Ktoś przedstawia certyfikat, przysyła czy na stronie jest. Skąd mam mieć
pewność, że jest prawdziwy? Bo jest podpisany przez jakieś centrum zaufania
ich kluczem... Ale skąd mam pewność, że to faktycznie centrum podpisało?
Przecież w sieci może być jakiś sniffer przechwytujący pakiety do mnie i to
w rzeczywistości haker teoretycznie mógłby podsyłać mi te wszystkie
certyfikaty i ich poświadczenia odpowiadając na moje żądania o sprawdzenie,
tak czy nie?

Piotr [trzykoty] pisze:
> Ktoś przedstawia certyfikat, przysyła czy na stronie jest.
Dostajesz certyfikat od serwera z którym się łączysz na etapie
nawiązywania połączenia.
> Skąd mam mieć pewność, że jest prawdziwy?
Nie możesz. Możesz mieć tylko nadzieję, że tak jest ;) (Popartą
odpowiednio niskim prawdopodobieństwem, że uda się go sfałszować.)

> Przecież w sieci może być jakiś sniffer przechwytujący pakiety do mnie i to
> w rzeczywistości haker teoretycznie mógłby podsyłać mi te wszystkie
> certyfikaty i ich poświadczenia odpowiadając na moje żądania o sprawdzenie,
> tak czy nie?
Tak, przy czym haker raczej by się w coś takiego nie bawił, bo i po co?
Nic odkrywczego/rozwijającego w atakach "man in the middle" nie ma.

Procedura zazwyczaj wygląda tak, że łącząc się ze stroną (bo zakładam,
że głównie o to Ci chodzi) pierwszy raz twoja przeglądarka prosi Cię o
sprawdzenie certyfikatu i pyta, czy mu ufasz. Jeżeli tak, to zapisuje
ten certyfikat, któremu *ty* zaufałeś i za każdym razem sprawdza, czy
certyfikat otrzymany zgadza się z tym zapamiętanym.

Jak chcesz mieć względną pewność to certyfikat otrzymany osobiście od
administratora powinieneś przynieść sobie na płycie i samodzielnie dodać
do zaufanych.

On 2009-01-14, Piotr [trzykoty] <rzykoty_WYTNIJ_TO_> wrote:
> Bo jest podpisany przez jakieś centrum zaufania ich kluczem...
> Ale skąd mam pewnoś´c, ze to faktycznie centrum podpisalo?

No wlaśnie: przeglądarka/system ma baze zaufanych zaufanych urzedów i
jak dostaje taki certyfikat, to sprawdza czy podpis sie zgadza.

> Przeciez w sieci moze by´c jakiś sniffer przechwytujący pakiety do mnie i to
> w rzeczywistości haker teoretycznie móglby podsyla´c mi te wszystkie
> certyfikaty i ich poświadczenia odpowiadając na moje ządania o sprawdzenie,
> tak czy nie?

Tak wprost nie, musialby zlama´c klucz takiego urzedu. Istnieje tez inne
niebezpiecze´nstwo, ze przechwytując Twój ruch podrzuci np. swojego
firefoxa, który bedzie mial dodany certyfikat tegoz hackera jako
zauwafny, ale to juz jest dalej idący atak, niz zwykle przechwycenie
sesji SSL.

On 2009-01-15, Marek Marczykowski <marmarek> wrote:
> On 2009-01-14, Piotr [trzykoty] <rzykoty_WYTNIJ_TO_> wrote:
> Tak wprost nie, musiałby złamać klucz takiego urzędu. Istnieje też inne
Jakby niedawno okazało się, że nie musiałby.
http://www.links.org/?p=477
https://blog.startcom.org/?p=145

Michoo <michoo_news> writes:

> Nic odkrywczego/rozwijającego w atakach "man in the middle" nie
> ma.

Zebys sie nie zdziwil - to bardzo ciekawe i subtelne ataki.

> Procedura zazwyczaj wygląda tak, że łącząc się ze stroną (bo zakładam,
> że głównie o to Ci chodzi) pierwszy raz twoja przeglądarka prosi Cię o
> sprawdzenie certyfikatu i pyta, czy mu ufasz.

Watpie. Przegladarka sprawdza raczej lancuch certyfikatow i albo
wyswietla brzydkie ostrzezenia, jesli cos jest nie tak, albo nic
takiego nie wyswietla.

> Jak chcesz mieć względną pewność to certyfikat otrzymany osobiście od
> administratora powinieneś przynieść sobie na płycie i samodzielnie
> dodać do zaufanych.

Pewnosci calkowitej to to nie da, ale zapewne bedzie lepsze. Tyle ze
co z tego, ze dodasz ten certyfikat, jesli inny, "lewy" certyfikat nie
bedzie powodowal zadnej reakcji przegladarki?

W miejscach o nieco wyzszych wymaganiach tego typu uzywa sie wlasnych
urzedow certyfikujacych oraz nie uzywa sie (usuwa sie) wszystkie, albo
prawie wszystkie "zwykle" CA z przegladarek itp.

Krzysztof Halasa <khc> wrote:
> Watpie. Przegladarka sprawdza raczej lancuch certyfikatow i albo
> wyswietla brzydkie ostrzezenia, jesli cos jest nie tak, albo nic
> takiego nie wyswietla.

Zawsze mozna samemu sprawdzi´c. Albo wywali´c wszystkie RootCA
i dopisywa´c tylko wybrane certyfikaty konkretnych serwisów
jako zaufane. Ale to juz chyba lekka paranoja.

Piotr Auksztulewicz <wyciep.to> writes:

>> Watpie. Przegladarka sprawdza raczej lancuch certyfikatow i albo
>> wyswietla brzydkie ostrzezenia, jesli cos jest nie tak, albo nic
>> takiego nie wyswietla.
>
> Zawsze można samemu sprawdzić.

Tyle ze to jest malo skuteczne, niestety. Wlasciwie to nie jestem
pewien czy zmiana certyfikatu w czasie "sesji" (ale na poprawny)
bylaby w ogole sygnalizowana. Nie chce mi sie jednak robic testu,
bo to bez znaczenia.