2014-11-21 7:04 GMT+01:00 Jarosław Górny jaroslaw.gorny@gmail.com:
W dniu 21 listopada 2014 06:55 użytkownik Radoslaw Szkodzinski astralstorm@gmail.com napisał:
2014-11-20 12:07 GMT+01:00 Sergiusz 'q3k' Bazański q3k@q3k.org:
On 11/20/2014 12:04 PM, Radoslaw Szkodzinski wrote:
Tylko czekać, aż jakiś zdzisław zrobi swoją stronkę, a następnie okaże się, że używa klucza do wrzucania wirusów, phishingu czy innych ataków na ludzi.
W sensie kluczy, które są certyfikowane do użycia z jego własną domeną? Czyli, w sumie, tak jak może zrobić teraz?
Może, ale podpisuje się wtedy pod tym własnym nazwiskiem, prawdziwym adresem. Z wszystkimi konsekwencjami prawnymi.
Ta. Chciałbyś. Nie przypominam sobie, żebym musiał jakoś specjalnie udowadniać, że nazywam się tak jak się nazywam i mieszkam gdzie mieszkam, jak rejestrowałem domenę. A do dostania certu wystarczy, że jesteś w stanie odebrać email w domenie, na którą ma być wystawiony.
Tak, ale to nie jest certyfikat class 3. Tego typu certyfikaty nie powinny mieć włączonego zaufania w przeglądarce. W sensie, CA może być rozpoznawany, ale powinien pojawiać się warning, że tożsamość strony niekoniecznie jest zweryfikowana.
To oczywiście za pierwszym razem, można sobie zapamiętać taki certyfikat na przyszłość po własnej weryfikacji.
A jak byle niewiadomo jaki niezweryfikowany ktoś może dostać dobry, zaufany przez wszystkie przeglądarki certyfikat...
Czyli tak jak jest teraz...
Nie do końca, najbardziej śmieciowe certy nie dostawały zaufania. M.in. CACert i długo najniższe StartSSL.
Może to jest sposób na nagonienie sprzedaży certyfikatów Extended Validation.
Może. A może chodzi o to, żeby dane fruwające między moją przeglądarką a serwerem Zdzisława nie latały plain-tekstem, tak, że byle Janusz może sobie je przeczytać / zmodyfikować / zrobić mi MitM bez większego problemu?
Byle Janusz nie robi MitM, tylko spear phishing lub zwykły, czasem wirusy i inne trojany.
MitM są domeną ludzi mających wjazd do ISP. A ci leją ciepłym moczem na certyfikaty, bo mogą z reguły wystawić ich sobie ile chcą, kiedy chcą. (Mowa tu o organizacjach dysponujących sporym budżetem na ataki.)