| |
sp6ryd | 05.08.2015 18:17:53 |
Grupa: Użytkownik
QTH: Wrocław
Posty: 3870 #2153690 Od: 2012-1-22
| Nie rozumiemy się, nie nazywaj proszę bagatelizowaniem tego co piszę. SSL tak samo dobry technicznie (bezpieczny) będziesz miał zarówno przy samodzielnie wygenerowanym certyfikacie jak i przy certyfikacie wydanym przez urząd. Jedyną kwestią jest zaufanie do takiego certyfikatu. Jeśli pamiętasz zasady wymieniania się kluczami PGP to tu też zachodzi kwestia potwierdzenia, że certyfikat witryny jest autentyczny. W Unizeto w procesie potwierdzenia niemal automatycznie weryfikowane jest jedynie to, że masz prawa do domeny i nic więcej. Polega to na tym, ze przesyłają Ci (to jedna z 4-ech metod) plik lub metatag do umieszczenia na głównej stronie. "Istotna różnica" to tylko to, Ze Twoja przeglądarka ufa CA Certum domyślnie (podziękujmy Microsoftowi) ale nic nie stoi na przeszkodzie byś samodzielnie dodał zaufanie do serwera PZK. Jak jesteś purystą bezpieczeństwa to można nawet przyjąć, że fingerprint klucza PZK wydrukuje gdzieś w materałach oficjalnie przekazanych Tobie. lub nawet wywieszonych na tablicy informacyjnej w każdym klubie - sprawdzisz z tym na www -> zaufasz. Zabrałem głos w tej sprawie tylko dlatego, że ktoś napisał, że posiadając kupiony certyfikat będzie bezpieczniej ... to taka sama prawda jak to żę Franc .... |
| |
Electra | 25.11.2024 21:03:50 |
|
|
| |
sp6ryd | 06.08.2015 00:10:06 |
Grupa: Użytkownik
QTH: Wrocław
Posty: 3870 #2153855 Od: 2012-1-22
| Temat rzeka, fakt że nie będziesz miał jeszcze publicznie dostępnych CRL-i czyli list anulowanych certyfikatów, choć przypadek anulowania certyfikatu przed jego wygaśnięciem rzadko się raczej zdarza w przypadku dobrze utrzymanych serwerów. W organizacji w której do zmiany danych w OSEC potrzebny jest osobisty kontakt z zaufaną osobą z tejże organizacji można zakładać że zaufanie w drugą stronę też może być dystrybuowane i nie potrzeba nam "trzeciej strony" która potwierdzi że o certyfikat wystąpił ten kto ma władzę nad domeną (naprawdę tylko tyle jest tam sprawdzane) ale ok, zapędziłem się w akademicką dyskusję i chyba piszemy już o tym samym, muszę zatem uznać że temat wyczerpaliśmy |
| |
sp6ryd | 06.08.2015 07:44:07 |
Grupa: Użytkownik
QTH: Wrocław
Posty: 3870 #2153875 Od: 2012-1-22
| Tak, zgadzam się z Twoją argumentacją i pochwaliłem decyzję o zakupie (wcześniej) - naprawdę chodzi mi tylko o odróżnienie bezpieczeństwa SSL od kwestii zaufania do samego certyfikatu. Moim zdaniem stowarzyszenia wyższej użyteczności powinny (dla domen organizacyjnych) otrzymywać taki certyfikat jak nie za darmo to z dużym rabatem, a tymczasem administracja państwowa ma certyfikaty od komercyjnych, nie-krajowych CA. Żadne przepisy prawne nie regulują kwestii niekwalifikowanych certyfikatów SSL i dopuki tak jest ufać można komu się chce i jak się chce a to komu ufa przeglądarka zależy tylko od jej producenta. Możesz dla porównania sprawdzić jak Adobe kształtuje swoją politykę w zakresie zaufania do kluczy/certyfikatów gdybyś je chciał wykorzystać do podpisywania dokumentów PDF i weryfikować automatem pochodzącym od Adobe. |
| |
MCB | 06.08.2015 07:52:55 |
Grupa: Użytkownik
QTH: KO02KG
Posty: 49 #2153878 Od: 2014-10-12
