» »

Self-signed cert na iPhonu?

Self-signed cert na iPhonu?

poweroff ::

Zanima me kako v iOS 11.3 nastaviti, da bo MailApp zaupal self-signed certifikatu od mail strežnika?
sudo poweroff

nsa_ag3nt ::

https://gizmodo.com/c/goodbye-big-five

poweroff ::

Hmm, ne vem, kako ca.pem sploh inštaliram na iPhone.

BTW, fucking update na 11.3 mi je začel ob dohodnem klicu govoriti ime klicatelja???

How tha fuck to annoying zadevo izklopim?
sudo poweroff

Apple ::

poweroff je izjavil:

Hmm, ne vem, kako ca.pem sploh inštaliram na iPhone.

BTW, fucking update na 11.3 mi je začel ob dohodnem klicu govoriti ime klicatelja???

How tha fuck to annoying zadevo izklopim?


Settings - General - Accessibility - Voice over - Always speak notifications?
LP, Apple

poweroff ::

Našel. Zakaj hudiča se mi je po updatu to samo vključilo???

A je treba stalno mešat nastavitve?
sudo poweroff

Apple ::

Mogoce je zena to nastavla, al pa otroci :)
LP, Apple

poweroff ::

Ne, je kar Apple ob updatu. Mimogrede, sem izbrisal "sporni" account in ga potem skušal narediti novega z istimi nastavitvami.

Na-a, ne gre. Pravi, da account z enakim imenom že obstaja.

Pomagal je... restart. Bedno.

Ob novem kreiranju accounta mi je sedaj ponudil opcijo, da certifikatu dam "Trust".

Bedno, bedno. User experience v podnu.
sudo poweroff

Ales ::

Mimogrede, ko poteče samopodpisani certfikat ali pa ga iz nekega drugega razloga zamenjajo z drugim, bo vajo potrebno ponoviti. Bi človek pomislil, da bo gumb "Trust" ponovno na voljo, pa ne bo.

poweroff ::

To so take malenkosti, ki drastično slabšajo uporabniško izkušnjo...
sudo poweroff

Mikrohard ::

1.) Accessibility settinga ti 100% niso sami vklopili ob posodobitvi. Lahko pa, da si ga nevede vklopil s kakšno accessibility bližnjico.
2.) Certifikat lahko naložiš na več načinov. En je preko maila, drug preko safarija, tretji preko apple configuration utila (mislim, da je osx only). Odstranjevanje in ponovno dodajanje accounta je verjetno najslabši možen način.
3.) Ja... za 0.001% uporabnikov, ki imajo mail account s self signed certifikatom je user experience slab...
4.) Zrihtaj si veljaven certifikat... če ne drugega, lahko letsencrypt posodabljaš na 3 mesece.

poweroff ::

Hmm, situacija je bila sledeča. Vidim, da je na voljo system update, rečem OK... počakam, vidim da ne dela certifikat, prileti klic, in mi zakruli ime klicatelja. OK, dopuščam možnost, da sem kaj sam vklopil, ampak sistem bi me na vklop takšnega večjega featureja moral opozoriti. Ali pač ne?

Certifikat sem si poslal preko Signala, in ga nisem mogel importati. Je pa tle še en keč. Kako od povprečnega uporabnika lahko pričakuješ, da si bo znal poiskati in spraviti certifikat v file?

Iz določenih razlogov certifikat bo ostal self-signed... poleg tega, kaj če sem zgolj uporabnik in ne admin na takem sistemu?
sudo poweroff

Mavrik ::

Od navadnega uporabnika se pričakuje da bo uporabljal samo iMessage, rekel vsej družini in vsem prijateljem brez iPhonov da jih noče več poznat. Potem se od njega pričakuje da bo kupil Apple Music, plačal za Apple iCloud, kupil Apple TV, kupil MacBooke in iMace in vso svojo vsebino kupoval z DRMjem zaščiteno na iTunesih in AppStoreih.

A ni očitno?
The truth is rarely pure and never simple.

poweroff ::

Ja. To sem hotel slišat.

