Podziel się opinią o serwisie

reklama

IBM

Strefa IBM System x


Strefa IBM System x"..."Zarządzanie infrastruktura IT w obecnej chwili pochłania znaczną część budżetu IT. W odpowiedzi na tą sytuację IBM dołącza do serwerów IBM System x® system do zarządzania IBM Systems Director®, który oferuje obszerny zbiór narzędzi ułatwiających administrację.
Zapraszamy do strefy »

popularne komentowane nowości

Biblioteka Wiedzy poleca

Przyczyny nieudanych implementacji zabezpieczeń IT

Wdrożenie rozwiązań zabezpieczających infrastrukturę informatyczną nie zawsze podnosi poziom ochrony przetwarzanych danych. Czasami inwestycja okazuje...
pobierz »

Więcej bezpłatnych raportów w serwisie
powiększ tekst >
AKTUALNOŚCI

Po co nam SSL

20 lutego 2007

Paweł Krawczyk
(Strona 3 z 3)


Podobnie niezaufanymi certyfikatami podpisane są applety Javy, o które oparty jest serwis. W sumie użytkownik musi trzykrotnie przeklikać się przez zapytania i ostrzeżenia o niezaufanych certyfikatach. Nie budzi to zaufania, wprost przeciwnie. Jeśli instytucja rządowa posługuje się niezaufanymi certyfikatami to już chyba nic nie zdziwi użytkownika na innych serwerach - i na tym m.in. opiera się skuteczność phishingu.
Certyfikat serwera e-Poltax nie staje się też zaufany przez to, że Sigillum jest kwalifikowanym centrum certyfikacji (chociaż jest). Jest to certyfikat serwera a nie osoby fizycznej więc został wystawiony w niekwalifikowanym drzewie zaczynającym się od "Sigillum PCCE - CA" a nie w kwalifikowanym krajowym drzewie NCC Centrast. W tym drugim przypadku problem byłby pomijalny bo root Centrastu i tak jest instalowany każdemu kto kupi kwalifikowany certyfikat (a jest on niezbędny by korzystać z e-Poltaxu). Tymczasem roota "Sigillum PCCE - CA" trzeba sobie doinstalować ręcznie.

Kliknij, aby powiększyć

Można się zastanawiać czy SSL jest tutaj w ogóle potrzebny? Proszę zauważyć, że autentyczność pochodzenia i integralność deklaracji wysyłanej do MinFin jest chroniona przez podpis kwalifikowany. Autentyczność potwierdzenia że deklaracja została złożona również powinna być w jakiś sposób chroniona. Certyfikat na stronie E-Poltaxu nie daje zaufania - a nawet wprost przeciwnie, nieco konfunduje użytkownika. Należałoby więc albo z niego zrezygnować, albo postawić tam komercyjny, rozpoznawany przez przeglądarki certyfikat za 60 USD rocznie. Casus Wrota Małopolski. Aby zobaczyć na czym polega problem z Wrotami Małopolski, wystarczy wejść na jeden z wielu e-Fomularzy na Wrotach Małopolski. Przeglądarka powinna wyświetlić okienko z ostrzeżeniem, że nie zgadza się nazwa certyfikatu.



Certyfikat jest podpisany przez zaufane (z punktu widzenia Windows) centrum certyfikacji Thawte i wystawiony na poprawną nazwę serwera - link prowadzi do serwera "www.wrotamalopolski.pl" i taka nazwa figuruje w certyfikacie. Skąd w takim razie ostrzeżenie?

Otóż w kodzie strony znajduje się również odwołanie (link lub tag IMG) do pliku na serwerze "statystyki.wrotamalopolski.pl". Jest to odwołanie względne, więc serwer odwołuje się do serwera również po SSL - prawdopodobnie adres ten jest po prostu aliasem w DNS, więc serwer "statystki" zwraca dokładnie ten sam certyfikat co poprzednio czyli "www.wrotamalopolski.pl". Z punktu wiedzenia SSL nazwa się więc nie zgadza i przeglądarka ostrzega o tym użytkownika.

Taki sam przypadek mamy na stronie Nordea Polska, gdzie link "wniosek o aktywację dostępu elektronicznego..." prowadzi do strony nordeasolo.pl ale przedstawiającej się certyfikatem wystawionym na nazwę www.nordeasolo.pl. Niby drobiazg, ale z punktu widzenia SSL krytyczny...


« wstecz1 2 3
Wystaw ocenę:
    Średnia ocena (liczba głosów: 6)
AudioBot - odsłuchaj materiałAudioBot - odsłuchaj materiał wydrukuj wydrukuj wyslij do znajomegowyślij do znajomego rss

Komentarze

Redakcja securitystandard.pl - bezpieczeństwo IT , aktualnosci, porady, produkty nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.

papi

  • ocena: brak oceny
  • IP: 62.233.211.97
  • 24-02-2007, 14:29

Dobry artykuł tylko myslałem sądząc po tytule, że będzie więcej szczegółów technicznych dotyczących ssl''a, a wyszło raczej o cetyfikatach w szyfrowaniu ssl''em w połączeniach https. A SSL to nie tylko przeglądarki ...

bober

  • ocena: brak oceny
  • IP: 87.205.39.128
  • 28-02-2007, 22:47

zgadzam sie z papi, art ciekawy ale pozostaje niedosyt...