Hlavní navigace

Názor k článku Odpočúvanie šifrovaných spojení od ivan - ad3. A ako sa potom stalo, ze Verisign...

  • Článek je starý, nové názory již nelze přidávat.
  • 6. 12. 2006 16:52

    ivan (neregistrovaný)
    ad3.
    A ako sa potom stalo, ze Verisign vydal neprave (nie na zaklade Microsoftu) certifikaty Microsoftu, Microsoft to potom riesil v XP tak, ze doplnil ulozisko Untrusted publishers, kde tieto falosne certifikaty zaradil (mozete si overit) aj je k nim nastavene Fraudulent, NOT Microsoft Friendly Name, je to ulozisko CryptoAPI, takze si to pozriete len v IE, ostatne prehliadace (nepouzivajue MS CryptoAPI) toto nenimplementovali.
    Spravna otazka znie: "Ako su chranene CA kluce, ktorymi sa podpisuju certifikaty?" a to na vsetkych urovniach (min. Cipova karta / token, lepsie HSM modul s FIPS).

    Zalistovanie CA do IE si moze zaplatit kazdy, je to komercna zalezitost a u distribucii s otvorenym kodom moze byt upravena distribucia tak, aby tam ten ca certifikat bol (a kde je tu zaruka doveryhodnosti).

    Co ak sa nejakym trojanom do uloziska CA certifikatov naimportuje falosny certifikat ? Kontroloval si niekto niekedy ci certifikaty z uloziska su naozaj prave ? A to nemusi byt ani trojan, niektory chronicky klikaci si improtnu CA certifikat ani nevedia ako. Takze argument "je to bezpecne lebo CA certifikat je zabudovany do browsera" stoji na vode. To uz si radsej vyhadzem vsetky CA certifikaty a dam si tam len tie, ktore potrebujem a z casu na cas si skontrolujem ich hashe.