You made my day. :)
sudo poweroff

jukoz ::

Cert jim pošlješ po mailu. Uporabnikov outlook ga sicer ne bo hotel odpreti, iPhone in ostale iNaprave pa brez težav. Vpraša te če ga želiš uvoziti in je to to.

Mavrik ::

poweroff je izjavil:

Ja. To sem hotel slišat.

You made my day. :)


Drugače če to ni tvoj telefon so storitve kot Jamf kar precej uporabne za provisionanje Apple naprav.
The truth is rarely pure and never simple.

harmony ::

Mikrohard je izjavil:


4.) Zrihtaj si veljaven certifikat... če ne drugega, lahko letsencrypt posodabljaš na 3 mesece.

Tudi self-signed je veljaven certifikat.

XS!D3 ::

poweroff je izjavil:

Kako od povprečnega uporabnika lahko pričakuješ, da si bo znal poiskati in spraviti certifikat v file?

Če neka public storitev, ki jo uporablja povprečen uporabnik, nima certov podpisanih s strani zaupanja vrednega CA, je to bolj problem te storitve kot pa user experiencea na telefonu. Edino pravilno je, da telefon takšnemu certu by default ne zaupa.

"Povprečen uporabnik", ki zna postavit svoj sistem s self-signed certi in iz nekih razlogov poleg tega še noče (brezplačno) podpisat certov pri zaupanja vrednem CA, bo pa vrjetno tudi cert nekako spravil na telefon. Če si pa zgolj user v nekem corporate okolju, pa pač pustiš, da ti vse skupaj zrihtajo za to zadolžene osebe.

Če je point samo jambranje nad Applovim ekosistemov, pa tako povej, bi lahko kr prejšnjo temo nadaljeval :)

poweroff ::

XS!D3 je izjavil:

Če neka public storitev, ki jo uporablja povprečen uporabnik, nima certov podpisanih s strani zaupanja vrednega CA, je to bolj problem te storitve kot pa user experiencea na telefonu. Edino pravilno je, da telefon takšnemu certu by default ne zaupa.

Ne, ni edino pravilno.

Pravilno je zgolj zato, ker to počne Apple. Če bi Microsoft ali bog ne daj Ubuntu, bi bil takoj ogenj v strehi.
sudo poweroff

jukoz ::

XS!D3 je izjavil:

poweroff je izjavil:

Kako od povprečnega uporabnika lahko pričakuješ, da si bo znal poiskati in spraviti certifikat v file?

Če neka public storitev, ki jo uporablja povprečen uporabnik, nima certov podpisanih s strani zaupanja vrednega CA, je to bolj problem te storitve kot pa user experiencea na telefonu. Edino pravilno je, da telefon takšnemu certu by default ne zaupa.

"Povprečen uporabnik", ki zna postavit svoj sistem s self-signed certi in iz nekih razlogov poleg tega še noče (brezplačno) podpisat certov pri zaupanja vrednem CA, bo pa vrjetno tudi cert nekako spravil na telefon. Če si pa zgolj user v nekem corporate okolju, pa pač pustiš, da ti vse skupaj zrihtajo za to zadolžene osebe.

Če je point samo jambranje nad Applovim ekosistemov, pa tako povej, bi lahko kr prejšnjo temo nadaljeval :)


Ker nimaš pojma kako to deluje ti bom razložil.

Smo zaupanja vredna finančna ustanova, ker smo bili ustanovljeni leta 1996 in ker vsi tako pravijo.
Če mi plačaš 200EUR bom vzel tvoje osebne podatke in potrdil da si tudi ti zaupanja vredna finančna ustanova.
Obstajajo tudi take ki to potrdijo zastonj. In občasno tudi za druge (zelo sumljive osebe) potrdim da so zaupanja vredne finančne ustanove:
https://security.googleblog.com/2017/09...

Tako delajo certifikatne agencije. Komu bolj zaupaš, sebi, svoji državi, svojemu IT administratorju, ali nekomu ki mu plačaš par EUR da prizna katerokoli stran da je zaupanja vredna?

XS!D3 ::

poweroff je izjavil:

XS!D3 je izjavil:

Če neka public storitev, ki jo uporablja povprečen uporabnik, nima certov podpisanih s strani zaupanja vrednega CA, je to bolj problem te storitve kot pa user experiencea na telefonu. Edino pravilno je, da telefon takšnemu certu by default ne zaupa.