| Zgadza się. Gdy pierwszy raz wszedłem na stronę i otrzymałem ww. komunikat to uznałem stronę za podejrzaną, przyjmując założenie, że co jak co, ale tak poważną organizację stać by było na certyfikat. Pisałem wtedy do administratora strony. Otrzymana odpowiedź tylko pogłebiła moją nieufność
_________________ 73 Marcin |
| |
Usunity_26_04_2017 | 06.08.2015 08:37:35 |
Grupa: Użytkownik
QTH: Warszawa
Posty: 228 #2153902 Od: 2014-7-21
UŻYTKOWNIK ZABLOKOWANY
Ilość edycji Admina: 1 | Witam Panowie Nie jest tak (nie było) do końca, jak niektórzy z Was piszą w tym wątku.To są teorie błędne. Budżet PZK nie jest z gumy. Musiałem oszczędzać kasę Związku, nie dostałem też przydziału środków. PZK finansuje gigantyczną ilość przedsięwzięć. Certyfikat domeny "pzk.org.pl" był poprawny. Był to certyfikat firmy StartSSL z Izraela. Kwestią były tylko subdomeny domeny głównej. Tak się stało, że musiałem przenieść portal na nowy serwer. Niestety przenosili mi to w trybie pseudo-automatycznym ludzie z supportu kei.pl. Niestety nie poszło za dobrze. Pozostały wpisy "download.pzk.org.pl". Tych wpisów było kilka tysięcy. Ponieważ część wpisów była obarczona błędami merytorycznymi poprawiałem to w trybie manualnym. Chora robota - robiły to dwie osoby. Pomagał mi nawiasem mówiąc nasłuchowiec (zagoniony do tej pracy). Natomiast uważny obserwator widząc poprawny certyfikat domeny głównej oraz drugi certyfikat dla subdomeny domeny głównej z takim samym wpisem "Administrator portalu PZK", mógł jednak na zasadzie dedukcji przyjąć poprawność certyfikatu samopodpisanego. Obecnie temat subdomen domeny pzk.org.pl przestał istnieć. Pozostała sprawa wpisu adresu w standardzie np. "https://www.subdomena.pzk.org.pl". I rzeczywiście występuje komunikat o niepoprawności certyfikatu w takim przypadku. To jest niestety pewna wada certyfikatu typu "wildcard", ideologiczna. Wada nie do przejścia. Jest to rozpoznawane na poziomie certyfikatu przeglądarki. Nie należy w ogóle używać adresów z przedrostkiem "www". To anachronizm.
73 ZYGI SP5ELA
|
| |
sq8jmd | 06.08.2015 10:40:59 |
Grupa: Użytkownik
Posty: 479 #2153960 Od: 2010-11-29
| sq2eey pisze: sq8jmd pisze:
Jaka przeglądarka? I czy najnowsza? U mnie problem nie występuje (a w tej branży pracuję więc delikatnie przeczulony jestem na te sprawy).
Błąd certyfikatu wykrywa Chrome. W IE już nie. Na podstronie z Regulaminem w 2-ch językach. Na razie innych luk nie znalazłem (nie mam czasu szukać).
To jeżeli tylko na jednej podstronie to jest to błąd przeglądarki, nie po stronie serwera PZK. _________________
|
| |
sp6ryd | 06.08.2015 11:32:07 |
Grupa: Użytkownik
QTH: Wrocław
Posty: 3870 #2153985 Od: 2012-1-22
Ilość edycji wpisu: 2 | SP5ELA pisze:
Pozostała sprawa wpisu adresu w standardzie np. "https://www.subdomena.pzk.org.pl". I rzeczywiście występuje komunikat o niepoprawności certyfikatu w takim przypadku. To jest niestety pewna wada certyfikatu typu "wildcard", ideologiczna. Wada nie do przejścia. Jest to rozpoznawane na poziomie certyfikatu przeglądarki. Nie należy w ogóle używać adresów z przedrostkiem "www". To anachronizm. 73 ZYGI SP5ELA
Tak działają wszystkie wildcardy. W takim przypadku może pomóc Subject Alternative Name - o ile można jeszcze dodać https://en.wikipedia.org/wiki/SubjectAltName tyle że SAN-ów nie może być dowolnie dużo. W Digicert zdaje się max 10 wpisów.
