Сообщений в теме: 11

[pkikz]

Суть проблемы состоит в следующем:
домены в Интернет можно покупать(на основе договоров) и регистрировать анонимно(бесплатные домены или приобретение через WEb many), так же домены бывают с динамическими IP.

теперь при получении SSL сертификата заявитель должен предоставить документы в центр регистрации НУЦ(национальный удостоверяющий центр РК pki.gov.kz). Вопрос состоит в том нужно ли пользователю предоставлять договор на приобретение домена? а если домен приобретен анонимно то как НУЦ сможет проверить что домен пренадлежит данному пользователю.

если договор не требовать то любой пользователь придет и скажет дайте мне SSL сертификат этот домен принадлежит мне.

что скажите по данному вопросу.

[yerden]

Мне почему-то кажется, что доказать принадлежность домена к лицу или организации невозможно. Домены можно продать и купить анонимно, а требовать со всех какой-то договор - нереально.

Хотя согласен, что в данном случае возникают проблемы с выдачей сертификатов на yahoo.com, telecom.kz, microsoft.com какому-то Васе Пупкину. Поэтому какая-то проверка должна быть. Вопрос: какая?

[Denisc]

что скажите по данному вопросу.

Уточните, а для чего нужно получать SSL сертификат для домена у них?

[Den_KZ]

pkikz
Для доменов *.kz - проблем не возникнет, в KazNIC есть соответствующая информация...
Если данные о владельце домена в КазNIC неверные, то это проблемы владельца домена...

А выдачей сертификатов для международных доменных зон я бы на Вашем месте не стал связыватся... Несколько сертификатов выданных мошенникам, и НУЦ уже никто в мире доверять не будет...
А по существу вопроса, многие международные УЦ также и являются регистраторами доменов, либо имеют договора с регистраторами...
Их сертификаты бывают с разными степенями доверия, соответственно и проверки при получении сертификата тоже разные...

[yerden]

pkikz
Для доменов *.kz - проблем не возникнет, в KazNIC есть соответствующая информация...
Если данные о владельце домена в КазNIC неверные, то это проблемы владельца домена...

Проблема в том, что информация в KazNIC часто устаревшая и не соответствующая действительности, но всё спихивать на владельца тоже неправильно. Например, в случае юридического лица маловероятно, что за сертификатом придёт лицо, действительно указанное в базе KazNIC. В случае выдачи сертификата для домена третьего уровня всё становится ещё сложнее.

А выдачей сертификатов для международных доменных зон я бы на Вашем месте не стал связыватся... Несколько сертификатов выданных мошенникам, и НУЦ уже никто в мире доверять не будет...

pkikz, насколько это правильно? Я не уверен.

А по существу вопроса, многие международные УЦ также и являются регистраторами доменов, либо имеют договора с регистраторами...
Их сертификаты бывают с разными степенями доверия, соответственно и проверки при получении сертификата тоже разные...

Разные уровни доверия сертификатов делаются не совсем для этого, а для соответствия определённому уровню информационной безопасности при использовании сертификата.

Короче, засада. Есть вариант требовать с юриков подтверждения принадлежности ему домена в виде письма от первого руководителя с соответствующей административной или уголовной ответственностью. От физиков - заявление об истинности предоставляемых личных сведений.

[Den_KZ]

Проблема в том, что информация в KazNIC часто устаревшая и не соответствующая действительности, но всё спихивать на владельца тоже неправильно. Например, в случае юридического лица маловероятно, что за сертификатом придёт лицо, действительно указанное в базе KazNIC. В случае выдачи сертификата для домена третьего уровня всё становится ещё сложнее.

В БД KazNIC - информация не может быть устаревшей... - владельцем домена остается тот, на кого зарегистрирован домен в KazNIC... Это как с автомобилем, на кого авто зарегистрированно, тот и является владельцем...
Если вы по поводу админ и тех. контактов - то да не всегда инфа о них актуальна... Но это не меняет сути дела - владелец домена не меняется...
Для юр. лиц. - нужна просто доверенность на получение сертификата...
для физ. лиц. - уд. личности.

