Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| |
Клиент оспорил в суде оплату конторе услуги, подписанную... 04.02.09 11:24 Число просмотров: 3382
Автор: lazy_anty Статус: Member
|
> Хотя есть риски. Если вы организуете электронный > документооброт (это когда не хранилище файлов и оригиналы > бумажные, а когда бумажных оригиналов нет :) ) могут > возникнуть вопросы при судебных спорах между работодателем > и сотрудником. Тк к самоподписный сертификат быстрее всего > не пройдет экспертизу и эл документ может быть признан не > правомочным. Клиент оспорил в суде оплату конторе услуги, подписанную локальным сертификатом.
В защиту контора представила в суд еще два документа, подписанных со своей стороны тем же сертификатом - согласие клиента на работу с данной системой и согласие начала работы с пакетом ПО для электронной оплаты.
Юрист со стороны конторы спросил - если и эти два документа признаются недействительными, на тех же самых условиях, означает ли это, что договора между клиентом и конторой вообще нет? Суд признал спорную сделку.
|
<hacking>
|
SSL сертификаты "нормальные" vs самоподписные 13.01.09 18:34
Автор: wildwind Статус: Незарегистрированный пользователь Отредактировано 13.01.09 18:41 Количество правок: 1
|
Собираюсь пользоваться системой Вебмани, взвешиваю +/- и т.д. и вот такой момент хочется обсудить.
Их корневой сертификат самоподписной, т.е. все заверенные им сертификаты ОС и браузеры его просто так не признают. Для нормальной работы нужно скачать его и установить в хранилище, тогда будут проверяться как валидные и серверные и персональные сертификаты. Чтобы это не было совсем дырой, ссылка для скачивания корневого сертификата защищена уже нормальным сертификатом, заверенным Thawte. (вот ссылка https://www.wmcert.com/Cert/cert.wmtransfer.com_WebMoney%20Transfer%20Root%20Authority.crt)
Вопрос состоит в том, насколько такая схема слабее или наоборот лучше по сравнению с нормальным корневым сертификатом, заверенным известным корневым ЦС. Почему они выбрали именно такую схему. Должен заметить, что не они одни, например моя контора сделала так же :).
Я додумался только до одной причины. В случае каких-то проблем с вышестоящим ЦС, с тем же Thawte, он может попортить мне (конторе) жизнь, например отозвав мой корневой сертификат. Что мне тогда делать - только менять все остальные сертификаты? Или есть какой-то способ сохранить работоспособность моей цепочки? Например чтобы персональные сертификаты юзеров нормально валидировались на сервере.
Кто что думает?
|
|
Задача всей инфраструктуры сертификатов - аутентификация. А для этой задачи необходимы доверие и арбитраж. 03.02.09 00:41
Автор: Garick <Yuriy> Статус: Elderman
|
Поэтому корневые центры необходимы. Сертификаты крупных коммерческих центров уже включены в саму Вин. Поэтому или принять предлагаемую МС сеть центров или же создать свою :)
> Собираюсь пользоваться системой Вебмани, взвешиваю +/- и > т.д. и вот такой момент хочется обсудить. > > Их корневой сертификат самоподписной, т.е. все заверенные > им сертификаты ОС и браузеры его просто так не признают. > Для нормальной работы нужно скачать его и установить в > хранилище, тогда будут проверяться как валидные и серверные > и персональные сертификаты. Чтобы это не было совсем дырой, > ссылка для скачивания корневого сертификата защищена уже > нормальным сертификатом, заверенным Thawte. (вот ссылка > https://www.wmcert.com/Cert/cert.wmtransfer.com_WebMoney%20 > Transfer%20Root%20Authority.crt) Думаю, для задач, которые предоставляет вебмани этой схемы достаточно.
> > Вопрос состоит в том, насколько такая схема слабее или > наоборот лучше по сравнению с нормальным корневым > сертификатом, заверенным известным корневым ЦС. Почему они > выбрали именно такую схему. Должен заметить, что не они > одни, например моя контора сделала так же :). > > Я додумался только до одной причины. В случае каких-то > проблем с вышестоящим ЦС, с тем же Thawte, он может > попортить мне (конторе) жизнь, например отозвав мой > корневой сертификат. Что мне тогда делать - только менять > все остальные сертификаты? Или есть какой-то способ > сохранить работоспособность моей цепочки? Например чтобы > персональные сертификаты юзеров нормально валидировались на > сервере.
Для каких целей ваша контора использует СА? Если для внутренних - то внутреннего сертификата будет достаточно. Хотя есть риски. Если вы организуете электронный документооброт (это когда не хранилище файлов и оригиналы бумажные, а когда бумажных оригиналов нет :) ) могут возникнуть вопросы при судебных спорах между работодателем и сотрудником. Тк к самоподписный сертификат быстрее всего не пройдет экспертизу и эл документ может быть признан не правомочным.
Если же есть внешние - необходимо наличие валидного коммерческого сертификата. Для тех же целей арбитража.
|
| |
Клиент оспорил в суде оплату конторе услуги, подписанную... 04.02.09 11:24
Автор: lazy_anty Статус: Member
|
> Хотя есть риски. Если вы организуете электронный > документооброт (это когда не хранилище файлов и оригиналы > бумажные, а когда бумажных оригиналов нет :) ) могут > возникнуть вопросы при судебных спорах между работодателем > и сотрудником. Тк к самоподписный сертификат быстрее всего > не пройдет экспертизу и эл документ может быть признан не > правомочным. Клиент оспорил в суде оплату конторе услуги, подписанную локальным сертификатом.
В защиту контора представила в суд еще два документа, подписанных со своей стороны тем же сертификатом - согласие клиента на работу с данной системой и согласие начала работы с пакетом ПО для электронной оплаты.
Юрист со стороны конторы спросил - если и эти два документа признаются недействительными, на тех же самых условиях, означает ли это, что договора между клиентом и конторой вообще нет? Суд признал спорную сделку.
|
|
Полагаю, что при использовании подтверждения подлинности... 13.01.09 18:55
Автор: Den <Denis> Статус: The Elderman
|
Полагаю, что при использовании подтверждения подлинности сертификата через ЦС есть вероятность подтверждения подложного сертификата подложным сервером ЦС, если пользователь резолвит DNS имена через скомпрометированный DNS сервер, где подменили адрес сервера ЦС и сервера Веб-Мани.
Таким образом, "ручное" помещение самоподписного сертификата, как доверенного, в хранилище сертификатов на рабочем компе позволяет хоть как-то снизить риски атаки на твой кошелек.
|
| |
Пользователь вроде бы ничего не резолвит кроме сайта куда... 13.01.09 19:23
Автор: wildwind Статус: Незарегистрированный пользователь
|
> Полагаю, что при использовании подтверждения подлинности > сертификата через ЦС есть вероятность подтверждения > подложного сертификата подложным сервером ЦС, если > пользователь резолвит DNS имена через скомпрометированный > DNS сервер, где подменили адрес сервера ЦС и сервера > Веб-Мани.
Пользователь вроде бы ничего не резолвит кроме сайта куда заходит, т.к. вся цепочка для проверки уже лежит в его хранилище. В этом ведь, если я правильно понимаю, основное преимущество сертификатов, заверенных крупными коммерческими ЦС.
|
|
|