09.09.2014 2:54, Alex Korchmar пишет: >>> VS> А проверять ты как собираешься подлинность этого сертификата? >>> 1. скорее всего - он подлинный. Потому что крайне маловероятно что при первом >>> же моем заходе в сбер или гугль кто-то уже успел его подделать. > DM> Вероятность того что когда ты в первый раз с данного устройства > DM> заходишь на сайт он кем-то взломан гораздо больше вероятности > если он взломан - мы вже прийихав, и сертификат не поможет. Вероятность что > в моем уютном мире кто-то всерьез занялся mitm attack и тут же не спалился > - небольшая. Hу имелось ввиду не непосредственный взлом сайта а контроль за трафиком на стороне сервера, хотя и непосредственно взлом может не означать доступ к каким либо данным или к закрытому ключу. И да вероятность небольшая. Я лишь утверждаю что взлом двух независимых точек менее вероятен чем взлом одной.
> DM> того что кто-то взломал СА подписал им нужный тебе сайт и взломал сайт. > DM> Hе согласен? > не согласен. Потому что взломов конкретно "моих" банков и пэйплэла в истории > не значится, а добровольное-с-песнями, не говоря уж о корпоративных файрволах - > неоднократно. пейпел ломали неоднократно - последний раз месяца 3 назад. Хорошая история ничего не значит - за неделю до краха большинство могли похвастаться отличной историей. В "твоих" банках завтра поменяют всех сотрудников и тебе ничего не скажут. И о спертом ключе тоже не скажут.
Hо все же сравниваем вероятности: в тот момент когда твой трафик перехвачен более вероятно что злоумышленник еще и смог взломать УЦ чукчателекомъаднака или то что ты в этот момент входишь впервые на этот сайт?
> DM> При любой смене снова получишь страшное предупреждение. > DM> Ты не этого хотел? > примерно. Еще возможность в первый раз - таки проверить подпись CA и > что именно ей подписано - "зеленым" есть основания доверять больше. Hу путь-то тебе покажут и ссылки на УЦ дадут и интересующую инфу всю увидишь --- ifmail v.2.15dev5.4 * Origin: NPO RUSnet InterNetNews site (2:5020/400)