Bezpecnost s nepodepsanym certifikatem

Šifrovaná je, ale nevíš, s kým komunikuješ.

Hello world ! Segmentation fault (core dumped)

12.3.2018 03:05 Petrr
Rozbalit Rozbalit vše Re: Bezpecnost s nepodepsanym certifikatem

Jak nevim s kym? nerozumim, muzes prosim vice objasnit? Dekuji

12.3.2018 03:06 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Bezpecnost s nepodepsanym certifikatem

Viz Man in the middle.

Hello world ! Segmentation fault (core dumped)

12.3.2018 03:13 Petrr
Rozbalit Rozbalit vše Re: Bezpecnost s nepodepsanym certifikatem

Zajimave, a kdyz je podepsany tak se to nemuze stat?

12.3.2018 09:12 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Bezpecnost s nepodepsanym certifikatem

Tak určite. Napríklad s tak presným certifikátom od "zaručenej autority" ako je na stránke sknic.sk bez pomlčky. By ma zaujímalo koho to bol nápad urobiť v tej dobe phisting k sk-nic.sk s pomlčkou.

Mimochodom, už som také mňamky videl aj na iných miestach.

12.3.2018 10:22 Sten
Rozbalit Rozbalit vše Re: Bezpecnost s nepodepsanym certifikatem

Podepsané je to jiným certifikátem a ten je typicky podepsaný dalším. Smyslem tohoto řetězu je, že nějaká jiná autorita, které důvěřujete (resp. důvěřuje mu tvůrce prohlížeče/systému), potvrdí, že daný certifikát patří tomu doménovému jménu a nejde tedy o MitM. Úplně stejně ale můžete ověřit ten certifikát i ručně (např. zkopírováním ze serveru, kam máte přístup přes SSH, přes důvěryhodný kanál s vlastníkem ověříte otisk ap.) a vložit jej do trust store. Pak bude také podepsaný důvěryhodným certifikátem: sebou.

12.3.2018 19:16 Andrej | skóre: 51 | blog: Republic of Mordor
Rozbalit Rozbalit vše Re: Bezpecnost s nepodepsanym certifikatem

To záleží na tom,

jak důvěryhodný je ten, kdo certifikát podepsal (jestli někomu jinému nepodepsal certifikát pro tutéž doménu),
jak důvěryhodný je kdokoliv jiný, komu důvěřuješ jako autoritě (jestli někomu jinému nepodepsal certifikát pro tutéž doménu) [tady je největší riziko],
jak důsledný je ten, kdo si certifikát nechal vystavit/podepsat (jestli někomu jinému nevyzradil, dobrovolně či nechtěně, svůj soukromý klíč) a
jak pozorný je ten (browser), který certifikát ověřuje (jestli se dívá taky do TLSA záznamů v DNSSEC, jestli mu (správně) přijde divné, když certifikátu včera zbýval rok platnosti, ale dnes (zdánlivě) tentýž web přijde s novým certifikátem od jiné autority atd. atp.).

Shrnu to takto : Certifikát je jako občanka. Je na ní popis identity které patří, ksicht a razítko/a státniho úřadu, který zkontroloval, že ano, ten ksicht na občance patří tomu jménu, které je tam uvedeno + další údaje. Policajt koukne na fotku , na tvůj obličej, prověří, že razítko i občanka jsou pravé a má jistotu, že jsi to ty ). Teoreticky.

Server ( předpokládám že Apache ) používá certifikát ( podepsaný cetrifikační autoritou obecně uznávanou jako důvěryhodnou ) k prokázání, že je tím, za koho se vydává ( t.j. v certifikátu je uvedena DNS cesta, IP a podobně ), a to musí souhlasit s DNS ze které tento server obsluhuje požadavky. Tyto skutečnosti certifikační autorita před podepsáním prověří, m.j i identitu majitele domény a pod. Tento certifikát ( myslím ) zároveň slouží k zabezpečení ( zprostředkuje šifrování ) provozu mezi serverem a prohlížečem.

Takže nepodepsaný ( samo-podepsaný ) certifikát funguje technicky jako podepsaný, jen nikdo neprověřil, že je pravý .

Takovýto samo-podepsaný certifikát má i nejvyšší certifikační autorita ( protože její certifikát nemá kdo podepsat )

Dotaz: Bezpecnost s nepodepsanym certifikatem

Odpovědi