2. Fórumok
  3. Hálózat, szolgáltatók
  4. Zyxel NAS326

Új hozzászólás Aktív témák

  • #1021 Mr Dini addikt rostiron #1013
    Új Válasz #1021
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    Mr Dini

    addikt

    válasz rostiron #1013 üzenetére

    Egyszerű a szituáció. Az SSL titkosít, de a kolléga által említett MITM támadásoktól nem véd meg. Vagyis tegyük fel, kliensünk egy publikus kávéházi wifin lóg, amin cracker barátunk éppen eltéríti a forgalmat, s átjátsza az Ő gépén. Így a meglátogatni kívánt weboldal és esetlegesen a POSTDATA is elküldésre kerülne SSL titkosítással a cracker felé. A cracker proxyja letölti Neked a tényleges oldalt, viszont a kérés fejléceit (illetve mást is) logolja. Így hiába létezik az SSL, nem sokat segít.

    Erre találták ki a biztonságos kibocsátókat. Általában a böngészőknek ezek a cégek komoly pénzeket fizetnek, hogy a böngésző elismerje a kiadót. Ezeknél a kibocsátóknál lehet SSL kulcsot igényelni egy domainhez például. Ehhez valamilyen formában kötelességed bizonyítani, hogy a cím a Te kezedben van. Régebben ezt papíron, hivatalban oldották meg. :D És általában nem olcsó mulatság volt ez egy magánszemély számára.

    Viszont van egy szponzorált, elismert kibocsátó, a Lets encrypt. Tőlük lehet igényelni egy maximum három hónapig érvényes kulcsot, amit természetesen bármikor meg leheg újítani, viszont minden alkalommal bizonyítani kell, hogy a cím a Tied (Ő az acme-t használja, ami egy fájlt helyez el a sebszerveren, s egy LE-es szerverrel meglátogatja a fájlt, hogy valóban látszódik-e). A kulcsot meg cserélgetni kell, vagy érdemes szkriptet, vagy akár webszerver modult használni erre a célra.

    Sajnos nem a legfrissebb Apache szolgálja ki a webGUI-t, így a modulos frissítés nem kivitelezhető, csak FFp alóli Apache-csal.

    A figyelmeztetés pedig azért jelenik meg, mert a böngésző nem tudja eldönteni, hogy a kulcs eredete megbízható-e. Ugyanis az alap SSL kulcsot openSSL generálja a NASon, ezt hívják self-signed certificate-nek. Biztonságos az is, viszont a kivételehez kell adni a kulcsot, mert a böngésző nem tudja eldönteni, hogy az az SSL kulcs valóban közvetlenül a NASodhoz tartozik, vagy épp el vagy térítve, s más a kulcs. Ha a kivételekhez adod, akkor a böngésződ tudni fogja, hogy igen, ez a Te tanusítványod. S ha eltéríteni próbálnak, akkor szépen jelez is megint egy figyelmeztetéssel.

    Persze nem feltétlenül kell megijedni, amennyiben ilyen figyelmeztetést látsz, mert simán lehet, hogy a NAS reboot után új kulcsot generál, vagy lejárat után generált egy újat... :)

Új hozzászólás Aktív témák