W dniu 21 listopada 2014 07:13 użytkownik Radoslaw Szkodzinski astralstorm@gmail.com napisał:
2014-11-21 7:04 GMT+01:00 Jarosław Górny jaroslaw.gorny@gmail.com:
W dniu 21 listopada 2014 06:55 użytkownik Radoslaw Szkodzinski astralstorm@gmail.com napisał:
2014-11-20 12:07 GMT+01:00 Sergiusz 'q3k' Bazański q3k@q3k.org:
On 11/20/2014 12:04 PM, Radoslaw Szkodzinski wrote:
Tylko czekać, aż jakiś zdzisław zrobi swoją stronkę, a następnie okaże się, że używa klucza do wrzucania wirusów, phishingu czy innych ataków na ludzi.
W sensie kluczy, które są certyfikowane do użycia z jego własną domeną? Czyli, w sumie, tak jak może zrobić teraz?
Może, ale podpisuje się wtedy pod tym własnym nazwiskiem, prawdziwym adresem. Z wszystkimi konsekwencjami prawnymi.
Ta. Chciałbyś. Nie przypominam sobie, żebym musiał jakoś specjalnie udowadniać, że nazywam się tak jak się nazywam i mieszkam gdzie mieszkam, jak rejestrowałem domenę. A do dostania certu wystarczy, że jesteś w stanie odebrać email w domenie, na którą ma być wystawiony.
Tak, ale to nie jest certyfikat class 3.
A masz gdzieś informację, że te wystawianie w ramach tego projektu będą class 3?
Tego typu certyfikaty nie powinny mieć włączonego zaufania w przeglądarce. W sensie, CA może być rozpoznawany, ale powinien pojawiać się warning, że tożsamość strony niekoniecznie jest zweryfikowana.
To Ty tak uważasz. Przecież przeglądarki w jasny sposób wyróżniają certy EV.
To oczywiście za pierwszym razem, można sobie zapamiętać taki certyfikat na przyszłość po własnej weryfikacji.
Jeśli uważasz, że wyświetlanie ostrzeżeń jest OK, to w sumie w ogóle można sobie podpisać cert własnym CA i prosić odwiedzających o akceptację -- efekt będzie taki sam.
Czy teraz na stronce tego anegdotycznego Zdzisława podajesz wrażliwe dane? Dlaczego uważasz, że nagle ludzie zaczną to robić, kiedy uzyskanie certyfikatu DV będzie prostsze?
A jak byle niewiadomo jaki niezweryfikowany ktoś może dostać dobry, zaufany przez wszystkie przeglądarki certyfikat...
Czyli tak jak jest teraz...
Nie do końca, najbardziej śmieciowe certy nie dostawały zaufania. M.in. CACert i długo najniższe StartSSL.
Tutaj odchodzimy od tematu IMHO. Szczególnie w przypadku CACert.
Może to jest sposób na nagonienie sprzedaży certyfikatów Extended Validation.
Może. A może chodzi o to, żeby dane fruwające między moją przeglądarką a serwerem Zdzisława nie latały plain-tekstem, tak, że byle Janusz może sobie je przeczytać / zmodyfikować / zrobić mi MitM bez większego problemu?
Byle Janusz nie robi MitM, tylko spear phishing lub zwykły, czasem wirusy i inne trojany.
Ja po prostu chciałem powiedzieć, że jak coś możesz wysyłać plain-tekstem albo zaszyfrowane, to troszkę lepiej, jak zaszyfrowane... "let's encrypt" ma szansę sprawić, że stanie się to prostsze i tańsze dla przeciętnego człowieczka, który sobie np. postawił mały sklep online albo blogaska.
MitM są domeną ludzi mających wjazd do ISP. A ci leją ciepłym moczem na certyfikaty, bo mogą z reguły wystawić ich sobie ile chcą, kiedy chcą. (Mowa tu o organizacjach dysponujących sporym budżetem na ataki.)
Tak. W zasadzie możemy wrócić do telneta. Po co Ci ssh. Przecież NSA i tak Cię "zhackuje". I nieszyfrowanego IMAPa, itd.