A Microsoft mostantól támogatja a StartCom tanúsítványait

Titkosítás, biztonság, privát szféra

A StartCom - amely egyebek mellett ingyenes tanúsítványt is kiad - tegnap bejelentette, hogy az általa (StartCom Certification Authority) kibocsátott digitális tanúsítványok mostantól teljesen megbízhatóak és legitimek a Microsoft alkalmazásokban - például a Microsoft Outlook-ban és a Microsoft Internet Explorer-ben. Ez annak köszönhető, hogy a Microsoft nemrég felvette a StartCom-ot a Microsoft Root Certificate Program-jába, frissítette a megbízható root tanúsítványok listáját és a frissítést terjesztette a Windows felhasználók milliói számára. A bejelentés itt olvasható.

Én úgy tudom, hogy már évek óta.

Szerk:

"2006-10-24 [...] But today - with the release of the new Firefox web browser - marks the first time, that free digital certification (provided by StartCom) is supported and trusted by a major browser vendor with a significant market share."

--
trey @ gépház

Ígérték, hogy visszajeleznek az ellenőrzés átmeneti kikapcsolásának megoldhatóságával kapcsolatban, de aztán ez nem történt meg, úgyhogy annyit csináltam, hogy a webszerveremen elkezdtem szűrni a kéréseket az "exploitokra" és ha Googlebot-tól érkezik rá kérés, akkor dobok neki egy 403-at. Ezzel lényegében megkerültem az ellenőrzésüket és a Google Safe Browsing oldal a továbbiakban nem tart veszélyesnek, a StartCom pedig kibocsátotta a tanúsítványt... ;)

Az egész PKI témát egyébként emiatt kicsit komolytalannak is gondolom. Sikerült úgy készítenem egy tanúsítványt, hogy se a domain nincs a nevemen, se a certificate igényléshez nem adtam meg semmiféle valós adatot.

Innentől kezdve felmerül a kérdés bennem, hogy mi különbség lenne, ha ezt egy feltört dns vagy levelező szerverrel (és a hozzá tartozó domainjaival) játszom el?

Kiváncsi leszek egyébként, hogy a nagy security celebek (mint Moxie meg Daminsky) mikor fogják ezt a problémát nagy hype közepette megpendíteni, mert jelenleg akár még fel se kell törni hozzá semmit, elég ha a levelező szerver forgalmát sniffelni tudja valaki és máris képes hiteles tanúsítvány igénylésére a domainhez...

Tudom, hogy emiatt találták ki az Extended Validation-t, de ez az átlag felhasználókon nem segít. Ők nem fogják észrevenni a különbséget (vagy ha észre is veszik, nem tulajdonítanak neki jelentőséget), ha nem pattan az arcukba a figyelmeztetés, hogy nem hiteles a cert, csak simán bejön az oldal, akkor ők használni fogják és kész. Ráadásul egy csomó oldalon most sincs EV és rengeteg CA nem is képes olyan tanúsítványok kiállítására. (Pl. a NetLock közjegyzői Class A certificate sem az és más hazai CA-k sem állítanak ki ilyen jellegű tanúsítványokat. A Microsec sem, akik az összes kormányzati szerverhez és közigazgatási elektronikus iratkezelőhöz bocsátanak ki "hitelesített" tanúsítványokat. Nesze neked nemzetbiztonság...)