Спонсор: Профессиональный прокси socks 4/5 сервис

После того, как я у себя обновил Firefox до третьей версии, он периодически стал ругаться при открытии некоторых сайтов на неправильный сертификат и навязчиво предлагать «Уходим отсюда!». Приходится его успокаивать, внося данный сайт в список исключений.

Untrusted

Данная ошибка связана с тем, что многие сайты используют криптографический протокол SSL (Secure Sockets Layer — протокол защищённых сокетов) для безопасной передачи данных по HTTP. Для доступа к страницам, защищённым протоколом SSL, в URL вместо обычного префикса http, как правило, применяется префикс https (порт 443), указывающий на то, что будет использоваться SSL-соединение. Для поддержки веб-сервером https соединений, его администратор должен получить и установить SSL-сертификат, который обычно выдаётся за определённую стоимость компанией-сертификатором. SSL-сертификат должен быть подписан компанией-сертификатором, и это гарантирует, что держатель сертификата является именно тем за кого себя выдаёт. Как правило защищённые https соединения используются при передаче конфиденциальной информации (например, номеров кредитных карт).

Некоторые сайты в целях экономии используют собственные сертификаты, которые сами же и подписывают, что с точки зрения Firefox является не совсем безопасным решением, и как правило он на них тоже ругается :)

Стоимость SSL-сертификатов у различных компаний-сертификаторов колеблется весьма значительно (от 15 до 250 долларов США за самый простой сертификат), я склонен считать, что это в основном зависит от авторитета и надёжности той или иной компании.

Постовой: Фотограф в Алматы

5 комментариев на запись “SSL и SSL-сертификаты”

  1. Пользователь ЭФНО пишет:

    Одна из причин, по которой еще может такое даваться, если Ваш антивирус перехватывает SSL-соединения, расшифровывает их, проверяет в потоке, шифрует своим ключом и отдает клиенту. Man-in-middle технология.
    Такое например у KIS используется. Естественно сертификаты неродные от сервера, а сертификаты от Касперского.

  2. nurlan пишет:

    Понятно, у меня KIS не стоит, получается другого способа перехвата SSL трафика нет. А как в таком случае можно проверить нормальный сертификат ли используется?

  3. Пользователь ЭФНО пишет:

    Ну не только KIS умеет анализировать зашифрованный трафик. Просто мы раньше общались по поводу него вот и вспомнилось.
    А с проверкой сертификатов правда проблема, нужно смотреть на того кто выдал сертификаты и срок действия. Боюсь у меня нет алгоритма по выявлению «левых сертификатов».
    можно на mozilla-russia.org поспрашивать кто как относится к этому нововведению и есть ли способы отфильтровывать «левые» сертификаты.
    В любом случае сертификат может купить любой, просто в большинстве организаций это стоит денег и не все на это тратятся.

  4. nurlan пишет:

    Я про то, что если KIS подменяет оригинальный сертификат на собственный, то оригинальный уже никак не проверить.
    Для проверки у Firefox думаю есть список доверенных компаний-сертификаторов.
    Навскидку Thawte достаточно часто встречается, думаю, что ему точно можно доверять.

  5. Пользователь ЭФНО пишет:

    А ну да, если КИС или его аналог подменил, то да проверить не получится. Жаль. С другой стороны трафик проверяется на вирусы. Даже подписанный трафик надо проверять и не доверять сертификатам ИМХО

Оставить комментарий