Vlákno názorů k článku HTTPS - bezpečnost jen pro vyvolené? od petr andrs - I Mozilla 0.8 hlasi "Connection Encrypted: Low Grade...

I Mozilla 0.8 hlasi "Connection Encrypted: Low Grade Encryption (RC4-56 56 bits)" Na adrese http://www.netcraft.com/sslwhats/ si lze nechat "proklepnout" libovolny https server. A dostavame nasledujici:
Organisation as given by certificate

on-line obchod elektro
\x00Z\x00\xE1\x00s\x00o\x00b\x00o\x00v\x00\xE1\x00n\x00\xED\x00 \x00o\x00b\x00c\x00h\x00o\x00d\x00u\x00 \x00v\x00.\x00o\x00.\x00s\x00.
\x00M\x01\x1B\x00l\x00n\x00\xED\x00k
\x00M\x01\x1B\x00l\x00n\x00\xED\x00k
CZ

Common name: www.eva.cz
HTTPS Server

Microsoft-IIS/5.0

Supported SSL ciphers:

* RC4 with MD5 (export version restricted to 40-bit key)
* RC2 with MD5 (export version restricted to 40-bit key)
Certificate Administrative Details

Valid from: Jan 15 11:23:41 2001 GMT
Valid to: Jul 17 11:23:41 2001 GMT
Serial number: 0x01c662
Certification Authority

20000901
PVT a.s.
CZ

Also known as: Certifikacni autorita I.CA 0009

Takze ze by jen bezpecnost naoko? Urcite existuje IIS i s poradnym sifrovanim, doporucuji nasadit, zlomit vyse uvedene dnes opravdu neni problem. I kdyz uznavam, ze toto neni nijak kriticka aplikace.

IE4.01SP2 je dost stary - podle me jeste pred koncem uvolneni exportnich omezeni. Ty v neamericke verzi pouzivaly 40bit vzdy vyjma jedine vyjimky - kdyz byl klic certifikovan nekterym z nekolika malo specialnich klicu vybranych CA pak pouzily 128.

Proc bych se nepodelil - ja uz tomu jednou musel cas venovat a tim, ze to budu tajit ho zpatky neziskam. A vy uz jste navic zaplatili tim, ze jste si klic nechali (nepochybne za penize) ocertifikovat - to ja to alespon mel v tomto ohledu zdarma ...

Ano, i 4.76 hlásí "The security library has encountered an improperly formatted DER-encoded message." Mozilla+PSM se s certifikátem vyrovná, ale píše jeho název:"www.eva.cz, on-line obchod elektro, ZA~sobovA~nA~­ obchodu v.o.s., MÄlnA~­k, MÄlnA~­k", IE4.01SP2 ho zvládne bez problémů. Jen mě zaujalo, že je jen 40-bitový a ne 128-bitový.

Dekujeme za Vas velice cenny odborny rozbor situace. Usetril jste nam nejaky cas patranim po reseni zmineneho problemu. Je az s podivem, ze za to nic nechcete:-) Pokud se Vam mohu odvdecit, zaregistrujte se na nasem obchode, dejte mi o tom vedet a je Vam bezplatne zaslu alespon tricko naseho obchodu.

S pozdravem M.Ř.

Kdyz se tak na certifikat panu divam, pak je to nejspis ...

Certificate:
Data:
Version: 3 (0x2)
Serial Number: 116322 (0x1c662)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=CZ, O=PVT a.s., OU=20000901, CN=Certifikacni autorita I.CA 0009
Validity
Not Before: Jan 15 11:23:41 2001 GMT
Not After : Jul 17 11:23:41 2001 GMT
Subject: C=CZ, ST=\x00M\x01\x1B\x00l\x00n\x00\xED\x00k, L=\x00M\x01\x1B\x00l\x00n\x00\xED\x00k, O=\x00Z\x00\xE1\x00s\x00o\x00b\x00o\x00v\x00\xE1\x00 n\x00\xED\x00 \x00o\x00b\x00c\x00h\x00o\x00d\x00u\x00 \x00v\x00.\x00o\x00.\x00s\x00., OU=on-line obchod elektro
Subject Public Key Info:
[stripped]

... kvuli kodovani pouzitem polozkach ST, L a O

Je zrejme, ze panove pouzili pro generovani certifikacniho requestu pouzili nastroju dodavanych k IIS a v nazvu spolecnosti a dalsich polozkach vyplnili text s diakritikou- v takovem pripade IIS vygeneruje request v UNICODE kodovani (jine nastroje by to bud' vubec nepripustily nebo by na problem upozornily). Jenze Netscape jeste UNICODE v certifikatech neumi, to je pro nej prilis nove a IMHO se zasekne na vlozenych znacich <NUL> - a takovy server je pro nej nedostupny.

Bohuzel, panum chybela potrebna zkusenost - jinak by nejspis ozeleli diakritiku, proste by tam napsali Zasobovani velkoobchodu v.o.s. bez diakritiky a problem by nenastal.

Ja furt rikam, ze diakritika do vypocetni techniky patri jen tam, kde je to opravdu bezpodminecne nezbytne (narodni obrozenci prominou ...)

V podstate jste pouzili idelani reseni - oboji pristup. I nesifrovaneho spojeni vsak mam zato, ze mate moralni povinnost uzivatele pri prvnim vstupu na nesifrovane stranky a take na kazdem zvlast citlivem formulari (tedy tam, kde zadava hesla, nebo cisla platebnich karet) zvlast a VYRAZNE upozornit, ze si dobrovolne zvolil nebezpecnou variantu spojeni, kde jeho heslo, cislo, ..., muze byt zachyceno a zneuzito tretimi osobami - a jestli se mu to nezda, tak ma pouzit chraneny pristup.

Koukal jsem na tento obchod a bohužel jsem v NN4.75 vůbec nepochodil, prohlížeč jen oznámil chybu v certifikátu.

Nedávno jsme uvedli do provozu nový obchod www.eva.cz, původně výhradně na HTTPS. Bohužel, to se setkalo s odporem uživatelů, kde na jsme byli najčastěji osočováni z tohoto:

1) Jsme hlupáci když používáme certifikační agenturu z ČR(www.ica.cz), protože není předinstalována v exploreru.

2) Proč používáme HTTPS, když to otravuje nějakou informací při vstupu do obchodu formou dialogu.

Po pár dnech provozu jsme přepnuli implicitně do HTTP verze a umožňujeme uživateli do HTTPS přepnout. Z logů je však zřejmé, že je HTTPS využíváno spíše vyjímečně.