Office 365 - podręcznik użytkownika

Ta książka pokaże Ci, jak wykorzystać chmurowe przetwarzanie danych - a konkretnie Office 365 - aby robić więcej, współpracować łatwiej i działać...
pobierz »

Jak zwiększyć wydajność infrastruktury serwerowej oszczędzając czas i pieniądze? Nowoczesne rozwiązania serwerowe

Niniejszy dokument ma na celu zaprezentowanie sposobów na poprawę funkcjonowania i efektywności działania infrastruktury serwerowej w firmie lub...
pobierz »

Dlaczego warto korzystać z Office 365?

Jakie funkcje i możliwości Microsoft Office 365 decydują o tym, że warto wybrać to rozwiązanie zamiast tradycyjnego pakietu Office i rozwiązań...
pobierz »

Po co nam SSL

20 lutego 2007

Podobnie niezaufanymi certyfikatami podpisane są applety Javy, o które oparty jest serwis. W sumie użytkownik musi trzykrotnie przeklikać się przez zapytania i ostrzeżenia o niezaufanych certyfikatach. Nie budzi to zaufania, wprost przeciwnie. Jeśli instytucja rządowa posługuje się niezaufanymi certyfikatami to już chyba nic nie zdziwi użytkownika na innych serwerach - i na tym m.in. opiera się skuteczność phishingu.
Certyfikat serwera e-Poltax nie staje się też zaufany przez to, że Sigillum jest kwalifikowanym centrum certyfikacji (chociaż jest). Jest to certyfikat serwera a nie osoby fizycznej więc został wystawiony w niekwalifikowanym drzewie zaczynającym się od "Sigillum PCCE - CA" a nie w kwalifikowanym krajowym drzewie NCC Centrast. W tym drugim przypadku problem byłby pomijalny bo root Centrastu i tak jest instalowany każdemu kto kupi kwalifikowany certyfikat (a jest on niezbędny by korzystać z e-Poltaxu). Tymczasem roota "Sigillum PCCE - CA" trzeba sobie doinstalować ręcznie.



Można się zastanawiać czy SSL jest tutaj w ogóle potrzebny? Proszę zauważyć, że autentyczność pochodzenia i integralność deklaracji wysyłanej do MinFin jest chroniona przez podpis kwalifikowany. Autentyczność potwierdzenia że deklaracja została złożona również powinna być w jakiś sposób chroniona. Certyfikat na stronie E-Poltaxu nie daje zaufania - a nawet wprost przeciwnie, nieco konfunduje użytkownika. Należałoby więc albo z niego zrezygnować, albo postawić tam komercyjny, rozpoznawany przez przeglądarki certyfikat za 60 USD rocznie. Casus Wrota Małopolski. Aby zobaczyć na czym polega problem z Wrotami Małopolski, wystarczy wejść na jeden z wielu e-Fomularzy na Wrotach Małopolski. Przeglądarka powinna wyświetlić okienko z ostrzeżeniem, że nie zgadza się nazwa certyfikatu.



Certyfikat jest podpisany przez zaufane (z punktu widzenia Windows) centrum certyfikacji Thawte i wystawiony na poprawną nazwę serwera - link prowadzi do serwera "www.wrotamalopolski.pl" i taka nazwa figuruje w certyfikacie. Skąd w takim razie ostrzeżenie?

Otóż w kodzie strony znajduje się również odwołanie (link lub tag IMG) do pliku na serwerze "statystyki.wrotamalopolski.pl". Jest to odwołanie względne, więc serwer odwołuje się do serwera również po SSL - prawdopodobnie adres ten jest po prostu aliasem w DNS, więc serwer "statystki" zwraca dokładnie ten sam certyfikat co poprzednio czyli "www.wrotamalopolski.pl". Z punktu wiedzenia SSL nazwa się więc nie zgadza i przeglądarka ostrzega o tym użytkownika.

Taki sam przypadek mamy na stronie Nordea Polska, gdzie link "wniosek o aktywację dostępu elektronicznego..." prowadzi do strony nordeasolo.pl ale przedstawiającej się certyfikatem wystawionym na nazwę www.nordeasolo.pl. Niby drobiazg, ale z punktu widzenia SSL krytyczny...