Ne, ni edino pravilno.

Pravilno je zgolj zato, ker to počne Apple. Če bi Microsoft ali bog ne daj Ubuntu, bi bil takoj ogenj v strehi.

Prvič slišim, da bi Ubuntu ali Microsoft privzeto zaupal certifikatu, ki ni podpisan s strani zaupanja vrednega overitelja digitalnih potrdil (kar sem napisal, da je edino pravilno, da mu ne...). Če bi to držalo, potem TLS sploh ne bi imel nekega smislna, vsaj dokler ne bo privzeto v uporabi še kak drug mehanizem preverjanja pristnosti digitalnih potrdil npr. s pomočjo zapisov TLSA.

poweroff ::

OK, pa dajmo iti malo v filozofske vode.

Podpisani certifikati ne rešujejo problema zaupanja. Pomenijo samo, da zdaj zaupaš CA-ju.

Dejansko je najbolje, da vsakič preveriš javni ključ točno določenega certifikata in zaupaš natanko temu certifikatu. S tem odpadejo vsi posredniki.
sudo poweroff

XS!D3 ::

jukoz je izjavil:

XS!D3 je izjavil:

poweroff je izjavil:

Kako od povprečnega uporabnika lahko pričakuješ, da si bo znal poiskati in spraviti certifikat v file?

Če neka public storitev, ki jo uporablja povprečen uporabnik, nima certov podpisanih s strani zaupanja vrednega CA, je to bolj problem te storitve kot pa user experiencea na telefonu. Edino pravilno je, da telefon takšnemu certu by default ne zaupa.

"Povprečen uporabnik", ki zna postavit svoj sistem s self-signed certi in iz nekih razlogov poleg tega še noče (brezplačno) podpisat certov pri zaupanja vrednem CA, bo pa vrjetno tudi cert nekako spravil na telefon. Če si pa zgolj user v nekem corporate okolju, pa pač pustiš, da ti vse skupaj zrihtajo za to zadolžene osebe.

Če je point samo jambranje nad Applovim ekosistemov, pa tako povej, bi lahko kr prejšnjo temo nadaljeval :)


Ker nimaš pojma kako to deluje ti bom razložil.

Smo zaupanja vredna finančna ustanova, ker smo bili ustanovljeni leta 1996 in ker vsi tako pravijo.
Če mi plačaš 200EUR bom vzel tvoje osebne podatke in potrdil da si tudi ti zaupanja vredna finančna ustanova.
Obstajajo tudi take ki to potrdijo zastonj. In občasno tudi za druge (zelo sumljive osebe) potrdim da so zaupanja vredne finančne ustanove:
https://security.googleblog.com/2017/09...

Tako delajo certifikatne agencije. Komu bolj zaupaš, sebi, svoji državi, svojemu IT administratorju, ali nekomu ki mu plačaš par EUR da prizna katerokoli stran da je zaupanja vredna?


Zelo dobro vem, kako delujejo overitelji digitalnih potrdil in mi je tudi kristalno jasno, kakšne so pomanjkljivosti te sheme. Ampak o tem sploh ni bilo govora, samo ti si se odločil, da boš šel druge žalit....

Dokler tvoj telefon poleg tvojemu ceritifikatu, ki si ga podpisal sam, zaupa še vsem ostalim, ki so podpisani z enim od 1000+ prednameščenih digitalnih potrdil "zaupanja vrednih" overiteljev, s tem nisi rešil popolnoma nič. Drugo je seveda, če uvedeš še nek dodaten mehanizem preverjanja pristnosti ala cert pining ali preverjanje TLSA in stem omejiš veljavne ceritifkate zgolj na tiste, ki si jih podpisal sam oziroma na točno določem cert/javni ključ. Ampak vprašanje je bilo zgolj, kako nastavit, da bo mail app zaupal self-signed certu (s čimer pa še ne rešiš problema, da zaupa tudi vsem ostalim).

