Fri programvare er visst ikke enkelt :). Dagens beste artikkel: ligger her.
LOL đ
Archive for February, 2006
Men, men dere kan da ikke bare gi det bort!
Thursday, February 23rd, 2006Om SSL og hvem man stoler pĂ„…
Wednesday, February 15th, 2006En litt skremmende, men interresant sak (som er overalt pĂ„ nettet nĂ„) er denne historien. Det spĂžrsmĂ„let som stilles her er, hva sier et sslsertifikat oss egentlig? Vel, nĂ„r vi har en ssltilkobling vet vi at all trafikken mellom webserveren og oss er kryptert og at ingen kan stjele, eller endre, noe pĂ„ veien. Det er helt uavhengig av om sertifikatet er “trusted” eller ikke. SĂ„ hva vinner vi med Ă„ ha et “trusted” sertifikat?
I teorien er det enkelt, hvis Bob stoler pÄ Alice og noen kommer til Bob med et sertifikat signert av Alice kan Bob vite at personen er den han utgir seg for Ä vÊre siden Alice gÄr god for dette med Ä signere sertifikatet hans. SÄ langt er alt fint browseren din stoler pÄ CAen (sertifikatautoriteten?) som signeren banken din sitt sertifikat og dermed vet du at serveren du snakker med virkelig er banken din.
I praksis blir ting vesentlig vanskeligere for hva er det egentlig CAen sjekker, og ikke minst hva skal de sjekke? Hvis man graver gjennom altfor mange tommetykke lag med faktalÞs reklame pÄ verisign sine sider kommer man hit (i den grad det kan kalles fakta, men det var det nÊrmeste jeg kom), men det de egentlig bÞr sjekke er vel omtrent som fÞlger: Eier du domenet, eller eier firmaet du jobber i domenet og er du virkelig ansatt der? Hvis svaret er ja (og nÄ hopper vi over litt problemer med om det faktisk er mulig Ä sjekke), da kan de utstede et sertifikat til deg. SÄ hvis du lager et firma med et navn som ligner litt pÄ en eller annen bank og skaffer deg en side med et domene som ligner litt kan du gjÞre akkurat det som har skjedd her.
SpÞrsmÄlet er egentlig om vi Þnsker at CAene (som vi alle er sÄ glad i og stoler sÄ mye pÄ) skal prÞve Ä vurdere om navnet til det nye firmaet ditt ligner for mye pÄ noe annet slik at en eller annen kan bli forvirret. Og som i sÄ fall skal kunne nekte deg sertifikater pÄ grunnlag av det.
Siden jeg har snakket sÄ mye om teori og praksis kom jeg til Ä tenke pÄ et bra sitat som hang pÄ veggen i en av labbene pÄ hÞgskolen, og som jeg noen ganger synes er litt betegnende for diskusjon om kryptering pÄ nettet:
“Teori er nĂ„r ingenting virker, men alle vet hvorfor. Praksis er nĂ„r alt virker, men ingen vet hvorfor. Her forenes teori og praksis: Ingenting virker og ingen vet hvorfor!”