Vlákno názorů k článku HTTPS - bezpečnost jen pro vyvolené? od rastos - >>Mimochodem, Verisign i Thawte kontroluji pomerne dukladne, napriklad...

>>Mimochodem, Verisign i Thawte kontroluji pomerne dukladne, napriklad volaji na telefon administrativniho a technickeho kontaktu domeny a pod.
>Odkud vsak maji ta telefonni cisla ... ?

whois database?

Nie, ze by to nieco znamenalo.

Dobra, neminim se hadat - pripustme, ze Thawte osalit nelze - to ale neni pro celou podstatu clanku vubec podstatne (a ja v nem take zadne kategoricke hodnoceni neuvedl). Stale zustava, ze celkova bezpecnost je takova, jaka je bezpecnost nejslabsi CA, kterou si v seznamu ponechate. Vlastni stranka s formularem muze byt nakrasne chranena certifikatem Thawtu a prenesena bez ucasti utocnika. Jakmile ale kliknete na SUBMIT, tak TOTO spojeni klidne muze jit pres utocnika, ktery mezitim vstoupil do cesty - browser vam nic nerekne, pokud utocnik bude mit certifikat kterekoliv instalovane CA a to, ze vase data nakonec sla buhvi komu tak dokazete zjistit AZ PO ODESLANI z vysledku - a to take ne vzdy. A nepritomnost utocnika musite zjistovat po kazde strance, protoze vstoupit muze kdykoliv ...

Tomu ja bezpecnost nerikam. A zakoupeni certifikatu od Verisignu nebo od Thawtu na tomto neutesenem chovani defaultne nainstalovanych browseru nic nemeni.

Musim potvrdit, ze overovani a kontrola THAWTE je nekolika stupnova mmj. nejen je nutne uvest pevnou linku do spolecnosti vlastnici domenu, ale nahlizeji i do obchodniho rejstriku a je nutne zaslat notarsky overene a prelozene kopie dokumentu spolecnosti atd. THAWTE ma pobocku v Nemecku a velmi dobry prehled o pomerech v Ceske Republice. Sam jsem takove (ikdyz) vzdalene overovani musel nedavno podstoupit a jsem presvedcen, ze osaleni takove autority je velmi diskutabilni.
Dle meho soudu, pokud jakakoliv spolecnost zprostredkovava nejake sluzby spojene s financemi nebo osobnimi udaji na Internetu, mela by rozhodne investovat do takoveho certifikatu od root CA. Stoji to sice cas a nejake penize, ale zvysi to komfort a pocit bezpeci u vasich uzivatelu.

Z toho duvodu obvykle na relevantnich strankach sdeluje, kterou autoritou je certifikovan, samozrejme vcetne odkazu na informace o certifikatu.

Pokud komunikujete ve skutecnosti s utocnikem, pak na "jeho" strankach samozrejme naleznete tyto informace take - a ty budou zcelka nepochybne potvrzovat pravost certifikatu, kterym je komunikace chranena.

Mimochodem, Verisign i Thawte kontroluji pomerne dukladne, napriklad volaji na telefon administrativniho a technickeho kontaktu domeny a pod.

Odkud vsak maji ta telefonni cisla ... ?

Neni proto treba zadnych zvlastnich znalosti, nei treba vyskrtavat autority ze seznamu prohlizece atd.

To tedy samozrejme nutne je, protoze to, ze stranka, na ktere je formular byla nakrasne nahodou jeste prijata bez ucasti utocnika (a tedy kontrola udaju v certifikatu vas uspokojila) neznamena, ze ODESLANI tohoto formulare jiz neprobehne s jeho ucasti - a browser vas neinformuje, ze se mezi dvema pristupy zmenil certifikat, pokud novy je take certifikovan LIBOVOLNOU autoritou, kterou jste v seznamu ponechal.

Navic jsem spise presvedcen, ze dokazu certifikat ziskat i od Thawte, takze nic nebrani tomu, aby originalni certifikat byl od Verisignu a utocnikuv od Thawte. A nebo obracene.

Autor clanku mluvi o teorii, praxe je ale, alespon v civilizovanem svete, jina.
Site obvykle pouziva HTTPS primarne proto, aby odstranil neduveru uzivatelu nebo zakazniku. Z toho duvodu obvykle na relevantnich strankach sdeluje, kterou autoritou je certifikovan, samozrejme vcetne odkazu na informace o certifikatu. Aby vypadal duveryhodne (o to prece jde), pouzije Verisign, pripadne Thawte, rozhodne vsak nic jineho. Chcete-li tedy vyplnovat citliva data, podivejte se po ikonce Verisign nebo Thawte a kliknete na ni. Pokud ji neuvidite, asi nic vyplnovat chtit nebudete (ja tedy rozhodne ne). To same plati samozrejme v pripade, ze se vam data zobrazena po kliknuti na ikonku neboudou libit.
Neni proto treba zadnych zvlastnich znalosti, nei treba vyskrtavat autority ze seznamu prohlizece atd. Mimochodem, Verisign i Thawte kontroluji pomerne dukladne, napriklad volaji na telefon administrativniho a technickeho kontaktu domeny a pod.