כשנכנסים לאתרים כמו אתרי בנקים, או אתרי מסחר, רואים את אותו מנעול בדפדפן, שמציין שהתקשורת מוצפנת.
המנעול הזה אומר שהתקשורת עם השרת מתבצעת בפרוטוקול HTTPS.
חוץ מהצפנה, HTTPS גם מאפשר זיהוי של הישות המשפטית שמריצה את השרת, זה עובד כך:
בנק X פונה לחברה – ווריסיין למשל – שמנפיקה אישורי זהות (Certificate), ומשלם להם סכום יפה, 400$ לשנה למשל.
ווריסיין מוודא שבנק X הוא אכן בנק X, ולא האקר Z או קראקר K, למשל על ידי אימות טלפוני.
ברגע שווריסיין החליטה שהיא יודעת מי זה בנק X, ושהוא אכן ביקש ממנה את אישור הזהות, היא מנפיקה לו כזה, וחותמת עליו.
עכשיו בנק X יכול להשתמש באישור הזהות שלו כדי לתקשר בפרוטוקול HTTPS, ודפדפנים שמתקשרים איתו יוכלו להציג למשתמש את אותו מנעול, ובא לציון גואל.
המנעול מבטיח כמה דברים:
1. שגורם צד שלישי לא יוכל לצותת לתעבורה ולגנוב את הקוד הכניסה שלך לבנק.
2. שגרם צד שלישי לא יוכל להתחזות לבנק, ולגנוב את קוד הכניסה שלך לבנק.
3. שאם הבנק יגרום לכם נזק (למשל על ידי הפצת סוסון טרויאני ללקוחותיו הנאמנים), הוא לא יוכל להסתתר מאחורי השרת שלו, אתם יודעים מי הוא – בניגוד למצב הרגיל של גלישה שבו בדרך כלל אין לכם מושג באתר שלי מי אתם נמצאים. מעבר לזה, ווריסיין חתומים על זה שהוא אכן מי שהוא טוען שהוא. במקרה ומסתבר שבנק X הוא בעצם ז'וז'ו הקראקר, תוכלו לתבוע את ווריסיין על שהם הפרו את חובתם לוודא את הזהות של מי שמקבל מהם אישור זהות.
עם הזמן, נוצרה בעיה:
כל דיכפין החליט שהוא יכול להיות CA – Certificate authority כמו ווריסיין, ולהנפיק אישורי זהות.
יצרני הדפדפנים מצידם מיהרו לכלול את המפתח הציבורי של כל יצרן שהכתיר את עצמו מאוד בקלות, כדי להמנע מנחיתות מול דפדפנים מתחרים.
גודדי למשל, מוכרים בפחות מ30$ לשנה אישור זהות שמאשר בסך הכל שאתם בעלי האתר. כמובן שהם לא ממש מוודאים מי אתם (האימות הוא אוטומטי), וכל ספאמר/סקאמר יכול לקנות מהם מנעולים לאתר הטרויאנים שלו ממש בזול.
נוצר מצב שבו אותו מנעול שעד עכשיו יצר תחושת ביטחון אצל המשתמש, הפך למשהו שולי שאפשר לקנות בזיל הזול ובלי שום אימות אמיתי.
ממש זילות המנעול.
אז מה עושים?
כמובן, אישור זהות חדש – Extended validity certificate, שמחייב את המנפיקים לוודא בצורה יסודית למי הם מנפיקים אותו (CA שיפיק אישור זהות מורחב בלי לוודא באמת למי הוא נותן אותו, מסתכן בשלילת הזכות שלו להפיק אישורי זהות).
אותם אישורים יוצגו בצורה ידידותית למשתמש:
רואים את הירוק הידידותי בשורת הכתובת? אז זה זה.
האישור החדש המורחב והמחוזק עולה כ1500$ לשנה אצל ווריסיין – פי שלוש וחצי.
אז בעצם ווריסיין מצאו דרך לחייב את הלקוחות שלהם הרבה ממה שהם חייבו אותם קודם, כדי לקבל את השרות שהם היו אמורים לתת גם ככה: לוודא את הזהות של הלקוח.
נחמד.
אני בטוח שהם יתחילו לזלזל באישורי הזהות הרגילים שלהם, ואולי אפילו לפגוע בתהליך הזיהוי, אחרי הכל – למי איכפת? מי שזה חשוב לו שישלם על EV.
אותי זה מעצבן.
הבעיה היא לא עם המנפיקים כמו שהיא עם המשתמשים ויצרני הדפדפנים. כל עוד למשתמש הממוצע אין דרך פשוטה להעריך את אמינותו של ספק אישורי זהות מסוים, הבעיה תמשיך להתגלגל.
ומה יהיה כשתקום חברה שתמכור את הEV ב100 דולר לשנה?
יטענו שהתהליך של EV הוא לא מספיק וימציאו VEV שעולה 3000 דולר?
