SSL tanúsítvány

Security-all

Sziasztok, miért van az, hogy az összes fontosabb magyar oldal ilyen SSL figyelmeztetést dob a böngészőmben?

  • 4594 megtekintés

( zwei | 2011. 10. 18., k – 14:37 )

Az e-szigno root CA-ja nincs felvéve a böngészőbe, mint megbízható legfelsőbb szintű tanusítvány.
Innentől kezdve, amit ezzel írnak alá, az szintén "megbízhatatlannak" minősül.

szerk: A böngészőkbe "gyárilag" belerakják a legelterjedtebb tanusító cégek root CA-ját - az e szigno nyilván nem ilyen. Ha zavar a figyelmeztetés, akkor a root CA-t kézzel is importálhatod (platform függő, hogy pontosan hogyan) és onnantól kezdve nem fog figyelmeztetni.

Értem én ezt. De ha egyszer ilyen self-signed szintű a hitelesítésük, akkor szerintem alá kéne irattatniuk őket a thawte-val, vagy valamelyik másik elismert szolgáltatóval. Tudom, kicsit kevesebb lenne úgy a profit. De ezeket a certiket a netlock (v mikrobi v ki) sem ingyen osztogatja, és szerintem ha a megrendelő egy állami intézmény, akkor nem várhatná el az ügyfeleitől, hogy a legbizalmasabb adatait egy olyan oldalra pötyögje be, amiről a böngésző direkte figyelmezteti, hoyg phish-gyanús. De mindez csak abban a világban lenne, ahol nem az "egy-két döntéshozót megkenünk oszt lapátoljuk a x*rt" a norma. Ahol például windows nélkül is lehetne elektronikus adóbevvallást készíteni.
Ezzel együtt üdvozlöm, ha az internet explorer 9 valóban hitelesnek fogadja el az e-szignó certjeit. Mennyien is örülhetnek, kb 5%?

"egy olyan oldalra pötyögje be, amiről a böngésző direkte figyelmezteti, hoyg phish-gyanús"

Nem, a böngésző nem arra figyelmezteti, hogy phys gyanús, csak arra, hogy a tanusítvány root certje ismeretlen a böngésző számára. Tök más a két dolog.

"Ezzel együtt üdvozlöm, ha az internet explorer 9 valóban hitelesnek fogadja el az e-szignó certjeit. Mennyien is örülhetnek, kb 5%?"

Mivel nem tudni, hogy a topic író milyen oprendszerrel/browserrel tapasztalta a dolgot, ezért nem állítható, hogy csak windows-on ismert az e-szignó certje. Simán lehet, hogy más oprendszer más böngészője is ismeri. Az IE9-et azért írtam, mert személyes tapasztalat, hogy azzal jó. (Lehet, hogy azon belül is csak a magyar verzió ismeri - nem tudom.)

Hááát, ez kényes téma, talán emlékszünk még, hogy a ffox 5 is mit össze balfaszkodott ezzel kapcsolatosan. A tpic író sic nem rugózik tovább a témán, csak rögzíti, hogy 1) chrome sem ismeri ezt a CA-t, 2) nem arra figyelmeztet, hogy "lehet, hogy nincs installálva a kibocsátó aláírása" hanem arra, hogy ez gyanús és inkább húzz a faxba.

Látom nem új a téma: http://hup.hu/node/103754

( lzskiss | 2011. 10. 18., k – 18:10 )

microsec supportnak tedd fel udvariasan a kérdést.
kiváncsi vagyok mit válaszolnak.:)

OpenBSD 4.9/i386 theo for the prezident:D

( qmi | 2011. 10. 18., k – 18:46 )

hanyas verzioju chrome bongeszot hasznalsz? nalam benne van ez a CA a hitelesitett tanusitvanykiadok kozott. alapbol venne volt. gond nelkul bejon az oldal. chrome verzio nalam 14.0.835.202 .

--
qmi - Linux/FreeBSD SysAdm

( zeller | 2011. 10. 18., k – 19:17 )

Mert ők a magyar jogszabályoknak megfelelően választottak CA-t. A taft meg a feriszájn, meg a hasonló nem magyarországi CA-k jelentős része nincs benne ebben a körben.