemu, ki mi ga je dal =)
Slabih strani se ne zanika - zoprni so za inštalacijo. Ampak zoprna je tudi ključavnica na vratih stanovanja. Res zoprna, ker moraš iskat tiste trapaste ključe pa neki. Ampak smo se navadili. In tudi na druge varnostne zadeve se bomo. Osebno so mi OTP generatorji v SW obliki čist všeč. Samo ko ne vem kako naj zaupam tistemu, ki mi ga je dal =)
MrStein ::
Problem je, da je SIGEN-CA (in ostali) tipična javna uprava in jim je učinkovitost in "boljšost" 999999-ta briga.
Pri telefonih so uvedli prstne odtise (in odklep z obrazom, pa tudi z očesom) in je varnost poskočila za velikostne razrede. Če bi bilo up to SIGEN, bi še vedno imeli PIN-e, ki bi jih moral tipkati na slepo. Vsake dve minuti. Posledica bi bila, da bi jih vsi ali izklopili, ali si nastavili 1111.
Beri: luzeri s trditvami ala "varnost je pač neugodna", ki smo jih oh tako pogosto slišali.
Ni neugodna. Razen če si nesposoben.
In pri certifikatih je točno tako. Ker se nobenemu ne da stvari pošlihtati, je stvar neugodna in tem avtomatsko tudi manj varna.
Pri telefonih so uvedli prstne odtise (in odklep z obrazom, pa tudi z očesom) in je varnost poskočila za velikostne razrede. Če bi bilo up to SIGEN, bi še vedno imeli PIN-e, ki bi jih moral tipkati na slepo. Vsake dve minuti. Posledica bi bila, da bi jih vsi ali izklopili, ali si nastavili 1111.
Beri: luzeri s trditvami ala "varnost je pač neugodna", ki smo jih oh tako pogosto slišali.
Ni neugodna. Razen če si nesposoben.
In pri certifikatih je točno tako. Ker se nobenemu ne da stvari pošlihtati, je stvar neugodna in tem avtomatsko tudi manj varna.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
jukoz ::
Pri telefonih so uvedli prstne odtise (in odklep z obrazom, pa tudi z očesom) in je varnost poskočila za velikostne razrede. Če bi bilo up to SIGEN, bi še vedno imeli PIN-e, ki bi jih moral tipkati na slepo. Vsake dve minuti. Posledica bi bila, da bi jih vsi ali izklopili, ali si nastavili 1111.
Problem edinstvenih identifikacijskih podatkov, ki se jih ne da zamenjati, je v tem, da, ko nekdo pridobi digitalni zapis tvojega prstnega odtisa/obraza/očesa, postane ti. Za vse večne čase. Ukradeno osebno lahko prijaviš kot ukradeno in ti na njeni osnovi teoretično ne bodo izdali vozniške (če imajo te sisteme povezane). Preklican certifikat ne moreš uporabiti za prijavo na e-upravo ali banko. Geslo zamenjaš, certifikat zamenjaš, osebno zamenjaš. Obraza/oči/prstov pa ne. Rešitev tega problema je potem v tem, da se boš ponovno identificiral z cetifikatom/geslom/karkoližepač, saj se z obrazom ne boš mogel, ker bo prijavljen kot ukraden =)
Beri: luzeri s trditvami ala "varnost je pač neugodna", ki smo jih oh tako pogosto slišali.
Ni neugodna. Razen če si nesposoben.
In pri certifikatih je točno tako. Ker se nobenemu ne da stvari pošlihtati, je stvar neugodna in tem avtomatsko tudi manj varna.
Če imaš osebno težave z prevzemom in uporabo certifikatom, bi rekel, da si sam nesposoben. Glede na ostale teme na slo-techu bi rekel da se na IT nekaj spoznaš, varnost pa očitno ni ravno tvoja stvar.
In kot sem svetoval že zgoraj, pojdi na zrak in se predihaj. Maraton bo kmalu =)
ciki57 ::
Če imaš osebno težave z prevzemom in uporabo certifikatom, bi rekel, da si sam nesposoben. Glede na ostale teme na slo-techu bi rekel da se na IT nekaj spoznaš, varnost pa očitno ni ravno tvoja stvar.
Uporabniku ne moreš reči da je nesposoben če postopek, ki je opisan v navodilih ne deluje. Na Windows 10 prevzem sigen-ca certifikata v IE ne deluje (in če želiš cert uporabljati v Edge ali Chrome ga moraš uvoziti v IE).
In kod je že nekdo drug omenil ima 50%+ uporabnikov težave s prevzemi certifikatov. V tem primeru je nesposoben zgolj tisti ki je ta postopek in navodila pripravljal.
Invictus ::
Ne, sam ostali nimajo pojma, ker ne znajo brati navodil...
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
MrStein ::
Prstni odtisi, obrazi in očesa niso zelo varni.
