Source: http://www.itblogs.ru/blogs/borkus/archive/2008/04/02/26712.aspx
Последнее время у меня стойкое впечатление, что народ не очень понимает, что такое сертификаты ЭЦП и зачем они нужны. Все обзавелись такими сертификатами, но по каким-то своим соображениям, не считают нужным их, например, продлевать. Если бы примеры были единичны, то все бы было ничего, но подобные случаи все чаще становится нормой. Вот два случая из моей практики:
1. Почтовый сервер, предоставляемый клиентам хостинга Zenon, может поддерживать защищенный канал связи. Аутентификация — по просроченному сертификату [выданному сервером компании самому себе]. Причем, в FAQ провайдера так прямо и написано: то, что сертификат такой старый -- это нормально, принимайте как есть. Норма жизни.
[Другая ситуация с почтовым сервером mail.tochka.ru -- там сертификат просрочен с 19 марта]
Характерно, что я столкнулся с таким явлением уже не на первом сервере интернет. Firefox ругается и предлагается выбор: доверять ли устаревшему удостоверению. Вроде бы все нормально, но ведь если паспорт просрочен, то он недействителен? В чем тогда его смысл?
2. Второй пример — более неприятный для меня.
«Промсвязьбанк» с марта радует просроченным сертификатом Java-приложения дистанционного обслуживания Юридических лиц. Браузер ругался по-черному. «Сертификат из доверенного источника, но просрочен». С учетом того, что через систему могут проходить платежи на миллионы рублей, подобное отношение к безопасности выглядит странновато.
При этом сам банк относится к клиентам с разумной осторожностью, и, если, их сертификат в системе просрочен хоть на день, то за его продление взимается штраф.
На днях прочитал умную мысль -- если компания допускает использование устаревшего сертификата, то у нее есть проблемы с бизнес-процессами. Временами клиентам это и так очевидно, но вот, есть и лишнее подтверждение. С другой стороны, если у поставщика услуги есть и полезные свойства, то каждый раз приходится мучительно давить в себе мысль о том, что в вопросах безопасности опасно отмахиваться от мелочей.
Published 2 апреля 2008 г. 15:27 by Vlad Borkus Edit
Filed under: Безопасность, Практика [Edit Tags]
Lsv said:Просроченный сертификат на серверах - вообще дело достаточно "стандартное". И бог бы он был просроченным - часто он и выдан непойми кем.
IMHO - обычная экономия на спичках.апреля 2, 2008 16:10
Tolik said:
Ага.
Причем в IE7 - еще не каждый догадается, что нажать, чтобы на такой сайт зайти и "не рекомендация" захода довольно навязчивая
Думаю, что многие разворачиваются и уходят
апреля 2, 2008 17:18
charliez said:
Два встречных вопроса от компании Зенон:)
1) у нас все сертификаты как минимум до июня 2008 года, не подскажете, на каком почтовом сервере Вы нашли просроченный?
2) Где у нас в FAQ об этом написано?
апреля 2, 2008 17:20
Vlad Borkus said:
2 charliez
> Два встречных вопроса от компании Зенон
1) Хм, даю разъяснения. Ругается почтовая программа при SSL-соединении с почтовым сервером. Дополнительно проверил -- сертификат НЕ просрочен (исправляюсь), но он выдан НЕИЗВЕСТНЫМ почтовой программе центром сертификации. А именно самим Зеноном, т.е. Зенон сам себя удостоверил, что он Зенон.
Сервер virtmail19.postman.ru выдал сертификат серверу virtmail19.postman.ru. Причем, согласно Thunderbird он верхний в иерархии сертификатов...
Иначе говоря, ситуация выглядит, как описал Lsv.
Этого достаточно для защиты канала, но, вероятно, не для аутентификации стороны. В принципе, для меня ситуация не критична, но все же.
Просроченный сертификат возникает на втором используемом мною эккаунте (не Зенон) -- на mail.tochka.ru. Там он истек 19 марта.
Thunderbird ругается последовательно на оба.
2) Хм, про то, что делать с таким сертификатом, чтобы принять его навечно, было написано в разделе про почту. Но, каюсь год не залезал уже в этот FAQ.
По Зенону вопрос для меня не очень критичный -- сайт в общем-то работает стабильно (хотя и не со всех мест быстро) и почтовый сервер достаточно надежен. Просто каждый раз это мозолит глаза.
Воспринимайте, не как наезд, а как обратную связь от уже постоянного клиента.
