SSL

axa ssl fail

Most már egyébként csak a https://axa.hu nem jó.

Aztán csodálkozunk, hogy ennyi átbaszás van, mikor ilyen alapvető problémák vannak. A user meg eldönti, hogy

a) nem használja a szolgáltatást
b) meggyőzi magát, hogy csak az üzemeltető baszott el valamit, és bevállalja, hogy talán le lesz nyúlva

Pick your poison. Ez így, ebben a formában 2 fillért nem ér.

( uid_7086 | 2013. 12. 28., szo – 21:28 )

1. Engem az axa.hu átdob a https://www.axa.hu címre, ha nem https://axa.hu-t írok be.
2. Az a cert sem igazán jó, a FF mellé tesz egy felkiáltójelet, mert "This website does not supply ownership information."

Asszem, hogy az ownership infokhoz EV cert kellene, az meg iszonyuan-mocskosan-kurvadraga, jellemzoen inkabb olyan helyre teszik, ahol tenyleges penzmozgas is folyik. Ha jol lattam, az ibanq.axabank.hu oldallal nincs semmilyen tanusitvanygond - raadasul teljesen masik tanusitvany vonatkozik ra -, az axa.hu pedig elsosorban informacios site, nem tobb. Az persze tenyelg fassag, hogy a tanusitvany nem jo az axa.hu -ra.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

( zeller | 2013. 12. 28., szo – 21:36 )

A *.axa.hu cert természetesen nem jó a axa.hu oldalra, ott azért panaszkodik a böngésző, a www.axa.hu viszont teljesen korrekt - jó kérdés, hogy mi volt a böngésződ panasza?

"ez amúgy miért természetes?"

Azért mnert! Mondhatnám, hogy RTFM, de inkább elmagyarázom.
A *.axa.hu mindenre jó, még a pöttyöslófsz.axa.hu-ra is, csak éppen az axa.hu-ra nem. A *. feltételezi, hogy van az axa előtt egy pont, és még az előtt is van valami.

Aki balf@sz volt, az vagy az axa, aki így kérte, vagy a netlock, aki kiadta, és nem kérdezett rá - vagy rákérdezett, de nem magyarázta el, vagy nem értették meg, hogy ez mitől lesz így szar.

Más szolgáltatóknál (pl. startssl) természetes, hogy minden kiadott tanúsítványvan alternate name-ként szerepel a "meztelen" domain )jelen példában az axa.hu), és akkor nem reklamálna. Sőt, ha wildcard tanúsítványt kér az ember, akkor is ott van. Sőt, ha olyan tanúsítványt kér a zember, hogy *.valami.tld és *.akarmi.tld, akkor a *.valami.tld a CN-be kerül, a *.akarmi.tld, a valami.tld és az akarmi.tld pedig alternate name-bejegyzésben lesz felsprolva, így nem reklamálnak rá a böngészők.

Ergo: a böngésző csak teszi a dolgát, amit RFC szerint elvárnak tőle, aki meg üzemelteti az oldalt, egy f@sz.
--
PtY - www.onlinedemo.hu

Sok bajom nincs a NetLock-kal, de ha tényleg képtelenek alternate nevet adni, akkor nem kell a NetLocktól venni tanúsítványt.

Összehasonlításképpen:
NetLock Class C szervertanúsítvány pl. www.xxx.yyy-ra alternate name nélkül 20k HUF/db 1 évre.
StartSSL Identity validation 60$ ezt követően Organization validation további 60$ - ez jelenleg kb. 25-30k HUF. Ezért annyi tanúsítványt gyártasz annyi alternate name-mel és annyi wildcarddal, aminnyit nem szégyellsz, és mindegyiket két évre kapod, ráadásul Class 2-est (NetLock Class B-vel egyenrangú).

Mindenki döntse el, hogy ár/érték viszonylatban mi a jó.
--
PtY - www.onlinedemo.hu

A minek a jogi hátterének?
A fentiekkel kapcsolatban elég sok tárgya lehet a mondatodnak.
Ám ha konkrétumokra hivatkozol, szívesen megnézem.
Pl.
- Milyen jogi akadálya van annak, hogy a NetLock alternate name mezőt használjon?
- Milyen jogkövetkezménnyel kell számolni, ha valaki EU-n belül nem EU-s cég tanúsítványával hitelesíti magát?
A VeriSign EU-s cég? Az OTP ilyen tnúsítványt használ. (jah, ebben sincs alternate name... :D)
--
PtY - www.onlinedemo.hu

Csak fejből, szal lehet pongyola lesz, de olyan izémizékhez, aminek köze van a magyar államhoz (tippelem, hogy ebbe beleesnek a banki szolgáltatások szabályozásai) olyan tanusítvány kell, ami magyar állambácsi szerint is jó. Az meg emékeim szerint a netlock, a mávinfó meg mégvalaki, aki itthon tud QA tanusítványt adni (ami ugye közjegyző előtt személyesen)...

Ha ezt veszem alapul, a bankok zöme szarul értelmezi.

Citi, OTP - VeriSign zöld (EV)
Erste, Raiffeisen, FHB, MKB, AXA - Netlock Class B
BudapestBank - VeriSign Class 3

Szóval gáz. Főleg a natbank üzleti Class B-n... Vagy a szabályzás szar, vagy az értelmezése, vagy az egész.
Mindettől függetlenül úgy látom - magánvélemény -, hogy az OTP-n és a Citin kívül mindenki szar tanúsítványt használ. Ez a kettő viszont EU-n kívüli minősítéssel rendelkezik. Ilyenkor mi van?
--
PtY - www.onlinedemo.hu

"nem biztos, hogy a netbankon is ezek vannak."
Pedig leírtam, de akkor itt van néhány link:

https://netbank.erstebank.hu/sso/UI/Login?realm=/netbank&service=Netban…
https://direktnet.raiffeisen.hu/rai/direktnet/home.do
https://www.ib.fhb.hu/bfo.channel.web/bfo/channel/web/loginframe.jsp?lo…
https://ibanq.axabank.hu/Login?ReturnUrl=%2f

Kivétel egyedül az MKB, nekik a Netbankon EV van, COMODO CA-val hitelesítve.
A BudapestBanknak ugyanaz a Class 3-as VeriSign van a webbankján is.

--
PtY - www.onlinedemo.hu

2001. évi XXXV. törvény az elektronikus aláírásról

2. §
18. Minősített hitelesítés-szolgáltató: az e törvény szabályai szerint nyilvántartásba vett, minősített tanúsítványt a nyilvánosság számára kibocsátó hitelesítés-szolgáltató.

http://nmhh.hu/cikk/150910/Elektronikus_alairassal_kapcsolatos_nyilvant…

( hrgy84 | 2013. 12. 31., k – 12:08 )

Irtam nekik FaceBookon, es az alabbi valasz jott:

Kedves Garami Gábor!

Köszönjük észrevételét! A problémát, és annak elhárítására tett javaslatát továbbítottuk IT-s kollégáink felé a mielőbbi megoldás érdekében.
Üdvözlettel:
AXA Biztosító

-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Nem szamitok semmire. Irtam nekik, reagaltak, mivel relevans volt, megosztottam. A sztorinak reszemrol itt vege is van, ha update van, megint bemasolom.

Egyebkent a mai vilagban mar az is nagy kincs, hogy reagalnak social network megkeresesre. Tolem ezert mar jar a respect.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.