Dan Lukes wrote:
[...]
Od leta uz lecktery prohlizec neumi revokovat pomoci CRL. Takze
napriklad nema smysl vymenovat zadny klic, v jehoz certifikatu neni
predepsana revokace OCSP. I kdyz ho zrevokujes, prohlizece to v dusledku
"moudreho rozhodnuti" nezjisti.
A pokud vim, i u toho OCSP je defaultne v prohlizecich nastaveno tak,
aby se "nic nedelo", kdyz se spojeni na OCSP server nezdari. Takze je
otazka, v kolika pripadech je vlastne stale mozne uzivatelum uspesne
"podvrhnout" ukradeny certifikat prestoze ho opravneny spravce nahradil
a zrevokoval. Ten, kdo dokaze zaranzovat MITM mezi konkretnim uzivatelem
a konkretnim serverem uz patrne taky dokaze zabranit tomu, aby se
uzivatel spojil na OCSP server ...
Dobre ze jsi to zminil, malem bych na to zapomnel. Taky jsem to cetl od
nekoho na blogu v souvislosti s tim, ze nebylo uplne snadne dosahnout
podepsani noveho certifikatu zdarma (ale nakonec pisatel uspel) a druhym
krokem byl problem s revokaci pres resellera. Revokaci mu umoznila az
koncova certifikacni autorita. Nasledne bohuzel pisatel zjistil, ze
stale funguje i stary certifikat (v jeho browseru) a ze je to vlastne
cele uplne naprd.
Coz me tak trochu prekvapilo - priznam se, ze jsem se nikdy nezajimal o
to, jak se ktery browser chova ke zjistovani revokaci. A jestli je to
opravdu tak jak pises, ze to browsery vesmes nepodporujou, nebo
ignorujou, tak je to opet obrovska trhlina v celem tom zlatem businessu
za predrazene vystavovani certifikatu podepsanych duveryhodnou
certifikacni autoritou.
Mirek
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