Sploh pa nisem nikjer komentiral smiselnosti tega početja (uporabe self-signed certov), ampak sem samo napisal, da v primeru, ko se to greš, vrjetno nisi ravno povprečen user in boš nekako spravil tudi cert na telefon oziroma bo to storil IT admin, ki ta sistem pač upravlja. Neke public storitve, ki so namenjene splošni javnosti, pa ponavadi z razlogom uporabljajo podpisane certe z javnimi CA. Če pa že imajo drugače rešeno, ti pač dajo step-by-step navodila, da cert namestiš ali ti enostavno pošljejo profil, ki ga namestiš na telefon brez nekega ekstra znanja. Če ti pa na koncu user samo pritisne trust, ker nima pojma zakaj se sploh gre (pa ni pomembno na kakšni platformi), je pa itak še slabše, kot da uporabljaš certe podpisane z javnimi CA.

PaX_MaN ::

XS!D3 je izjavil:

Neke public storitve, ki so namenjene splošni javnosti, pa ponavadi z razlogom uporabljajo podpisane certe z javnimi CA.

"Ponavadi".

Ales ::

XS!D3 je izjavil:

... Edino pravilno je, da telefon takšnemu certu by default ne zaupa. ...

Spregledal si eno malenkost, iOS že nekaj časa ne omogoča več uporabniku, da bi nov certifikat označil kot zaupanja vrednega. Nihče ne pravi, da mu mora "by default" zaupati, ampak gumb "Trust" bi moral biti na voljo vedno, ne le prvič ko kreiraš account. Ko pa se naslednjič cert zamenja pa se lahko jebeš oz. brišeš in na novo kreiraš account.

Pa ne gre se le za samopodpisane certifikate, enako se zgodi tudi, ko hostname v certifikatu ni enak kot hostname strežnika. Saj je logično, da se takemu certifikatu ne zaupa privzeto, a morala bi obstajati opcija, da mu uporabnik po lastni izbiri zaupa. Pri poštnih strežnikih je namreč zelo pogosto tako, da ima poštni strežnik en veljaven certifikat (mail.hostname_streznika.si npr.) , stranke pa za IMAP, POP3 in SMTP dostop uporabljajo personalizirane naslove (mail.domena_stranke.si npr.).

Striktno gledano iOS ne dela nič narobe. Pač smatra, da so uporabniki iOS-a bebci in da nimajo kaj pritiskati na "Trust" gumb, hkrati pa prehiteva ustaljene postopke pri uporabi spletnih storitev in smatra, da se to ne bi smelo več uporabljati na tak način. V osnovi ima prav, ampak kombinacija obojega (naši uporabniki so bebci in poštni strežniki so za časom) že nekaj časa dela kup težav ljudem.

XS!D3 ::

poweroff je izjavil:

OK, pa dajmo iti malo v filozofske vode.

Podpisani certifikati ne rešujejo problema zaupanja. Pomenijo samo, da zdaj zaupaš CA-ju.

Dejansko je najbolje, da vsakič preveriš javni ključ točno določenega certifikata in zaupaš natanko temu certifikatu. S tem odpadejo vsi posredniki.

Niti niso tako filizofske vode, je pomoje kar resen problem, sploh če imaš (kot ponavadi) na sistemu prednameščenih žnj root CA-jev.

In to, da zaupaš točno določenu certu ali pa kar javnemu ključu, je z vidika varnosti dejansko najboljše, samo ni najbolj praktično, sploh ker je smiselno ključe menjavat. Neka vmesna pot je verjetno interni CA, samo rabiš še vedno dodatne omejitve na odjemlčevi strani, da ima zadeva smisel (kot sem že prej napisal, dokler tvoj klient zaupa vsem certom podpisanim od javnih CAjev, ti tudi self-signed certi ali pa interni CA ne pomaga). Ali pa uporaba TLSA, da omejiš množico certov, s katerimi so lahko podpisani končni certi, če že ne kar konkreten cert, s katerim se strežnik predstavi. Je pa potem spet vprašanje zaupanja v verigo zaupanja DNSSEC.... Ampak recimo, da lahko z neko kombinacijo obojega dosežeš nek višji nivo varnosti, kot če zaupaš vsem javnim CAjem, hkrati pa je zadeva malo bolj obvladljiva kot ročno definiranje ključev na vseh odjemalcih za vsak strežnik (in seveda tudi posodabljanje ob vsaki spremembi). Na koncu imaš pa itak problem s tem, kaj lahko za dan sistem sploh implementiraš/nastaviš, če ne gre za tvojo lastno aplikacijo (na strežniški in odjemlski strani), kjer si lahko malo bolj fleksibilen.

