https://
protokollú lapokat fog végignézni, a http://
protokollúakat nem, következésképp megtalálni sem fogja őket
A két óriáscéget azonnal az a vád érte, hogy fizetőssé akarják tenni az internetet – és mint az alábbiakból kiderül, nem is alaptalanul.
Hogy a vádakat leszerelje, a Mozilla bejelentette, hogy ingyenes tanúsítóhelyet fog működtetni. Ez azért érdekes, mert korábban volt néhány cég, amelyik ezt tette, és a Mozilla minden erővel akadályozta ezek működését. A tanúsítóhely ui. akkor ér valamit, ha a böngésző tud róla, és a Mozilla nem akart tudni az ingyenes tanúsítóhelyekről. Aztán – hogy, hogy sem – ő csinált ilyet. A ZeroSSL a Mozilla reklámozott támogatásával jött létre.
A közbeékelődéses támadást elvileg lehetetlen észrevenni. A böngészéskor ui. olyan lapot keres az ember, amiről semmi biztosat nem tud. (Az IP-cím és a keresett gép neve viszonylag könnyen hamisítható. Általában csak a keresett gép nevét tudjuk.) Így viszont lehetetlen eldönteni, valóban oda talált-e, ahová akart. Rossz esetben a közbeékelődő támadó elkéri a célzott géptől a böngésző által kért adatokat, és „csak” lehallgatja (pl. a jelszavakat), de akár módosítani is tudja. Pl. a felhasználó pénzt akar utalni, és a közbeékelődő támadó „csak” a bankszámlaszámot hamisítja meg a banki megbízás továbbításakor. Szóval ez nem játék.
Egy kommunikációba beékelődni általában nem egyszerű, de nem is lehetetlen. Pl. a cégek kifelé egyetlen úton (a tűzfalon) engednek csak ki információt. Vagy gondoljunk az internetszolgáltatók csoda dobozaira (router). Ha azt megtöri valaki, az egész lakás kimenő forgalmát le tudja hallgatni. Márpedig a router ugyanolyan számítógép, mint a többi, csak speciális feladata van. Ráadásul a gyártók nem szokták törni magukat az eladás után, hogy biztonsági javításokat készítsenek, vagy ha igen, a felhasználó nem tudja őket telepíteni. Márpedig minden router képes arra, hogy észrevétlenül máshová irányítsa a forgalmat, mint ahová a lekérdező szánta.
(A közbeékelődéses támadás egyik ellenszere a kétfázisú azonosítás. Ilyenkor az eredeti kéréstől független másik úton – rendszerint mobiltelefonon – szerzett információval kell igazolnia a kliensnek, hogy valóban az, akinek mondja magát. Ezért óriási felelőtlenség a magyar kormánytól, hogy engedi, hogy cégek egyszerre vezetékes és mobil internetet szolgáltassanak, hiszen így a két út egy kézbe kerülhet. Ez ellen csak azt lehet tanácsolni, hogy más cégtől vegyük a vezetékes és a mobil internetet.
A kétfázisú azonosítás csak azt teszi lehetetlenné, hogy a felhasználó tudta nélkül indítsanak tranzakciót a nevében. Ha a mobilon kapott jelszót valaki a vezetékes interneten küldi át, ugyanúgy meghamisíthatják a forgalmat, bár így a lebukás veszélye nagyobb.)
A tanúsítvány azt hivatott bizonyítani, hogy a kérdező a megfelelő gépet találta-e meg. Olyasféleképpen működik, mint a közjegyzői aláírás. A szerver tulajdonosa benyújt egy általa digitálisan aláírt kérelmet. A tanúsítvány kiadója (a közjegyző) meggyőződik róla, hogy a kérelem benyújtója valóban az-e, akinek mondja magát, és ha igen, ő is aláírja a kérelmet, amit ettől kezdve mindenki elfogad, mert a tanúsítóhely (közjegyző) egy megbízható személy.
A kézi aláírás lényege az, hogy a kézírás alapján meg lehet (írásszakértő meg tudja) állapítani, hogy az írta-e alá, aki állítja magáról. (Ezért nem írunk alá soha más helyett: ez az aláírás lényegét lehetetleníti el. Más helyett aláírni csak tanúk jelenlétében, saját néven szabad.)
