Cloxy

CloxySEO Блог и Видео УроциЗащо SSL сертификатите не са сигурни?

Защо SSL сертификатите не са сигурни?

Формати:

Във видеото обяснявам с прости примери защо HTTPS протоколът е податлив на Man In The Middle атаки и не гарантира сигурност в Интернет. TLS/SSL сертификатите са технология, податлива на същите атаки, които се опитва да избегне. В същото време Google и подобни ни убеждават как трябвало да си прехвърлим сайта на HTTPS. Криптирането е важно, но когато е на 100% надеждно и не зависи от трета страна.

бутон за споделяне
Публикувано от на
Средна оценка 4.33 / 5 (12 гласа)

12 коментара

Kristiyan Katsarov

Име: Kristiyan Katsarov

Дата: 12.03.2015 14:35:40

Оценка: 4 / 5

Много добре обяснено! :)

Огнян Цонев

Име: Огнян Цонев

Дата: 12.03.2015 15:29:35

Оценка: 4 / 5

Сървърите които генерират сертификати, могат и да не са свързани в интернет. Единствения начин да се сдобиш с секретния ключ е някой да го изнесе или някоя фирма да е наела администратор тъпак, който да е написал някаква много лесна парола и да не я сменя. Струва ми се трудна задача. Тов а са фирми в зоната на интернет сигурността... (и всичко което следва от това)
Разбирам, че искаш да лобираш за разни такива интересни неща като блок чейн (и разни селски търсачки), и то не е лошо, но предложи план как целия интернет да премине към блок чейн домейни. Колко време ще отнеме? Никой още не ползва IPv6, а го има от 80-та или 90-та година (и гугъл, яху, майкрософт и още куп други натискат за това).
Такива промени стават бавно или изобщо не стават. Ако блок чейн домейните, навлязат до 2030, ще те намеря и ще те поздравя! Сега само си губиш времето.

Васил Тошков

Име: Васил Тошков

Дата: 12.03.2015 15:50:15

Оценка: 4 / 5

Аз изобщо не засягам въпроса за сигурността на сървъра (точка B в случая). Това е още една дупка в сигурността на SSL сертификатите, но фокусът ми беше в главната им уязвимост. И тя е, че въпросните CA-та им се доверяваш на 100%, а те са подвластни на правителства и на собствените си интереси.

Blockchain е единствената технология, която гарантира сигурна комуникация между 2 точки в Интернет. Дали тези 2 точки ще си разменят пари, ще регистрират домейни, ще си говорят кодирано или нещо друго, това няма значение.

Факт е, че беше изобретено нещо ново, което решава много проблеми. И просто няма как светът да не се възползва от него. Това е следващият мегатренд. Сякаш някой да изобрети електричеството, а ти да се опитваш да ме убедиш, че ще си светим със свещи още дълго време...

Ще се радвам след време когато всичко това, за което говоря стане факт, да го обсъдим пак. Случвало се е вече много пъти да попадам в такива спорове и да познавам бъдещето. Проблемът е, че когато се свържа с тези, с които съм спорил, вече не помнят за разговора ни.

Огнян Цонев

Име: Огнян Цонев

Дата: 13.03.2015 06:47:19

Оценка: 5 / 5

Този разговор се документира, ако disqus го има няма да забравим ;)
Изобщо не искам да влизам в спор, по-скоро исках да изтъкна, че това за което говориш е трудно постижимо. (дори да е технически възможно.) Аргумента ми е следния: нищо в законите на физиката не пречи да минаваме през стени, да се телепортираме някъде на стотици километри и да се се движим със скорост близка до тази на светлината; Това, че сме съставени от трилиони атоми, го прави статистически малко вероятно (много малко вероятно). Така, че не очаквам скоро да започвам да минавам през стени, както и не очаквам скоро ауторититата да почнат да правят двойни сертификати, защото някой им е наредил или защото така си искат. Системата има някои защити, които биха гръмнали. По вероятно ми се струва сценарии, в който хакера се представя за някой сайт и за ауторитито едновременно и без тяхно знание, но от тяхно име, се само валидира. Това до колкото знам вече се е случвало. И блокчейн е уязвим от тоя вид атака. Това не е точно MITM.
ЦРУ могат само с помощта на доставчика ти, да си правят каквото искат. За това се увериха, че в американския закон пише, че имат право да изискват съдействие от доставчиците на интернет.
SSL и HTTPS са единствения начин да комуникираш в интернет, без трафика да е четим или да може да се подслушва. (разбира се ниските нива на криптиране вече са разбити и не са сигурни). Ако не разчиташ на ауторити да ти потвърди, че този е който се представя, другия вариант е self signed, което е по-лошо.
Бих желал да видя http://cloxy.com да е с блокчейн домейн. Щом е толкова прекрасно, може би ще го демонстрираш за останалите от нас :)

Васил Тошков

Име: Васил Тошков

Дата: 13.03.2015 09:53:12

Оценка: 4 / 5

Blockchain веригата решава и проблемът, който си описал. Тоест хакер да се представи и за сайта и за CA-то. Просто защото цялата верига се съхранява на клиентския компютър и няма как да бъде подправена.

Текущия сайт от няколко месеца е достъпен и на адрес http://cloxy.bit

За да го отвориш, ще трябва да избереш някой от методите, описани на тази страница: http://toshkov.com/dot-bit/

Не съм инсталирал сертификат на въпросния домейн, защото не смятам, че връзката към информационен сайт трябва да се криптира.

