Ĉifrita http

El Ĉifru.net
Iri al: navigado, serĉi

Enhavo

Enkonduko

Sufiĉe ofte oni uzas ĉifradon en la retumilo. Se adreso de retejo komenciĝas per "https" anstataŭ "http" la retumilo kaj la servilo ĉifras la komunikon per malsimetria ĉifrado. Tamen tia komuniko ne estas tute sekura kontraŭ la mezula atako. Tiu-ĉi artikolo klarigas la problemon.

Ĝi vaste baziĝas sur artikolo de germana spertulo pri reta sekureco Felix von Leitner ankaŭ konata kiel Fefe. La origina artikolo troviĝas en la Blogo de Fefe. Koran dankon pro la permeso ĝin uzi ĉi tie.

La fenomono

Se oni iras per https al la retejo https://ssl-demo.cxifru.net oni ricevas averton de la retumilo, ke la konekto estas malsekura.

Do ni klarigu tion. Kiam oni starigas https-retejon, oni bezonas certifikaĵon. Kiam la retumilo konektiĝas kun https-servilo, la servilo montras la certifikaĵon. La retumilo kontrolas, ĉu la certifikaĵo estas valida laŭ la dato kaj ĉu la certifikaĵo estas subskribita de iu, kiun la retumilo konsideras fidinda. En la retumiloj estas sufiĉe longa listo de tiaj fidindaj instancoj. En estas organizoj kiel Verisign (kaj ties filinoj Comodo, Thawte, GeoTrust, ktp.) Verisign estas sufiĉe proksima al la usona registaro. Ili ekzemple regas la domajnojn .net kaj .com. Ĉiu iam investu la tempon trarigardi tiun liston de fidindaj instancoj. Trafoliumu ĝin. Ĉiujn tie menciitajn organizojn via retumilo fidas. Enestas ekzemple Deutsche Telekom. Se ekzemple la germana registaro volas intercepti retmesaĝojn kiujn vi interŝanĝas kun via gmail-konto, ili iras al Deutsche Telekom kaj diras “Saluton, bonvolu doni al ni certifikaĵon de gmail” kaj via retumilo tiun akceptus senkomente. Ĝi vidus ke ĝi estas subskribita de la fidinda instanco Deutsche Telekom kaj akceptus ĝin.

Krom la usona registaro (Verisign) kaj la germana registaro estas aliaj ŝtataj registaroj en tiu listo. La ĉina (CNNIC), la svisa (Swisscom), la nederlanda (Staat der Nederlanden), la sveda kaj finna (Sonera) la japana. Krome ankaŭ kelkaj industriaj firmaoj Intel, Microsoft, AOL Time Warner Inc., bankoj (VISA, Wells Fargo, ktp.) kaj ia organizo nomiĝanta TÜRKTRUST kaj multegaj aliaj. Iomete dependas de la retumilo kaj la versio de la retumilo. Gravas, ke oni komprenu ke ĉiuj tiuj organizoj povus intercepti vian retmesaĝojn ĉe ekzemple gmail aŭ vian privatan agadon ĉe facebook, se ili volas. Ili nur bezonas prezenti certifikaĵon kaj via retumilo ĝin senkomente akceptus.

Ĝis antaŭ kelkaj jaroj ankaŭ enestis la nederlanda firmao DigiNotar. Ili ne plu estas konsiderataj fidintaj, post kiam aperis per ili subkribitaj certifikaĵoj por ĉiuj domajnoj de Google. Tiuj falsaj kaj tamen akceptitaj certifikaĵoj ĉefe aperis en Irano. Ŝajnas ke la irana registaro, aĉetis tiujn falsajn certifikaĵojn de iaj krimuloj. La krimuloj ŝteleniris la komputilan reton de DigiNotar kaj kopiis la ĉefcertifikaĵon kaj uzis ĝin por subskribi la falsajn certifikaĵojn de Google. Poste DigiNotar markiĝis nefindinda en la listo de aŭtentigaj aŭtoritatoj.

Solvoj

Nu, kion oni faru, se oni volas starigi https retejon kaj volas eviti, ke la retumilo donu tian panikigan averton? Oni povas doni iom da mono al komerca aŭtentiga aŭtoritato. La plej konata estas Godaddy. Tie oni pagas ĉirkaŭ 70 dolarojn jare por certifikaĵo.

Mi iomete klarigu la procezon. Oni vizitas la retejon de ekzemple GoDaddy kaj entajpas datumojn pri la propra retejo en formularon. Tiam ia programeto kreas la certifikaĵon. Oni ricevas retmesaĝon al la koncerna domajno, kutime postmaster@...webmaster@... kun ligilo. Kiam oni klakas la ligilon la ili kredas, ka oni rajtas havi la certifikaĵon. Estas por la aŭtentiga firmao ekzakte neniom da laboro. Programeto kaj ne pli por enkasigi $70.

La nura afero, kiu malsamigas nin kun la aŭtentigaj firmaoj estas, ke ili iam estis akceptitaj al la listo de la fidindaj aŭtentigaj aŭtoritatoj ĉe Mozilla, Microsoft, Google kaj Opera. Ne estas tute klare laŭ kiaj kriterioj la liverantoj de la retumiloj kompilas tiun liston.

Intertempe ekzistas du aŭtentigaj aŭtoritatoj, kiuj donas senpagajn certifikaĵojn. Unu estas CAcert. Alemaŭ Google Chrome akceptas ties certifikaĵon. La alia estas StartCom. StartCom estas uzata ĉe ĉifru.net. Bedaŭrinde ili senpage nur donas unu certifikaĵon por domajno. Do oni ne povas uzi ĝin por subdomajnoj. Alternativo estas mem krei la certifikaĵojn. Tiam certe la retumiloj panikigas. Kiel menciite antaŭe tiel faras la demonstra retejo https://ssl-demo.cxifru.net.

Konkludo

La tuta sistemo de https kaj ankaŭ simile protektitaj konektoj al retpoŝtserviloj estas sufiĉe difektita laŭdizajne. Oni bezonus tute alian sistemon por pli bone fidi la certifikaĵojn. Ekzistas kelkaj proponoj, ekzemple la fido je unua uzo. Tio signifas, ke oni ekfidas je memsubskribita certifikaĵo kiam oni la unuan fojon komunikas per la koncerna servilo. Se iam poste ŝanĝiĝas la certifikaĵo oni devas konsideri la konekton interceptata. Bedaŭrinde tiu maniero ne ĉiam bone funkcias, ĉar grandegaj retejoj kiel Google uzas amason da malsamaj certifikaĵoj.

Vidu ankaŭ

Personaj iloj