FAQ по SSL
Уважаемые форумчане!
Может кто соберется со временем и составит наш грамотный и исчерпывающий FAQ по использованию SSL?
С одной стороны, технология архираспространенная. С другой – мало толковых публикаций по ее использованию. Сам по крохам собираю отрывочные данные и пытаюсь синтезировать мало-мальские тезисы для своего использования.
Пока ничего ценного, кроме как рекомендации:
Если ваш Интернет-браузер предлагает проверить SSL-сертификат, задайте себе два вопроса:
1) Я впервые захожу на этот сайт с этого компьютера?
2) Действительно ли этот сертификат – подлинный?
Если ответ на первый вопрос отрицательный, значит, вы либо не сохранили сертификат на компьютере, либо имеете дело с "человеком посередине". Как мы уже говорили, браузер не станет задавать повторные вопросы о сертификате, который уже был принят и сохранен вами. Если вас спрашивают вторично (хотя вы уже заходили на этот сайт и внесли его в "доверенный список"), возможно, на этот раз с вами "общается" совсем другой ресурс.
А ведь по использованию SSL возникает масса интересных вопросов:
– виды сертификатов
– публичные сертификаты
– плюсы и минусы самописных сертификатов
– рекомендации по использованию SSL в броузерах
– рекомендации по использованию SSL в серверах
– атаки на защищенный SSL канал и их распознавание (предотвращение)
..........................
и мало ли чего еще! Ведь мало поставить в броузере птичку "Я использую SSL" – нужно еще уметь грамотно этим воспользоваться. А вот этого как раз и нету..
Сорри, что может изложил не очень грамотно, но проблема тем не менее существует.
комментариев: 11558 документов: 1036 редакций: 4118
Может Вы и попробуете? Тогда Вам сюда. Начните, а уж другие по мере возможностей присоединятся.
Получается, что вроде хорошая защита, но из-за неграмотности большинства простых пользователей она не срабатывает. Например, многие ли из них знают о вышеприведенной рекомендации?
Проведите голосование, и узнаете.
PS. Господин SATtva, ваш код Тьюринга – натуральное издевательство над пользователями. Ни на одном сайте не испытывал таких трудностей. Давно бы пора заменить его на сложение, умножение и другие более современные антиботовые технологии.
комментариев: 11558 документов: 1036 редакций: 4118
Может сразу так? ;-)
Один месяц умножать на 2, другой – на 5, и все боты отстанут :-)
Что-бы отделить тех кто "в теме" от тех, кто "не в теме", имеет смысл задавать вопросы (задачи) по теме сайта. В данном случае по криптографии. Уровень сложности (да и сами задачи) может определять автор темы :)
(Следует при этом учитывать наличие систем символических вычислений, которые могут и пределы вычислять, и интегралы брать, не говоря уже об умножении на 2! :))
А кому не нравиться существующий тест Тьюринга, те могут зарегистрироваться!
Тогда на кой он нужен?
Получается, что за "фирменные" сертификаты дерут от $200 до $1000 в год? :-O
Чем же тогда они так хороши по сравнению с самописными?
Защита от автоматической регистрации. А если кто-то начнёт исользовать свой аккаунт для спама, его легко забанить.
Или сделать, чтобы не проводить по полчаса, пытаясь отправить месагу, либо убрать его нах, оставив только регистрацию.
комментариев: 11558 документов: 1036 редакций: 4118
Обсуждение теста Тьюринга предлагаю закончить и вернуться к изначальному предмету. Если тест кому-то интересен, ищите соответствующие темы в текущем разделе форума.
[/moderator]
Тем, что браузер не будет поднимать вой из-за того, что сертификат не заверен доверенным УЦ. Только это в большинстве случаев всё равно не поможет. Здесь мои соображения на этот счёт. В каком-то смысле просветительская цель, поставленная автором темы, может сыграть роль, но очень незначительную. (Дело не только в том, что посещаемость сайта 500 человек в день против 20 млн., посещающих Рунет ежедневно, сколь в том, что большинство из этих 20 млн. вообще не имеют представления о рисках SSL, PKI и в целом нюансах инфобезопасности. Здесь, как и везде: чтобы задать вопрос (задаться поиском нужной информации) нужно знать бОльшую часть ответа, т.е. быть хотя бы немного "в теме".)
И только? :-O За что же такие деньги за сертификаты дерут?!
Вы имеете посещаемость вашего сайта? Но если статья будет хороша, ее можно будет опубликовать на многих сайтах, и в первую очередь – на моем :-)
И такая статья на фоне тотальной SSL-безграмотности, подтверждаемой в том числе и вашей заметкой, будет иметь огромный успех.
Целиком и полностью согласен. Зацепив слегка и только в благих целях этот вопрос, я не думал, что начнется такое обсуждение.
комментариев: 11558 документов: 1036 редакций: 4118
В то же время тотальная безграмотность в вопросах практического применения SSL среди основного населения Интернет просто поражает.
Мне кажется, г-н SATtva, что вы, равно как и другие участники данного замечательного криптосообщества, явно недооцениваете важность данной технологии, и большей частью сосредоточились на элитных вопросах аки Tor и ему подобных, занимающих более узкую нишу, проявляя определенный снобизм и обходя стороной нужды простых пользователей, которые в силу своей неграмотности даже не понимают важности данной проблемы :(
-"Как страшно далеки они были от народа!...."
И в то же время – "Уроки истории учат, что уроки истории ничему не учат" :(