Но реално е същото като при стандартните домейни - инсталирам си самоподписан сертификат. Просто при децентрализираните домейни може да се вярва на самоподписаните, защото сме сигурни в крайната точка.

Васил Тошков

Име: Васил Тошков

Дата: 13.03.2015 09:59:39

Оценка: 4 / 5

Blockchain веригата решава и проблемът, който си описал. Тоест хакер да се представи и за сайта и за CA-то. Просто защото цялата верига се съхранява на клиентския компютър и няма как да бъде подправена.

Текущия сайт от няколко месеца е достъпен и на адрес http://cloxy.bit

За да го отвориш, ще трябва да избереш някой от методите, описани на тази страница: http://toshkov.com/dot-bit/...

Не съм инсталирал сертификат на въпросния домейн, защото не смятам, че връзката към информационен сайт трябва да се криптира.

Но реално е същото като при стандартните домейни - инсталирам си самоподписан сертификат. Просто при децентрализираните домейни може да се вярва на самоподписаните, защото сме сигурни в крайната точка.

Огнян Цонев

Име: Огнян Цонев

Дата: 13.03.2015 10:11:29

Оценка: 5 / 5

Тошко, не може да си сигурен във който и да е, ако всичката ти информация за него идва от него. както ти можеш да си генерираш блокчейн, така и аз мога за същия домейн. Не мисля че си прав, че това е решение.
Ти засегна в отговора си и един друг проблем, който вероятно не бях описал добре първоначално. Трябва да направиш нещо за да може да отваряш тези домейни. Повечето хора очакват като напишат паролата на wi-fi да имат интернет (под което разбират 'синьото Е'). Какво ли ще стане със твоят сайт ако го има само на .bit? Как ще го намерим?
Това са проблеми, който трябва да бъдат изчистени, а начините за изчистване обикновенно минават през някаква централизация.
Сигурен съм, че можем да продължим дискусията още, но мисля, че казаното е достатачно, а извода е, че аз като специалист не съм убеден, че инфраструктурата и хората са готови за промяна, както и самата технология не е готова за масова употреба.
За това следващия сайто който вдигам, ще е .com, а не .bit.
Моля те, когато масово децентрализираните домейни и блокчейните изместят сегашната централизирана система, да ми напомниш и ако е преди 2030-та, да те поздравя. Може и да те черпя бира! :)

Васил Тошков

Име: Васил Тошков

Дата: 13.03.2015 10:43:32

Оценка: 5 / 5

Добре, ще си говорим, но само бира няма да е достатъчна ;)

Прочети малко повече за Blockchain технологията. Съдейки по изказването което направи, не разбираш концепцията. Като можеш да си направиш своя верига, направи си в Bitcoin и стани милионер :) Аналогично е.

Проблемът с отварянето е най-малкият. Решенията са безброй, така че не го мисли. В момента в който някой голям торент или друг забранен сайт заложи на такъв домейн, всички ще намерят начини да ги отварят. А щом отваряш един, отваряш всички.

Процесът е необратим. Технологията вече съществува, лесна е, много по-просто е устроена от сегашните гимнастики и е много по-сигурна. Аз лично ще заложа на нея в повечето проекти, които стартирам. Предпочитам да съм early adopter, отколкото критик.

Огнян Цонев

Име: Огнян Цонев

Дата: 13.03.2015 11:30:19

Оценка: 4 / 5

Бира и вечеря тогава, последно предложение ;)
Litecoin и още 18 други са си направили вериги. Не е проблема във веригата, а в популярността и.
Аз не съм си настроил DNS-a и нямам намерение да го правя.
Концепцията ми е ясна, но не съм експерт.

Васил Тошков

Име: Васил Тошков

Дата: 13.03.2015 11:55:42

Оценка: 4 / 5

Съгласен! :) Според мен технологията ще стане масова още до 2021-ва някъде. Просто на всяко изобретение му трябват около 10 години, за да се изгради инфраструктура и да навлезе.

Най-вероятно тогава всички ще използват технологията без дори да знаят, че го правят. Примерно браузърите ще си комуникират P2P и ще си споделят само хедърите на веригата с подписаните домейни.

Ще поживеем и ще видим ;)

Васил Тошков

Име: Васил Тошков

Дата: 25.03.2015 14:37:58

Оценка: 5 / 5

Само 2 седмици след пускането на видеото и вече имаме атака срещу Google, породена от проблемите в SSL сертификатите, за които говорех. Повече информация:

http://arstechnica.com/security/2015/03/google-warns-of-unauthorized-tls-certificates-trusted-by-almost-all-oses/?comments=1

Дано Google осъзнаят каква абсурдна система се опитват да наложат. Система, внушаваща лъжливо усещане за сигурност. Ако и тази случка не ги разубеди, става ясно, че имат финансови (и не само) интереси зад намеренията си.

Spas Atanasov

Име: Spas Atanasov

Дата: 25.03.2015 15:57:19

Оценка: 4 / 5

Всичко това може да бъде обяснено по много по-добър, лесен и разбираем начин. А за доверието .. на 100% HTTPS е по-добре от HTTP. Истината е , че хубавите сертификати са скъпи :) .. и , че фишингите за които говориш са доста.

Добавяне на коментар