Problemy z "gwiazdką" maja też inne niż przeglądarka aplikacje: https://www.digicert.com/ssl-support/wildcard-compatibility.htm
Swoją drogą ciekaw jestem czy właściciel domeny org.pl (NASK) mógłby uzyskać w którymś CA i zgodnie z jego polityką weryfikacji legalny certyfikat wildcard dla domeny *.org.pl po czym wpisać www.pzk.org.pl jako Subject Alternative Name Proponuję sprawdzić (jako ćwiczenie) czy istnieje przepis, który im tego zabroni |
| |
Usunity_26_04_2017 | 06.08.2015 19:09:10 |
Grupa: Użytkownik
QTH: Warszawa
Posty: 228 #2154186 Od: 2014-7-21
UŻYTKOWNIK ZABLOKOWANY
Ilość edycji wpisu: 1 | Tak, mógłby. I wiele innych rzeczy też mogłoby nastąpić. Tylko jakie jest prawdopodobieństwa takiego wydarzenia? Zwłaszcza w przypadku, kiedy wpisy z adresem subdomeny interaktywnie były usuwane. Ile było takich przypadków od początku istnienia domeny "pzk.org.pl" i istnienia portalu PZK, tj. od 1997 roku? Masz takie dane? Nie masz tych danych, a ja je mam. To było podejście "probabilistyczne". Domena "download.pzk.org.pl" nigdy nie była używana w sensie strice "czystej" domeny. Były to tylko przekierowania na subkatalogi. Każdy może sprawdzić, co widać pod tym adresem. To jest pewna ulotna różnica. |
| |
usuniety8_02_2021 | 06.08.2015 19:29:58 |
Grupa: Użytkownik
QTH: Suszec JO90JB
Posty: 9221 #2154205 Od: 2008-10-24
Ilość edycji wpisu: 1 | SP5ELA pisze:
Witam Panowie
Natomiast uważny obserwator widząc poprawny certyfikat domeny głównej oraz drugi certyfikat dla subdomeny domeny głównej z takim samym wpisem "Administrator portalu PZK", mógł jednak na zasadzie dedukcji przyjąć poprawność certyfikatu samopodpisanego.
73 ZYGI SP5ELA
Może tak robią windowsowi klikacze, ale są też tacy, co nie pozwalają sobie na decydowanie za nich przez system i z daleka omijają takie domeny. Dedukować to sobie można, ale nie w tym przypadku.
To ZG PZK nie miał kasy na Certyfikat a nagle się znalazła? A przecież Admin mógł to zapłacić z wynagrodzenia na obsługę "systemu informatycznego PZK" (to tylko około 250 PLN) , skoro dopuszczał do takich wpadek jak kiepsko zainstalowany Certyfikat darmowy, kiepska szata graficzna Portalu PZK (szanujący się (niby) Portal PZK a postawiony na PHP Fusion i do tego starej wersji?? Mało czytelna strona.Brak odświeżenia wyglądu. Tyle lat i efektów niet. Na PHP Fusion to można sobie postawić prywatną stronę a nie Portal Związkowy.
|
| |
Usunity_26_04_2017 | 06.08.2015 20:57:17 |
Grupa: Użytkownik
QTH: Warszawa
Posty: 228 #2154227 Od: 2014-7-21
UŻYTKOWNIK ZABLOKOWANY
Ilość edycji wpisu: 1 | Probabilistyka jest dziedziną nauki. Analizy można robić, można ich nie robić. Można probabilistycznie ocenić prawdopodobieństwo występowania zdarzeń za ostatnie 18 lat działania serwera pzk.org.pl" i na następne kilka lat. Nie chodzi o logi, chodzi o zaistniałe incydenty. Te które zanotowano.
