Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: alafangla 12. 09. 2011, 10:06:26

Název: Alternativa k SSL
Přispěvatel: alafangla 12. 09. 2011, 10:06:26

caute,

v poslednych dnoch sa dost rozprava o ukradnutych certifikatoch, falosnych autoritach...
jedina vec kde doverujem tymto "pochybnym" autoritam je internet banking, mail, a mozno dalsich 5 stranok kde pouzivam sifrovane prihlasovanie

je nejaka vhodna alternativa k ssl?
mail mam u google, ktory podporuje dvojbodovu autentifikaciu (alebo ako sa to vola :))
u IB je to tiez mozne. ale co tak ucet na cisco.netacad.net, ako sa branit pred utokom podstrcenim falsovaneho certifikatu? je vobec mozne rozoznat podvrhnuty certifikat od praveho?

Název: Re: Alternativa k SSL
Přispěvatel: Ondřej Novák 12. 09. 2011, 10:15:21

No nevím, ale pokud si vydám vlastní certifikáty, pak mám možnost věřit jen jim a nikomu jinému.

Název: Re: Alternativa k SSL
Přispěvatel: alfi 12. 09. 2011, 10:42:01

nestačí smazat všechy CA, kterým "důvěřuje" tvůrce browseru? :-) a ukládat si jen konkrétní certifikáty, které sám vyzkouším. model alá ssh, kde každý nový klíč musím taky nejdřív potvrdit. bohužel správný klíč nelze nezávisle ověřit (možná nějaký dnssec?) a jednou za rok až dva to musím zopakovat pro nový certifikát. a taky asi to těžko vysvětlíte běžným frantům..

Název: Re: Alternativa k SSL
Přispěvatel: Rado2 12. 09. 2011, 20:47:02

Pri novom certifikáte zavolaj do banky a over si fingerptint certifikátu :)

Název: Re: Alternativa k SSL
Přispěvatel: Franta Kučera 12. 09. 2011, 21:55:27

Používej Certificate Patrol (https://addons.mozilla.org/cs/firefox/addon/certificate-patrol/) – díky tomu se dozvíš, že se certifikát změnil, i když je od jiné/stejné důvěryhodné (nebo „důvěryhodné“) autority.

S prvotním ověřováním je to trochu těžké*, když budeš volat na infolinky, tak dost možná neuspěješ (lidi zvedající telefony pravděpodobně ani nebudou vědět, co po nich chceš – smutné, ale je to tak). Co ale udělat můžeš a výrazně ti to pomůže zvýšit bezpečnost, je kontrola otisku certifikátu na různých místech (škola, práce, kavárna, domov atd.). Pravděpodobnost, že by byl všude podvržený a všude byl MITM útok, je dost malá (sice nic není 100%, ale jakž takž se takto ověřenému certifikátu dá věřit). Když budeš v nouzi a budeš to potřebovat rychle, můžeš zavolat kamarádovi – ať se koukne u sebe a nadiktuje ti otisk.

*) a to je taky důvod, proč ten koncept CA vůbec existuje ;-)

Název: Re: Alternativa k SSL
Přispěvatel: alafangla 13. 09. 2011, 12:38:11

ok, ten certificate control by mi aj vyhovoval.
v jeho popise sa uvadza: "This add-on reveals when certificates are updated, so you can ensure it was a legitimate change"
ako rozoznat legitimate change od tej ilegalnej?

Název: Re: Alternativa k SSL
Přispěvatel: Franta Kučera 13. 09. 2011, 16:38:48

Citace: alafangla  13. 09. 2011, 12:38:11

ako rozoznat legitimate change od tej ilegalnej?

Např. podle data vypršení certifikátu (když třeba za týden vyprší, tak je celkem normální, že ho mění). A pokud jde o změnu CA a/nebo je to nějaký důležitý web, tak by ti měl provozovatel dát vědět předem (hláška na webu šifrovaném ještě původním certifikátem nebo třeba varování e-mailem).