id: Гость   вход   регистрация
текущее время 02:14 17/04/2024
Владелец: SATtva (создано 04/03/2007 23:29), редакция от 04/03/2007 23:32 (автор: SATtva) Печать
Категории: приватность, прослушивание коммуникаций, сайт проекта, стандарты, ssl
http://www.pgpru.com/Новости/2007/03-04-ДоступКСайтуPgprucomОтнынеЗащищенШифрованиемSSL
создать
просмотр
редакции
ссылки

04.03 // Проект // Доступ к сайту pgpru.com отныне защищен шифрованием SSL


То, что все так долго ждали и о чем многие столько просили, наконец-то случилось: доступ к сайту теперь защищен с помощью SSL. Что это означает?


  1. Весь трафик между вами и сервером https://www.pgpru.com зашифрован, то есть наблюдатель на канале связи не сможет установить, что вы читаете и какие страницы сайта просматриваете.
  2. Злоумышленник не сможет перехватить ни ваш пароль к сайту, ни авторизованную сессию. (Отмечу, что теоретическая возможность захвата сессии существует посредством т.н. XSS-атак на движок сайта, но такие уязвимости по возможности стараемся ликвидировать.)
  3. Больше нет риска работы с сайтом через сеть Tor, где имеется потенциальная угроза перехвата паролей, cookie и другой критической информации замыкающими узлами (exit-nodes) цепочек.

В скором времени на сайте появится ряд дополнительных сервисов, в полной мере задействующих потенциал этих возможностей.


Наш fileSSL-сертификат (fileЭЦП) выдан свободным удостоверяющим центром CAcert.org. Как ни странно, корневые сертификаты этого УЦ отсутствуют в браузерах Mozilla, поэтому, чтобы не получать постоянные предупреждения, установите сертификат УЦ с официального сайта или из fileнашей копии (fileЭЦП).


Источник: https://www.pgpru.com


 
На страницу: 1, 2 След.
Комментарии [скрыть комментарии/форму]
— ПэГусев (06/03/2007 12:57)   профиль/связь   <#>
комментариев: 112   документов: 8   редакций: 15
Как ни странно, корневые сертификаты этого УЦ отсутствуют в браузерах Mozilla

...и Opera
— Гость (06/03/2007 16:31)   <#>
К сожалению не смог проверить подписи сертификатов. Хотя имя автора ЭЦП отображается корректно, ID ключа при этом выводится другой(0x070E0B73). С чем это может быть связано?
Для проверки подписи использовал PGP 8.1
— SATtva (06/03/2007 17:02, исправлен 17/12/2007 21:29)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
http://www.vladmiller.info/blog/index.php?comment=70
/Черновики/Руководства/Безопасность/УправлениеКлючами/ПодключиOpenPGP[создать]

Вообще лучше отслеживать подлинность от корневого сертификата УЦ, чем от моего ключа.
— unknown (07/03/2007 09:42, исправлен 07/03/2007 09:43)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Вообще лучше отслеживать подлинность от корневого сертификата УЦ, чем от моего ключа.

А какой смысл устанавливать корневой сертификат в браузер, если не доверяешь УЦ? Ведь этот УЦ может подписывать и другие сайты. Может быть он кем-то перехвачен и используется для перехвата сеанса, например с google-mail через SSL.

В Mozilla достаточно просто принять сертификат только для аутентификации www.pgpru.com без импорта корневого сертификата. И окошко выскакивать больше не будет. Если сертификат для сайта сменится, то оно опять выскочит и это будет заметно.

А зато, если импортировать корневой сертификат, то его могут использовать для подделки аутентификации при заходе на другой сайт и окошко с предупреждением уже не выскочит, так как мы доверяем этому корневому сертификату подписывать сертификаты всех сайтов.

В нормальных почтовых клиентах также есть поддержка работы с индивидуальными и самоподписанными сертификатами только для одного адреса.

Лично я больше доверяю ключу SATtva, но только для подписи сертификата сайта pgpru.com, чем какому-то неизвестному удостоверяющему центру.
— unknown (07/03/2007 13:17)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Может быть он кем-то перехвачен и используется для перехвата сеанса, например с google-mail через SSL.