Ampak jaz baje itak nimam pojma, kako to deluje, tako da....

poweroff ::

XS!D3 je izjavil:

Ampak o tem sploh ni bilo govora, samo ti si se odločil, da boš šel druge žalit....

Nikogar nisem žalil, sem pa izrazil mnenje, daj je uporabniška izkušnja iOSa slaba.

Če pa Apple produkte jemlješ kot podaljšek svoje osebnosti, se pa opravičujem. 8-)
sudo poweroff

XS!D3 ::

poweroff je izjavil:

XS!D3 je izjavil:

Ampak o tem sploh ni bilo govora, samo ti si se odločil, da boš šel druge žalit....

Nikogar nisem žalil, sem pa izrazil mnenje, daj je uporabniška izkušnja iOSa slaba.

Če pa Apple produkte jemlješ kot podaljšek svoje osebnosti, se pa opravičujem. 8-)


Amm ni letelo nate, ampak na @jukoz, ki mi je "razložil", da nimam pojma (glej citat, na katerega sem odgovorjal).

XS!D3 ::

Ales je izjavil:

XS!D3 je izjavil:

... Edino pravilno je, da telefon takšnemu certu by default ne zaupa. ...

Spregledal si eno malenkost, iOS že nekaj časa ne omogoča več uporabniku, da bi nov certifikat označil kot zaupanja vrednega. Nihče ne pravi, da mu mora "by default" zaupati, ampak gumb "Trust" bi moral biti na voljo vedno, ne le prvič ko kreiraš account. Ko pa se naslednjič cert zamenja pa se lahko jebeš oz. brišeš in na novo kreiraš account.

Nisem spregledal, samo napisal sem, da je edino pravilno, da mu by default ne zaupa, za čimer še vedno stojim.

Ales je izjavil:


Pa ne gre se le za samopodpisane certifikate, enako se zgodi tudi, ko hostname v certifikatu ni enak kot hostname strežnika. Saj je logično, da se takemu certifikatu ne zaupa privzeto, a morala bi obstajati opcija, da mu uporabnik po lastni izbiri zaupa. Pri poštnih strežnikih je namreč zelo pogosto tako, da ima poštni strežnik en veljaven certifikat (mail.hostname_streznika.si npr.) , stranke pa za IMAP, POP3 in SMTP dostop uporabljajo personalizirane naslove (mail.domena_stranke.si npr.).


Odličen recept, da uporabnika navadiš, da enostavno klikne trust vedno, ko se obvestilo pojavi, in bo enako storil tudi pri MITM napadu. Zaradi takih šalabajzerjev se res vprašaš, če le ni tako neumno, da se tisto obvestilo pojavi samo prvič, čeprav se sicer strinjam, da bi se moglo ob vsaki spremembi in je trenutna rešitev ravno v Matthaijevem primeru precej nerodna, ker vrjamem, da bo on dejansko pogledal fingerprint, ki se takrat izpiše....

Mikrohard ::

Ne bom se spuščal v prepire, kater sistem je bolj prijazen uporabniku, kater je bolj prilagodljiv in kater je boljši. Bom pa napisal, kaj bi jaz naredil (če bi bil odgovoren za administracijo takega mail serverja in bi vedel, da imam iOS uporabnike). Certifikat bi spravil v primerno obliko (če imaš pem certifikat, je ukaz sledeč "openssl x509 -outform der -in your-cert.pem -out your-cert.crt"). Primeren certifikat bi naložil na nek web server (http://foo/static/self-signed-mail-cert.... Vsem iOS userjem bi posredoval navodila, da naj v safariju odprejo ta link in sledijo navodilom.

jukoz ::

XS!D3 je izjavil:

poweroff je izjavil:

XS!D3 je izjavil:

Ampak o tem sploh ni bilo govora, samo ti si se odločil, da boš šel druge žalit....

