[Techinfo] letsencrypt vagy más megbízható tanúsítvány belső hálózatra

Gyulai László gyulail at turr.sulinet.hu
2017. Nov. 21., K, 13:52:34 CET


2017.11.21. 13:16 keltezéssel, Alaksza Balázs írta:
> 2017.11.21. 12:47 keltezéssel, Gyulai László írta:
>> Ezek alapján számomra még mindig nem bizonyított a letsencrypt 
>> megbízhatatlansága. 
>
> Én nem mondtam, hogy megbízhatatlan, hanem azt mondtam, hogy a helyén 
> kell kezelni, ne ringassa magát senki hamis ábrándokba hogy akkor most 
> ingyen lett az ami sokezerbe került eddig, ez is jó valamire, sőt 
> nagyon sokféle felhasználásra tökéletes,  csak nem mindenre és benne 
> van a csalás elősegítésének lehetősége.
>
"Előszöris a Let'sEncrypt és a megbízható tanúsítvány 2 egész távoli dolog"
Ez nálam eddig nem azt jelentette hogy megbízhatónak tartod, de legyen.

És már megint ez a csalás elősegítésének lehetősége, amit szerinted a 
letsencrypt csinál.
Nemrég kapott linkekből pl. a Comodo oldalán ez van:

" DV or Domain Validation

With the domain validation type of certificate visitors to the site will 
see the gold padlock as well as our Comodo Secure TrustLogo. This is a 
good visual indicator that a top Certificate Authority (CA) is verifying 
the domain is owned by the person or entity listed on WHOIS. In other 
words, the CA is stating that the domain is owned by the person or 
entity on record.

These are fast and simple to obtain and are available in minutes. Comodo 
offers the complete application online; you will just need to generate 
the applicable CSR (Certificate Signing Request) on the server. The 
encrypted text generated will be copied and pasted into the application 
to provide the necessary information.

This is a very low-cost option and is ideal for a company that is not a 
high volume ecommerce site or tends to work with a very small target 
audience. The certificate will not provide information about your 
company, which may be a concern to customers new to the website or those 
that are security conscious. "

Ez gyakorlatilag ugyanazt csinálja, mint a letsencrypt automatája. Ezek 
szerint a comodo is megbízhatatlan? A Symantec oldalán is hasonló van, 
akkor ők is? Ezek alapján ők is a csalás lehetőségét segítik elő.
Nem, nem megbízhatatlanok ők sem, csak a DV típusú cert ezt tudja, erre 
való. És így van ahogy írod, amire szánták arra tökéletesen funkcionál, 
és még mindig nem vagyok meggyőzve, hogy megbízhatatlanabb lenne a 
letsencrypt DV tanúsítványa mint a többi szolgáltató DV tanúsítványa.

Bevallom, eddig én sem voltam tisztában ezekkel a típusokkal, és 
szerintem az internetet használók jó része is így van vele, jó ha a zöld 
lakat és piros lakat közti különbséget felismerjük. Ezek után látható, 
hogy mennyire más értéke van a különböző típusú tanusítványoknak.

Ezek után még az merül fel bennem, hogy honnan lehet tudni egy 
meglátogatott weblap tanúsítványáról, hogy DV, OV vagy EV?

Próbáltam nézegetni a saját megkapott letsencryptest, meg az előbb 
linkelt 3 oldal tanúsítványait. A "tanúsítvány a következőkre lett 
ellenőrizve" pont alatt az enyémben csak "SSL kiszolgáló-tanúsítvány" 
szerepel, a többieknél "SSL ügyféltanúsítvány" és "SSL 
kiszolgáló-tanúsítvány" is, ezen kívül más jellemzőt nem vettem észre. 
Ezek szerint a DV erről ismerszik meg? és a másik két félét hogy lehet 
megkülönböztetni?

Ha ennyire "potenciálisan veszélyes" ez a DV tanúsítvány, akkor nem kéne 
valahogy a böngészőkben jelezni hogy milyen típus, hogy könnyebben 
lehessen egyeztetni a weblap jellegével? Mondjuk 3 féle zöld lakattal, 
vagy legalább erre a DV-re valami megkülönböztetést tenni?



További információk a(z) Techinfo levelezőlistáról