Alternativa k SSL

[alafangla]

caute,

v poslednych dnoch sa dost rozprava o ukradnutych certifikatoch, falosnych autoritach...
jedina vec kde doverujem tymto "pochybnym" autoritam je internet banking, mail, a mozno dalsich 5 stranok kde pouzivam sifrovane prihlasovanie

je nejaka vhodna alternativa k ssl?
mail mam u google, ktory podporuje dvojbodovu autentifikaciu (alebo ako sa to vola
u IB je to tiez mozne. ale co tak ucet na cisco.netacad.net, ako sa branit pred utokom podstrcenim falsovaneho certifikatu? je vobec mozne rozoznat podvrhnuty certifikat od praveho?

[Reklama]

[Ondřej Novák]

No nevím, ale pokud si vydám vlastní certifikáty, pak mám možnost věřit jen jim a nikomu jinému.

[alfi]

nestačí smazat všechy CA, kterým "důvěřuje" tvůrce browseru? :-) a ukládat si jen konkrétní certifikáty, které sám vyzkouším. model alá ssh, kde každý nový klíč musím taky nejdřív potvrdit. bohužel správný klíč nelze nezávisle ověřit (možná nějaký dnssec?) a jednou za rok až dva to musím zopakovat pro nový certifikát. a taky asi to těžko vysvětlíte běžným frantům..

[Rado2]

Pri novom certifikáte zavolaj do banky a over si fingerptint certifikátu

[Franta Kučera]

Používej Certificate Patrol – díky tomu se dozvíš, že se certifikát změnil, i když je od jiné/stejné důvěryhodné (nebo „důvěryhodné“) autority.

S prvotním ověřováním je to trochu těžké*, když budeš volat na infolinky, tak dost možná neuspěješ (lidi zvedající telefony pravděpodobně ani nebudou vědět, co po nich chceš – smutné, ale je to tak). Co ale udělat můžeš a výrazně ti to pomůže zvýšit bezpečnost, je kontrola otisku certifikátu na různých místech (škola, práce, kavárna, domov atd.). Pravděpodobnost, že by byl všude podvržený a všude byl MITM útok, je dost malá (sice nic není 100%, ale jakž takž se takto ověřenému certifikátu dá věřit). Když budeš v nouzi a budeš to potřebovat rychle, můžeš zavolat kamarádovi – ať se koukne u sebe a nadiktuje ti otisk.

*) a to je taky důvod, proč ten koncept CA vůbec existuje ;-)

[Reklama]

[alafangla]

ok, ten certificate control by mi aj vyhovoval.
v jeho popise sa uvadza: "This add-on reveals when certificates are updated, so you can ensure it was a legitimate change"
ako rozoznat legitimate change od tej ilegalnej?

[Franta Kučera]

ako rozoznat legitimate change od tej ilegalnej?

Např. podle data vypršení certifikátu (když třeba za týden vyprší, tak je celkem normální, že ho mění). A pokud jde o změnu CA a/nebo je to nějaký důležitý web, tak by ti měl provozovatel dát vědět předem (hláška na webu šifrovaném ještě původním certifikátem nebo třeba varování e-mailem).