Автор Тема: Как не трябва да се правят глупости със сертификати  (Прочетена 16410 пъти)

vstoykov

  • Напреднали
  • *****
  • Публикации: 1286
  • Distribution: Ubuntu
  • Window Manager: Fluxbox
    • Профил
    • WWW


Не само, че сами си подписват сертификатите, но и ги заменят както си искат...

Код:
https://payments.nra.bg:4351/taxpay/client/login.php

И после се чудят защо хората не плащат данъци и осигуровки...
Активен

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

romeo_ninov

  • Напреднали
  • *****
  • Публикации: 2155
    • Профил
Мисля че и двамата не сте прави, защото това са български CA, утвърдени от КРС и това че не сте добавили техните root ключове е по-скоро ваш проблем
Активен

0x2B|~0x2B

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Активен

"Knowledge is power" - France is Bacon

romeo_ninov

  • Напреднали
  • *****
  • Публикации: 2155
    • Профил
http://www.b-trust.org/certificates/CA_certificates/RootCA4cert.cer
Хм, това, което ме смущава е че са го издали с валидност 20 години, което е прекалено дълъг срок. По-нормално би било да е за примерно 10 фодини
Активен

0x2B|~0x2B

v_badev

  • Напреднали
  • *****
  • Публикации: 1355
    • Профил
Всъщност къде е връзката на b-trust с темата, сертификата на payments.nra.bg е издаден от Инфонотари. Съответно техният root сертификат е с RSA 4096 битов ключ.
Активен

romeo_ninov

  • Напреднали
  • *****
  • Публикации: 2155
    • Профил
Всъщност къде е връзката на b-trust с темата, сертификата на payments.nra.bg е издаден от Инфонотари. Съответно техният root сертификат е с RSA 4096 битов ключ.
И в двата случая хората се възмущават че сертификатите не се разпознават от броузерите им (поне аз така разбрах нещата)
Активен

0x2B|~0x2B

vstoykov

  • Напреднали
  • *****
  • Публикации: 1286
  • Distribution: Ubuntu
  • Window Manager: Fluxbox
    • Профил
    • WWW
Всъщност къде е връзката на b-trust с темата, сертификата на payments.nra.bg е издаден от Инфонотари. Съответно техният root сертификат е с RSA 4096 битов ключ.
И в двата случая хората се възмущават че сертификатите не се разпознават от броузерите им (поне аз така разбрах нещата)

В същност възмущението ми е в това:

Цитат
Вие получихте невалиден сертификат. Моля, свържете се с администратора на сървъра и дайте следната информация:

Вашият сертификат съдържа същия сериен номер като друг, издаден от сертификатора. Моля, дайте нов сертификат с уникален сериен номер.

Активен

zeridon

  • Killmode enabled
  • Administrator
  • Напреднали
  • *****
  • Публикации: 1398
  • Distribution: Debian/Ubuntu
  • Window Manager: console/Gnome
  • BOfH
    • Профил
    • WWW
Всъщност встойков е прав ... това са лепкави пръсти ... много лепкави при това, плачещи за публично овъргалване в пера и катран.

Кофтито е че някои банки са още по зле, със стари сертификати, със ниско ниво на сигурност, очевидно самоиздадени, създадени от vulnerable CA. И за бонус даже препоръчват да се ползва техния сертифика ...
Активен

Внмимавай имам клещи за кабел
http://www.netsecad.com/
http://theregister.co.uk/odds/bofh/

v_badev

  • Напреднали
  • *****
  • Публикации: 1355
    • Профил
Явно Инфонотари процедира със сървърските сертификати като с клентските - при изтичане на датата на сертификата се издава нов със същият сериен номер, но с друга валидност. Което е проблем, но не мисля че е много сериозен. Все пак ще е добре да пишеш до поддръжката им.

