תוכנת התקנת תעודת אבטחה חדשה

ארגנטיני

איך מתקינים את זה???

yzahn

@someuser נו נו... אנשים כאלה שום דבר לא יעזור.
הנה סיפור משלי...

תמיכה: נטפרי שלום, איך אוכל לעזור?
א: אני לא מצליח להתקין תעודה
תמיכה: באיזה שלב אתה נתקע ומה אתה רואה?
א: לחצתי "המשך" מליון פעם והוא לא נותן לי להמשיך
תמיכה: סגרת דפדפנים?

-- נוסח א' --

א: אבל אני לא רוצה לסגור אותם!
תמיכה: אי אפשר להמשיך בלי לסגור את הדפדפן!
א: אז למה יש 2 לחצנים?!? חשבתי שהעליון נותן להמשיך בלי לסגור!?!
(זה קרה לי... בלי הקטע של ההתקשרות לתמיכה ובלי המליון לחיצות, הבנתי אחרי שתיים שלוש...)

-- נוסח ב' --

א: ודאי! סגרתי את האינטרנט
תמיכה: מה כתוב לך ברשימה (כרום? אדג'?...??)
א: כתוב אדג'
תמיכה: תנסה לסגור את אדג'
א: מה זה אדג'?!? אני לא משתמש בזה!
תמיכה: אבל כתוב שזה פתוח...
א(לעצמו): תמיכה טכנית! כולם אותו דבר... למה לא מאמינים לי שסגרתי...
תמיכה: תלחץ על הלחצן השני להמשיך הלאה...
א: אז בשביל מה יש את הראשון?!? מה לא עשיתי נכון? סגרתי את הדפדפן!

(רמז, אדג' פתוח ברקע גם כשלא רואים אותו...)

ארגנטיני

חחחח!

לייבל

@yzahn כבר חשבתי שנכנסת לתמיכה

33men

האם התוכנה החדשה מתקינה את התעודה של כל הספקים של נטפרי?
אם לא אז למה לא?

yzahn

@33men אמר בתוכנת התקנת תעודת אבטחה חדשה:

האם התוכנה החדשה מתקינה את התעודה של כל הספקים של נטפרי?
אם לא אז למה לא?

זה מתקין לכל אחד לפי הספק שלו.
זה לא מתקין את התעודה של כל הספקים מאותה סיבה שיש תעודה שונה לכל ספק (זה ממזער את הנזק במקרה של דליפת המפתח הפרטי לידיים לא נכונות.)

נטפריס

@yzahn אמר בתוכנת התקנת תעודת אבטחה חדשה:

(זה ממזער את הנזק במקרה של דליפת המפתח הפרטי לידיים לא נכונות.)

זה לא רק למקרה דליפה אלא גם מקטין את הכח שיש בידי הספק שיהיה רק מול לקוחותיו שלו שנתנו בו אמון.
magicode כתב פה בעבר שהוא חושב לעשות ביום מן הימים תעודה אחידה לכל הספקים בטכניקה שלא יהיו בה את החסרונות הללו.

aiib

@נטפריס אמר בתוכנת התקנת תעודת אבטחה חדשה:

אלא גם מקטין את הכח שיש בידי הספק שיהיה רק מול לקוחותיו שלו שנתנו בו אמון.

מה הכוונה?

yzahn

@aiib לספק יש כח לפענח את כל התעבורה שלך, וממילא אתה חייב לתת בהם אמון, לא רוצים מצב שאתה בחרת בספק A כי אתה סומך עליהם, וספק B (שאתה לא בהכרח סומך עליו שלא יעשה שימוש לא הוגן בתעודה) יוכל לפענח את התעבורה שלך.

shraga

אפשר שיהיה תעודה נפרדת לכל ספק, אך תוכנת התקנת התעודה תתקין את כל התעודות הקיימות. זה יחסוך הרבה טירחה.

נטפריס

@shraga אמר בתוכנת התקנת תעודת אבטחה חדשה:

אפשר שיהיה תעודה נפרדת לכל ספק, אך תוכנת התקנת התעודה תתקין את כל התעודות הקיימות. זה יחסוך הרבה טירחה.

זה בדיוק כמו תעודה אחת לכל הספקים.
כי אם מותקן במחשב הלקוח את כל התעודות ממילא כל ספק יכול ליירט תקשורת (אל תשאל אותי איך) ולחתום בתעודה שלו וזה יעבוד יופי.

aiib

@נטפריס אמר בתוכנת התקנת תעודת אבטחה חדשה:

(אל תשאל אותי איך)

זה מה ש @shraga שאל בדיוק...

shraga

@נטפריס
כל ספק יכול לחתום רק בתעודה שהוקצתה עבורו ולא בתעודה שהוקצתה עבור שאר הספקים, ונטפרי יכולים לבטל את התעודה הספציפית. כך לענ"ד. וחוזרת השאלה..
אולי @magicode יעשה לנו קצת סדר. או יקבל את ההצעה.

