Názor k článku Věříte opravdu jen důvěryhodným certifikačním autoritám? od anonym - Ahoj, rad bych pridal do diskuze pohled z druhe strany. Zatim...

Ahoj,
rad bych pridal do diskuze pohled z druhe strany.


Zatim jsme se bavili ze nejaka Intermediate CA muze delat neplechu.
Ono to muze zafungovat i obracene – pokud mate Intermediate CA podepsanou nejakou verejnou „trusted“ CA muze vam to zpusobit stejne problemy.


Vyhazeni neduveryhodnych CA na klientovi vubec nemusi pomoci.


1) Rekneme ze banka ABC je tak velka ze se rozhodne si udelat vlastni certifikacni autoritu.


2) Protoze „zakaznik nas pan“ – rozhodne se svoji certifikacni autoritu podepsat nejakou znamou certifikacni autoritou – rekneme Verisign.
Hlavni vidinou je moznost podepsat si z pohledu zakaznika „duveryhodnym“ certifikatem webove stranky jako www.bankabc.com


3) Udela si SSL certifikat – napriklad pro infrastrukturni LDAPS server ldap.bankabc.com


4) Nakonfiguruje klienta aby veril prislusnemu retezci (chain) certifikacnich autorit.
Verisign ROOT CA + Banka ABC CA


5) Prijde hacker Franta a vygeneruje si certifikat pro stejny LDAPS server ldap.bankabc.com primo od Verisign
- LDAP klientovi bude stacit ze certifikat konci duveryhodnym podpisem od Verisign a nerekne ani popel


6) Prijde hacker Pepa, zaplati o neco vic a dostane od Verisign certifikat pro vlastni certifikacni autoritu – pak uz si bez kontroly Verisign muze (jak je popsano v clanku) vydat jakykoli certifikat tedy i certifikat pro ldap.bankabc.com
- LDAPS server bude poskytovat cely certificate chain
- LDAP klientovi bude stacit ze certifikat konci duveryhodnym podpisem od Verisign a nerekne ani popel


Zaver:
- pokud uz si chci delat vlastni CA, stoji za zvazeni jestli pro me ucely neni vhodnejsi pouzit pro root moji CA radeji self-signed certificate nez certificate podepsany nejakou jinou „trusted“ stranou.


Zdroj:
- http://files.cloudprivacy.net/ssl-mitm.pdf