09.04.2015 | 13:09

Adam Haertle

Zapomniałeś kupić certyfikat SSL? Jest na to sposób

Ciągle nie możemy się zdecydować, czy wpis ten umieścić w kategorii FunSec czy też raczej TerribleSec. Twórcy dystrybucji Linuksa Manjaro zapomnieli zaktualizować certyfikat SSL. W związku z tym, zamiast po prostu ekspresowo kupić i zainstalować nowy, wydali następującą rekomendację dla użytkowników:

Rekomendacja dla użytkowników

Rekomendacja dla użytkowników

Tak, użytkownicy mogą rozwiązać problem przestawiając zegar systemowy. Brakuje tylko wskazówki, by wpisać to polecenie do crona.

Powrót

Komentarze

  • 2015.04.09 13:24 Stachu

    TerribleSec

    Odpowiedz
  • 2015.04.09 13:31 scanner

    Śmiechłem mocno…

    Odpowiedz
  • 2015.04.09 13:42 mkki

    Zapomnieli o sudo /etc/init.d/ntp stop

    Odpowiedz
  • 2015.04.09 13:55 Marek

    Ja otrzymalem w zeszlym tygodniu od Deutsche Banku taka odpowiedz po tym, jak zglosilem, ze na stronie https://ebank.db-pbc.pl/auth/login.jsp wchodzac przez firefox-a nie mozna zweryfikowac wlasciciela certyfikatu:
    „(…)

    Uprzejmie informujemy, że przedstawiony przez Pana problem jest nam znany. Ponownie informujemy, że dokładamy wszelkich starań, aby nasze zabezpieczenia były zgodne z najnowszymi standardami i dostosowane do zmieniających się wersji oprogramowania przeglądarek internetowych.

    Niemniej dziękujemy za czujność z Pana strony i zapewniamy, że logowanie na stronie internetowej Banku jest jak najbardziej bezpiecznie.

    Jednocześnie dziękujemy Pana za uwagi dotyczące działań naszego Banku. W ten sposób dowiadujemy się od Klientów, czego od nas oczekują, przez co możemy zastanawiać się nad ulepszeniami w tych kierunkach.

    W przypadku dodatkowych pytań prosimy o kontakt z całodobowym Teleserwisem pod numerem +48 12 625 80 00 lub 801 18 18 18. (…)

    (…)Klienci Banku korzystający z najnowszej wersji oprogramowania przeglądarki Mozilla Firefox, mogą zetknąć się z komunikatem ostrzegającym o rzekomym niskim stopniu bezpieczeństwa połączenia ze stroną logowania do systemów bankowości elektronicznej.

    Pragniemy Pana zapewnić, że w przypadku Deutsche Bank Polska wszystkie elementy serwisu bankowości elektronicznej db easyNET są szyfrowane i wysoce bezpieczne.
    Dokładamy wszelkich starań, aby nasze zabezpieczenia były zgodne z najnowszymi standardami i dostosowane do zmieniających się wersji oprogramowania przeglądarek internetowych. W związku z tym w najbliższym czasie Bank wdroży kolejne, nowe certyfikaty, dzięki czemu przy logowaniu się za pomocą najnowszej wersji przeglądarki Mozilla Firefox wspomniany wcześniej komunikat nie powinien już być prezentowany.(…)

    Tak banki w Polsce dbaja o bezpieczenstwo.

    Odpowiedz
    • 2015.04.10 00:42 Kryptosfera

      W tym przypadku problemem nie jest certyfikat, ale algorytm szyfrujący (RC4) jaki negocjuje serwer z przeglądarką.

      Sama wymiana certyfikatu nic więc tutaj nie pomoże :-)

      Odpowiedz
      • 2015.04.10 08:52 Marek

        Bardziej chcialem pokazac jak podchodza do bezpieczenstwa i edukacji klientow… „pan sie nie martwi wszystko jest w porzadku”, to prowadzi do tego, ze kiedy strona bedzie podmieniona, to klient nie zwroci na to uwagi, bo przeciez zawsze nie bylo „klodki”
        pozdrawiam

        Odpowiedz
      • 2015.04.10 09:10 Zenek

        W ogóle mają (DB PBC) jakąś zakręconą konfigurację, bo włączony mają tylko TLS1 i 1.2 bez 1.1. I mają tylko jeden ciphersuite: TLS_RSA_WITH_RC4_128_SHA, więc nawet Forward secrecy nie wspierają. Nazwanie ich zapewnień bzdurami jest daleko idącą ostrożnością.

        Odpowiedz
  • 2015.04.09 14:15 Paweł

    cert DV, nowy mogliby uzyskać w 20 min , dłużej pewnie zajeło im napisanie tej rekomendacji dla użytkowników

    Odpowiedz
  • 2015.04.09 17:54 nusch

    motto zobowiązuje „Manjaro Linux – Enjoy the simplicity”

    Odpowiedz
  • 2015.04.09 18:40 gg

    linuksiarze :D

    Odpowiedz
  • 2015.04.10 11:18 as
    Odpowiedz
  • 2015.04.11 07:03 dd

    Po pierwsze, to jest wypowiedź wyrwana z kontekstu – deweloperzy napisali, że jak ktoś MUSI, to w ten sposób może chałupniczo obejść problem z (żenującą poniekąd) wpadką z certyfikatami. Po drugie, wczoraj już wszystko było w porządku. A problem wyniknął z przerwy świątecznej lub innych proceduralnych opóźnień w GlobalSign, bo deweloper odpowiedzialny za certyfikat skontaktował się z nimi na czas (23 marca) i do przedwczoraj nie mieli żadnej odpowiedzi.

    Odpowiedz
    • 2015.04.11 10:58 Adam

      Lol? Na screenie jest pełen komunikat, a załatwienie certyfikatu w dowolnej firmie to godzina roboty w najgorszym razie

      Odpowiedz

Zostaw odpowiedź do scanner

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Zapomniałeś kupić certyfikat SSL? Jest na to sposób

Komentarze