Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
autor |
sõnum |
|
kurask
Kreisi kasutaja
liitunud: 07.11.2003
|
15.05.2010 13:04:09
räägime veits ssl certidest |
|
|
Kas keegi teab kedagi kes oleks asjaga põhjalikumalt kursis.
On olemas nii odavaid kui kalleid certe ja mul on hunnik küsimusi mis on vaja esitada mõlemi puhul.
Kas cerdi müüja kontrollib kuidagi nimekujude sarnasusi ( ala tankist teeb omale osaühingu ja ostab cerdi hansabank hanspank swedspank etc ) ? Kas hansapank ise saab seda kuidagi kontrollida st kas on mingid nimekirjad?
Mis seisus on Eesti riigi poolse sertifitseerimiskeskuse loomine ( ikka selleks, et riigiasutused saaks omale tasuta firefoxi rohelise riba ) ?
Kuidas nääb välja praktiline case selle nn garantiisumma puhul ning mis asjad täpselt sinna garantii alla lähevad?
Boonusküsimused: milline on odavaim intranet cert ja milline on odavaim mitteintranet cert (mõlemate puhul international).
|
|
tagasi üles |
|
|
Andrus Luht
itimees.ee
liitunud: 11.06.2002
|
15.05.2010 16:12:01
|
|
|
Nii nagu turumajanduses ikka, turg määrab hinna. Päeva lõpuks ainus, mis tähtsust omab on see, et kas enamik brausereid peab sinu valitud signeerijat usaldusväärseks. 99% kasutajatest ei kontrolli elades, kas sinu cert'i on signeerinud mõni suur ja kallis või mõni odav pakkuja. Suured ja kallid (Thawte,Verisign,jne) teostavad päris korraliku tausta-kontrolli. Väiksemad odavad (godaddy,comodo) ei tee suurt midagi. Kontrollivad vaid, et kas sinu taotletav CN on sulle regatud ja kogu lugu. Seda garantiisumma asja võta tugeva reservatsiooniga. Mulle tundub, et sealt meepotist saab pappi ainult läbi USA kohtu. Rohelise ribaga pakuvad enamus neist. See tõenäosus, et suured brauseritootjad topiks meie Sertifitseerimiskeskuse või mõne muu rootCA institutsiooni omale trusted-listi on küll olemas aga suht väike. Nende jaoks pole see just eriti oluline...
Räägi nüüd lähemalt, mida sa pead silmas "intranet cert ja mitteintranet cert (mõlemate puhul international)" all?
_________________ Äriklassi serverilahenduste müük, paigaldus ja haldus. SaaS / PaaS / IaaS lahendused
Kasutatud äriklassi serverite, andmesalvede ja võrguseadmete ost-müük-rent
Tier-3 privaatpilvede, virtuaal- ja virtuaal-privaat-serverite lahendused. 24/7 haldus, monitooring |
|
tagasi üles |
|
|
kurask
Kreisi kasutaja
liitunud: 07.11.2003
|
15.05.2010 16:38:39
|
|
|
tsitaat: |
99% kasutajatest ei kontrolli elades, kas sinu cert'i on signeerinud mõni suur ja kallis või mõni odav pakkuja. |
See on mulle teada. Samas MINU ARVATES ei ole kaugel aeg kus tehakse ka vastav kasutajate teavitamiskampaania (google juba läks ju üle jne) seoses middle-man rünnakute sagenemisega.
tsitaat: |
Räägi nüüd lähemalt, mida sa pead silmas "intranet cert ja mitteintranet cert (mõlemate puhul international)" all?
|
Märkasin netis ringi lapates neid termineid hinnakujunduste all.
International tundus olevat neile firmadele, kes ei asu usas/kanadas.
Ja intranet maksustamine oli 2x odavam kui mitteintranet, tõenäoliselt tähendab seda, et kas sa hakkad oma certi kasutama oma töötajate poolt kasutataval saidil mitte lambi inimestele mõeldud saidil (loodetavasti ei tähenda see vastu sisevõrku autendi:S).
