Vlákno názorů k článku Odpočúvanie šifrovaných spojení od anonym - Neda mi to, abych neupozornil na zajimavou situaci...
-
Neda mi to, abych neupozornil na zajimavou situaci a to presne v duchu tohoto clanku ...
Pokud se totiz chcete podivat na mnou doporuceny clanek v dnesni zpravicce (Neudělení víza prof. Wangové neuchrání americký národní standard SHA-1 od pohromy ...), kter je na adrese :
https://www.financialcryptography.com/mt/archives/000533.html
SHA1 attack updated at Crypto, US responds by stifling research
na Financial Cryptography,
pak pri sestaveni SSL komunikace se objevi:
a) Nejsou k dispozici informace o odvolani certifikatu..
b) Název uvedený v certifikátu zasbezpečení není platný nebo neodpovídá názvu serveru.
c) A navic použitá hašovací funkce je MD5
Docela pekna ukazka ruznych moznych problemu, ze ... -
Bilbo (neregistrovaný)> b) Název uvedený v certifikátu zasbezpečení není platný nebo neodpovídá názvu serveru.
Jo, nazev serveru je financialcryptography.com (bez toho www) a pokus o pristup je na www.financialcryptography.com
Kdyz odtipnu www tak tohle varovani zmizi (pak uz mi to hlasi jen neco o neduveryhodne autorite)
Coz je bohuzel problem SSL ze tak nejak nepocita s virtualnimi servery, protoze v momentu navazovani spojeni nevi jestli pristupuji na www.financialcryptography.com nebo financialcryptography.com (dns ukazuje na jednu IP adresu a Host hlavicku jeste klient neposlal pac teprve navazuje spojeni) No a server nevi ktery certifikat mu predhodit ... tak zkusi financialcryptography.com ... a tesne vedle :O)
Bohuzel diky tomuhle nedostatku v navrhu SSL pak je potreba mit pro kazdy virtual vlastni IPcko .... a pokud mam stranky typu treba (cokoliv).firma.cz a tech ruznycxh cokolivu je treba 100 tak abych mel 100 ipcek a 100 certifikatu ... skoda ze nejde vydat certifikat i pro nejaky wildcard nebo regularni vyraz :o) -
sss (neregistrovaný)Ako ale vytvorit certifikat, ktory moze pouzit server s virtual hostami, ked sa kazdy vola inak? Ak sa prida novy virtual host, treba nanovo vydat certifikat, kde je tento zahrnuty?
Lebo neda sa zabezpecit, aby mal kazdy host samostatny certifikat, lebo server dopredu nevie, ktory host je pozadovany pocas vytvarania spojenia ale az v HTTP requeste. -
Jarek (neregistrovaný)Na to musis myslet pri vytvareni certifikatu a zahrnout do certifikatu vsechny potrebne Aliasy.
Pokud pridas novy Virtual, ktery tam neni, musis proste vymenit certifikat. Pokud maji klienti naimportovanou certifikacni autoritu, kterou jsou tve certifikaty podepsany, tak to ani neni velky problem a klienti to skousnou. -
Bilbo (neregistrovaný)No, to je pravda, taky reseni, akoratze u hostovani vetsiho poctu stranek je to fura jmen ... takze server posle treba 30Kb velky certifikat nez se vubec navaze spojeni :O)
Ono vsechny reseni tohohle problemu maj nejakou slabinu (velky certifikat, samostatne ipcko ...) ... nejlepsi by bylo asi zmenit trochu HTTPS aby se posilal host pred certifikatem, ale to asi neprojde :o) Uz aby tu bylo ipv6 .....
