Ubuntu Suomen keskustelualueet

Muut alueet => Yleistä keskustelua => Aiheen aloitti: Efraiminpoika - 27.03.17 - klo:16.22

Otsikko: Let's Encrypt ja verkko-ostot
Kirjoitti: Efraiminpoika - 27.03.17 - klo:16.22

Kaikenlaisia salausasiantuntijoita http://www.tivi.fi/Kaikki_uutiset/varo-huijaussivuja-turvafirma-mokasi-nyt-et-tunnista-enaa-aitoa-vaarennoksesta-6636257 (http://www.tivi.fi/Kaikki_uutiset/varo-huijaussivuja-turvafirma-mokasi-nyt-et-tunnista-enaa-aitoa-vaarennoksesta-6636257)
Mistähän 'asiantuntija' tai kukaan on saanut päähänsä että Let's Encrypt sertifikaatti tarkoittaa, että Let's Encrypt sertifikaatti varmentaa verkkokaupan luotettavuuden?
Ko sertifikaattia käytetään palvelimen ja selaimen välisen yhteyden salaamiseen ja sen varmistamiseen, ettei kuka tahansa väliin päästessään näe kaikkea selväkielisenä.
Ei siis kerro yhtikäs mitään palvelimen pystyttäneen luotettavuudesta!
Kenenhän luotettavuudesta ja asiantuntevuudesta ko. juttu on osoitus?

Otsikko: Vs: Let's Encrypt ja verkko-ostot
Kirjoitti: Tomin - 27.03.17 - klo:16.49

Niin siis tuon pitäisi näyttää jotakuinkin liitteen kuvan mukaiselta, tuskin huijaussivustoilla näyttää. Ja sitten Let's Encryptin sertifikaatteja käytettäessä ei ole omistajaa (toinen liite).

Otsikko: Vs: Let's Encrypt ja verkko-ostot
Kirjoitti: Efraiminpoika - 27.03.17 - klo:20.01

"During the past year, Let's Encrypt has issued a total of 15,270 SSL certificates that contained the word "PayPal" in the domain name or the certificate identity.

Of these, approximately 14,766 (96.7%) were issued for domains that hosted phishing sites, according to an analysis carried out on a small sample of 1,000 domains, by Vincent Lynch, encryption expert for The SSL Store."

Näin siis kirjoittaa SSL sertifikaatteja rahasta myyvän firman edustaja ilmaisista Let's Encrypt sertifikaateista.

Hänestä siis Let's Encrypt ei saisi myöntää näitä serifikaatteja, mutta joku saa rahasta myydä näitä domain nimiä, jotka sisältää sanan 'PayPal' tai kaiketi pitäisi olla 'paypal'

Siis todellinen syyhy on ilmaisuus. Sitten kun joku vielä lainaa kirjoitusta lyhyesti niin juttu muuttuu entistä hassummaksi.

SSL sertifikaatti joka on myönnetty domainille 'jotain-paypal-jotain' ei siis tarkoita, että olet PayPal verkkomaksupalveluyrityksen sivulla. Selitys, että joku muu tarkistaa millä sivulla olet on aika mahdoton, kun 'ajatuksen luku' ei taida vielä olla todellisuutta.

Maailmassa on lisäksi tuhansia muita verkkomaksuja välittäviä yrityksiä, joten yhden tai muutaman nimen sisältymisen tarkistaminen ei riitä alkuunkaan.

Maksettukaan SSL sertifikaatti sivustolla siis ei suojaa 'phishingiltä' sivustolla vierailijaa, vaikka serifikaattien myyjä niin antaisi ymmärtää.