Harald Brombach (digi.no) Skrevet 7. februar 2018 Del Skrevet 7. februar 2018 Det er to avgjørende frister i 2018.Mange norske nettsteder må snart skifte ut HTTPS-sertifikatet Lenke til kommentar
tgra Skrevet 7. februar 2018 Del Skrevet 7. februar 2018 Hvor er det trygt å kjøpe då? 1 Lenke til kommentar
Gjest Slettet-Pqy3rC Skrevet 7. februar 2018 Del Skrevet 7. februar 2018 Hvor er det trygt å kjøpe då?Akkurat det er jo det håpløse med hele saken, i prinsipp finnes ingen sikre steder å kjøpe fra. Dette fordi nettleserleverandørene tydeligvis står jo fritt til å selv bestemme hvem de liker/stoler på. Kanskje vi ser at de ulike nettleserleverandørene selv starter sertifikatsalg, og kun stoler på seg selv, da kan det jo bli festlig. Lenke til kommentar
VS6F2053 Skrevet 7. februar 2018 Del Skrevet 7. februar 2018 Hvor er det trygt å kjøpe då? Ta en titt på dette prosjektet istedet: https://letsencrypt.org/ 1 Lenke til kommentar
hernil Skrevet 7. februar 2018 Del Skrevet 7. februar 2018 Hvor er det trygt å kjøpe då?Akkurat det er jo det håpløse med hele saken, i prinsipp finnes ingen sikre steder å kjøpe fra. Dette fordi nettleserleverandørene tydeligvis står jo fritt til å selv bestemme hvem de liker/stoler på. Kanskje vi ser at de ulike nettleserleverandørene selv starter sertifikatsalg, og kun stoler på seg selv, da kan det jo bli festlig. Sånn har det da alltid vært? Hele sertifikatordningen er jo basert på tillit, og det er bare bra for økosystemet å se at når tilliten til en leverandør forsvinner så tar nettleserprodusentene handling for å sikre brukerne sine. 2 Lenke til kommentar
Gjest Slettet-Pqy3rC Skrevet 7. februar 2018 Del Skrevet 7. februar 2018 Sånn har det da alltid vært? Hele sertifikatordningen er jo basert på tillit, og det er bare bra for økosystemet å se at når tilliten til en leverandør forsvinner så tar nettleserprodusentene handling for å sikre brukerne sine.Noe mer fornuftig om slik tillit ble vurdert av en nøytral tredjepart og ikke en aktiv deltager. Lenke til kommentar
hernil Skrevet 8. februar 2018 Del Skrevet 8. februar 2018 Sånn har det da alltid vært? Hele sertifikatordningen er jo basert på tillit, og det er bare bra for økosystemet å se at når tilliten til en leverandør forsvinner så tar nettleserprodusentene handling for å sikre brukerne sine.Noe mer fornuftig om slik tillit ble vurdert av en nøytral tredjepart og ikke en aktiv deltager. Som for eksempel? Per i dag er det jo faktisk nettleserleverandørene som kanskje vil være mest reaktive på tap av tillit fordi det er nettopp deres brukere som blir skadelidende. En tredjepart uten fornøyde brukere som del av forretningsmodellen vil ikke automatisk være bedre rustet for å vurdere disse sakene. Det er på ingen måte et perfekt system, fordi man må sette lit til noen et eller annet sted, men det er per i dag det beste (og eneste) vi har 2 Lenke til kommentar
NgZ Skrevet 8. februar 2018 Del Skrevet 8. februar 2018 Akkurat det er jo det håpløse med hele saken, i prinsipp finnes ingen sikre steder å kjøpe fra. Dette fordi nettleserleverandørene tydeligvis står jo fritt til å selv bestemme hvem de liker/stoler på. Kanskje vi ser at de ulike nettleserleverandørene selv starter sertifikatsalg, og kun stoler på seg selv, da kan det jo bli festlig. Nettleserleverandørene er NØDT til å ta dette ansvaret. Symantec hadde helt klart vist at de ikke var i stand til å forvalte Tilliten en CA, særlig en Root CA, er avhengig av. De fikset ikke kjente feil, og de begikk gjentatte, grove brudd på standarder og regelverk. https://wiki.mozilla.org/CA:Symantec_Issues Det eneste man kan kritisere Google for, er å ha brukt for lang tid. Dette var forøvrig ikke noe sololøp fra Googles side, selv om de hadde ressursene til å "ta saken". Mozilla har også vært med underveis. 1 Lenke til kommentar
