[Moscow.pm] Списки русских блогов про Перл

Alexander Lourier aml на rulezz.ru
Вт Сен 29 23:05:59 PDT 2009 

В письме Wednesday 30 September 2009 01:07:34 Михаил Монашёв написал:

> Здравствуйте, Иван.
>
> ИБ> А чем сертификат cacert.org лучше чем самоподписанный?
>
> Ага. Хороший вопрос.
>
> Вообще  вот  реально  бывает нужна возможность гонять от и до браузера
> данные  в  шифрованном  виде,  чтобы  сниффинг  был бесполезен. Тот же
> пароль  при  логине.  И  я  не  совсем  понимаю  зачем для этого нужен
> сертификат,   который   меня   как-то   идентифицирует  и  что-то  там
> удостоверяет.  ИМХО,  это  или подмена понятий или кривизна реализации
> протокола.  И  для  таких целей бесплатно выдаваемые сертификаты очень
> даже полезны.

Настоящий платный сертификат гарантирует (до степени доверия удостоверяющему центру), что твой браузер общается с 
сервером, принадлежащим владельцу домена. То есть ты можешь быть уверен, что твой трафик не снифится по дороге, и, 
когда будешь вводить свои явки-пароли, их получит только владелец домена, и никто другой.

Ключевой момент тут - доверие удостоверяющему центру. Все УЦ, корневые сертификаты которых установлены во всех браузерах 
по умолчанию, берут деньги, которые идут на оплату квалифицированных инженеров, оплату сотрудников, которые проверяют, 
реально ли к ним обратился владелец домена за получением сертификата, или нет, гарантируют безопасное хранение своих 
ключей, имеют достаточно сложную архитектуру, которая минимизирует риск утечки ключей, которыми подписываются 
сертификаты и т.д.

Если ты ставишь себе в браузер корневой сертификат левого УЦ, который не выполняет этих проверок, то ставишь под угрозу 
всю свою безопасность. Если я как-то смогу получить сертификат от чужого домена, то смогу сниффить трафик этого сайта. 

Если тебе надо безопасно работать со своими сайтами, то ради бога, делай свой УЦ, ставь сертификат себе в браузер и 
защищай свои админки, сколько угодно. Все будет совершенно безопасно и в браузере будет зеленый замочек нарисован.

>
> ИБ> На  сам  сайт  http://www.cacert.org/  у  меня  и firefox и safari
> ИБ> ругается точно так же как и на мой https сайт.
>
> >> Может SSL-сертификат на cacert.org сделаешь?
>
> --
>
> С уважением,
> Михаил Монашёв, SoftSearch.ru
> mailto:postmaster на softsearch.ru
> ICQ# 166233339
> http://michael.mindmix.ru/
> Без бэкапа по жизни.
>
> --
> Moscow.pm mailing list
> moscow-pm на pm.org | http://moscow.pm.org



-- 
Alexander Lourier, http://aml.rulezz.ru/

Подробная информация о списке рассылки Moscow-pm