Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
Задача всей инфраструктуры сертификатов - аутентификация. А для этой задачи необходимы доверие и арбитраж. 03.02.09 00:41 Число просмотров: 3789
Автор: Garick <Yuriy> Статус: Elderman
|
Поэтому корневые центры необходимы. Сертификаты крупных коммерческих центров уже включены в саму Вин. Поэтому или принять предлагаемую МС сеть центров или же создать свою :)
> Собираюсь пользоваться системой Вебмани, взвешиваю +/- и
> т.д. и вот такой момент хочется обсудить.
>
> Их корневой сертификат самоподписной, т.е. все заверенные
> им сертификаты ОС и браузеры его просто так не признают.
> Для нормальной работы нужно скачать его и установить в
> хранилище, тогда будут проверяться как валидные и серверные
> и персональные сертификаты. Чтобы это не было совсем дырой,
> ссылка для скачивания корневого сертификата защищена уже
> нормальным сертификатом, заверенным Thawte. (вот ссылка
> https://www.wmcert.com/Cert/cert.wmtransfer.com_WebMoney%20
> Transfer%20Root%20Authority.crt)
Думаю, для задач, которые предоставляет вебмани этой схемы достаточно.
>
> Вопрос состоит в том, насколько такая схема слабее или
> наоборот лучше по сравнению с нормальным корневым
> сертификатом, заверенным известным корневым ЦС. Почему они
> выбрали именно такую схему. Должен заметить, что не они
> одни, например моя контора сделала так же :).
>
> Я додумался только до одной причины. В случае каких-то
> проблем с вышестоящим ЦС, с тем же Thawte, он может
> попортить мне (конторе) жизнь, например отозвав мой
> корневой сертификат. Что мне тогда делать - только менять
> все остальные сертификаты? Или есть какой-то способ
> сохранить работоспособность моей цепочки? Например чтобы
> персональные сертификаты юзеров нормально валидировались на
> сервере.
Для каких целей ваша контора использует СА? Если для внутренних - то внутреннего сертификата будет достаточно. Хотя есть риски. Если вы организуете электронный документооброт (это когда не хранилище файлов и оригиналы бумажные, а когда бумажных оригиналов нет :) ) могут возникнуть вопросы при судебных спорах между работодателем и сотрудником. Тк к самоподписный сертификат быстрее всего не пройдет экспертизу и эл документ может быть признан не правомочным.
Если же есть внешние - необходимо наличие валидного коммерческого сертификата. Для тех же целей арбитража.
|
|
<hacking>
|
SSL сертификаты "нормальные" vs самоподписные 13.01.09 18:34
Автор: wildwind Статус: Незарегистрированный пользователь
Отредактировано 13.01.09 18:41 Количество правок: 1
|
Собираюсь пользоваться системой Вебмани, взвешиваю +/- и т.д. и вот такой момент хочется обсудить.
Их корневой сертификат самоподписной, т.е. все заверенные им сертификаты ОС и браузеры его просто так не признают. Для нормальной работы нужно скачать его и установить в хранилище, тогда будут проверяться как валидные и серверные и персональные сертификаты. Чтобы это не было совсем дырой, ссылка для скачивания корневого сертификата защищена уже нормальным сертификатом, заверенным Thawte. (вот ссылка https://www.wmcert.com/Cert/cert.wmtransfer.com_WebMoney%20Transfer%20Root%20Authority.crt)
Вопрос состоит в том, насколько такая схема слабее или наоборот лучше по сравнению с нормальным корневым сертификатом, заверенным известным корневым ЦС. Почему они выбрали именно такую схему. Должен заметить, что не они одни, например моя контора сделала так же :).
Я додумался только до одной причины. В случае каких-то проблем с вышестоящим ЦС, с тем же Thawte, он может попортить мне (конторе) жизнь, например отозвав мой корневой сертификат. Что мне тогда делать - только менять все остальные сертификаты? Или есть какой-то способ сохранить работоспособность моей цепочки? Например чтобы персональные сертификаты юзеров нормально валидировались на сервере.
Кто что думает?
|
|
Задача всей инфраструктуры сертификатов - аутентификация. А для этой задачи необходимы доверие и арбитраж. 03.02.09 00:41
Автор: Garick <Yuriy> Статус: Elderman
|
Поэтому корневые центры необходимы. Сертификаты крупных коммерческих центров уже включены в саму Вин. Поэтому или принять предлагаемую МС сеть центров или же создать свою :)
> Собираюсь пользоваться системой Вебмани, взвешиваю +/- и
> т.д. и вот такой момент хочется обсудить.
