Alternativa k SSL

Alternativa k SSL
« kdy: 12. 09. 2011, 10:06:26 »
caute,

v poslednych dnoch sa dost rozprava o ukradnutych certifikatoch, falosnych autoritach...
jedina vec kde doverujem tymto "pochybnym" autoritam je internet banking, mail, a mozno dalsich 5 stranok kde pouzivam sifrovane prihlasovanie

je nejaka vhodna alternativa k ssl?
mail mam u google, ktory podporuje dvojbodovu autentifikaciu (alebo ako sa to vola :))
u IB je to tiez mozne. ale co tak ucet na cisco.netacad.net, ako sa branit pred utokom podstrcenim falsovaneho certifikatu? je vobec mozne rozoznat podvrhnuty certifikat od praveho?


Re: Alternativa k SSL
« Odpověď #1 kdy: 12. 09. 2011, 10:15:21 »
No nevím, ale pokud si vydám vlastní certifikáty, pak mám možnost věřit jen jim a nikomu jinému.

alfi

  • ****
  • 335
    • Zobrazit profil
    • E-mail
Re: Alternativa k SSL
« Odpověď #2 kdy: 12. 09. 2011, 10:42:01 »
nestačí smazat všechy CA, kterým "důvěřuje" tvůrce browseru? :-) a ukládat si jen konkrétní certifikáty, které sám vyzkouším. model alá ssh, kde každý nový klíč musím taky nejdřív potvrdit. bohužel správný klíč nelze nezávisle ověřit (možná nějaký dnssec?) a jednou za rok až dva to musím zopakovat pro nový certifikát. a taky asi to těžko vysvětlíte běžným frantům..

Rado2

Re: Alternativa k SSL
« Odpověď #3 kdy: 12. 09. 2011, 20:47:02 »
Pri novom certifikáte zavolaj do banky a over si fingerptint certifikátu :)

Re: Alternativa k SSL
« Odpověď #4 kdy: 12. 09. 2011, 21:55:27 »
Používej Certificate Patrol – díky tomu se dozvíš, že se certifikát změnil, i když je od jiné/stejné důvěryhodné (nebo „důvěryhodné“) autority.

S prvotním ověřováním je to trochu těžké*, když budeš volat na infolinky, tak dost možná neuspěješ (lidi zvedající telefony pravděpodobně ani nebudou vědět, co po nich chceš – smutné, ale je to tak). Co ale udělat můžeš a výrazně ti to pomůže zvýšit bezpečnost, je kontrola otisku certifikátu na různých místech (škola, práce, kavárna, domov atd.). Pravděpodobnost, že by byl všude podvržený a všude byl MITM útok, je dost malá (sice nic není 100%, ale jakž takž se takto ověřenému certifikátu dá věřit). Když budeš v nouzi a budeš to potřebovat rychle, můžeš zavolat kamarádovi – ať se koukne u sebe a nadiktuje ti otisk.

*) a to je taky důvod, proč ten koncept CA vůbec existuje ;-)


Re: Alternativa k SSL
« Odpověď #5 kdy: 13. 09. 2011, 12:38:11 »
ok, ten certificate control by mi aj vyhovoval.
v jeho popise sa uvadza: "This add-on reveals when certificates are updated, so you can ensure it was a legitimate change"
ako rozoznat legitimate change od tej ilegalnej?

Re: Alternativa k SSL
« Odpověď #6 kdy: 13. 09. 2011, 16:38:48 »
ako rozoznat legitimate change od tej ilegalnej?

Např. podle data vypršení certifikátu (když třeba za týden vyprší, tak je celkem normální, že ho mění). A pokud jde o změnu CA a/nebo je to nějaký důležitý web, tak by ti měl provozovatel dát vědět předem (hláška na webu šifrovaném ještě původním certifikátem nebo třeba varování e-mailem).