Apache a VH pro SSL -- delsi

Ing. Pavel PaJaSoft Janoušek PaJaSoft na FoNet.Cz
Pátek Květen 27 08:29:53 CEST 2005 

Jan Houstek <mailto:Jan.Houstek na mff.cuni.cz> wrote:
> Pokud se naopak nejedná o neznámé klienty, a je s nimi možné předem
> důvěryhodným kanálem vyměnit nějakou informaci, je používání veřejných
> certifikátů neúčelné. Technicky je ten koupený certifikát kvalitnější

	Já jsem ale nenarážel ani tak na to, že máme "well-known" CA a pak
ostatní (včetně vlastních/privatnich) - ono to pouziti well-known CAček není
samospasitelné, jak zde asi vímě (případ Verizon nebyl jediný, ale byl řádně
medializovaný).

	Já jsem spíše narážel na fakt, že serverový certifikát mimo jiné
nese v sobě informaci o tom, pro jaký server (hostname) byl vydán a
prohlížeč minimálně ve formě warningu docela prostestuje, že to nesedí...
(situaci s autentizací klientským certifikátem vůči serverovému, kdy je
trusted pouze pár certifikátů server-klient v tuto chvíli neuvažuji vůbec)
Jenže z této situace je východisko takové, že buď se vykašlu na ta hlášení
(IMHO označení certifikátu atributem trusted na klientovi to neřeší a
prohlížeč si bude na začátku další seance stěžovat vždy) nebo musím do
certifikátu vyjmenovat patřičná hostname - a certifikát je nerozšiřitelný,
při změně počtu hostname v něm, bych musel vygenerovat nový - navíc o této
možnosti se bavím čistě teoreticky, myslím si, že takový certifikát (s
multi-hostname záznamem) ani vygenerovat nejde, alespoň běžnými prostředky.
Poslední možnost je tzv. wildcard certifikát, kdy požaduji hostname ve tvaru
*.<domain>.<TDL> apod. - a to je přesně případ, na který jsem narážel.
Jednak tím ztrácím vlastně možnost jakkoli kontrolovat s kým vlastně jako
klient chci komunikovat a já (PaJaSoft) minimálně od certifikátu a
zabezpečení očekávám, že mě bude prohlížeč těžce urgovat v okamžiku, kdy
většina certifikátů po Internetu vystavených není od well-know CA (a tedy
musím explicitně potvrzovat důvěru, nejspíše na začátku sezení) a když se
rozhodnu komunikovat s určitým serverem/službou, tak vůbec nebudu nadšen v
okamžiku, kdy jakýmkoli způsobem budu nějaké objekty stahovat nebo předávat
do jiného hostname jen proto, že certifikát je ve tvaru *.domena.X a tedy je
vše v pořádku. Právě tímto směrem byla má výtka a zde by se poměrně úspěšně
mohl uplatnit DNS spoofing, případně jiná forma útoku, protože z hlediska
certifikátů a zabezpečení by bylo vše v pořádku - klient důvěřuje (označil
za trusted, byť session temporary) určitému certifikátu a tak prohlížeč nemá
co nadávat v případě, kdy se hostname v rámci wildcard působnosti mění
rychleji jak ponožky. A já se tedy táži k čemu pak takový certifikát je?
Pokud to má být jen forma šifrované komunikace, pak je značně zranitelná,
pokud to má být celá ta omáčka okolo, tak je z mého pohledu nepoužitelná a v
podstatě zbytečná, neb problém, který má řešit neřeší a lidé pouze žijí v
blažené nevědomosti.

PS: A pokud je můj postoj špatný, klidně stačí - Pájo seš vůl a celý je to
úplně jinak ty paranoiku...:-)

-------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft)             FoNet, spol. s r. o.
Technicka podpora, Intranet/Internet     Sokolova 67, 619 00 Brno
E-mail: mailto:Janousek na FoNet.Cz         Tel.: +420  5  4324 4749
WWW:    http://WWW.FoNet.Cz/           E-mail: mailto:Info na FoNet.Cz
-------------------------------------------------------------------

Další informace o konferenci Linux