Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | |
Сертификаты необходимы для защищенного обмена сессионными... 13.05.16 11:01 Число просмотров: 1398
Автор: Den <Денис Т.> Статус: The Elderman Отредактировано 17.05.16 14:33 Количество правок: 3
|
Сертификаты необходимы для защищенного обмена сессионными ключами симметричного шифрования с помощью публичного ключа асимметричного шифрования, находящегося в сертификате сайта, пара которому (приватный ключ) известна только https серверу.
Если сертификат сайта удостоверен (подписан) доверенным корневым центром сертификации, сертификат которого уже размещен в хранилище сертификатов и данные в сертификате сайта совпадают с "координатами" сайта, то такой сертификат считается доверенным. В противном случае, пользователь получит предупреждение о нарушении безопасности.
Некоторые антивирусы умеют просматривать https трафик, устанавливая на защищаемом компе свой доверенный корневой псевдоцентр сертификации, размещая его сертификат в хранилище, генерируя и подписывая налету свои собственные сертификаты для сайтов, внедряясь с их помощью в защищенный канал передачи данных между клиентом (браузером) и https сервером.
В случае с https, для осуществления mitm атаки атакующему не только необходимо полностью контролировать трафик между клиентом и сервером, но и каким-либо способом разместить в защищенном хранилище атакуемого узла сертификат своего "доверенного" центра сертификации, с помощью которого он будет подписывать генерируемые налету сертификаты https серверов, посещаемых клиентом.
|
<site updates>
|
[lj] яндексобезопасное 21.04.16 12:22
Publisher: dl <Dmitry Leonov>
|
яндексобезопасное http://leonov.livejournal.com/440053.html
Перевел сайты на https, гугль все это обработал прозрачно (в панели управления потом все-таки пришлось добавить адрес с https вручную, но на выдаче это никак не отразилось). Яндекс через пару недель это дело понял и сам правильно склеил зеркала, а еще через недельку обнулил ТИЦ. Да, я знаю, что это известное поведение, и потом все должно вернуться, но... "и они еще борются за звание дома высокой культуры быта", т.е. тьфу, за безопасность пользователей.
Полный текст
|
|
А зачем это делают (переводят сайты на https)? В чем смысл?... 11.05.16 23:13
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman Отредактировано 11.05.16 23:14 Количество правок: 1
|
А зачем это делают (переводят сайты на https)? В чем смысл? Безопасность? Мнимая безопасность?
|
| |
Защита от mitm атак? 12.05.16 09:41
Автор: Den <Денис Т.> Статус: The Elderman
|
|
| | |
ну да, иначе логины/пароли/id сессий в открытом виде бегают 12.05.16 13:43
Автор: dl <Dmitry Leonov> Отредактировано 12.05.16 13:44 Количество правок: 1
|
Плюс небольшой шкурный интерес - гугль https-сайты обещает ранжировать повыше, плюс включение push-извещений требует меньших танцев с бубнами.
|
| | | |
Что—то я сомневаюсь в защите от мим атак и защите паролей... 12.05.16 23:15
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
> Плюс небольшой шкурный интерес - гугль https-сайты обещает > ранжировать повыше, плюс включение push-извещений требует > меньших танцев с бубнами. Что—то я сомневаюсь в защите от мим атак и защите паролей. Если сертификат не установлен, то такая зашита становится бесполезной.
|
| | | | |
основной смысл сертификата - отдать браузеру публичный ключ 13.05.16 12:19
Автор: dl <Dmitry Leonov> Отредактировано 13.05.16 12:47 Количество правок: 2
|
...которым будет шифроваться сессионный, которым будет шифроваться весь трафик, включая те самые пароли/id сессии, которые иначе передаются по http в открытом виде. Плюс подтвердить, что все это действительно пришло с самого сайта.
Дополнительно устанавливать что-то на стороне браузера нужно если сертификат сайта подписан неизвестным браузеру CA (например, в случае самоподписанных, это годится для закрытых админок, домашних NAS и т.п.).
В ответе чуть ниже все описано правильно и подробней.
|
| | | | |
Сертификаты необходимы для защищенного обмена сессионными... 13.05.16 11:01
Автор: Den <Денис Т.> Статус: The Elderman Отредактировано 17.05.16 14:33 Количество правок: 3
|
Сертификаты необходимы для защищенного обмена сессионными ключами симметричного шифрования с помощью публичного ключа асимметричного шифрования, находящегося в сертификате сайта, пара которому (приватный ключ) известна только https серверу.
Если сертификат сайта удостоверен (подписан) доверенным корневым центром сертификации, сертификат которого уже размещен в хранилище сертификатов и данные в сертификате сайта совпадают с "координатами" сайта, то такой сертификат считается доверенным. В противном случае, пользователь получит предупреждение о нарушении безопасности.
Некоторые антивирусы умеют просматривать https трафик, устанавливая на защищаемом компе свой доверенный корневой псевдоцентр сертификации, размещая его сертификат в хранилище, генерируя и подписывая налету свои собственные сертификаты для сайтов, внедряясь с их помощью в защищенный канал передачи данных между клиентом (браузером) и https сервером.
В случае с https, для осуществления mitm атаки атакующему не только необходимо полностью контролировать трафик между клиентом и сервером, но и каким-либо способом разместить в защищенном хранилище атакуемого узла сертификат своего "доверенного" центра сертификации, с помощью которого он будет подписывать генерируемые налету сертификаты https серверов, посещаемых клиентом.
|
| | | | | |
Вот! Одного протокола мало. Нужно еще обеспечить правильную сертификацию. 21.05.16 12:37
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
|
| | | | | | |
Всё давно придумано до нас. :) 23.05.16 09:23
Автор: Den <Денис Т.> Статус: The Elderman Отредактировано 23.05.16 10:46 Количество правок: 2
|
В форточках сертификаты на CA рассылаются обновлениями. Браузеры, использующие собственные контейнеры сертификатов, также получают CA в обновлениях.
|
| | | |
черт, внесто ответа в редактирование попал :) //тут был вопрос про сертификаты //dl 12.05.16 15:22
Автор: Den <Денис Т.> Статус: The Elderman
|
Сертификаты сейчас стоят очень по-разному, тут бесплатные.
|
|
|