Сам процесс получения сертификата на сайт можно упростить, все в он-лайн режиме:
В заявке должен быть указан E-Mail этого домена,
потверждение о получении возвращается на указанный E-Mail, заявитель должен потвердить заявку,
и после получения подверждения изготавливается сертификат и заявитель скачивает его с сайта.

[moor]

А по существу вопроса, многие международные УЦ также и являются регистраторами доменов, либо имеют договора с регистраторами...
Их сертификаты бывают с разными степенями доверия, соответственно и проверки при получении сертификата тоже разные...

при получении базового сертификата, центр сертификации высылает проверочный код на адрес postmaster@xx.xx, если вы админ домена то доступ к этому ящику имеете. и можете получить сертификат.

более выскокие уровни доверия требуют отсылки нотариальных копий документов в центр сертификации.

PS я все это говорю про зарубежных регистраторов.

PPS Пока корневой сертификат НУЦ не будет в основных браузерах, широкого применения для интернет использования НУЦ мало подходит.

Сообщение отредактировал moor: 21.08.2009, 16:54:02

[kornel]

PPS Пока корневой сертификат НУЦ не будет в основных браузерах, широкого применения для интернет использования НУЦ мало подходит.

ИМХО не факт, что будет.
Да и я побоюсь в ближайшие пару-тройку лет покупать что-то на сайтах, подписанных нашим корнем, даже если браузер мне скажет, что всё нормально. Тут уже вопрос доверия, в том числе и к технической грамотности специалистов центра сертификации.

[moor]

PPS Пока корневой сертификат НУЦ не будет в основных браузерах, широкого применения для интернет использования НУЦ мало подходит.

ИМХО не факт, что будет.
Да и я побоюсь в ближайшие пару-тройку лет покупать что-то на сайтах, подписанных нашим корнем, даже если браузер мне скажет, что всё нормально. Тут уже вопрос доверия, в том числе и к технической грамотности специалистов центра сертификации.

имхо это излишне ) вот взять например сайт хоумбанка(https://www.homebank.kz/), у него самый простой сертификат который подтверждает только, что вы зашли именно на сайт хоум банка. а вот чей это сайт , что он делает этого сертификат не говорит. и не важно кем он подписан НУЦ или Equifax. Надеюсь квалификации у сотрудников НУЦ хватит чтобы не выдать сертификат на домен *.kz

Кому инетресно сравнить уровень сертификатов, то сравните сертификаты здесь https://www.homebank.kz/ и здесь https://www.smartbank.kz

Сообщение отредактировал moor: 22.08.2009, 15:07:59

[kornel]

Даже не спорю, что уровень защиты у сертификата Хомбанка низкий. ККБ, по не понятной мне причини решил значительно сэкономить.
Но именно из-за человеческого фактора, мне кажется, что вероятность дублирования приват-ключа от Иквафакса намного ниже, чем от НУЦ.

[Коляныч]

Кому инетресно сравнить уровень сертификатов, то сравните сертификаты здесь https://www.homebank.kz/ и здесь https://www.smartbank.kz

Сори, а что именно нужно сравнивать? Вижу только, что в хоумбанке 1024 бита, в смартбанке 2048 бит, ещё есть какие-то непонятно для чего использующиеся Key Usage:
Unknown Key Usage (2.16.840.1.113730.4.1)
Unknown Key Usage (1.3.6.1.4.1.311.10.3.3)
2048, конечно, лучше защищён от прослушивания, но чёт есть предположение, что и 1024 не всякий суперкомпьютер на лету может вскрыть. Есть ли какие-нибудь более-менее точные данные сколько нужно мегафлопсов производительности, чтобы, скажем, за месяц декодировать сессию, криптованную 1024 битным SSL?

[O_bama]

Кому инетресно сравнить уровень сертификатов, то сравните сертификаты здесь https://www.homebank.kz/ и здесь https://www.smartbank.kz

Сори, а что именно нужно сравнивать?

Дело не в битах, простой обыватель для которого позиционированы эти системы на биты смотреть не будет.
Видимо предлагалось сравнить что на сайте смартбанка информация подсвеченная зеленым, что сайт управляется Евразийским банком, это дополнительная степень защиты как утверждают Verisign, Thawte и иже.