P.S. miks sa enam breikdaaiss pole?
tsitaat: |
Väiksemad odavad (godaddy,comodo) ei tee suurt midagi. Kontrollivad vaid, et kas sinu taotletav CN on sulle regatud ja kogu lugu. |
Seda ma kartsin jah, et see on feil. Pmst hansapanga turvapildi kampaania on selle vastu võitlemiseks?
|
|
tagasi üles |
|
|
Andrus Luht
itimees.ee
liitunud: 11.06.2002
|
15.05.2010 17:33:09
|
|
|
kurask, MIM rünnaku korral pole mitte mingisugust vahet, kas sul on $10 või $1000 cert. EV cert'id (need rohelised) on vast niipalju paremad, et nende puhul on näha nii sertifitseerija kui ka sertifitseeritava nimi. Intranet cert on jah sisevõrgus kasutamiseks ning avalikus võrgus mitte lahenduva nimega. Samas on see paras nonsense kuna enamasti sisevõrgus tehakse oma CA ja selle cert lisatakse kõikidele sisevõrgu masinatele Trusted Root CA'de nimekirja. Sealt edasi on kõik selle sisemise CA signeeritud asjad automaatselt usaldatud. Swed'i turvapildi teema on peaasjalikult ikka selleks, et muuta fake-site ründeid raskemaks. Samas siiralt tunnistades mina küll alati sisenedes seda turvapilti ei vaata/kontrolli...
OT: nimevahetus peamiselt seepärast, et mul on saanud see aeg läbi, kus vaja asja põnevaks ajada vms...
_________________ Äriklassi serverilahenduste müük, paigaldus ja haldus. SaaS / PaaS / IaaS lahendused
Kasutatud äriklassi serverite, andmesalvede ja võrguseadmete ost-müük-rent
Tier-3 privaatpilvede, virtuaal- ja virtuaal-privaat-serverite lahendused. 24/7 haldus, monitooring |
|
tagasi üles |
|
|
kurask
Kreisi kasutaja
liitunud: 07.11.2003
|
15.05.2010 19:13:35
|
|
|
tsitaat: |
MIM rünnaku korral pole mitte mingisugust vahet, kas sul on $10 või $1000 cert |
Vbolla ma olen sel juhul valesti aru saanud, palun selgita kuidas MIM rünnak toimub.
Ja palun selgita kuidas fake site vastu ei aita roheline cert.
|
|
tagasi üles |
|
|
Andrus Luht
itimees.ee
liitunud: 11.06.2002
|
15.05.2010 19:55:54
|
|
|
kurask, MIM'i puhul ei ole vahet, kas sa maksid cert'i eest $10 või $1000. Cert kui selline on ikka sama ning tehnoloogia identne. Peamine häda tavalise SSL'i puhul ongi see, et kui teha MIM'i siis sa ei oota mingit kindlat võtit teiselt poolt vaid veendud ainult, et sinuga räägib certitud vastaspool, keda sinu brauseri tootja usaldab läbi rootCA. Roheline cert ei aita seepärast, et kui sa ei pane tähele swedbahk.ee kirjapildis viga siis täpselt sama tähelepanematu oled sa ka EV certi info osas...
_________________ Äriklassi serverilahenduste müük, paigaldus ja haldus. SaaS / PaaS / IaaS lahendused
Kasutatud äriklassi serverite, andmesalvede ja võrguseadmete ost-müük-rent
Tier-3 privaatpilvede, virtuaal- ja virtuaal-privaat-serverite lahendused. 24/7 haldus, monitooring |
|
tagasi üles |
|
|
kurask
Kreisi kasutaja
liitunud: 07.11.2003
|
15.05.2010 20:14:01
|
|
|
Andrus Luht kirjutas: |
kurask, MIM'i puhul ei ole vahet, kas sa maksid cert'i eest $10 või $1000. Cert kui selline on ikka sama ning tehnoloogia identne. Peamine häda tavalise SSL'i puhul ongi see, et kui teha MIM'i siis sa ei oota mingit kindlat võtit teiselt poolt vaid veendud ainult, et sinuga räägib certitud vastaspool, keda sinu brauseri tootja usaldab läbi rootCA. Roheline cert ei aita seepärast, et kui sa ei pane tähele swedbahk.ee kirjapildis viga siis täpselt sama tähelepanematu oled sa ka EV certi info osas... |
Me räägime praegu jätkuvalt tehnilisest küljest ja see oli minu arvates juba teisest postist selge, et mingid kasutaja tähelepanu häired ei ole üldse teemaks.
