polip: Re: SSL/ HTTPS Niewazny certyfikat THAWTE Inc.

Re: SSL/ HTTPS Niewazny certyfikat THAWTE Inc.

Autor: Expert (expert_at_friko.onet.pl)
Data: Wed 03 Feb 1999 - 20:31:30 MET

Następna wiadomość: Michal Kociolek: "Re: Oplaty za domeny"
Poprzednia wiadomość: niceman: "Re: Szybszy Polpak"
W odpowiedzi na: Michał Mierzwa: "Re: SSL/ HTTPS Niewazny certyfikat THAWTE Inc."
Następna w wątku: Paweł Krawczyk: "Re: SSL/ HTTPS Niewazny certyfikat THAWTE Inc."
Odpowiedz: Paweł Krawczyk: "Re: SSL/ HTTPS Niewazny certyfikat THAWTE Inc."
Wiadomości sortowane wg: [ datay ] [ wątku ] [ tematu ] [ autora ] [ załącznik ]

Michał Mierzwa wrote:
>
> Expert pisze:
> >E> Serwery https z SSL maja otrzymac dodatkowy soft (mojego autorstwa).
> A my wszyscy wierzymy w garbate aniołki.
> >E> Dodatkowo problem bedzie badany przez Department of Commerce.
>
> Skromniś. Dlaczego nie przez Pana Boga?

Znajomy p[rawnik mi wyjasnil jaki problem formalny wystepuje z
certyfikatami na serwery z SSL.
Instytucja certyfikujaca sama sobie wydaje i przyznaje certyfikat.

Zatem nie wystepuje instytucja bezstronnego swiadka i zgodnie z
brytyjskim i amerykanskim systemem prawnym taki certyfikat moze zostac
uznany jako niewazny, bez mocy prawnej.

CA przekazujac swoj root certificate dla przegladarki powinien podpisac
umowe z NN, IE i poddac sie co najmniej weryfikacji MS i NN.
Poniewaz tego nie uczynil vide root certificate NN, to oznacza ze sam
sie certyfikowal, czyli nie dopelnil prawnej procedury
uwierzytelniajacej swoja firme i swoj certificate.

Mozliwe ze ktos (instytucja) dopuscila taka procedure, ale nie wiadomo
ktora i kiedy. Skoro certyfikaty SSL sluza dla bezpiecznych platnosci
przez internet, wlasciwym dla zbadania tej sprawy na obszarze us jest
ich ministerstwo handlu.

Tak mi ten prawnik to wyjasnil, co niniejszym przekazuje ku wyjasnieniu
problemu.
Moj udzial jest doprawdy niewielki, zaproponowalem CA fragment kodu,
ktory sprawdza waznosc certyfikatu i jezeli certyficate terminated to
ten program zamyka sesje https i wyswietla stosowny komunikat.

Odzew CA jest obiecujacy, niemniej wymaga konsultacji.

CA mi pisze , ze wydaje server certificate na okres jednego roku.

Gdy pytalem sie a co bedzie po uplywie tego roku ?
???
...
Nic nie bedzie, certyfikat bedzie niewazny a SSL i https nadal aktywne.
Czyli innymi slowa waznosc certyfikatu jest nieograniczona w czasie a
data waznosci na certyfikacie jest w istocie informacja o oplaceniu
abonamentu i niczym wiecej.

Inaczej mowiac technicznie mozliwe jest uzywanie niewaznych certyfikatow
tak na serwerach jak i w przegladarce i transakcje bezpieczne (???) beda
nadal formalnie obslugiwane.

Drugi problem to autoryzacja CA przez niezalezna agende, najlepiej
rzadowa. W Polsce moglby to byc np. wpis do rejestru handlowego +
notariusz dla sporzadzenia i uwierzytelnienia aktu.

Ten prawnik sie juz za to zabral.
Jacek

Następna wiadomość: Michal Kociolek: "Re: Oplaty za domeny"
Poprzednia wiadomość: niceman: "Re: Szybszy Polpak"
W odpowiedzi na: Michał Mierzwa: "Re: SSL/ HTTPS Niewazny certyfikat THAWTE Inc."
Następna w wątku: Paweł Krawczyk: "Re: SSL/ HTTPS Niewazny certyfikat THAWTE Inc."
Odpowiedz: Paweł Krawczyk: "Re: SSL/ HTTPS Niewazny certyfikat THAWTE Inc."
Wiadomości sortowane wg: [ datay ] [ wątku ] [ tematu ] [ autora ] [ załącznik ]

To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 16:19:27 MET DST