Pokud půjdu na web banky a vyskočí mi varování, že se změnila identifikace serveru, rozhodně tuto hlášku neodkliknu, ale okamžitě zvednu telefon a zavolám do banky, a vše si ověřím.
Kdyby to tak dělali všichni, byl by tento útok o poznání složitější, neboť:
- útočník by musel přesměrovat DNS nebo komunikaci, případně mé hosts
- útočník by musel pozměnit webový prohlížeč, aby si neověřoval certifikáty
- a ještě by asi musel nainstalovat keylogger, aby nemusel online pozměňovat komunikační proud
A ktery prohlizec to oznamuje, ze se ZMENILA identifikace serveru, pokud je i novy certifikat stale vystaven nekterou z duveryhodnych autorit ?
Nicmene souhlasim - autor clanku se tvari, jako by SSL naprosto neexistovalo. Nerikam, ze je samospasitelne a vyresi vsechny mozne varianty utoku, ale nezminit se o nem vubec, to autorovi ke cti prilis neslouzi. Preci jen je trochu rozdil "jen" zmodifikovat HOSTS nez "opravit" prave ten konkretni browser (prave tu konkretni verzi) kterou zrovna vy pouzivate tak, aby certifikaty (ne)overoval tak jak utocnik potrebuje ...
A vy jste snad v predinstalovaneho seznamu v prohlizeci zanalyzoval, ktera z CA je duveryhodna a ty neduveryhodne vyradil ? U kolika z nainstalovanych CA znate vlastne certifikacni politiku, a tedy vite, co se zavazala pri vystavovani overovat ?
"Duveryhodnost" neni objektivni kategorie sam o sobe. Duvera je vec kontextova. Samotny fakt, ze by nekdo centralne dokazal rozhodovat, kdo je pro koho duveryhodny, kdyz nevime v co ma ona duvera byt osvedcovana zni dost pochybne.
Je pro vas Komercni banka duveryhodna firma ? Ano ? Takze byste si od ni nechal vyrobit nabytek do obyvaku ? Ja myslim, ze ne - vzdyt tomuhle vubec nerozumeji. Komercni banka je celkem duveryhodna banka, ale jako truhlari jsou na houby. Takze - patri tedy Komercni banka do seznamu duveryhodnych firem (aniz se zabyvame otazkou k cemu jsou duveryhodne) nebo nepatri ?
A s tim seznamem duveryhodnych CA to mate stejne. Vsechny jsou duveryhodne v tom smyslu, ze Microsoft veri, ze splni ci slibily. Ale vyhnul jste se me otazce - u kolika z nich jste vy prozkoumal co vlastne slibily a posoudil, zda to co slibuji staci pro ty ucely, pro ktere vy konkretne certifikaty pouzivate ?