Nikogar nisem žalil, sem pa izrazil mnenje, daj je uporabniška izkušnja iOSa slaba.

Če pa Apple produkte jemlješ kot podaljšek svoje osebnosti, se pa opravičujem. 8-)


Amm ni letelo nate, ampak na @jukoz, ki mi je "razložil", da nimam pojma (glej citat, na katerega sem odgovorjal).


Sveta krava, nisem vedel da sem te tako hudo užalil in se seveda opravičujem za svoje besede.
Glede na to kar si kasneje napisal očitno le veš kaj govoriš, samo Matthai-u si malo sral naj ne bo tako beden in naj si le kupi en cert ter neha stokat nad iNapravami.

Ampak to je moje razumevanje =)

XS!D3 je izjavil:



Odličen recept, da uporabnika navadiš, da enostavno klikne trust vedno, ko se obvestilo pojavi, in bo enako storil tudi pri MITM napadu. Zaradi takih šalabajzerjev se res vprašaš, če le ni tako neumno, da se tisto obvestilo pojavi samo prvič, čeprav se sicer strinjam, da bi se moglo ob vsaki spremembi in je trenutna rešitev ravno v Matthaijevem primeru precej nerodna, ker vrjamem, da bo on dejansko pogledal fingerprint, ki se takrat izpiše....


Uporabnik bo vedno kliknil "trust", ne glede na to kaj mu razlagaš in kaj ga učiš. Tudi ti boš v enem momentu, ko boš moral nekaj nujno, ampak res nujno naredit. In uporabniku je tako z večino stvarmi, ki se tičejo varnosti in IT-ja. Jaz sem jim začel razlagat da je to tako kot s ključavnicami za dom, avto, pisarni, bicikelj. A ni bolj fino če jih ne uporabljamo, to odklepanje je tako zoprno...

Zgodovina sprememb…

  • spremenilo: jukoz ()

PaX_MaN ::

harmony je izjavil:

Tudi self-signed je veljaven certifikat.

Samo tebi.

poweroff ::

Včasih zadostuje.
sudo poweroff

Mavrik ::

PaX_MaN je izjavil:

harmony je izjavil:

Tudi self-signed je veljaven certifikat.

Samo tebi.


V bistvu je varnejši, ker 100% vem da se povezujem na svoj strežnik in ne na nekaj MITMjanega ki je od CAja dobil isto podpisan certifikat. Kot so to CAji že malo na črno prepodajali.
The truth is rarely pure and never simple.

XS!D3 ::

jukoz je izjavil:


Sveta krava, nisem vedel da sem te tako hudo užalil in se seveda opravičujem za svoje besede.
Glede na to kar si kasneje napisal očitno le veš kaj govoriš, samo Matthai-u si malo sral naj ne bo tako beden in naj si le kupi en cert ter neha stokat nad iNapravami.

Ampak to je moje razumevanje =)


Nisem užaljen, samo dejstva sem napisal. In nisem nič sral, ker tega sploh nisem napisal. Vprašanje je bilo, kako lahko od povprečnega uporabnika pričakuješ, da si bo znal poiskati in spraviti certifikat v file. Moj point pa, da povprečen uporabnik tega ne bo počel (ker mu v večini primerov niti ne treba), oziroma bo za njega to opravil ali pa mu vsaj dal navodila/config profile/wathaever tisti, ki je zadevo tako nastavil, in ima svoje razloge, da uporablja self-signed certe (ali v končni fazi certe podpisane z internim CAjem).

jukoz je izjavil:


Uporabnik bo vedno kliknil "trust", ne glede na to kaj mu razlagaš in kaj ga učiš. Tudi ti boš v enem momentu, ko boš moral nekaj nujno, ampak res nujno naredit. In uporabniku je tako z večino stvarmi, ki se tičejo varnosti in IT-ja. Jaz sem jim začel razlagat da je to tako kot s ključavnicami za dom, avto, pisarni, bicikelj. A ni bolj fino če jih ne uporabljamo, to odklepanje je tako zoprno...

Jah v tem primeru, ko se mu obvestilo sploh več ne pojavi, ne bo mogel :P Je pa jasno problem iz drugega vidika.... Še najboljše bi bilo, če bi lahko v config profileu dovolil za mail samo določen interni CA, pa nisem ziher da to gre. Najmanj kar lahko nardiš pa je, da ima config profil tudi (interni) CA cert zraven in se uporabniku ni potrebno ukvarjat z ročnim nameščanjem, le-tega.

XS!D3 ::

Mavrik je izjavil:

PaX_MaN je izjavil:

harmony je izjavil:

Tudi self-signed je veljaven certifikat.

Samo tebi.


V bistvu je varnejši, ker 100% vem da se povezujem na svoj strežnik in ne na nekaj MITMjanega ki je od CAja dobil isto podpisan certifikat. Kot so to CAji že malo na črno prepodajali.

Še vedno imaš problem, da večino odjemalcev (če govorimo o mail klientih in podobnih zadevah) težko omejiš, da se ne bodo kasneje vseeno povezali na nekaj MITMjanega, ki je od CAja dobil podpisan certifikat. Prvič boš dobil obvestilo in kot vesten uporabnik ročno preveril, če fingerprint ustreza. Ko boš pa enkrat kliknil Trust, boš pa težko vedel ali se naslednič povezuješ na strežnik, ki ima ta isti cert, ali se ti je mogoče nekdo drug predstavil s certom, ki je podpisan od javnega CA, če je recimo prišlo do zlorabe. No v določenih klientih (npr v browserju) lahko pogledaš, ampak vprašanje če boš vedno gledal tudi takrat ko bo "ključavnica" zelena....

Če lahko omejiš povezavo zgolj na določen cert, pa je zadeva bolj varna, smo pa spet, kot smo že prej debatirali, pri problemu upravljanja in out-of-band preverjanja, če nisi ravno edini uporabnik.

Mavrik ::

Še vedno imaš problem, da večino odjemalcev (če govorimo o mail klientih in podobnih zadevah) težko omejiš, da se ne bodo kasneje vseeno povezali na nekaj MITMjanega, ki je od CAja dobil podpisan certifikat. Prvič boš dobil obvestilo in kot vesten uporabnik ročno preveril, če fingerprint ustreza. Ko boš pa enkrat kliknil Trust, boš pa težko vedel ali se naslednič povezuješ na strežnik, ki ima ta isti cert, ali se ti je mogoče nekdo drug predstavil s certom, ki je podpisan od javnega CA, če je recimo prišlo do zlorabe. No v določenih klientih (npr v browserju) lahko pogledaš, ampak vprašanje če boš vedno gledal tudi takrat ko bo "ključavnica" zelena....


Tole se sliši kot resna varnostna luknja v iPhonovem klientu.
The truth is rarely pure and never simple.

Mikrohard ::

Mavrik je izjavil:

Tole se sliši kot resna varnostna luknja v iPhonovem klientu.

Potem pa hitro piši Applu, da naj popravijo. Mogoče boš dobil še kakšno denarno nagrado.

harmony ::

PaX_MaN je izjavil:

harmony je izjavil:

Tudi self-signed je veljaven certifikat.

Samo tebi.

No pa razlozi svoje videnje, zakaj naj bi bil self signed slab certifikat?

poweroff ::

Here we go again... če želiš nastaviti Exchange mail account, kjer je server podpisan s PostarCA certifikatom... lahko zraven doktoriraš pa ne gre.
sudo poweroff


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Kreiranje self signed certifikatov

Oddelek: Informacijska varnost
162107 (1592) Mercier
»

Mediji in težave s prehodom na https (strani: 1 2 )

Oddelek: Novice / Varnost
6013284 (10188) AndrejO
»

Samopodpisan certifikat na Outlook Office 365/Win10

Oddelek: Operacijski sistemi
162912 (2521) poweroff
»

Država: Kakšna zasebnost in varnost na internetih, samo plačajte že davke!!! (strani: 1 2 3 4 5 )

Oddelek: Novice / NWO
20185327 (59522) MrStein

Več podobnih tem