Super varni so v primerjavi z nič, kar je bilo v uporabi pred njihovo uveljavitvijo. PIN ali vzorec pa tudi ni ne vem kaj.
Če imaš osebno težave z prevzemom in uporabo certifikatom, bi rekel, da si sam nesposoben. Glede na ostale teme na slo-techu bi rekel da se na IT nekaj spoznaš, varnost pa očitno ni ravno tvoja stvar.
Če imaš osebno težavo najti kak drug argument kot ad hominem, potem bi rekel, da si sam nesposoben.
(če te že tak osebno zanimam, imam "prevzetih" in aktivnih tam en ducat certifikatov)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
anketar ::
jukoz ::
Če imaš osebno težavo najti kak drug argument kot ad hominem, potem bi rekel, da si sam nesposoben.
(če te že tak osebno zanimam, imam "prevzetih" in aktivnih tam en ducat certifikatov)
Priden.
Imamo CA in izdajamo certifikate za interne dostope pri strankah. Jaz pomagam uporabnikom pri prevzemu (še enkrat, ni za splošne uporabnike).
Od izdaji dobijo tako e-pošto kot dopis z navodili za prevzem, kjer piše da bo cel proces trajal cca 20 minut in da zahteva tehnična znanja, kot je poznavanje verzije operacijskega sistema in brskalnika.
Eksplicitno piše, da prevzem ne bo deloval na IE v Win8 v "tabličnem načinu", da ne deluje v Edge in Chrome in da naj prevzem torej naredijo v IE ali Firefox (še enkrat, ni za splošno uporabo ampak za ščitenje dostopov do internih resursov organizacij).
Cel proces je narejen za "next, next, click, click", ker če mora to delati admin za 100 ljudi se mu lahko zmeša.
Ugani koliko uporabnikov sploh prebere navodila. Stranke oz njihovi admini dajejo certe uporabnikom, od katerih nato ugotavljaš kakšen sistem imajo tako, da jih vprašaš kakšne oblike je njihov "start" gumb. To je realnost. Pa to niso ravno stare mame, to so uporabniki, ki vsak dan, cel dan delajo z računalnikom.
Kako napisati navodila za prevzem, da so jih leni uporabniki sposobni prevzeti, ne vem. Največ uspeha smo imeli pri stranki, ki je zaradi vdora v sistem zahtevala uvedbo certov in so grozili s sankcijami. Uporabniki po različnih poslovnih enotah, ki se niso čutili sposobne prevzema, so potem aktivirali svoje admine da so izvedli prevzem.
Ampak to, da groziš kako težko je, ni pravi pristop. Če prebereš tistih 5 stavkov navodil se prevzem da narediti, tudi za sigen-ca.
Če pa prevzem ne uspe, ti ukradejo cert/komp/telefon/... se pa izda novega. Komplicira se samo za to, ker je cert plačljiv (no, za sigen-ca še to ne). Koliko stane zamenjava očesa ob kraji digitalnega zapisa le-tega, boš pa povedal ti.
MrStein ::
Sparkasse opustil vstop v spletno banko s certifikati.
NLB takisto.
eDavki - vstop mogoče po novem brez KDP (delni dostop).
Dostop do katere atoritve v tujini? Jok. Gmail? Odpade.
Kot sem rekel: X.509 ima prednosti, ima pa tudi slabosti.
Naključne žalitve bodo situacijo kvečjemu poslabšale.
NLB takisto.
eDavki - vstop mogoče po novem brez KDP (delni dostop).
Dostop do katere atoritve v tujini? Jok. Gmail? Odpade.
Kot sem rekel: X.509 ima prednosti, ima pa tudi slabosti.
Naključne žalitve bodo situacijo kvečjemu poslabšale.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
jukoz ::
Sparkasse opustil vstop v spletno banko s certifikati.
NLB takisto.
V neki temi so pisali da je to zaradi neke evropske direktive. Ker ponovno, izdaja certa je napram izdaji OTG generatorja poceni in za banke bolj ugodna. Uporabniku ni potrebno pošiljati ničesar in mora samo naložiti cert, ki ga lahko izdajatelj tudi kadarkoli prekliče.
eDavki - vstop mogoče po novem brez KDP (delni dostop).
https://edavki.durs.si/EdavkiPortal/Ope...
Jaz tole razumem drugače, ampak šur.
Dostop do katere atoritve v tujini? Jok.
Prepričan sem da ni samo država Slovenija uvedla identifikacije s certifikati. Ampak lej, šur, nikjer v tujini se ne uporablja certifikatov.
Nasploh je zaželeno da prijava ni komplicirana in da si stalo prijavljen v storitve - facebook, google, linkedin, amazon, ebay, aliexpress, ..
Gmail? Odpade.