Ma ei saanud ikka aru kuidas MIMi puhul mind roheline cert ei kaitse, kas keegi saab seda certi järgi teha? Ma sain aru et firefoxis on sees nimekiri lubatud certidest/certide tegijatest ja kõigi "isetehtute" puhul hakkab ff karjuma. Palun selgita veel kuidas roheline cert mind MIMi puhul ei kaitse.
|
|
tagasi üles |
|
|
Andrus Luht
itimees.ee
liitunud: 11.06.2002
|
|
tagasi üles |
|
|
kurask
Kreisi kasutaja
liitunud: 07.11.2003
|
15.05.2010 20:21:11
|
|
|
skeemA) Ma teen omale välisvõrku site ja panen sellele oma ise genereeritud serdi
skeemB) Ma teen omale välisvõrku site ja panen sellele ostetud serdi mis on ostetud sellele IPle ning sellele nimele
Minu aru saamist mööda variant B puhul läheb firefoxi httpsi esine roheliseks ning variant A puhul firefox lõugab, et "This Connection is Untrusted" ja "what should i do".
Kas minu arusaamine asjast on vale?
_________________ IT haldus | IT hooldus | CarrotArrow.com |
|
tagasi üles |
|
|
Andrus Luht
itimees.ee
liitunud: 11.06.2002
|
|
tagasi üles |
|
|
kurask
Kreisi kasutaja
liitunud: 07.11.2003
|
15.05.2010 20:28:00
|
|
|
okei, ainult nimele, aga kuidas MIM ründaja hangib omale selle cerdi koopia?
ja kuidas kommenteerime lauset: "A man-in-the-middle attack can succeed only when the attacker can impersonate each endpoint to the satisfaction of the other. Most cryptographic protocols include some form of endpoint authentication specifically to prevent MITM attacks. For example, SSL authenticates the server using a mutually trusted certification authority."
|
|
tagasi üles |
|
|
Andrus Luht
itimees.ee
liitunud: 11.06.2002
|
|
tagasi üles |
|
|
kurask
Kreisi kasutaja
liitunud: 07.11.2003
|
15.05.2010 20:31:43
|
|
|
Andrus Luht kirjutas: |
Tema istub sinu ja sihtmärgi vahel ning dekodeerib sealt tulevat pläma ning kodeerib seda oma cert'iga. Seni kuni tema kasutatav cert on sinu brauseri poolt trusted ei tee sina vahet, kellega sa räägid. |
mismoodi saab tema poolt kasutatav cert olema minu browseri poolt trusted, ta ei saa ju endale osta sellist certi nagu minul juba on st minu domeeni nimega.
Andrus Luht kirjutas: |
EV korral kasutab ta väikese täheerinevusega certi ja jällegi on väga suur šanss, et sa ei märka/pane tähele... |
me juba rääkisime sellest ju, SEE POLE TEEMAKS.
|
|
tagasi üles |
|
|
Andrus Luht
itimees.ee
liitunud: 11.06.2002
|
|
tagasi üles |
|
|
kurask
Kreisi kasutaja
liitunud: 07.11.2003
|
15.05.2010 21:40:23
|
|
|
http://files.cloudprivacy.net/ssl-mitm.pdf Lappasin-lugesin läbi, sealne skeem on selline: "Should a malicious third party some-how obtain a certicate for Bank of America's site" ja selle somehow all mõeldaks seal füüsilist lähenemist ehk näiteks serdi transportimisel verisignist hansapanka või kellegi teise serdiväljastaja(näiteks godaddy) samanimelist väljastamist...
Infoks hea doc muidugi .. aga tulemust ei ole, sest kõik rohelise cerdi omistamismeetodid selles docis olid MITM ründaja poolt füüsilised.
http://crypto.stanford.edu/ssl-mitm/ See väike demo on siis see mis genereerib ise cerdi ehk ma jälle ei saa aru kuidas see puutub rohelise cerdi asjasse.
