Új hozzászólás Aktív témák

• #15983 dqdb Topikgazda Sk8erPeter #15980

  Új Válasz 2012-03-23 22:09:43 #15983

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  dqdb

  Topikgazda

  válasz Sk8erPeter #15980 üzenetére

  ami Windows-on Internet Explorerrel kerülne a gépre, és amihez ezek szerint az Opera nem fér hozzá
  Pont azt írtam, hogy hozzáférne, ha használni szeretnék.

  Maga a tanúsítványtár nem egy bonyolult dolog: személyes tanúsítványok (amihez privát kulcs is tartozik), szerver tanúsítványok és CA tanúsítványok alkotják, pártucat fájl/blob összessége, amit valamilyen szinten (a privát kulcsot eléggé) védeni kell. Erre nincsen szabvány, mindenki olyan felépítésű és tárolási módszerű tanúsítványtárat készít magának, ahogyan jól esik, ezért aztán boldog-boldogtalan gyárt magának, aztán felhasználóként győzd az egyedi bejegyzéseidet szinkronban tartani az összes rendszerben.

  A Windowsokon rendelkezésre áll CryptoAPI-n keresztül felhasználói és rendszerszintű tanúsítványtár, amelyet az alkalmazásokat használhatnak (a certmgr.msc parancs futtatásával a felhasználói tárat tudod megnyitni). Az Internet Explorer és az összes Microsoft program ezt használja, valamint több 3rd party program is. Ezt a tárat vagy kézzel, vagy kóddal tudod módosítani, de a CA-kat érintő frissítések (új root/intermediate CA, CA visszavonása) Windows Update-en keresztül is érkezhetnek akár.

  Az Opera (amikor legutoljára néztem, a Firefox szintén) nem használja Windows alatt a fenti lehetőséget, ők saját, az OS-től független tanúsítványtárat hoztak létre, amelyet csak és kizárólag az Opera kezel/lát, más nem. Ez a tár akkor módosul, ha te kézzel felveszel valamit, vagy az Opera egyik frissítése felvesz/töröl bejegyzést. Ha az Opera lassan lép, akkor szívni fogsz, és kézzel veszed fel a kivételeket. Jónak tűnő megoldás lenne, ha Windows alatt az Opera tanúsítványtáráé lenne a prioritás (személyes tanúsítványokat csak abban kezelne), de CA és root CA tanúsítványokért - ha önmagánál nem találta - kinyúlna a CryptoAPI tanúsítványtára felé. Persze ellenérvként azonnal fel lehet hozni, hogy az Opera biztonságát így egy tőlük teljesen független entitás biztonsága is befolyásolná, de a tapasztalatok azt mutatják, hogy ilyen téren a Microsoft gyorsabban lép, mint az Opera.

  A Chrome megoldását nem ismerem, nem néztem meg soha.

  A sok "ismeretlen" tanúsítvány, főleg az olyanok, amelyek már évek óta élő fokozott és minősített magyarországi CA-kból származnak, a böngészőgyártók (és nem a CA üzemeltetők) sara szerintem. Van uniós nyilvántartás, minden országban megfelelő törvényi minősítési háttér, aminek meg kell felelni, miért nem veszik fel ezeket a CA-kat automatikusan a böngészőkbe, miért kell arra várni, hogy sokan reklamálnak, és egyszer talán bekerül? Ha egy oldal olyan ügyes/smucig, hogy self-signed root certificate-et vagy azzal kibocsátott SSL tanúsítványt használ a biztonságérzet megteremtésére (nem ugrik be, melyik nagyobb magyar oldal követte ez el ...), akkor az más helyzet, amiatt nem szólok, az az adott site üzemeltetőjének a sara, nem a böngészőgyártóé.

  tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek

Új hozzászólás Aktív témák