Czy możemy zakończyć dyskusję na temat certyfikatu? Jest środek lata, upały, a ja straciłem 7 dni na zakup certyfikatu dla PZK. Tak - 7 dni, bo źle poszło, i znowu partycypowało w tym Unizeto. Nie będę się wdawał w szczegóły, ale to jest z serii "Jesteśmy w Polsce". Żartobliwie to ujmując "piana mi wyszła na pysk". Sprawa certyfikatu została załatwiona na 3 lata.
Pozdrawiam
|
| |
sq2eey | 06.08.2015 20:57:20 |
Grupa: Użytkownik
QTH: JO73JX
Posty: 157 #2154228 Od: 2012-2-4
Ilość edycji wpisu: 1 | sq2eey pisze:
"Połączenie nie jest prywatne Hakerzy mogą próbować wykraść Twoje dane z www.awards.pzk.org.pl"
Zostało to już poprawione, więc można podziękować za reakcję zgodnie z sugestią Nie był to błąd przeglądarki, tylko odnośnik wykraczał poza certyfikat.
_________________ SQ2EEY Krystian, 439.250 - SR2KY
Powiślański Przemiennik w Kwidzynie |
| |
Electra | 25.11.2024 21:03:50 |
|
|
| |
Usunity_26_04_2017 | 06.08.2015 21:02:12 |
Grupa: Użytkownik
QTH: Warszawa
Posty: 228 #2154231 Od: 2014-7-21
UŻYTKOWNIK ZABLOKOWANY
Ilość edycji wpisu: 1 | Administratorzy (władze organizacji również) jednak zdecydowanie wolą, aby korespondencję kierować oficjalnymi kanałami. Forum PKI nie jest takim kanałem. To forma "ostentacji" użytkownika. I w tym jest właśnie problem. |
| |
SO5WM | 06.08.2015 21:10:21 |
Grupa: Użytkownik
QTH: Mińsk Mazowiecki
Posty: 988 #2154236 Od: 2014-1-7
Ilość edycji wpisu: 1 | Szczerze mówiąc to uważam, że wszystko da się zrobić i obecnym certyfikatem można ogarnąć całą stronę ze wszystkim co na niej jest Też dziwi mnie fakt, że certyfikat dopiero teraz lecz dobre chociaż to. Obecnie na szczęście jest tendencja do używania certyfikatów wszędzie tam gdzie istnieje konieczność wprowadzania danych. Co do samej strony PZK to już kiedyś wyraziłem swoją opinię właściwie dokładnie taką jaką napisał tu Janek. No kurde ile ten PHP Fusion jeszcze pożyje? Przecież żaden problem napisać coś swojego i podczepić się pod bazę tego CMSa, zero straty danych, a możliwości większe no i ta templatka, jak sądzę mamy obecnie rok 1999
ps. forum PKI jest tak samo dobrym kanałem komunikacji jak każdy inny, jest to forum o randze ogólnopolskiej nie lokalnej. _________________ Piotr http://www.radiooperator.pl/ mimo, że UKE ma swoją wyszukiwarkę tu również zostaje :) |
| |
Usunity_26_04_2017 | 07.08.2015 01:56:52 |
Grupa: Użytkownik
QTH: Warszawa
Posty: 228 #2154349 Od: 2014-7-21
UŻYTKOWNIK ZABLOKOWANY | Drogi Kolego SO5WM To jest nadrzędny temat "Polski Związek Krótkofalowców" i dalej --> Certyfikat SSL serwera PZK.
Nie mówimy o komunikowaniu się, jako takim, tylko o komunikacji z administratorem serwera PZK, a w ogólnym przypadku z osobami funkcyjnymi Związku. Zawsze i wszędzie obowiązują pewne kardynalne zasady postępowania, w tym komunikowania się. Wynikające z ogólnych zasad kultury. Zdziczenie obyczajów występuje, ale patologiami nie będziemy się tutaj zajmować.