No hea on see, et mina sain targemaks nagunii, halb on see, et sina ei taha tunnistada, et MITM rünnak ei ole võimalik rohelise cerdi vastu "kui sul just pole käpp sees versignes või muu FÜÜSILINE võimalus certi omastada (praktiliselt sul ei ole sellist võimalust)".
|
|
tagasi üles |
|
|
Andrus Luht
itimees.ee
liitunud: 11.06.2002
|
|
tagasi üles |
|
|
kurask
Kreisi kasutaja
liitunud: 07.11.2003
|
16.05.2010 14:09:02
|
|
|
Lugesin läbi mõlemad, rünnaku mõte rajaneb sellele, et nad saavad non-EV serdi näiteks godaddyst omale hansa.ee nimele?
_________________ IT haldus | IT hooldus | CarrotArrow.com |
|
tagasi üles |
|
|
Andrus Luht
itimees.ee
liitunud: 11.06.2002
|
|
tagasi üles |
|
|
kurask
Kreisi kasutaja
liitunud: 07.11.2003
|
|
tagasi üles |
|
|
Andrus Luht
itimees.ee
liitunud: 11.06.2002
|
|
tagasi üles |
|
|
kurask
Kreisi kasutaja
liitunud: 07.11.2003
|
16.05.2010 16:19:22
|
|
|
Sain aru et ei seostu ipiga, ostma peaks, et tõestada pointi või viitama millelegi, kus on ostetud st tõestatud:]
_________________ IT haldus | IT hooldus | CarrotArrow.com |
|
tagasi üles |
|
|
Andrus Luht
itimees.ee
liitunud: 11.06.2002
|
16.05.2010 17:00:16
|
|
|
kurask, ma saan veel aru, et sa mind ei usu aga sama räägivad ka meie vaide välised isikud (vt. http://www.phreedom.org/presentations/ev-ssl-mitm/ev-ssl-mitm.pdf ). Ma ei saa/pea/taha/plaani sulle midagi tõestada, see pole eesmärk. Kindlasti mitte ei teeks ma seda ka seepärast, et sinu uudishimu rahuldada. Eriti veel silmas pidades, et kui ma sellise cert'iga siin lagedale tuleks siis oleks see tõenäoliselt ka selle re-selleri tegevusele reaalne oht. Ma olen sulle ilusasti ära näidanud, et kas ja kuidas aga edasi pead ise tegelema. Minu poolelt on teema ammendunud. Siit edasi ei ole võimalik minna ilma seadust rikkumata ning siin minu osalus ka lõppeb.
_________________ Äriklassi serverilahenduste müük, paigaldus ja haldus. SaaS / PaaS / IaaS lahendused
Kasutatud äriklassi serverite, andmesalvede ja võrguseadmete ost-müük-rent
Tier-3 privaatpilvede, virtuaal- ja virtuaal-privaat-serverite lahendused. 24/7 haldus, monitooring
viimati muutis Andrus Luht 18.05.2010 10:46:36, muudetud 1 kord |
|
tagasi üles |
|
|
kurask
Kreisi kasutaja
liitunud: 07.11.2003
|
16.05.2010 23:47:55
|
|
|
Tegelt ma ei saanud aru kuidas on hansa.ee cerdi ostmine legaalselt firmalt seadusega vastuolus:] (äkki ma pole EV seadustega ka piisavalt kursis >< )
Anyway ma põhjalikult lugesin selle Sotirovi asju ning md5 olevat tehniliselt murtav, versign ja co läksid juba 2009 üle sha1le ning praegu ongi ainus lootus see hansa.ee cert kuskilt osta/varastada füüsiliselt.
_________________ IT haldus | IT hooldus | CarrotArrow.com |
|
tagasi üles |
|
|
Andrus Luht
itimees.ee
liitunud: 11.06.2002
|
|
tagasi üles |
|
|
Spezz
HV veteran
liitunud: 21.08.2005
|
17.05.2010 21:58:25
|
|
|
Khm, kas sa väidad, et suudad osta hansa.ee serdi?
|
|
tagasi üles |
|
|
|