Fórum Root.cz
Hlavní témata => Server => Téma založeno: quandasim 17. 03. 2015, 23:35:21
-
zdravim
chtel bych se zeptat jestli v pripade, ze budu pouzivat k sifrovani http komunikace certifikat vydany certifikacni autoritou startssl ( https://www.startssl.com/ ), budou moci lidi, co tento server spravuji, nebo popripade utocnik ktery by se k nim nahakoval a zcizil data, desifrovat komunikaci, kterou posilam. nejsem odpbornik na ssl, ale s toho co jsem pochytil chapu, ze k desifrovani staci privatni klic, ktery si generuju na jejich strankach a tudiz k nemu podle mne maji pristup. myslite ze si tento privatni klic a heslo k jeho desifrovani nekde ukladaj tak aby to pripadny utocnik mohl zcizit?
no doufam ze se ptam dobre, mam v tom trosku hokej (pripadne se rovnou omlouvam za neodbornost dotazu)
diky za odpoved;)
-
Je to trochu paranoidní představa, ale v principu jim v tom nic moc nebrání a nelze doporučit generovat si soukromý klíč přes jejich rozhraní. Nemusíte (neměl byste) to ale dělat - stačí tu stránku přeskočit a dostanete možnost vložit pouze "žádost", kterou si vygenerujete u sebe pomocí např. openssl.
-
Já jim věřim, že to neukládají. A kdybys jim fakt nevěřil, tak máš furt možnost nenechat je generovat privátní klíč, vygenerovat si ho sám u sebe a dát jim tam jenom CSR.
Jinak, aby ho mohli zneužít, museli by se ještě dostat do cesty mezi Tvoje uživatele a Tvůj server, tj. nejspíš podvrhnout DNS. To taky neni úplně triviální.
-
u StartSSL si můžete klíč vygenerovat u vás a nechat u nich udělat jen CSR (podpis)
-
Tak ono je skoro úplně jedno, kde se ten privátní klíč pro server generuje a jestli ho ukládají. Jako certifikační autorita si nagenerují certifikát jaký chtěj a pokud si klienti daného webu neověřují certifikát serveru opravdu poctivě, tak na to nepřijdou. A pokud už si klienti ověřují certifikát poctivě třeba otiskem získaným nějakým důvěryhodným způsobem, tak skoro ani neni potřeba si dělat certifikát nějakou předinstalovanou autoritou a stačí selfsigned a přidají si ho mezi důvěryhodné ručně.
-
hlavne ty klice pak neposilej emailem
z toho se muzu vzdy muzu umlatit smychy, kdyz kolega resil podobny problem jako ty a pak mi klice poslal emailem
-
hlavne ty klice pak neposilej emailem
z toho se muzu vzdy muzu umlatit smychy, kdyz kolega resil podobny problem jako ty a pak mi klice poslal emailem
Tak když ten certifikát zašifruje nějakým silným heslem, nebo pomocí pgp, tak proč ne...
-
hlavne ty klice pak neposilej emailem
z toho se muzu vzdy muzu umlatit smychy, kdyz kolega resil podobny problem jako ty a pak mi klice poslal emailem
Tak když ten certifikát zašifruje nějakým silným heslem, nebo pomocí pgp, tak proč ne...
pgp jo to pak jo, bohuzel velmi malo lidi o exitenci neceho takoveho tusi a jeste min to pouziva, aspon ma zkusenost
-
ale s toho co jsem pochytil chapu, ze k desifrovani staci privatni klic, ktery si generuju na jejich strankach a tudiz k nemu podle mne maji pristup
Negeneruje se v prohlížeči, ale na straně klienta?
Mimochodem při některých módech (perfect forward secrecy) nestačí mít ani ten klíč.
-
dekuji vsem za odpovedi, urcite se zaridim podle vasich rad, klic si vygeneruji u sebe a poslu jim pouze ten Certificate signing request.
jeste k te paranoje, drive jsem na bezpecnost tolik nedbal, ale po te co mi opakovane zmizeli penize z uctu z duvodu nahakovani obchodniku, kteri si uchovavali informace o me kreditni karte, nebo kdyz se me heslo a email objevili na nejakem verejnem seznamu a nekdo si na moji emailovou adresu zalozil ucet na twiteru tak jsem sve chovani v teto oblasti zasadne prehodnotil;)