Vlákno názorů k článku Budou mít všechny phishingové weby platný certifikát? od 2015 - Není nic horšího, než falešný pocit bezpečí.
-
Bedňa (neregistrovaný)
Tento článok je hrozný bulvár.
Namiesto informovania neznalých užívateľov, (toto by malo s veľkým červeným nadpisom)
že certifakčná autorita nieje antivírus, sú tu kecy čo znalých neprekvapia a neznalých dezinformujú.Šifrovanie klient <-> server je ďalším stupňom bezpečnosti.
- Otvorený problém je, že či to naozaj šifruje protistrana ktorú očakávame.Šifrovanie klient <-> server podpísané autoritou je ďalším stupňom bezpečnosti.
- Ostáva problém s falšovaním DNSŠifrovanie klient <-> server podpísané autoritou a DNSSEC.
- Momenálne najlepšie riešenie, ale stále to nijak nerieši bezpečnosť pred štátnymi trojpísmenkovými agentúrami.Toto všetko, ale nijek nerieši obsah webu.
* Použijeme napr. spomínaného Googla a budeme spoliehať, že sme sa tam nedostali skôr ako on.
No pokiaľ nám prišiel link emailom, tak najskôr Google ešte ani netuší, že taká doména existuje.* Použijeme doplnok kde budeme mať default vypnutý Flash, JavaScript, Javu ...
* Použijeme nejaký softvér ktorý bude kontrolu vykonávať automaicky.
Opakujem autorita nieje antivírus.
-
Filip JirsákStříbrný podporovatelŠifrovanie klient <-> server podpísané autoritou je ďalším stupňom bezpečnosti.
- Ostáva problém s falšovaním DNS
Problém s falšováním DNS odpovědí klientovi řeší certifikáty velmi dobře. DV certifikáty dokonce neřeší nic moc jiného (ještě únos spojení po cestě). -
Filip JirsákStříbrný podporovatel
Podstrčit certifikační autoritě falešné DNS záznamy by nemělo být úplně triviální. To riziko samozřejmě existuje a já jsem pro používání DNSSEC, jenom nesouhlasím s vyzněním toho komentáře – jakoby CA vydávaly kvůli podvrženým DNS záznamům jeden falešný certifikát za druhým.
-
p (neregistrovaný)
Souhlas s tím, že tento článek je v mohém nepravdivý.
Zelený zámeček zobrazují pouze EV SSL certifikáty - studium pro autora viz cabforum.org - a to nebude zřejmě tento případ; zde bude pouze zámeček šedý = šifrovaný kanál. A pokud jsem dobře zachytil všechny dřívější informace o LetsEncrypt, tak to budou pouze DV certifikáty (bez identifikace firmy/vlastníka).
CA také při vydání SSL certifikátu nemají hodnotit obsah webu, ale pouze vlastnictví domény (DV) či firemního zápisu (OV) certifikáty; je sice pravdou, že před vydáním certu mají zkontrolovat SafeBrowsing nebo podobný seznam, to ale nezaručí že bude phishingový kód na webu umístěn později.
Prostě SSL certifikáty mají pouze identifikovat (a certifikovat) webovou domému a vlastníka (a poté umožnit ustavení šifrovaného kanálu), nikoliv nějak hodnotit/cenzurovat jeho obsah.LetsEncrypt prostě nezvyšuje důvěru, pouze rozšiřuje používání https šifrování na Internetu. Až budoucnost ukáže jaké průsery to automatické vydávání certifikátů přinese ...
-
Filip JirsákStříbrný podporovatel
Zelený zámeček zobrazují pouze EV SSL certifikáty
Certifikáty nezobrazují žádný rámeček. Rámeček mohou zobrazovat prohlížeče. Prohlížečů je spousta, každý může stejný stav zabezpečení zobrazovat jinak – a může se to lišit dokonce verzi od verze.