редакция:
Сега за да не се изсипе една кофа помия върху Инфонотари за тази политика трябва да уточня че те това го правят еднократно и определено е полезно когато ползваш сертификата си на няколко места.
« Последна редакция: Nov 02, 2009, 17:54 от v_badev »
Активен

vstoykov

  • Напреднали
  • *****
  • Публикации: 1286
  • Distribution: Ubuntu
  • Window Manager: Fluxbox
    • Профил
    • WWW
В крайна сметка реших проблема след като изтрих стария сертификат, който вече е изтекъл и инсталирах сертификатите почти както пише в документацията:
http://www.infonotary.com/site/files/install_win.pdf

1. Тегли се това: http://www.infonotary.com/site/files/INotaryCertChain.p12

2. Редактиране -> Настройки -> Разширени -> Шифроване -> Сертификати -> Вашите сертификати -> Внасяне (INotaryCertChain.p12) -> Въвеждане на празна парола (OK без да въвеждаме нищо) -> Щракаме ОК на диалогов прозорец със съобщение  -> Удостоверители -> InfoNotary PLC ->  i-Notary TrustPath Validated Domain CA -> Редактиране ->
  • Този сертификат може да идентифицира уеб сайтове.

Преди това бях инсталирал всичко с разширение .cer от http://www.infonotary.com/site/?p=doc_g1_3:

cqs-ca.cer
in-csp-root.cer
pqs-ca.cer
qs-ca.cer

Но това не помогна.

С това обаче не мога да се съглася:
Цитат
За да потвърдите контролните суми за ключовете от удостоверенията ни, може да се свържете с нас на тел: +359 2 921 08 55 или да изпратите писменно запитване на адрес: гр. София 1000, ул. "Иван Вазов" № 16, ет. 6 или в регистъра на удостоверенията на регистрираните доставчици на удостоверителни услуги в КРС.

Защо това да е  единствения начин за проверка? Не може ли просто да си платят на някоя организация, която я има по подразбиране в браузърите да ги удостовери?
« Последна редакция: Nov 02, 2009, 18:11 от vstoykov »
Активен

zeridon

  • Killmode enabled
  • Administrator
  • Напреднали
  • *****
  • Публикации: 1398
  • Distribution: Debian/Ubuntu
  • Window Manager: console/Gnome
  • BOfH
    • Профил
    • WWW
Темата е чепата ... все пак има и закони ... а ако някой ги удостовери те престават да бъдат глобално CA а само междинно (което не е по закон).

А относно верификацията на контролните суми ... кажи ми по сигурен начин за тяхната верификация (аз лично смятам че по сигурен от директна комуникация с човека изгенерирал сертификата няма) (вярно едва ли точно той ще вдигне но това е друга тема)
Активен

Внмимавай имам клещи за кабел
http://www.netsecad.com/
http://theregister.co.uk/odds/bofh/

vstoykov

  • Напреднали
  • *****
  • Публикации: 1286
  • Distribution: Ubuntu
  • Window Manager: Fluxbox
    • Профил
    • WWW
Нищо не пречи хем да са глобално CA, хем някой да ги удостовери (за удобство на клиента - простия потребител на компютър, който не знае какво значи браузър и криптография!).

Наистина "директна комуникация с човека изгенерирал сертификата" е най-сигурния вариант, но от къде знаеш, че публикуваните телефони са правилните? Може някой да е направил копие на сайта, в което да е заменил номерата.
Активен

petar258

  • Напреднали
  • *****
  • Публикации: 399
  • Distribution: Ubuntu-mate 16.04, Windows 7
    • Профил
не им е за пръв път, по страниците и на нои и на нап, и на други държавни институции често има подобни малоумия
Активен

romeo_ninov

  • Напреднали
  • *****
  • Публикации: 2155
    • Профил
С това обаче не мога да се съглася:
Цитат
За да потвърдите контролните суми за ключовете от удостоверенията ни, може да се свържете с нас на тел: +359 2 921 08 55 или да изпратите писменно запитване на адрес: гр. София 1000, ул. "Иван Вазов" № 16, ет. 6 или в регистъра на удостоверенията на регистрираните доставчици на удостоверителни услуги в КРС.

Защо това да е  единствения начин за проверка? Не може ли просто да си платят на някоя организация, която я има по подразбиране в браузърите да ги удостовери?
Не си прав, хората просто използват този начин за да осигурят два много независими канала за достъп до информацията. Защото ако някой превземе сайта им ще може да подмени кореновия сертификат, както и отпечатъка. Или да фалшифицира електронна поща за целта
Нищо не пречи хем да са глобално CA, хем някой да ги удостовери (за удобство на клиента - простия потребител на компютър, който не знае какво значи браузър и криптография!).
Не става. Или-или:)
Активен

0x2B|~0x2B