Reasumując: jak masz coś do powiedzenia (ktoś ma coś do powiedzenia), skontaktuj się z właściwa osobą bezpośrednio i przekaz swoje uwagi. I nie ma znaczenia, czy jest to członek, czy nieczłonek PZK. Racjonalne uwagi przyjmuje się od każdego. W przypadku PZK dane wszystkich osób funkcyjnych znajdują się na portalu PZK. Moje również tam się znajdują, nawet w kilku miejscach. Każde stowarzyszenie ma swoją "hierarchię" i ustalone zasady postępowań. Tak jest i tak ma być. To się nazywa "porządek organizacyjny".
|
| |
usuniety8_02_2021 | 07.08.2015 03:46:26 |
Grupa: Użytkownik
QTH: Suszec JO90JB
Posty: 9221 #2154352 Od: 2008-10-24
| SP5ELA pisze:
Administratorzy (władze organizacji również) jednak zdecydowanie wolą, aby korespondencję kierować oficjalnymi kanałami. Forum PKI nie jest takim kanałem. To forma "ostentacji" użytkownika. I w tym jest właśnie problem.
A Forum PZK jest takim kanałem? Ile i komu można tłumaczyć że czas odświerzyć Portal PZK,zmienić regulamin Forum PZK i zacząć wreszcie rozumieć że ZG PZK jak i Admin portalu PZK mają służyć członkom organizacji a nie odwrotnie. Użytkownicy mają dość olewania ich i wolą forum PKI niż marny Portal.
No ale skoro mamy to co mamy to nic ciekawego z tego nie wyjdzie. |
| |
sp6ryd | 07.08.2015 07:02:38 |
Grupa: Użytkownik
QTH: Wrocław
Posty: 3870 #2154356 Od: 2012-1-22
Ilość edycji wpisu: 3 | ... a miało być o certyfikacie. To jak rozmawiałeś z supportem Unizeto czy mogą wydać duplikat certyfikatu z wpisanymi jako Subject Alternative Name dłuższymi subdomenami - to powinno rozwiązać problem zaufania do subdomen o wiecej niż jednym członie przed "pzk.org.pl" ? Jak nie to można by te domeny zmienić na krótsze, pewnie i tak przechodzi się na nie z głównego portalu. Co do PHP Fusion to faktycznie był modny kilkanaście lat temu teraz to raczej Wordpress, Drupal albo Joomla - choć ten pierwszy miał ostatnio dużą lukę. Bardzo dobre wsparcie społeczności ma Drupal a Jommla jest tak prosta że licealiści stawiają niezłe na niej strony Pewnie z tego PHP dało by się wycisnąć znacznie więcej ale czy naprawdę to jest takie istotne. Wiem zaraz posypiąsię głósy że forma też jest ważna ale jak dla mnie serwis to głównie treści i łatwość ich odnalezienia. W sieci jest tak samo dużo dobrych jak i fatalnych stron ale jak szukasz czegoś czego potrzebujesz to to chyba schodzi na drugi plan. Co innego jak ktoś chce lub musi traktować stronę jako wizytówkę lub by przyciągnąć klientów - wtedy wszystko jest ważne - sorry za offtop miało być o certyfikacie Wildcard. |
| |
Usunity_26_04_2017 | 07.08.2015 09:22:50 |
Grupa: Użytkownik
QTH: Warszawa
Posty: 228 #2154406 Od: 2014-7-21
UŻYTKOWNIK ZABLOKOWANY | Sprawa certyfikatu SSL dla PZK jest zamknięta na 3 lata. Niestety muszę podejmować czasem arbitralne decyzje. Pozdrawiam.
