Hlavní navigace

Vlákno názorů k článku Odpočúvanie šifrovaných spojení od Vladimír Stwora - Díky za článek. Ale měl bych dotaz. Ve...

  • Článek je starý, nové názory již nelze přidávat.
  • 19. 8. 2005 0:49

    Vladimír Stwora

    Díky za článek. Ale měl bych dotaz. Ve Firofox pod Edit | Preference |Advances |Manage Certificates je v otevřeném okně karta Your Certificates. U mně je prázdná a u většiny asi také. Kdy a proč použiji My certificate a jak si ho vyrobím? A hlavně k čemu je mi to dobré?

  • 19. 8. 2005 10:36

    Marian Kechlibar (neregistrovaný)
    Vážený pane Stworo, nastavení, které popisujete, se týká protokolů SSL/TLS. Jsou to protokoly, umožňující bezpečně prohlížet WWW stránky. Kdykoliv přistoupíte na stránku začínající https://, používá se SSL či TLS (jeho nástupce). V rámci protokolu SSL či TLS se server autentizuje klientovi, který na něj přistupuje, tím, že mu zašle certifikát serveru. To se děje při každém spojení, a tak se běžně SSL/TLS používá. Server tedy musí mít certifikát, mít ochotu jej vydat klientovi, a klient musí mít schopnost tento certifikát nějak zkontrolovat. Naproti tomu naprostá většina WWW serverů nepožaduje, aby se klient autentizoval rovněž. Klient tedy nemusí mít certifikát, a zůstává v relativní anonymitě - je známa jeho IP adresa apod., ale není jisté, kdo to přesně je. V rámci definice protokolu SSL/TLS je pomýšleno i na možnost, že server bude chtít po klientovi, aby se autentizoval certifikátem. Může tomu tak být například, přistupujete-li přes WWW do databáze svého zaměstnavatele, k níž se nesmějí dostat nepovolané osoby (tento přístup se většinou ale stejně řeší jinak - heslem; toto je teoretický příklad!). V takovém případě musíte i Vy mít na svém počítači certifikát, který počítač v rámci "handshake" zašle serveru, a který Vás identifikuje. Tato možnost je jen málo využívaná v "lidském světě", neboť na rozdíl od jiných možností kontroly přístupu (hesla, kódy zasílané přes SMS) je dost nepružná a zajišťuje spíše identitu počítače než člověka, který u něj sedí. Z tohoto důvodu ji pravděpodobně nebudete nikdy v životě potřebovat. Jak je to mezi servery, to nevím. V případě, že by přeci jen nastala situace, kdy byste certifikát potřeboval, vydá Vám jej organizace, která jej bude potom požadovat k autentizaci. Pokud si jej vygenerujete sám, oprávněně mu druhé strany nemusejí důvěřovat (samopodepsaný certifikát má asi stejnou výpovědní váhu jako tvrzení "já jsem já, protože to říkám já").
  • 19. 8. 2005 15:34

    bez přezdívky
    pokud si jej vygenerujete sam ... Jenom doplneni: klic pro dany certifikat si snad generujete vzdycky, certifikat je o tom ze vam ten klic nekdo podepise. Neduveryhodny certifikat je takovy, ktery neni podepsany nekym duveryhodnym, nikoliv takovy, ktery je podepsany sam sebou. Takze i kdyz si udelate bezny self-signed certifikat, porad muzete zvysit jeho duveru tak, ze si ho nechate dodatecne podepsat. Pochopitelne pokud presvedcite CA, aby ho podepsala - predpokladam, ze to bude o neco tezsi nez standartni postup.
    V PGP/GPG je to jednodussi ... tam je self-sign automaticky. Jenze v PGP/GPG nejsou ty prachy, protoze kazdy klic jde vyuzit ke vsemu, zatimco v SSL si CA necha zaplatit co vam s tim klicem povoli delat.
  • 19. 8. 2005 18:01

    Vladimír Stwora
    Aha. Díky moc za podrobné vysvětlení. Já jsem si myslel, že to tak nějak bude, ale neměl jsem v tom příliš jasno. :-)