>
> Их корневой сертификат самоподписной, т.е. все заверенные
> им сертификаты ОС и браузеры его просто так не признают.
> Для нормальной работы нужно скачать его и установить в
> хранилище, тогда будут проверяться как валидные и серверные
> и персональные сертификаты. Чтобы это не было совсем дырой,
> ссылка для скачивания корневого сертификата защищена уже
> нормальным сертификатом, заверенным Thawte. (вот ссылка
> https://www.wmcert.com/Cert/cert.wmtransfer.com_WebMoney%20
> Transfer%20Root%20Authority.crt)
Думаю, для задач, которые предоставляет вебмани этой схемы достаточно.
>
> Вопрос состоит в том, насколько такая схема слабее или
> наоборот лучше по сравнению с нормальным корневым
> сертификатом, заверенным известным корневым ЦС. Почему они
> выбрали именно такую схему. Должен заметить, что не они
> одни, например моя контора сделала так же :).
>
> Я додумался только до одной причины. В случае каких-то
> проблем с вышестоящим ЦС, с тем же Thawte, он может
> попортить мне (конторе) жизнь, например отозвав мой
> корневой сертификат. Что мне тогда делать - только менять
> все остальные сертификаты? Или есть какой-то способ
> сохранить работоспособность моей цепочки? Например чтобы
> персональные сертификаты юзеров нормально валидировались на
> сервере.
Для каких целей ваша контора использует СА? Если для внутренних - то внутреннего сертификата будет достаточно. Хотя есть риски. Если вы организуете электронный документооброт (это когда не хранилище файлов и оригиналы бумажные, а когда бумажных оригиналов нет :) ) могут возникнуть вопросы при судебных спорах между работодателем и сотрудником. Тк к самоподписный сертификат быстрее всего не пройдет экспертизу и эл документ может быть признан не правомочным.
Если же есть внешние - необходимо наличие валидного коммерческого сертификата. Для тех же целей арбитража.
|
| |
Клиент оспорил в суде оплату конторе услуги, подписанную... 04.02.09 11:24
Автор: lazy_anty Статус: Member
|
> Хотя есть риски. Если вы организуете электронный
> документооброт (это когда не хранилище файлов и оригиналы
> бумажные, а когда бумажных оригиналов нет :) ) могут
> возникнуть вопросы при судебных спорах между работодателем
> и сотрудником. Тк к самоподписный сертификат быстрее всего
> не пройдет экспертизу и эл документ может быть признан не
> правомочным.
Клиент оспорил в суде оплату конторе услуги, подписанную локальным сертификатом.
В защиту контора представила в суд еще два документа, подписанных со своей стороны тем же сертификатом - согласие клиента на работу с данной системой и согласие начала работы с пакетом ПО для электронной оплаты.
Юрист со стороны конторы спросил - если и эти два документа признаются недействительными, на тех же самых условиях, означает ли это, что договора между клиентом и конторой вообще нет? Суд признал спорную сделку.
|
|
Полагаю, что при использовании подтверждения подлинности... 13.01.09 18:55
Автор: Den <Denis> Статус: The Elderman
|
Полагаю, что при использовании подтверждения подлинности сертификата через ЦС есть вероятность подтверждения подложного сертификата подложным сервером ЦС, если пользователь резолвит DNS имена через скомпрометированный DNS сервер, где подменили адрес сервера ЦС и сервера Веб-Мани.
Таким образом, "ручное" помещение самоподписного сертификата, как доверенного, в хранилище сертификатов на рабочем компе позволяет хоть как-то снизить риски атаки на твой кошелек.
|
| |
Пользователь вроде бы ничего не резолвит кроме сайта куда... 13.01.09 19:23
Автор: wildwind Статус: Незарегистрированный пользователь
|
> Полагаю, что при использовании подтверждения подлинности
> сертификата через ЦС есть вероятность подтверждения
> подложного сертификата подложным сервером ЦС, если
> пользователь резолвит DNS имена через скомпрометированный
> DNS сервер, где подменили адрес сервера ЦС и сервера
> Веб-Мани.
Пользователь вроде бы ничего не резолвит кроме сайта куда заходит, т.к. вся цепочка для проверки уже лежит в его хранилище. В этом ведь, если я правильно понимаю, основное преимущество сертификатов, заверенных крупными коммерческими ЦС.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
