Hlavní navigace

Názor k článku Odpočúvanie šifrovaných spojení od Marian Kechlibar - Vážený pane Stworo, nastavení, které popisujete, se týká protokolů...

  • Článek je starý, nové názory již nelze přidávat.
  • 19. 8. 2005 10:36

    Marian Kechlibar (neregistrovaný)
    Vážený pane Stworo, nastavení, které popisujete, se týká protokolů SSL/TLS. Jsou to protokoly, umožňující bezpečně prohlížet WWW stránky. Kdykoliv přistoupíte na stránku začínající https://, používá se SSL či TLS (jeho nástupce). V rámci protokolu SSL či TLS se server autentizuje klientovi, který na něj přistupuje, tím, že mu zašle certifikát serveru. To se děje při každém spojení, a tak se běžně SSL/TLS používá. Server tedy musí mít certifikát, mít ochotu jej vydat klientovi, a klient musí mít schopnost tento certifikát nějak zkontrolovat. Naproti tomu naprostá většina WWW serverů nepožaduje, aby se klient autentizoval rovněž. Klient tedy nemusí mít certifikát, a zůstává v relativní anonymitě - je známa jeho IP adresa apod., ale není jisté, kdo to přesně je. V rámci definice protokolu SSL/TLS je pomýšleno i na možnost, že server bude chtít po klientovi, aby se autentizoval certifikátem. Může tomu tak být například, přistupujete-li přes WWW do databáze svého zaměstnavatele, k níž se nesmějí dostat nepovolané osoby (tento přístup se většinou ale stejně řeší jinak - heslem; toto je teoretický příklad!). V takovém případě musíte i Vy mít na svém počítači certifikát, který počítač v rámci "handshake" zašle serveru, a který Vás identifikuje. Tato možnost je jen málo využívaná v "lidském světě", neboť na rozdíl od jiných možností kontroly přístupu (hesla, kódy zasílané přes SMS) je dost nepružná a zajišťuje spíše identitu počítače než člověka, který u něj sedí. Z tohoto důvodu ji pravděpodobně nebudete nikdy v životě potřebovat. Jak je to mezi servery, to nevím. V případě, že by přeci jen nastala situace, kdy byste certifikát potřeboval, vydá Vám jej organizace, která jej bude potom požadovat k autentizaci. Pokud si jej vygenerujete sám, oprávněně mu druhé strany nemusejí důvěřovat (samopodepsaný certifikát má asi stejnou výpovědní váhu jako tvrzení "já jsem já, protože to říkám já").