апреля 2, 2008 21:05
WarGloom said:
> «Промсвязьбанк» с марта радует просроченным сертификатом Java-приложения дистанционного обслуживания Юридических лиц.
Это Вы тоже сказали, чтобы придать значимости Вашему посту?
Наверно, не стоит сравнивать виденные вами где-то на левых ресурсах просроченные сертификаты, с нормальными уважающими себя сервисами.
апреля 3, 2008 11:48
Vlad Borkus said:
Чтобы обсуждать все предметно, выложил скриншоты:
Точка.ру:
Просмсвязьбанк на начало апреля:
Зенон:
Вот всех трех организациях я клиент уже не первый год. Думаю, что имею право сказать он том, что вижу.
апреля 3, 2008 12:24
Vlad Borkus said:
2 WarGloom
Организации уважаемые, поэтому они и обсуждаются. Про левые лавочки и разговора не идет.
Вот подробности сертификата PSB, которым подписана программа работы со счетами. Скриншот сделан 5 минут назад. Java пишет, что сертификат истек 25 января 2007 года:
http://www.konnasi.ru/pics/PSB2.png
апреля 3, 2008 12:32
Vlad Borkus said:
На самом деле надеюсь, что поправят они этот сертификат. Хотя бы PSB, там все же деньги ходят. В том числе мои, замечу, деньги. Потому и волнуюсь.
По Точке и Зенону это для сервиса качество сертификата в общем-то некритично. Трафик защищают и ладно.
апреля 3, 2008 12:40
Tolik said:
> Трафик защищают и ладно.
Но как-то неаккуратненько ....
апреля 3, 2008 13:35
Lsv said:
>Но как-то неаккуратненько ....
Более удачная формулировка, да. Я хотел написать "несолидно" при стоимости сертификата в 400$ в год - но слово не понравилось :)
апреля 4, 2008 10:37
Vlad Borkus said:
Проверил ситуацию через неделю после дискуссии. На 11.04.2008 "Промсвязьбанк" выложил новую версию программы удаленной работы, Java-машина на сертификат подписи больше не ругается. Может кто из их ИТ-департамента эту дискуссию прочитал, может сами проблему обнаружили -- но ошибку обнаружили и поправили. Это главное. Значит, молодцы.
апреля 11, 2008 11:35
Последнее время у меня стойкое впечатление, что народ не очень понимает, что такое сертификаты ЭЦП и зачем они нужны. Все обзавелись такими сертификатами, но по каким-то своим соображениям, не считают нужным их, например, продлевать. Если бы примеры были единичны, то все бы было ничего, но подобные случаи все чаще становится нормой. Вот два случая из моей практики:
1. Почтовый сервер, предоставляемый клиентам хостинга Zenon, может поддерживать защищенный канал связи. Аутентификация — по просроченному сертификату [выданному сервером компании самому себе]. Причем, в FAQ провайдера так прямо и написано: то, что сертификат такой старый -- это нормально, принимайте как есть. Норма жизни.
[Другая ситуация с почтовым сервером mail.tochka.ru -- там сертификат просрочен с 19 марта]
Характерно, что я столкнулся с таким явлением уже не на первом сервере интернет. Firefox ругается и предлагается выбор: доверять ли устаревшему удостоверению. Вроде бы все нормально, но ведь если паспорт просрочен, то он недействителен? В чем тогда его смысл?
2. Второй пример — более неприятный для меня.
«Промсвязьбанк» с марта радует просроченным сертификатом Java-приложения дистанционного обслуживания Юридических лиц. Браузер ругался по-черному. «Сертификат из доверенного источника, но просрочен». С учетом того, что через систему могут проходить платежи на миллионы рублей, подобное отношение к безопасности выглядит странновато.
При этом сам банк относится к клиентам с разумной осторожностью, и, если, их сертификат в системе просрочен хоть на день, то за его продление взимается штраф.
На днях прочитал умную мысль -- если компания допускает использование устаревшего сертификата, то у нее есть проблемы с бизнес-процессами. Временами клиентам это и так очевидно, но вот, есть и лишнее подтверждение. С другой стороны, если у поставщика услуги есть и полезные свойства, то каждый раз приходится мучительно давить в себе мысль о том, что в вопросах безопасности опасно отмахиваться от мелочей.
Published 2 апреля 2008 г. 15:27 by Vlad Borkus Edit
Filed under: Безопасность, Практика [Edit Tags]
Comments
Lsv said:Просроченный сертификат на серверах - вообще дело достаточно "стандартное". И бог бы он был просроченным - часто он и выдан непойми кем.
