«
»

2011-12-04 SSL

by Vasil Kolev

Обичам CaCert.

Хората си дават сертификати просто ако domain-а си е твой, работят съвсем правилно, има ги в достатъчно дистрибуции (може би ги няма в IE, ама това си остава проблем на хората, които го ползват). Тия дни подкарах сертификати на cassie, най-вече за базата данни, която правихме вчера на hackaton-а, днес слагам на marla за няколко vhost-а и може някой хубав ден да мина всичко само на https.

Всичко трябва да се криптира. Защо – вижте “Spy Files” в wikileaks.

Update: Понеже съм забравил да го напиша – тези сертификати са само за УДОБСТВО, да не свети на повечето хора на browser-ите, че има проблем (или поне на тези, които признават cacert). Напълно осъзнявам, че целия модел на сертификатите в момента не струва и не може да се разчита на него и ползвам cacert защото 1) са удобни за ползване (вместо сам да си правя CA) и 2) защото поне на ubuntu-вските browser-и това си работи (т.е. има го root-а им в ca-certificates пакета).

Важната част е SSL-а, който също си има своите много проблеми, но е поне някакъв вариант за сигурност и за криптиране, т.е. стъпка в някаква хубава посока.

This entry was posted on Sunday, December 4th, 2011 at 13:07 and is filed under General. You can follow any responses to this entry through the RSS 2.0 feed. You can skip to the end and leave a response. Pinging is currently not allowed.

15 Responses to “2011-12-04 SSL”

  1. LordDoskias Says:
    December 4th, 2011 at 14:27

    FF 8 изквича за невалиден cert и трябваше да добавя exceptions, а thunderbird 8 отказа да зареди RSS на блога ;\

  2. Vasil Kolev Says:
    December 4th, 2011 at 14:36

    @LordDoskias, под каква OS си?

  3. LordDoskias Says:
    December 4th, 2011 at 14:36

    Под Win 7 x64. Като импортнах root CA нямаше проблем

  4. Данчо Says:
    December 4th, 2011 at 14:47

    FF8, Ubuntu – също реве

  5. Vasil Kolev Says:
    December 4th, 2011 at 14:49

    @Данчо, странно – при мен в ubuntu-то го има тоя сертификат.

  6. Иван Says:
    December 4th, 2011 at 15:09

    За съжаление май ги няма и във FireFox 8.0.1 .
    Напълно безсмислено е да взимаш сертификат от външен авторитет, при положение че наскоро доста от авторитетите се издъниха. Особенно подозрително е когато ти го издават безплатно, нали знаеш “Ако не си плащаш за продукта, то продуктът си ти”.
    В този смисъл, самоподписан сертификат ти дава доста повече сигурност, и ще имаш същите проблеми с brower-ите, както и със сегашния ти сертификат.

    P.S. Оправи си първия линк s/og/org

  7. Пейо Says:
    December 4th, 2011 at 15:47

    Зависи къде в дистрибуцията го има. Всяко приложение си има политика кои да са му доверените удостоверители и каква е процедурата да се включи сред тях. При мен (Firefox на Fedora 15) CaCert не е сред доверените удостоверители.

    На твое място бих оставил RSS-а по http.

  8. Божо Says:
    December 4th, 2011 at 15:49

    Потвърждавам – маймунту 11.10 и с firefox и с chrome реве.

  9. Дончо Says:
    December 4th, 2011 at 18:24

    Chrome, Mac OS, сертификата е кофти :).

  10. nickysn Says:
    December 4th, 2011 at 18:37

    Мда, и на мене Fedora-та не го харесва този сертификат.

    Проучих набързо въпроса и изглежда, че Red Hat Legal имат проблем със следния текст от root redistribution license-а:

    THIS LICENSE SPECIFICALLY DOES NOT PERMIT YOU TO RELY UPON ANY CERTIFICATES ISSUED BY CACERT INC. IF YOU WISH TO RELY ON CERTIFICATES ISSUED BY CACERT INC, YOU MUST ENTER INTO A SEPARATE AGREEMENT WITH CACERT INC.

    където “RELY” е дефинирано в същия документ като:

    “RELY” means the human act in taking on a risk or liability on the basis of the claim(s) bound within a certificate issued by CAcert.

    С други думи излиза, че ти забраняват да поемаш рискове, вместо просто да кажат, че не носят отговорност, ако го направиш.

    http://www.cacert.org/policy/RootDistributionLicense.php

    https://bugzilla.redhat.com/show_bug.cgi?id=474549

  11. Vasil Kolev Says:
    December 4th, 2011 at 19:01

    Понеже съм забравил да го напиша (ей-сега ще го сложа и в самия post) – тези сертификати са само за УДОБСТВО, да не свети на повечето хора на browser-ите, че има проблем (или поне на тези, които признават cacert). Напълно осъзнявам, че целия модел на сертификатите в момента не струва и не може да се разчита на него и ползвам cacert защото 1) са удобни за ползване (вместо сам да си правя CA) и 2) защото поне на ubuntu-вските browser-и това си работи (т.е. има го root-а им в ca-certificates пакета).

    Важната част е SSL-а, който също си има своите много проблеми, но е поне някакъв вариант за сигурност и за криптиране, т.е. стъпка в някаква хубава посока.

  12. Христо Дешев Says:
    December 5th, 2011 at 09:51

    При мен трябваше ръчно да активирам CaCert сертификатите във Firefox и Chrome (с Ubuntu Natty съм), за да спрат да квичат всеки път.

    Инфо за Firefox:
    https://wiki.ubuntu.com/CAcert

    и за Chrome:
    http://blog.avirtualhome.com/2010/02/02/adding-ssl-certificates-to-google-chrome-linux-ubuntu/

    Не знаех за CaCert! Засърбяха ме ръцете да си сменя всичките самоиздадени сертификати, че да не ми пищят браузърите повече. Благодаря!

  13. Peter Pentchev Says:
    December 5th, 2011 at 12:52

    По принцип от известно време насам ми се струва, че за един-два сертификата на домейн поне малко по-добро решение е StartCom със StartSSL – https://www.startssl.com/ – тях май малко повече браузъри ги познават от раз.

    Иначе съм напълно съгласен с “важното е SSL-ът, важното е да се криптира”.

  14. Vasil Kolev Says:
    December 5th, 2011 at 13:10

    @Пенчев, cacert-ът нищо не обещава, а startssl бяха ги hack-нали наскоро :) Да не говорим колко много по-удобни са cacert :)

  15. Ico Says:
    December 7th, 2011 at 16:24

    Debian x86_64 (testing) с Chromium 14.0 и Opera 11.60 няма ядове

Leave a Reply