נטפריס

@aiib ממש לא. כי השאלה הזאת מבטלת גם את הצורך בתעודות נפרדות לחלוטין וזו לא הייתה שאלתו.

magicode

@shraga
איך נטפרי יכולה לבטל את התעודה הספציפית אחרי שזה מותקן אצל הלקוח?
בלי אפשרות של CRL. שזה לא הכי אמין. כי אפשר לחסום את הגישה לזה.

נטפריס

@magicode אני מבין שאתה מדבר על ספק לשעבר, כי ספק בפועל אתה לא מעוניין לבטל גם אם אפשר.

aiib

@נטפריס אמר בתוכנת התקנת תעודת אבטחה חדשה:

@aiib ממש לא. כי השאלה הזאת מבטלת גם את הצורך בתעודות נפרדות לחלוטין וזו לא הייתה שאלתו.

לא הבנת אותי
כתבתי שבדיוק מפני ש @shraga לא ידע שהספק יכול לשאוב את שאר התעודות הוא הציע את מה שהציע

yzahn

@shraga אמר בתוכנת התקנת תעודת אבטחה חדשה:

כל ספק יכול לחתום רק בתעודה שהוקצתה עבורו ולא בתעודה שהוקצתה עבור שאר הספקים, ונטפרי יכולים לבטל את התעודה הספציפית. כך לענ"ד. וחוזרת השאלה..

• כפי שידוע לך, חלק מהתעבורה שזורם באינטרנט הוא מאוד מאוד רגיש. (הן מהבט הפרטיות הן מהבט של אבטחת רכוש ועוד)
• מכיון שכך שומה על נטפרי לנהוג במשנה זהירות בכל הקשור לאבטחת התעבורה.
• אדם או גוף שמחזיק מפתח פרטי של תעודת שורש שמהימן על מחשב כלשהוא יכול להאזין ויותר גרוע לשנות דברים בתעבורה המוצפנת שהמחשב ההוא שולח לאינטרנט.
• משכך, המפתח הפרטי הנ"ל הוא הנכס הכי חשוב ושצריך הכי הרבה אבטחה מסביבו.
• בכל הנוגע לאבטחה, ידוע מנסיון (מרה) רבת שנים שלא מספיק להאבק רק בסכנות הידועות, אלא שצריך לבנות תשתית בצורה שהיא חסינה גם מפני סכנות חדשות שיוולדו, אפילו סכנות כאלה שאף אחד לא היה יכול לדמיין אותם בשעת בניית המערכת
• אחד מהא'ב' של אבטחה בדרך הנ"ל הוא להגביל את ההרשאות של כל גוף במערכת למינימום הנדרש כדי לבצע את תפקידו (Principle of least privilege). זה מחסן את המערכת מאוד מפני סכנות בלתי מוכרות.
• על פי הנ"ל הוחלט (לא הייתי שם, אבל אם הייתי שם כך הייתי מחליט מסיבות הנ"ל) להגביל את הכח של כל ספק רק לחלק מהתעבורה שהוא אחראי עליו. זה ממעט משמעותית מאוד את הכח שלהם. במקום שלכל ספקים יהיה יכולת להאזין לתעבורה של כל קבוצות הלקוחות, עכשיו לכל קבוצת לקוחות יש (בד"כ) רק ספק אחד עם הרשאות האזנה לתעבורה שלו.

ההצעה שלך מנסה לטפל מקומית בבעיה אחת שעליו חשבת, אבל חוץ ממה שזה לא מטפל לגמרי בבעיה כי א) כמו ש@magicode כתב, זה לא כ"כ פשוט לפסול תעודה, וב) זה רק יעזור במקרה שנטפרי מודעים לזה שהתעודה הגיעה לידיים זרות או שנעשתה בו שימוש לא הוגן, אבל לדעתי הרבה יותר גרוע מזה הוא שע"י התקנת כל התעודות בכל המחשבים אתה שובר את כל החסינות הזאת שנגרם ע"י הגבלת הפריבילגיות הנ"ל.

--- עניות דעתי בנושא...

(סליחה על הדרשה הארוכה... בפרט שאנחנו בדור ה-twitter וה-140 תווים... ובפרט שרוב מה שכתבתי הוא פשוט ולא הוצרך ליכתב...)

yzahn

@aiib אמר בתוכנת התקנת תעודת אבטחה חדשה:

לא הבנת אותי
כתבתי שבדיוק מפני ש @shraga לא ידע שהספק יכול לשאוב את שאר התעודות הוא הציע את מה שהציע

אתה לא הבנת משהו, אין דרך לספק לשאוב תעודות של ספק אחר. החלק שמותקן במחשב לא סודי, החלק הפרטי מותקן בשרת של הספק ואין לאף אחד גישה אליו.

shraga

@yzahn אמר בתוכנת התקנת תעודת אבטחה חדשה:

אבל לדעתי הרבה יותר גרוע מזה הוא שע"י התקנת כל התעודות בכל המחשבים אתה שובר את כל החסינות הזאת שנגרם ע"י הגבלת הפריבילגיות הנ"ל.

עדיין לספק יש הרשאות האזנה רק לתעבורה שלו. מה זה משנה אם אני מתקין תעודה של ספק בודד על המחשב או של כל הספקים? מבחינת הספק יש לו את המפתח הפרטי רק של התעודה שהונפקה עבורו.