זה לא שיש לדפדפן בעיה להציג בצורה ידידותית את השם של החברה שמופיעה באישור הזהות אם זה לא אישור EV.
כל העסק נשמע לי כמו פתרון לא נכון לבעיה, שעל הדרך יגדיל (בטווח הארוך) את ההכנסות של חברות להנפקת חתימות דיגיטליות.
יופי שעברת לשימוש באופן-IDוט, אבל למרות שהזדהיתי, התגובה שלי הלכה לספאם…
כמובן שזה יהיה יעיל רק אם כל האתרים יקנו את זה, כיוון שמספיק שאחוז גבוה דיו של אתרים שאתה סומך עליהם לא יקנו את זה, אתה תמשיך להאמין לתעודה הנוכחית ולמעשה כל הערך של התעודה החדשה יהיה שווה ל…
עוד שיטה לגבות כספים מיותרים על מנת לספק אמצעי אבטחה לא נחוצים ולפתור בעיות אבטחה לא נכונות.
עירא: מוזר, אני לא רואה את התגובה שלך בשום מקום. איך אתה יודע שהיא הלכה לספאם?
עומר: מסכים.
אבל יותר גרוע: ברגע שיש לווריסיין (לקרוא : לחברות הנפקת התעודות) תעודה יקרה, יש להם יופי של מוטיבציה להתכחש לתעודה הזולה במקרה של תביעה.
שופט שאין לו את ההיסטוריה המלאה, יקבל את הטענה שלהם שמותר להם לזלזל בתהליך האימות של מי שמקבל חתימה רגילה, כי אחרת בשביל מה יש חתימת EV?
השאלה הממש לא פשוטה היא מי מחליט איזה גוף רשאי להיות CA,
כלומר.. זה צריך להיות גוף בלתי תלוי שיעשה תקינה וביקורות.
אני הולך להציע את זה למנכ"ל האינטרנט.
ד"א, למיטב ידיעתי אובונטו קיימת בזכות הרווחים שמר שטלוורת' עשה בעזרת THAWTE,
ה- CA שלו.
רגע,אבל לא אמרת שאפשר לתבוע את מנפיק האישור אם הוא כשל בעבודת הזיהוי שלו?
אפשר לתבוע כל אחד שגרם לך נזק, ובוודאי עסק שגרם לך נזק. זה לא קשור לעובדה שכל אחד יכול לפתוח CA (ולמכור אותו בהמון כסף ולטוס לחלל)
עמרי: גמרתי את תהליך ההזדהות מול ספק האופנאיידי שלי וקיבלתי הודעה באנגלית ש"ההודעה שלך זוהתה כספאם. אם זו טעות אנא פנה אל המפעיל". אני לא יודע ממי היא הגיעה.
הנה אנסה להוסיף תשובה עם OID. אם היא לא מופיעה, סימן שזה קרה שוב.
שוב אותו הסיפור ואותה ההודעה. אחרי שהוספתי URL וחצתי שליחה יש עיכוב ארוך, אני לא מופנה לזיהוי באתר האופנאיידי כי סימנתי שם היום לאשר לבלוג שלך תמיד, והופניתי אל ה URL הזה.
וההודעה, אם בא לך להשתמש בה לGREP של המחרוזת בקוד, היא:
Sorry, but your comment has been flagged by the spam filter running on this blog
: this might be an error, in which case all apologies. Your comment will be pres
ented to the blog admin who will be able to restore it immediately.
You may want to contact the blog admin via e-mail to notify him.
בדף חלק וריק
אורן:
למרבה הצער מי שמחליט כרגע הם הדפדפנים.
אם תסתכל ברשימת הCA בדפדפן שלך, תראה שהיא מכילה עשרות אם לא מאות CA מאושרים ושמחים.
לגבי Thawte, אני חושב שאתה צודק.
שאטלוורת' נהיה מולטי-מליונר כשמכר את Thawte.
מולי:
כמובן, אבל תסמכי על godaddy שהם כיסתחו את עצמם כמו שצריך.
מה שהם מבטיחים זה שיש קשר בין בעל התעודה לבין בעל הדומיין, לא יותר ולא פחות.
ככה שהם יפנו אותך לתבוע אדם פרטי מסויים, שיכול בתורו לטעון שהוא רק קנה את הדומיין ולא קשור לאתר שרץ שם (בדיוק כמו שבעל מגרש לא אחראי לפשע שמתבצע על המגרש שלו).
עירא, זה מעניין. אין לי כל כך מושג למה זה קורה.
הגדרתי את התוסף OPENID לאשר אוטומטית הודעות שמזוהות על ידי OPENID.
זה יעזור עד שהספאמרים יתחילו להזריק לי ספאם ככה.
בתקווה עד אז SK2 כבר יהיה יותר נבון בטיפול בתגובות מזוהות OPENID.
הםםם… POINT TAKEN.