Ugyanez a helyzet a digitális aláírással, csak itt a kézírást egy jelszó ismerete helyettesíti. Aki a jelszót (a titkos kulcsot) ismeri, az a digitális aláírás tulajdonosa. (Ezért nem szabad soha jelszót elárulni másnak, még a házastársnak sem.) Azért szoktuk kulcsnak, és nem jelszónak hívni, mert gép állítja elő. Hosszú (kb. egy sűrűn teleírt oldalnyi, értelmetlen) szöveg, megjegyezni nem lehet, és a hosszúságon kívül más feltételei is vannak, hogy kulcsként lehessen használni. Vagyis egy fájl tartalma a titok: a fájlt kell védeni.
A böngésző beépítve ismeri az általa hitelesnek elfogadott tanúsítóhelyek kulcsát, így a lekérdezett lap tanúsítványán csak ezt az aláírást kell ellenőriznie. A böngészők az elismert tanúsítóhelyekben is különböznek egymástól. Valamennyi böngészőbe fel lehet kézzel venni tanúsítóhelyeket, de ez nemcsak előny, de egyúttal nagy veszély is.
Egy közjegyzőt örökre eltiltanának a dolognak még a szándéka miatt is. Igaz, a közjegyző díjat kap, de ő nem is ígérte meg, hogy ingyen fogja csinálni, és azt sem ő intézi el, hogy nélküle ne lehessen megtenni valamit. (A közjegyző egyébként fix, törvény által előírt tarifával dolgozik.)
A másik lehetőség, hogy fizetek a tanúsítványért – ettől kezdve viszont nincs ingyenes internet, hiszen tanúsítvány nélkül csak elvileg lehet internetezni, gyakorlatilag nem, akkora a visszaélés veszélye. Egyelőre nem tudom, hogy a ZeroSSL ad-e pénzért tanúsítványt a titkos kulcs ismerete nélkül. Megkérdeztem (2020. június 1. 16:14), egyelőre a válaszra várok, de lefogadom, hogy igen. Egyébként mindenki másik tanúsítóhelyet keresne, ha fizetni akar.
A szerverem egy bérelt virtuális gép (VPS). Havonta 1270 Ft-t fizetek érte (1 processzor, 512M memória, 15G diszk, 1G hálózat). Ez kb. 5$. A ZeroSSL legolcsóbb fizetős szolgáltatása havi 10$, és semmit sem csinál érte, csak 3 havonta lefuttat egy pár másodpercig futó programot. Vagy még ritkábban.
Ez a harmadik csalódásom a Mozillában. Az első az volt, hogy nem tudta rendesen megjeleníteni a W3C online ellenőrzője által szabványosnak nyilvánított SVG-ket. Azóta kijavították, könnyen lehet, hogy a hibabejelentésemnek köszönhetően. A másodiknál valaki elfelejtett frissíteni egy tanúsítványt a Mozilla cégen belül, ezért a böngésző azt találta, hogy a kiterjesztései nem megbízhatóak, és egyik napról a másikra valamennyit kitörölte. A gondosan összeszedett és konfigurált reklámblokkolóimat is. (Nemcsak az én gépemen: az egész világon minden gépen, amelyik Mozilla kiterjesztést használt. Ennek ellenére napokig tartott, amíg megtalálták a hibát. Nem tudom, meddig, mert akkor én már Chrome-ot használtam…) Most meg ez…
Bölcs tanács, hogy válasszak másik ellenőrzési módot, csak épp nem fogad el tőlem újabb kérelmet.
Választ nem kaptam, úgyhogy könnyen lehet, hogy ha letörlöm a kérelmet, akkor 90 napig nem adhatok be újat, és a hiba elhárítása után sem lesz tanúsítványom. Erről semmi nincs a lapon.
A státus megváltozott: most azt állítja, hogy a CAA rekord hibája miatt nem adja ki a tanúsítványt. Pedig én ahhoz nem nyúltam, és másfél éve ugyanazzal a szkripttel állítom elő a tanúsítványkérelmet. Elvileg lehet, hogy a szolgáltatóm rontotta el a DNS-t, de ugye a ZeroSSL-nél tudjuk, hogy volt hiba.
Továbbra sem működnek a saját wikibe a https feltöltések.
Van tanúsítványom, a jelszót sem tudják, de az eset tovább rontotta a véleményemet a Mozilláról.
Levélcím: gyimesilaszlo9 kukac gmail pont com |
|