id: Гость   вход   регистрация
текущее время 04:36 24/04/2024
Автор темы: vlcryptor, тема открыта 19/04/2010 08:40 Печать
Категории: криптография, протоколы
https://www.pgpru.com/Форум/Криптография/SSL-TLSЧерезWeb-браузер
создать
просмотр
ссылки

SSL-TLS через Web-браузер


Прочитал информацию по SSL-TLS и появилось несколько вопросов:


1) В обычном случае – без использования сертификата клиента, всегда ли будет шифроваться трафик от сервера к клиенту?


2) При работе SSL-TLS получается, что публичный ключ сервера отсылается при каждом новом соединении и нет возможности один раз установить публичный ключ в хранилище web-браузера у клиента и его использовать. Верно?


3) Каким образом происходит процедура проверки подписанного публичного ключа сервера центром сертификации(Verisign, Thawte)?
Ведь для того чтобы проверить ЭЦП ключа достаточно иметь публичный ключ центра сертификации, и он есть в хранилище сертификатов в браузере. Тогда получается незачем обращаться на сервер центра сертификации, но браузер обращается. Зачем?


 
На страницу: 1, 2 След.
Комментарии
— SATtva (20/04/2010 21:57)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Поиск решения для несуществующей проблемы. Да, сертификат передаётся в приветствии каждый раз, но это прямолинейнее и проще, чем предусматривать в протоколе special-case'ы, склонные приводить к ошибкам в самом протоколе и в реализациях. Чем Вам мешает такая передача? Какие реальные проблемы безопасности она создаёт?

Или как мне проверить достоверность вашего PGP-ключа, который я также могу получить только через Интернет? :)

Сеть доверия в помощь.
— vlcryptor (20/04/2010 22:21)   профиль/связь   <#>
комментариев: 21   документов: 5   редакций: 5
Поиск решения для несуществующей проблемы. Да, сертификат передаётся в приветствии каждый раз...
Чем Вам мешает такая передача? Какие реальные проблемы безопасности она создаёт?


Мне то не мешает :)). Сам пользуюсь криптографией только при работе с деньгами. В данный момент интересуюсь криптографией, мне это интересно.

Если используется самоподписанный сертификат или как, например, у вас подписанный не предустановленным в ОС центром сертификации, то угроза подмены ключа и соответсвующе перехвата трафика возрастает ровно во столько раз сколько публичный ключ передается. По крайней мере ровно до тех пор пока вы не установите проверенный корневой сертификат.
— SATtva (20/04/2010 23:10)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Нет. Один раз добавляете исключение в браузер — раз и навсегда избавляетесь от риска подмены. Не важно, передаётся сертификат каждый раз в приветствии или нет: браузер уже знает его отпечаток, подмена невозможна.
— vlcryptor (20/04/2010 23:16)   профиль/связь   <#>
комментариев: 21   документов: 5   редакций: 5
браузер уже знает его отпечаток, подмена невозможна.

Вот это уже интересно. А откуда такая информация?
— sentaus (20/04/2010 23:48)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
А откуда такая информация?


Ответ "из справки браузеров" устроит? :)

Добавление исключения означает внесение сертификата в список доверенных – в дополнение к установленным изначально.
— spinore (26/04/2010 11:58)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
или пока не обнаружен новый 0day в движке
Хехе. Этот пункт выведен из модели угрозыинструкции по эксплуатации как недокументированная возможность. :)
Хехе. Вот вам и хехе :-)
— SATtva (26/04/2010 12:17)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
spinore, Вы теперь в каждую тему свой чёрный пиар насуёте? ;)
— spinore (26/04/2010 12:26)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Нет, просто получились накладки. Я не ожидал что Вы настолько оперативно отреагируете, и потому на момент тестов/постов не видел, что Вы уже отписались. Лишние сообщения можете стереть, я обижаться не буду ;)
— Гость (30/04/2010 00:08)   <#>
Нет. Один раз добавляете исключение в браузер — раз и навсегда избавляетесь от риска подмены. Не важно, передаётся сертификат каждый раз в приветствии или нет: браузер уже знает его отпечаток, подмена невозможна.

А как из браузера удалить это исключение или стандартный сертификат, в него включенный?
— unknown (30/04/2010 10:01, исправлен 30/04/2010 10:02)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Пункты меню называются у всех браузеров примерно так:
Edit-Options-Encryptions-View certificates (View Sites)
Там должны быть кнопки вида: просмотреть/удалить или сертификат вообще, или используемый только для одного сайта (в зависимости от того как ставили).

На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3