forum.opennet.ru

Составление сообщения

Исходное сообщение

"В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."
Отправлено upyx, 01-Сен-11 08:35

Рядом человек предложил другую идею: подписывать сертификат не одним CA, а несколькими. Тогда, чтобы получить поддельный, нужно будет сломать все CA, подписавшие сертификат. С другой стороны, это может быть опциональным: можно сгенерировать самоподписанный сертификат, можно его подписать в одном СА, а можно - в нескольких. Вася Пупкин для своей домашней странички может ограничиться первым вариантом, а крупные сайты - последним. Эта идея будет работать, что подтверждает сама новость:
> "...браузеры считали HTTPS-сессию валидной и не выдавали предупреждения (за исключением браузера Chrome, который позволил распознать неладное, так как в нем производятся дополнительные проверки сертификатов Google)."
Chrome проверяет сертификаты Google дополнительно еще каким-то методом, если один из методов не дал положительный результат, выдается предупреждение.
Также это не рушит "бизнес CA": владелец сайта просто последовательно подписывает свой сертификат в нескольких центрах. Пользователь в итоге может видеть сколько CA "расписалось на сертификате" и уже делать соответствующие выводы.
Хотя возможно это все потребует некоторого расширение стандарта?.. Да и проблему решит вряд ли...

Исходное сообщение
"В сети зафиксирован обманный SSL-сертификат для сервисов Goo..." Отправлено upyx, 01-Сен-11 08:35
Рядом человек предложил другую идею: подписывать сертификат не одним CA, а несколькими. Тогда, чтобы получить поддельный, нужно будет сломать все CA, подписавшие сертификат. С другой стороны, это может быть опциональным: можно сгенерировать самоподписанный сертификат, можно его подписать в одном СА, а можно - в нескольких. Вася Пупкин для своей домашней странички может ограничиться первым вариантом, а крупные сайты - последним. Эта идея будет работать, что подтверждает сама новость: > "...браузеры считали HTTPS-сессию валидной и не выдавали предупреждения (за исключением браузера Chrome, который позволил распознать неладное, так как в нем производятся дополнительные проверки сертификатов Google)." Chrome проверяет сертификаты Google дополнительно еще каким-то методом, если один из методов не дал положительный результат, выдается предупреждение. Также это не рушит "бизнес CA": владелец сайта просто последовательно подписывает свой сертификат в нескольких центрах. Пользователь в итоге может видеть сколько CA "расписалось на сертификате" и уже делать соответствующие выводы. Хотя возможно это все потребует некоторого расширение стандарта?.. Да и проблему решит вряд ли...

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру