[Techinfo] letsencrypt vagy más megbízható tanúsítvány belső hálózatra

Alaksza Balázs johnny1107 at gmail.com
2017. Nov. 21., K, 12:05:46 CET


2017.11.21. 11:58 keltezéssel, Gyulai László írta:
> Miért baj az, hogy én tudok magamnak domaint regisztrálni bármilyen 
> néven, ami a regisztráció szabályainak megfelel? Ezzel tán az 
> ICANN-hoz kéne menni, a letsencryptnek mi köze van ehhez? És mi 
> alapján szelektálnál, hogy egy érvényes, regisztrált, _működő_ 
> domainemhez kérhetek-e tanúsítványt vagy nem? Az egyéb tanúsítvány 
> kiadóknál is gyakorlatilag arra megy ki az azonosítás, hogy tényleg 
> tiéd-e az a domain vagy nem. Vagy nem jól tudom? Ezt a letsencrypt 
> automatizáltan oldja meg, azaz feltételezi, hogy ha a domain a tiéd, 
> akkor azt csinálsz vele amit akarsz, és akkor amit küldtem azt tedd be 
> így ide a lapodon, ebből ki is derül hogy tényleg a tiéd. A 
> tanúsítvány lényege ez, nem? Azaz ha valaki felmegy a 0tpbank.hu 
> oldalra, és ott az érvényes tanúsítvány, akkor tudhatja hogy az nem a 
> Demjánék garázscége, hanem a valódi 0tpbank! :)
>

Épp ez az, hogy itt megteheted, hogy bemondásra GipszJakab néven nyitsz 
egy 0tpbank.hu oldalt lemásolva a valódi oldal design elemeit ahol a 
böngésző szépen kizöldül mint megbízható oldal és lenyúlhatod vele az 
ügyfelek mindenféle kódjait/adatait akik nem is nagyon gyanakodnak 
hiszen szép zöld minden, te meg szaladsz a pénzzel eléggé megnehezítve a 
valódi kiléted felkutatását.
Egy másféle szolgáltatónál nem csak egy visszaigazoló fájlt/emailt 
kérnek, hogy van-e hozzáférésed a domainhez hanem azért nem hiszik el 
bemondásra, hogy te vagy Gipsz Jakab, pláne egy ilyesmi domain esetében...


-- 
Alaksza Balázs



További információk a(z) Techinfo levelezőlistáról