[Lugos-mozilla] Thunderbird certifikati
Matej Kovacic
matej.kovacic at owca.info
Tue May 12 16:00:41 CEST 2009
Pozdrav,
kje v Thunderbirdu lahko vidim certifikat mail strežnika, ki sem ga
prejel ob SSL seji?
Ne mislim na "Urejanje - Nastavitve - Certifikati - Preglej certifikate
- Spletne strani", pač pa da bi videl SSL certifikat, ki sem ga prejel
ob začetku seje.
Problem je namreč v tem, da TB sproži "alarm" v primeru MITM napada samo
če je certifiakt podpisan s strani ne-zaupanja vrednega Certificate
Authority.
Če pa nekdo uspe dobiti certifikat CA-ja, ki ga ima TB v svojem
skladišču, je MITM napad mogoče izvesti ne da bi TB na to opozoril.
P. S. Pravite, da je nemogoče dobiti SSL certifikat za poljuben
strežnik, podpisan s strani trusted CA-ja?
Žal to ne drži, Comodo (mozilla ga ima za "trusted") recimo izdaja
90-dnevne free certifikate, ob registraciji pa je mogoče vneti lažne
podatke. Sem preskusil in sem si naredil lažen certifikat za eno večjih
slovenskih spletnih strani, podpisan s strani Comoda.
P. S. 2: Firefox ima kot zaščito proti temu dodatek Pet Name Tool.
lp, Matej
More information about the lugos-mozilla
mailing list