Šalabajzerji na naše stroške
1. Zavod za zaposlovanje RS za svoje e-storitve uporablja NEvaren certifikat. Ali je to res odvečen strošek? Morda do trenutka, ko bo nekdo postavil fishing site in jim začel krasti podatke.
2. RTV SLO so spremenili stran, preko katere se dostopa do njihovih audio in video vsebin, in nekako uspeli narediti da mi val 202 sedaj dela preko windows playerja, preko ostalih dveh pa ne. Prej je pa delalo preko real playerja. V bistvu potem vsakič eksprimentiram s katerimi nastavitvami mi bo pa danes delalo. Ali ne bi naredili flash only, pa da to dela vedno?
Ad 1) izdajatelj je sigen-ca. Zakaj naj bi bil ne-varen?
Browser tako pravi.
Hja, tole z browserji in njihovim jamranjem je krneki.
Pred leti sem se na sigenci pizdil, zakaj si ne dajo svojega certifikata v root od browserjev. Menda je za to M$ hotel par 100k$.
Po drugi strani, ko sem naročal certifikat za server od Thawteja, so najprej hoteli boga in pol dokumentacije za izdajo, ko jih nisem jebal so rekli naj jim pošljem dopis na papirju z glavo firme, pa bo okej.
Primož se strinjam s tabo. Opozorila v browserjih so eno, zaupanje v CA agencije pa drugi. Vedno pa si lahko daš izdajatelja med zaupanja vredne izdajatelje in ti potem browser ne utruja več. Kar toplo priporočam za vseh naših 5 korenskih izdajateljev :)
Saj načeloma to delam. Ampak potem pa padeš na drug računalnik in … Počasi potem certifikati nimajo nobene veze, ker itak avtomatsko vse potrdiš.
V Internet Explorerju 7 ne dobim pritožbe, torej brskalnik že zaupa Sigen-CA certifikatu. Firefox pa ne. Očitno je na relaciji med Sigen-CA in Mozillo problem.
Smisel certifikatov je povezava med fizično in elektronsko identiteto, CA pa ti zagotavlja zaupanje v to povezavo. Tudi če imaš ti svoj lasten CA, mu jaz lahko zaupam če želim.
Če brskalnik ne prikaže opozorila, naredi preverjanje zaupanja za uporabnika bolj prijazno. V nasprotnem primeru pa ročno preveriš izdajatelja.
Glede na trenutne implementacije v rešitve, pa postopek ročnega opreverjanja izvajajo le uporabniki z dobrim poznavanjem IT in ki se zavedajo tveganja, medtem ko povprečnega uporabnika to opozorilo samo zmede in dostikrat vodi celo do izjav “da internet ne dela” ;)
Občutno bolj prijazno do uporabnikov bi bilo, če bi brskalnik ob nezaupanju izdajatelja že sam prikazal njegovo identiteto in bi se uporabnik lažje odločil ali mu zaupa ali ne.
Ne vem, če se strinjam. Bolj kot uporabniku olajšaš “preverjanje”, prej bo kliknil OK.
Vprašanje tudi je, kako sploh preveriti certifikat. Recimo SIGEN-CA. Da mi ne skuša zavod uturiti kaj drugega pod tem imenom. Ok, grem preverit na njihovo stran hash kodo.
Po moje je vseeno bolje, da imajo nek common certifikat. Za veliko večino uporabnikov je to precej bolj varno, kot lastni pregled.
Se strinjam, da je uporaba mednarodno priznanih CA bolj priporočljiva. Vseeno pa imamo v Slo akreditirane CA, ki naj bi jim državljani zaupali.
Nasploh pa se je pokazalo, da je uporaba PKI infrastrukture zelo okorna in ni najbolj ustrezna rešitev. Žal pa ni nekega splošno priznanega modela, ki bi ponujala več. So posamezne spodbude, kot na primer http://si.company-on.net , vendar po ostaja upravljanje elektronskih identitet (tako poslovnih kot za posameznike) po mojem mnenju eden izmed največjih izzivov v IT.