[Moscow.pm] Списки русских блогов про Перл
Alexander Lourier
aml на rulezz.ru
Вт Сен 29 23:05:59 PDT 2009
В письме Wednesday 30 September 2009 01:07:34 Михаил Монашёв написал:
> Здравствуйте, Иван.
>
> ИБ> А чем сертификат cacert.org лучше чем самоподписанный?
>
> Ага. Хороший вопрос.
>
> Вообще вот реально бывает нужна возможность гонять от и до браузера
> данные в шифрованном виде, чтобы сниффинг был бесполезен. Тот же
> пароль при логине. И я не совсем понимаю зачем для этого нужен
> сертификат, который меня как-то идентифицирует и что-то там
> удостоверяет. ИМХО, это или подмена понятий или кривизна реализации
> протокола. И для таких целей бесплатно выдаваемые сертификаты очень
> даже полезны.
Настоящий платный сертификат гарантирует (до степени доверия удостоверяющему центру), что твой браузер общается с
сервером, принадлежащим владельцу домена. То есть ты можешь быть уверен, что твой трафик не снифится по дороге, и,
когда будешь вводить свои явки-пароли, их получит только владелец домена, и никто другой.
Ключевой момент тут - доверие удостоверяющему центру. Все УЦ, корневые сертификаты которых установлены во всех браузерах
по умолчанию, берут деньги, которые идут на оплату квалифицированных инженеров, оплату сотрудников, которые проверяют,
реально ли к ним обратился владелец домена за получением сертификата, или нет, гарантируют безопасное хранение своих
ключей, имеют достаточно сложную архитектуру, которая минимизирует риск утечки ключей, которыми подписываются
сертификаты и т.д.
Если ты ставишь себе в браузер корневой сертификат левого УЦ, который не выполняет этих проверок, то ставишь под угрозу
всю свою безопасность. Если я как-то смогу получить сертификат от чужого домена, то смогу сниффить трафик этого сайта.
Если тебе надо безопасно работать со своими сайтами, то ради бога, делай свой УЦ, ставь сертификат себе в браузер и
защищай свои админки, сколько угодно. Все будет совершенно безопасно и в браузере будет зеленый замочек нарисован.
>
> ИБ> На сам сайт http://www.cacert.org/ у меня и firefox и safari
> ИБ> ругается точно так же как и на мой https сайт.
>
> >> Может SSL-сертификат на cacert.org сделаешь?
>
> --
>
> С уважением,
> Михаил Монашёв, SoftSearch.ru
> mailto:postmaster на softsearch.ru
> ICQ# 166233339
> http://michael.mindmix.ru/
> Без бэкапа по жизни.
>
> --
> Moscow.pm mailing list
> moscow-pm на pm.org | http://moscow.pm.org
--
Alexander Lourier, http://aml.rulezz.ru/
Подробная информация о списке рассылки Moscow-pm