Имеется ввиду недобросовестное использование закрытой части
— Федор (07/03/2007 19:05)   <#>
Мне кажется что надо как следует настроить сайт для SSL использования. Так например, при заходе на главную страницу через https, дальше кликаешь по ссылкам, которые уже не https, а http, то есть уже не зашищенны. Конечно же можно прописывать вручную, но это не удобно. Предлагаю настроить так, чтобы призаходе через https ссылки тоже были бы https, а не только верхнее меню.
— SATtva (07/03/2007 22:49)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Такая ситуация касается только незарегистрированных пользователей, но Вы правы, следует исправить.
— spinore (08/03/2007 00:33)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
А я емкому не доверяю – даже себе. Если пожходить к вопросу скурпулёзно то я вижу только один способ проверки сертификата: позвонить SATtva'е не мобильный и попросить сказать фингерпринт сертификата (при условии что я знаю его лично). Либо скопировать сретификат от другого квалифицированного пользователя сайта, которому я доверяю в данному случае (например, попросить unknown выслать мне серт, зашифровав его моим публичным ключом и т.д.). Я тоже не доверяю УЦ как и многие... Конечно, проще с человеком которого знаешь лично – достаточно только позвонить и спросить.
— SATtva (08/03/2007 16:42)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
например, попросить unknown выслать мне серт, зашифровав его моим публичным ключом

Вы, наверное, имели в виду — подписать ключом unknown'а или зашифровать согласованным тайным паролем. Поскольку шифрование открытым ключом не несёт свойства аутентичности (пример: злоумышленник перехватывает письмо unknown'а и заменяет своим, зашифровав Вашим ключом поддельный сертификат).

А вообще звоните, спрашивайте. Мы с Вами, spinore, уже как-то общались по телефону. :-)
— SATtva (08/03/2007 16:54)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Федор, проблема исправлена. Теперь если входите на https, то все ссылки будут также следовать выбранному протоколу.
— Федор (08/03/2007 18:10)   <#>
Спасибо
— GuEsT (08/03/2007 20:04)   <#>
SATtva не подскажете, каким образом происходит выдача сертификата центром сертификации cacert.org? Они сами генерируют и выдают сертификат, или подписывают сгенерированый мной? Каким образом проверяется аутентичность сертификата домену (т.е. не может ли злоумышленик получить сертификат на домен ему не принадлежащий).
— SATtva (08/03/2007 20:38)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Тут нужно немного отделить мух от котлет: есть ключевая пара и есть сертификат X.509, заверенный подписью УЦ, который и наделяет их все доверием (в принципе, можно сгенерировать и самоподписанный сертификат, но тут это рассматривать не будем). Обычная процедура для большинства удостоверяющий центров выглядит так:

  1. Вы самостоятельно генерируете открытый и закрытый ключ.
  2. Вы создаёте так называемый запрос на заверение сертификата (Certificate Signing Request, CSR), куда вносится открытый ключ и различная информация, которую должен заверить УЦ: доменное имя сайта, название организации и пр. Всё это добро подписывается Вашим закрытым ключом.
  3. Пакет CSR передаётся на подпись удостоверяющему центру. Тот проверяет правильность сведений и взаимосвязность открытого и закрытого ключа и формирует подписанный (своим ключом) сертификат X.509, который возвращает Вам.

CAcert.org делает в целом то же самое. Вы генерируете ключи и CSR (проще всего с помощью openssl, достаточно ввести всего одну команду) и загружаете последний через веб-форму на сайт. УЦ вырезает из запроса все поля, кроме CommonName (в нём указывается доменное имя), и формирует подписанный сертификат, который возвращает Вам.

А проверка Вашей авторизации на управление доменом производится так. Когда Вы регистрируетесь у них на сайте и добавляете свой домен в базу данных, УЦ запрашивает whois-запись домена и спрашивает, на какой из административных мэйлов, указанных там, выслать запрос. Затем Вы просто открываете присланную на этот адрес ссылку, подтверждаете, что хотите активировать это доменное имя в из базе, и протокол считается исполненным. Многие другие УЦ используют такую же схему, только ещё и денег за это просят.
— ntldr (01/02/2008 22:16)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20
В новости есть небольшая неточность.

На самом деле этого сертификата нет ни в Mozilla, ни в IE, ни в Opera. Может быть лучше перечислить броузеры в которых он есть? Ежели таковые вообще имеются.
И может быть есть другой беслатный УЦ сертификаты которого имеются в броузерах по умолчанию?
— SATtva (02/02/2008 11:43)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
CAcert был в шестой версии IE. И, если не ошибаюсь, пакет дополнительных корневых сертификатов, доступный по Windows Update, добавляет CAcert и в седьмую версию.

И может быть есть другой беслатный УЦ сертификаты которого имеются в броузерах по умолчанию?

А такие есть?
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3