2017.11.21. 13:16 keltezéssel, Alaksza Balázs írta:
2017.11.21. 12:47 keltezéssel, Gyulai László írta:
Ezek alapján számomra még mindig nem bizonyított a letsencrypt
megbízhatatlansága.
Én nem mondtam, hogy megbízhatatlan, hanem azt mondtam, hogy a helyén
kell kezelni, ne ringassa magát senki hamis ábrándokba hogy akkor most
ingyen lett az ami sokezerbe került eddig, ez is jó valamire, sőt
nagyon sokféle felhasználásra tökéletes, csak nem mindenre és benne
van a csalás elősegítésének lehetősége.
"Előszöris a Let'sEncrypt és a megbízható tanúsítvány 2 egész távoli dolog"
Ez nálam eddig nem azt jelentette hogy megbízhatónak tartod, de legyen.
És már megint ez a csalás elősegítésének lehetősége, amit szerinted a
letsencrypt csinál.
Nemrég kapott linkekből pl. a Comodo oldalán ez van:
" DV or Domain Validation
With the domain validation type of certificate visitors to the site will
see the gold padlock as well as our Comodo Secure TrustLogo. This is a
good visual indicator that a top Certificate Authority (CA) is verifying
the domain is owned by the person or entity listed on WHOIS. In other
words, the CA is stating that the domain is owned by the person or
entity on record.
These are fast and simple to obtain and are available in minutes. Comodo
offers the complete application online; you will just need to generate
the applicable CSR (Certificate Signing Request) on the server. The
encrypted text generated will be copied and pasted into the application
to provide the necessary information.
This is a very low-cost option and is ideal for a company that is not a
high volume ecommerce site or tends to work with a very small target
audience. The certificate will not provide information about your
company, which may be a concern to customers new to the website or those
that are security conscious. "
Ez gyakorlatilag ugyanazt csinálja, mint a letsencrypt automatája. Ezek
szerint a comodo is megbízhatatlan? A Symantec oldalán is hasonló van,
akkor ők is? Ezek alapján ők is a csalás lehetőségét segítik elő.
Nem, nem megbízhatatlanok ők sem, csak a DV típusú cert ezt tudja, erre
való. És így van ahogy írod, amire szánták arra tökéletesen funkcionál,
és még mindig nem vagyok meggyőzve, hogy megbízhatatlanabb lenne a
letsencrypt DV tanúsítványa mint a többi szolgáltató DV tanúsítványa.
Bevallom, eddig én sem voltam tisztában ezekkel a típusokkal, és
szerintem az internetet használók jó része is így van vele, jó ha a zöld
lakat és piros lakat közti különbséget felismerjük. Ezek után látható,
hogy mennyire más értéke van a különböző típusú tanusítványoknak.
Ezek után még az merül fel bennem, hogy honnan lehet tudni egy
meglátogatott weblap tanúsítványáról, hogy DV, OV vagy EV?
Próbáltam nézegetni a saját megkapott letsencryptest, meg az előbb
linkelt 3 oldal tanúsítványait. A "tanúsítvány a következőkre lett
ellenőrizve" pont alatt az enyémben csak "SSL kiszolgáló-tanúsítvány"
szerepel, a többieknél "SSL ügyféltanúsítvány" és "SSL
kiszolgáló-tanúsítvány" is, ezen kívül más jellemzőt nem vettem észre.
Ezek szerint a DV erről ismerszik meg? és a másik két félét hogy lehet
megkülönböztetni?
Ha ennyire "potenciálisan veszélyes" ez a DV tanúsítvány, akkor nem kéne
valahogy a böngészőkben jelezni hogy milyen típus, hogy könnyebben
lehessen egyeztetni a weblap jellegével? Mondjuk 3 féle zöld lakattal,
vagy legalább erre a DV-re valami megkülönböztetést tenni?
_______________________________________________
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
