Autor Zpráva
ja99
Profil *
Ahoj, zajímalo by mě proč je potřeba mít na serveru certifikáty od nějaké certifikační autority? Nějak nechápu jakou v tom hrají tyhle "autority" roli kromě toho že se za ty jejich certifikáty musí platit.

Může mi někdo srozumitelně vysvětlit ten systém těch certifikačních autorit?

Díky
Joker
Profil
ja99:
Může mi někdo srozumitelně vysvětlit ten systém těch certifikačních autorit?
To je prosté.

Na poště je zásilka do pouze do vlastních rukou Pepy Nováka.
Přijde člověk a řekne „Já jsem Pepa Novák a chci tu zásilku“.
Pošťačka řekne „Tak mi ukažte občanku“.
Pepa Novák ukáže občanku, pošťačka zkontroluje, jestli to vypadá jako skutečná občanka, jestli není prošlá a jestli člověk před ní vypadá jako majitel občanky (je to důkladná pošťačka) a vydá zásilku.

Zásilka = data, Pepa Novák = jedna strana komunikace, občanka = certifikát, stát (vydavatel občanky) = certifikační autorita (pro pošťačku v příkladu dokonce důvěryhodná certifikační autorita, protože vlastnictví občanky s odpovídajícími údaji považuje za dostatečné prokázání identity).
Dodatek, pro ilustraci, jak je důležité, kdo konkrétně je certifikační autorita, si představte alternativu:
„Občanku nemám, ale tady kamarád vám potvrdí, že jsem opravdu Pepa Novák.“
aDAm
Profil
A navíc při dnešních cenách certifikátu od cca 290kč/rok...no problemo, když někdo potřebuje mít zabezpečené spojení.
jan99
Profil *
Joker: super příklad :-)

Nicmén řeším web - https a né email (sorry zapoměl sem upřesnit).

Co se týka https tak tam je za potřebí 2 věcí a to zašifrovaní spojení mezi dvěma servery a jistota že komunikuju se správným serverem.

Jistotu komunikace zajistí DNS kdy u domeny je IP na kterem běží webstranky. Samozřejmě může nastat situace kdy někdo vleze do DNS a neoprávněně změní IP adresu k mojí doméně, ale tam už nějaký před tím vydaný certifikát nebude mít žádnou váhu, protože pokud mám přístup k takovéto doméně tzn. k DNS záznamům a můžu je kdykoliv (neoprávněně) měnit, jednoduše změním na IP mého serveru a vygeneruju si svůj vlastní certifikát třeba u jiné certifikační autority než u té původní, ten pak uložím na ten server. Takže pokud pak přijde uživatel a přihlásí se k takovým "podvrhnutým" stránkám nic nepozná... pořád bude mít v prohlížeči https ale doména bude směřovat na můj server místo toho původního. (Btw. nechápu proč už není běžnou praxí ověřovat jakékoliv změny u domén přes sms na mobil majitele který tu doménu zaregistroval. )

.. No, takže a pokud mám teda vytvořene spojení s určitým serverem tak samotný šifrovací proces už běží jen mezi těma dvěma body a nějaká certifikační autorita tam nemá vůbec co řešit.
engien
Profil *
@jan99: DNS i IP adresa se dá podvrhnout, takže bez platného certifikátu nemáte nikdy jistotu, že opravdu komunikujete se správným serverem. Ono na tom podstatné je to, že Vám žádná důvěryhodná cetrtifikační autorita nevydá certifikát pro jakoukoliv doménu a budete muset prokázat, že jste jejím vlastníke. Pokud tam dáte certifikát pro jinou doménu, tak bude prohlížeč řvát, že certifikát nepatří k navšívené doméně.
aDAm
Profil
Certifikační autorita vám nevydá certifikát pokud by vám někdo změnil IP adresu v DNS apod. protože se ověřuje majitel oné domény a to buď emailem na adresu která je uvedena v centrálním registru a nebo při přísnějším ověřením i písemně na adresu majitele domény.
ja99
Profil *
engien:

Ono na tom podstatné je to, že Vám žádná důvěryhodná cetrtifikační autorita nevydá certifikát pro jakoukoliv doménu a budete muset prokázat, že jste jejím vlastníke.

Není nic jednoduššího, jak už sem psal předpokládám scénář kdy má "špatná" osoba přímý přísup k DNS záznamu pro moji doménu.

- Změní u domény v DNS IP adresu na svůj vlastní server který je schopný přijímat emaily.
- Zažádá si o certifikát který mu bude poslán na web@domena.com (v mém případě bych měl na výběr. proxy@registrator-domeny.com (WHOIS), nebo webmaster@domena.com postmaster@domena.com apod.) (PŘÍMÉ OVĚŽENÍ VLASTNÍKA DOMÉNY)
- Emailový server přijme ověřovací email o vlastnictví na adese webmaster@domena.com
- Ok, potvrdí a vygeneruje certifikáty k doméně a ty pak uloží na svůj vlastní server.

Tím pádem má všechno, doména směřuje na jeho server a má i v případě potřeby vygenerovaný certifikát k této doméně bez vědomí původního vlastníka domény.

Běžný uživatel pak nepozná že odesílá citlivé údaje jinému serveru.

aDAm:
přísnějším ověřením i písemně na adresu majitele domény.

Samozřejmě jiná situace by byla kdyby se majitel domény ověřoval například prostřednictvím sms nebo písemně, ale stím sem nikdy nesetkal.
Joker
Profil
jan99:
Nicmén řeším web - https a né email (sorry zapoměl sem upřesnit).
To je to samé.
Rozdíl je teda v tom, že u toho webového serveru se ověřuje hlavně identita odesílatele. Ale princip je stejný, prostě jde o to, ověřit, že protistrana je skutečně ten, kdo o sobě říká, že je.

ja99:
Minimálně ty důkladnější certifikační autority ověřují identitu ještě dalším kanálem, třeba telefonem.

A ve chvíli, kdy útočník kontroluje DNS záznamy domény a komunikační kanály na jejího vlastníka má podle mě ten vlastník daleko větší problém, než nějaký podvržený certifikát.

Podobně se dá říct, že lze překonat zabezpečení téměř jakékoliv banky na světe, pokud máte k dispozici plně vyzbrojenou rotu vojáků.

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: