Kirjoittaja Aihe: Let's Encrypt ja verkko-ostot  (Luettu 2514 kertaa)

Efraiminpoika

  • Käyttäjä
  • Viestejä: 165
    • Profiili
Let's Encrypt ja verkko-ostot
« : 27.03.17 - klo:16.22 »
Kaikenlaisia salausasiantuntijoita http://www.tivi.fi/Kaikki_uutiset/varo-huijaussivuja-turvafirma-mokasi-nyt-et-tunnista-enaa-aitoa-vaarennoksesta-6636257
Mistähän 'asiantuntija' tai kukaan on saanut päähänsä että Let's Encrypt sertifikaatti tarkoittaa, että Let's Encrypt sertifikaatti varmentaa verkkokaupan luotettavuuden?
Ko sertifikaattia käytetään palvelimen ja selaimen välisen yhteyden salaamiseen ja sen varmistamiseen, ettei kuka tahansa väliin päästessään näe kaikkea selväkielisenä.
Ei siis kerro yhtikäs mitään palvelimen pystyttäneen luotettavuudesta!
Kenenhän luotettavuudesta ja asiantuntevuudesta ko. juttu on osoitus?

eläkeläisäijä

A. Hellaakoski: Tien kulkija tien on vanki. Vapaa on vain umpihanki.

Tomin

  • Palvelimen ylläpitäjä
  • Käyttäjä / moderaattori+
  • Viestejä: 11481
    • Profiili
    • Tomin kotisivut
Vs: Let's Encrypt ja verkko-ostot
« Vastaus #1 : 27.03.17 - klo:16.49 »
Niin siis tuon pitäisi näyttää jotakuinkin liitteen kuvan mukaiselta, tuskin huijaussivustoilla näyttää. Ja sitten Let's Encryptin sertifikaatteja käytettäessä ei ole omistajaa (toinen liite).
« Viimeksi muokattu: 27.03.17 - klo:16.53 kirjoittanut Tomin »
Automaattinen allekirjoitus:
Lisäisitkö [RATKAISTU] ketjun ensimmäisen viestin aiheeseen ongelman ratkettua, kiitos.

Efraiminpoika

  • Käyttäjä
  • Viestejä: 165
    • Profiili
Vs: Let's Encrypt ja verkko-ostot
« Vastaus #2 : 27.03.17 - klo:20.01 »
"During the past year, Let's Encrypt has issued a total of 15,270 SSL certificates that contained the word "PayPal" in the domain name or the certificate identity.

Of these, approximately 14,766 (96.7%) were issued for domains that hosted phishing sites, according to an analysis carried out on a small sample of 1,000 domains, by Vincent Lynch, encryption expert for The SSL Store."

Näin siis kirjoittaa SSL sertifikaatteja rahasta myyvän firman edustaja ilmaisista Let's Encrypt sertifikaateista.

Hänestä siis Let's Encrypt ei saisi myöntää näitä serifikaatteja, mutta joku saa rahasta myydä näitä domain nimiä, jotka sisältää sanan 'PayPal' tai kaiketi pitäisi olla 'paypal'

Siis todellinen syyhy on ilmaisuus. Sitten kun joku vielä lainaa kirjoitusta lyhyesti niin juttu muuttuu entistä hassummaksi.

SSL sertifikaatti joka on myönnetty domainille 'jotain-paypal-jotain' ei siis tarkoita, että olet PayPal verkkomaksupalveluyrityksen sivulla. Selitys, että joku muu tarkistaa millä sivulla olet on aika mahdoton, kun 'ajatuksen luku' ei taida vielä olla todellisuutta.

Maailmassa on lisäksi tuhansia muita verkkomaksuja välittäviä yrityksiä, joten yhden tai muutaman nimen sisältymisen tarkistaminen ei riitä alkuunkaan.

Maksettukaan SSL sertifikaatti sivustolla siis ei suojaa 'phishingiltä' sivustolla vierailijaa, vaikka serifikaattien myyjä niin antaisi ymmärtää.

eläkeläisäijä

A. Hellaakoski: Tien kulkija tien on vanki. Vapaa on vain umpihanki.