Co Pan na to Panie Michale? Jest ta sprawa Panu znana?
Chciałbym usłyszeć zdanie obu stron- do przedstawiciela MS na pewnym forum też się zgłosiłem.
Więcej na wykop.pl
lub tu: http://prawo.vagla.pl/node/7476

Nie ucz ojca jak sie dieci robi. I nie wytykaj niekompetencji niewlasciwym osobom.

To co ty nazywasz “wydaniem” certyfikatu, w swiecie PKI jest wlasnie podpisaniem go.

Thawte ma swoj certifikat, ktory moze uzyc (i uzywa) do podpisywania sprzedawanych certyfikatow — czy to do celow “code signing”, czy S/MIME albo SSL. W ten sposob tworzy sie lancuszek zaufania, a wiarygodnosc podpisu sprawdza sie wlasnie poprzez sprawdzanie autentycznosci podpisow wszystkich certyfikatow w lancuchu, az po certyfikat glowny (root CA), ktoremu ufa sie z zalozenia.

Certyfikat bez podpisu wydawcy nie jest certifikatem.

Szkoda, ze nie czaisz o co biega.

Zenujace jest to ze chip przedrukowal wpis do tego bloga. Szkoda ze ludzie nie czaja o co biega.

W każdym bądź razie miałem na myśli to, że zakup takiego certyfikatu jest bardzo tani i bez znaczenia jest to czy chodzi o Thawte czy inną firmę:

http://www.verisign.com/products-services/security-services/code-signing/digital-ids-code-signing/index.html
http://www.verisign.com/code-signing/msft-partner-code-signing/index.html

Zaletą tego rozwiązania jest jednak to, że po certyfikacie możemy dotrzeć do firmy - autora szkodliwego oprogramowania.

Problemem nie jest to, ze firma-oszust XXX dostala certyfikat od zaufanej firmy YYY, lecz to, ze ogolnie zostala wytworzona kultura ufania wszystkiemu, co jest podpisane. Czy to mailom, serwerom (SSL) czy tez wlasnie programom.

Wiadomo wszak, ze podpis cyfrowy gwarantuje tylko i wylacznie dwie rzeczy: pochodzenie oraz integralnosc podpisywanego materialu.

Thawte podpisalo certyfikat dla innej firmy, sprawdzajac jej istnienie, adres oraz zapewne prawo do uzywania danej nazwy, oraz za oplata wydalo certyfikat, ktory te dane poswiadcza. Thawte spelnilo swoj obowiazek. Sam napisales, ze podpis nie uwiarygadnia oprogramowania (czy maila, serwera), tylko poswiadcza, ze material NAPRAWDE pochodzi od danego nadawcy.

Do kogo wiec miec nalezy pretensje? Do Thawte? Za co? Do calej architektury PKI? Tez za co?

Ja mam pretensje do roznych publikacji, ktore pozwolily ludziom utozsamiac istnienie tej magicznej zoltej/zielonej klodki w mailach czy programach — z bezpieczenstwem. Przeciez profesjonalne strony Phishingujace dane rowniez od lat juz uzywaja poprawnych i waznych certifykatow SSL. Klodka jest, jest OK!

Nie bez winy jest tez Microsoft (i inni producenci OS/przegladarek internetowych). OS ufa podpisanym programom, mimo, ze niekoniecznie powinien…

Zatem moj apel: troche wiecej dystansu do kryptografii i PKI.

Przeczy w ogóle idei i zasadom tego typu zabezpieczeń. Certyfikatowi należy ufać dlatego, że rozumiemy jak to działa. Nie dlatego, że domyślnie jest zainstalowany w systemie operacyjnym.

Thawte i inne tego typu firmy robią co robią nie dla bezpieczeństwa i dobra ludzkości tylko dla zarobku. Nie można wykluczyć sytuacji pomyłki czy stopniowego obniżania jakości usługi celem maksymalizacji zysków.

Na domiar złego większość tzw. zwykłych użytkowników nie potrafi weryfikować certyfikatów. Więc takich problemów będzie moim zdaniem więcej nie mniej.

Zawsze tak jest jak marketing wygrywa ze zdrowym rozsądkiem.