-Night- Skrevet 8. februar 2018 Del Skrevet 8. februar 2018 Hvor er det trygt å kjøpe då? Ta en titt på dette prosjektet istedet: https://letsencrypt.org/ LE tilbyr kun DV ikke OV eller EV, selv det ikke er noe forskjell i sikkerheten i transportlaget, kan man stole mer på sertifikater som har OV. Per nå er det kun en norsk leverandører av slike sertifikater og det er buypass Lenke til kommentar
Gjest Slettet-Pqy3rC Skrevet 8. februar 2018 Del Skrevet 8. februar 2018 Som for eksempel? Per i dag er det jo faktisk nettleserleverandørene ... Nettleserleverandørene er NØDT til å ta dette ansvaret. ...Det bør være en uavhengig tredjepart som tar slike avgjørelser, f.eks. en sammenslutning av universiteter, nettleserleverandører og andre tjenestetilbydere. Sertifikatsleverandører følges opp, standardiserte rutiner benyttes, advarseler og påpakk før utestengelse, slik som normale sikkerhetsprosesser i andre fagretninger. Dagens situasjon virker mer som et amatørmessig "leke butikk" opplegg, tendenserer mot anarki hvor hver mann passer egen dør og ingen kan stole på noen. Lenke til kommentar
tommyb Skrevet 9. februar 2018 Del Skrevet 9. februar 2018 Hvor er det trygt å kjøpe då? Ja, denne saken er kjent men hvordan nå-status er nå er mindre spennende, så det måtte jeg sette meg litt inn i da våre sertifikater skulle byttes. Konkurrentene liker å late som om saken ikke har kommet til en løsning, men en løsning er altså kommet. * I prinsippet er det nå like trygt å kjøpe hos de berørte leverandørene som det var før denne saken. Symantec og Google har blitt enige, og en del av løsningen var at Symantec solgte sertifiseringsvirksomheten til DigiCert. Dermed er det like trygt å kjøpe sertifikater fra RapidSSL, GeoTrust eller til og med Symantec som det var før denne fadesen. Det er Symantec som skulle straffes, ikke kundene. * Man får gratis reissue av berørte sertifikater. Selv om domenet ditt er påvirket, betyr det ikke at du trenger kjøpe nytt. Før du trenger nytt av andre årsaker, altså. 2 Lenke til kommentar
Kjetil Mæland Skrevet 9. februar 2018 Del Skrevet 9. februar 2018 Vi har en leverandør i landet også https://www.buypass.no/ssl Lenke til kommentar
NgZ Skrevet 13. mars 2018 Del Skrevet 13. mars 2018 Som for eksempel? Per i dag er det jo faktisk nettleserleverandørene ... Nettleserleverandørene er NØDT til å ta dette ansvaret. ...Det bør være en uavhengig tredjepart som tar slike avgjørelser, f.eks. en sammenslutning av universiteter, nettleserleverandører og andre tjenestetilbydere. Sertifikatsleverandører følges opp, standardiserte rutiner benyttes, advarseler og påpakk før utestengelse, slik som normale sikkerhetsprosesser i andre fagretninger. Dagens situasjon virker mer som et amatørmessig "leke butikk" opplegg, tendenserer mot anarki hvor hver mann passer egen dør og ingen kan stole på noen. Det hadde vært fint med en uavhengig tredjepart med ansvar, men siden den ikke forsvinner, er utviklerne av nettlesere nødt til å ta det. Lenke til kommentar
Mazeking Skrevet 18. april 2018 Del Skrevet 18. april 2018 Her må også nettleserleverandørene passe seg. Selv har jeg 4-5 nettlesere installert. Fungerer ikke en nettleser på en side prøver jeg en annen. Her kan det være at folk kommer til å bytte nettleser fordi den de bruker i dag plutselig ikke fungerer lengre. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå