» »

Bo Mozilla zaupala kitajskemu CA?

Slashdot - Med razvijalci Mozille poteka zanimiva debata, ali naj kitajski CNNIC ostane na seznamu zaupanja vrednih overiteljev digitalnih potrdil (CA-jev) ali ne. CA-ji so pomemben steber varnosti na internetu, saj brez njih komunikacija po varnih kanalih s šifriranjem ne bi bila varna. Ko se brskalnik poveže na neko stran, ki uporablja šifrirano komunikacijo (s predpono https), bo strežnik najprej pokazal, da pozna določen ključ za enkripcijo. V drugi fazi pa bo moral dokazati svojo istovetnost, kar se stori z digitalnim certifikatom (cert), ki ga podeli eden izmed zaupanja vrednih CA-jev. Če zaupamo CA-ju, potem ta jamči, da je strežnik res, za kogar se predstavlja, in da ključ ni poznan nikomur drugemu. V nasprotnem primeru je povezava res lahko varna, a kaj ko je na drugi strani lažna stran.

Od lanskega oktobra je v seznamu zaupanja vrednih CA-jev v Mozilli tudi kitajski CNNIC (China Internet Network Information Center). Mnogi so takrat uvrstitvi CNNIC-a v to elitno druščino nasprotovali, saj naj ne bi šlo za nepristranski organ. Podobne debate se porajajo tudi sedaj. Če bi bil CNNIC pod nadzorom in vplivom kitajske vlade, bi ga ta lahko uporabila za prisluškovanje. Kitajski uporabnik bi se želel povezati na Gmail, a bi ga preusmerili na lažno stran. Ta bi imela od CNNIC-a podpisan certifikat, da gre za Google, in uporabnik ne bi nikoli posumil, da se dogaja nekaj čudnega.

Nasprotniki izbrisa pravijo, da so na seznamu že mnogi CA-ji, ki so povezani z vladami ali so dejansko vladni. Odpisati CNNIC le zato, ker je kitajski, se zdi nekako nepravično. Debata tako ni le nepomembna tehnična podrobnost, ampak pomembna odločitev, komu v današnjem svetu velja zaupati. Problem je razdrobljenost trenutnega sistema, saj lahko katerikoli zaupanja vreden CA kateremukoli uporabniko jamči, da se katerikoli strežnik nahaja na kateremkoli naslovu. Prave rešitve za vse uporabnike ni.

13 komentarjev

MrStein ::

A tisti AC, kjer lahko dobiš ključ za karkoli, je pa še vedno na listi "zaupanja vrednih" ? :O
Teštiram če delaž - umlaut dela: ä ?

Bistri007 ::

Zaupanja vredna komunistična vlada?

SIGEN-CA ni isto kot PRC-CA...
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...

MrStein ::

SIGEN-CA tudi ni na listi.
Teštiram če delaž - umlaut dela: ä ?

ticko551 ::

Pri Mirkotu pa so na seznamu trije slovenski CA-ji...
--
Great minds run in great circles.

Icematxyz ::

Vprašanje ki se v takšnih razpravah pojavi. Še preden začneš globlje analizirati Kitajsko "prakso" na tem področju. Kaj pa drugod. Ni zlorab? Verjetno da so povsod?

Tomas 33 ::

A Comodo CA so že vrgli iz seznama zaupanja vrednih izdajateljev?

Zgodovina sprememb…

  • spremenilo: Tomas 33 ()

techfreak :) ::

Tomas 33 je izjavil:

A Comodo CA so že vrgli iz seznama zaupanja vrednih izdajateljev?

Zakaj pa?

MrStein ::

Glej prvi komentar v temi. ;)
Teštiram če delaž - umlaut dela: ä ?

techfreak :) ::

Comodo ti lahko zrihta certifikat za npr. PayPal?

MrStein ::

Malo preberi stare novice.
Odgovor pa je : Da.
Teštiram če delaž - umlaut dela: ä ?

Tomas 33 ::

Problem se nanaša na izdajanje t.i. trusted certifikatov. In ti certifikati so idealni za napad MITM.
Zaradi tega je plan izbrisati Kitajske CA iz Trusted list, ki jih boš preko opozorila nato moral dodati ročno.
Kitajska bi pač na ta način nadzorovala svoje državljane (verjetno tudi druge).

Problem Comoda pa je, da ne preverja identitete prejemnika certifikata.

Vsi ostali pač imajo natančno politiko preverjanja identitete.

Mogoče je res malo off topic, je pa razlika le v tem, da gre v primeru kitajske za državo, ki lahko zlorablja zaupanje, pri Comodu pa za posameznike.

Matthai ::

Comodo... poglej si novice. Jaz sem si pri Comodu naredil certifikat za Slo-Tech, pa še cel kup slovenskih bank povrhu. Res so zaupanja "vredni", ja...
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

MrStein ::

Pa je danes kaj drugače? Najbrž so "pokrpali luknjo", ali ne?
Teštiram če delaž - umlaut dela: ä ?


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Nekaj gnilega je v deželi certifikatski

Oddelek: Novice / Ostala programska oprema
82668 (1380) Lipicnik
»

Bo Mozilla zaupala kitajskemu CA?

Oddelek: Novice / Brskalniki
131753 (1239) MrStein
»

Izvedba popolnega MITM napada (strani: 1 2 3 )

Oddelek: Novice / Varnost
11610335 (6721) Brane2
»

Microsoft zaupa slovenskim internetnim certifikatom

Oddelek: Novice / Varnost
183510 (2338) mHook

Več podobnih tem