Ja, Gmail je sploh odličen primer. Ampak preko gmaila ne oddajaš svoje dohodnine, ne naročaš osebne izkaznice ali prometnega dovoljenja, ne spreminjaš stalnega naslova itd. Ko bo google postal svoja država, se bo pa to dalo tudi preko gmaila uredit =)
Kot sem rekel: X.509 ima prednosti, ima pa tudi slabosti.
Se strinjam.
Naključne žalitve bodo situacijo kvečjemu poslabšale.
Se globoko opravičujem za vse moje zapise, ki so te kadarkoli in kakorkoli užalili.
MrStein ::
Načrtujejo. Obvestila so že več mesecev zunaj (no, pri strankah).
Lahko razumeš kako češ, ampak to je tako. (mogoče je še v beta fazi in plebsu še neznano, bom preveril)
No, meni zgleda, da je mogoča prijava z username+password:
eDavki - vstop mogoče po novem brez KDP (delni dostop).
https://edavki.durs.si/EdavkiPortal/Ope...
Jaz tole razumem drugače, ampak šur.
Lahko razumeš kako češ, ampak to je tako. (mogoče je še v beta fazi in plebsu še neznano, bom preveril)
No, meni zgleda, da je mogoča prijava z username+password:
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
MrStein ::
Ampak lej, šur, nikjer v tujini se ne uporablja certifikatov.
Si v fazi blodenj? Mogoče bi moral na zrak, ki si ga omenjal.
Gmail? Odpade.
Ja, Gmail je sploh odličen primer.
Ja, ker google account sploh ni pomemben, ker sploh ne gre pol življenja preko, vključno s plačili.
Mogoče res bolje, da greš na zrak. (ideja je konec koncev tvoja)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
jest10 ::
MrStein ::
Da so načrtovali, je že ena stvar. Razen če take stvari počno tak za hec.
Pa druge banke tudi nimajo cert dostopa (ne VSE).
Pa druge banke tudi nimajo cert dostopa (ne VSE).
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
L1nK ::
Na kratko: v win 10 sem prevzel sigen-ca v najnovejšem firefoxu portable 64-bit, verzija 63, exportal sem ga tudi v chrome. Zakaj potem potrebujem še dodatne mehanizme verifikacije, nek SI-PASS, digitalni podpis, proXsign in podobno? Lahko kdo to na hitro razloži?
https://www.facebook.com/link.zhizhekian
MrStein ::
proXsign je softver za podpis, ne pa avtentikacijo.
Lepo bi bilo, če bi podpisovati znal že OS ali browser, ampak se očitno ne morejo zmeniti...
SI-PASS je za avtentikacijo, ampak omogoča več različnih načinov za to, ne le (slovenski) certifikat.
Lepo bi bilo, če bi podpisovati znal že OS ali browser, ampak se očitno ne morejo zmeniti...
SI-PASS je za avtentikacijo, ampak omogoča več različnih načinov za to, ne le (slovenski) certifikat.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
MrStein ::
Še ena na temo bebavost implementacij:
Če v Firefox greš v Options / (Your) Certificates / Backup...
te kar pusti izvoziti zasebne ključe.
Če greš na Options / Saved Logins in izbereš www.24ur.com , klikneš "Copy Password" pa vpraša za master password, preden ti izda ta podatek. Ker geslo za 24ur.com je očitno bolj pomembno in varovano, kot zasebni ključi, s katerimi lahko dostopaš do davkov, bank itd...
Če v Firefox greš v Options / (Your) Certificates / Backup...
te kar pusti izvoziti zasebne ključe.
Če greš na Options / Saved Logins in izbereš www.24ur.com , klikneš "Copy Password" pa vpraša za master password, preden ti izda ta podatek. Ker geslo za 24ur.com je očitno bolj pomembno in varovano, kot zasebni ključi, s katerimi lahko dostopaš do davkov, bank itd...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
jukoz ::
Hm, jaz lahko izberem cert za "backup", nato moram določiti geslo. Ko je določeno, me pa vpraša za master password.
FF 63.0 (64-bit)
FF 63.0 (64-bit)
Zgodovina sprememb…
- spremenilo: jukoz ()
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Backup in uvoz SIGEN-CA certifikataOddelek: Omrežja in internet | 13346 (2235) | kow |
» | NLB ukinitev certifikatov ? (strani: 1 2 3 4 … 11 12 13 14 )Oddelek: Loža | 135517 (42526) | WizzardOfOZ |
» | Država: Kakšna zasebnost in varnost na internetih, samo plačajte že davke!!! (strani: 1 2 3 4 5 )Oddelek: Novice / NWO | 85702 (59897) | MrStein |
» | Sigen-ca za strežnikOddelek: Informacijska varnost | 4791 (4121) | Tomas 33 |
» | e-bančništvo: PIN "kalkulator" v. kvalificirano digitalno potrdiloOddelek: Informacijska varnost | 8316 (7370) | krneki0001 |