IMHO - обычная экономия на спичках.апреля 2, 2008 16:10
Tolik said:
Ага.
Причем в IE7 - еще не каждый догадается, что нажать, чтобы на такой сайт зайти и "не рекомендация" захода довольно навязчивая
Думаю, что многие разворачиваются и уходят
апреля 2, 2008 17:18
charliez said:
Два встречных вопроса от компании Зенон:)
1) у нас все сертификаты как минимум до июня 2008 года, не подскажете, на каком почтовом сервере Вы нашли просроченный?
2) Где у нас в FAQ об этом написано?
апреля 2, 2008 17:20
Vlad Borkus said:
2 charliez
> Два встречных вопроса от компании Зенон
1) Хм, даю разъяснения. Ругается почтовая программа при SSL-соединении с почтовым сервером. Дополнительно проверил -- сертификат НЕ просрочен (исправляюсь), но он выдан НЕИЗВЕСТНЫМ почтовой программе центром сертификации. А именно самим Зеноном, т.е. Зенон сам себя удостоверил, что он Зенон.
Сервер virtmail19.postman.ru выдал сертификат серверу virtmail19.postman.ru. Причем, согласно Thunderbird он верхний в иерархии сертификатов...
Иначе говоря, ситуация выглядит, как описал Lsv.
Этого достаточно для защиты канала, но, вероятно, не для аутентификации стороны. В принципе, для меня ситуация не критична, но все же.
Просроченный сертификат возникает на втором используемом мною эккаунте (не Зенон) -- на mail.tochka.ru. Там он истек 19 марта.
Thunderbird ругается последовательно на оба.
2) Хм, про то, что делать с таким сертификатом, чтобы принять его навечно, было написано в разделе про почту. Но, каюсь год не залезал уже в этот FAQ.
По Зенону вопрос для меня не очень критичный -- сайт в общем-то работает стабильно (хотя и не со всех мест быстро) и почтовый сервер достаточно надежен. Просто каждый раз это мозолит глаза.
Воспринимайте, не как наезд, а как обратную связь от уже постоянного клиента.
апреля 2, 2008 21:05
WarGloom said:
> «Промсвязьбанк» с марта радует просроченным сертификатом Java-приложения дистанционного обслуживания Юридических лиц.
Это Вы тоже сказали, чтобы придать значимости Вашему посту?
Наверно, не стоит сравнивать виденные вами где-то на левых ресурсах просроченные сертификаты, с нормальными уважающими себя сервисами.
апреля 3, 2008 11:48
Vlad Borkus said:
Чтобы обсуждать все предметно, выложил скриншоты:
Точка.ру:
Просмсвязьбанк на начало апреля:
Зенон:
Вот всех трех организациях я клиент уже не первый год. Думаю, что имею право сказать он том, что вижу.
апреля 3, 2008 12:24
Vlad Borkus said:
2 WarGloom
Организации уважаемые, поэтому они и обсуждаются. Про левые лавочки и разговора не идет.
Вот подробности сертификата PSB, которым подписана программа работы со счетами. Скриншот сделан 5 минут назад. Java пишет, что сертификат истек 25 января 2007 года:
http://www.konnasi.ru/pics/PSB2.png
апреля 3, 2008 12:32
Vlad Borkus said:
На самом деле надеюсь, что поправят они этот сертификат. Хотя бы PSB, там все же деньги ходят. В том числе мои, замечу, деньги. Потому и волнуюсь.
По Точке и Зенону это для сервиса качество сертификата в общем-то некритично. Трафик защищают и ладно.
апреля 3, 2008 12:40
Tolik said:
> Трафик защищают и ладно.
Но как-то неаккуратненько ....
апреля 3, 2008 13:35
Lsv said:
>Но как-то неаккуратненько ....
Более удачная формулировка, да. Я хотел написать "несолидно" при стоимости сертификата в 400$ в год - но слово не понравилось :)
апреля 4, 2008 10:37
Vlad Borkus said:
Проверил ситуацию через неделю после дискуссии. На 11.04.2008 "Промсвязьбанк" выложил новую версию программы удаленной работы, Java-машина на сертификат подписи больше не ругается. Может кто из их ИТ-департамента эту дискуссию прочитал, может сами проблему обнаружили -- но ошибку обнаружили и поправили. Это главное. Значит, молодцы.
апреля 11, 2008 11:35
Комментариев нет:
Отправить комментарий