ZYGI SP5ELA
|
| |
usuniety20161013 | 07.08.2015 12:16:35 |
Grupa: Użytkownik
Posty: 613 #2154510 Od: 2009-8-4
UŻYTKOWNIK ZABLOKOWANY | SP5ELA pisze:
Sprawa certyfikatu SSL dla PZK jest zamknięta na 3 lata. Niestety muszę podejmować czasem arbitralne decyzje. Pozdrawiam.
ZYGI SP5ELA
Tak tylko zapytam dlaczego PZK musiało wysupłać dodatkową kasę na certyfikat z mojej składki ?
Czy opłata za serwer na którym znajdują się wszystkie "systemy informatyczne PZK" nie jest wliczona w koszty usług firmy RF POLAND ENT. ? Bo jeśli serwer jest w tych kosztach to dlaczego certyfikat nie mógł być ? Jak dla mnie to jawne walenie w .... przez firmę administrującą "systemami informatycznymi PZK". To się odpowiednio nazywa ... |
| |
sq8jmd | 07.08.2015 12:21:52 |
Grupa: Użytkownik
Posty: 479 #2154513 Od: 2010-11-29
| SQ8MXS pisze: SP5ELA pisze:
Sprawa certyfikatu SSL dla PZK jest zamknięta na 3 lata. Niestety muszę podejmować czasem arbitralne decyzje. Pozdrawiam.
ZYGI SP5ELA
Tak tylko zapytam dlaczego PZK musiało wysupłać dodatkową kasę na certyfikat z mojej składki ?
Czy opłata za serwer na którym znajdują się wszystkie "systemy informatyczne PZK" nie jest wliczona w koszty usług firmy RF POLAND ENT. ? Bo jeśli serwer jest w tych kosztach to dlaczego certyfikat nie mógł być ? Jak dla mnie to jawne walenie w .... przez firmę administrującą "systemami informatycznymi PZK". To się odpowiednio nazywa ...
Bo kiedyś jak się kupowało serwer czy to wirtualny czy dedykowany (jeszcze przed popularnością VPS) to certyfikaty nie były dodawane "gratis". A swoją drogą w dzisiejszych czasach znajdź mi kolego usługodawcę który za rozsądne pieniądze wynajmie VPS, dedyka lub normalne konto hostignowe dając gratis certyfikat wildcard. _________________
|
| |
usuniety20161013 | 07.08.2015 13:14:47 |
Grupa: Użytkownik
Posty: 613 #2154541 Od: 2009-8-4
UŻYTKOWNIK ZABLOKOWANY
Ilość edycji wpisu: 1 | sq8jmd pisze: SQ8MXS pisze:
Tak tylko zapytam dlaczego PZK musiało wysupłać dodatkową kasę na certyfikat z mojej składki ?
Czy opłata za serwer na którym znajdują się wszystkie "systemy informatyczne PZK" nie jest wliczona w koszty usług firmy RF POLAND ENT. ? Bo jeśli serwer jest w tych kosztach to dlaczego certyfikat nie mógł być ? Jak dla mnie to jawne walenie w .... przez firmę administrującą "systemami informatycznymi PZK". To się odpowiednio nazywa ...
Bo kiedyś jak się kupowało serwer czy to wirtualny czy dedykowany (jeszcze przed popularnością VPS) to certyfikaty nie były dodawane "gratis". A swoją drogą w dzisiejszych czasach znajdź mi kolego usługodawcę który za rozsądne pieniądze wynajmie VPS, dedyka lub normalne konto hostignowe dając gratis certyfikat wildcard.
Przeczytaj raz jeszcze moje pytanie.
Pytam wprost dlaczego PZK musiało wysupłać dodatkową kasę na certyfikat oprócz tej którą rokrocznie pcha w błoto za marny portal. Rocznie ponad 13tyś idzie na portal więc pytam po jaką cholerę dodatkowa kasa na certyfikat ? W tych 13 tyś nie znalazła by się kasa na pokrycie kosztów certyfikatu ?
Dla mnie to żenada - mam nadzieję że teraz dosadnie wyjaśniłem o co mi chodzi. |
| |
Electra | 25.11.2024 21:03:50 |
|
|