Komentar: Digitalni sertifikati, glavolomka koja rešava probleme

Opšta briga za informacionu bezbednost čini da imamo sve više posla s digitalnim sertifikatima. S jedne strane oni predstavljaju trošak koji se ponavlja iz godine u godinu, s druge strane zahtevaju instalaciju i aktivaciju a sa treće… treću stranu upoznate kada počnu nevolje, pa nešto što vam je neophodno za poslovanje ne radi zbog nekompatibilnog operativnog sistema, pogrešnih verzija drajvera, starih biblioteka… Ili prosto ne radi, pojma nemate zašto, sati prolaze a vaš biznis je off‑line.

PCPress.rs Image

Najčešće se srećemo sa SSL sertifikatima za domene, koji su donedavno bili važni za Web prodavnice, a sada su neophodni za sve stranice, pošto pretraživači loše rangiraju sajt koji se ne odaziva na https://ime. Trošak je 8‑10 dolara godišnje, a instalacija je glavobolja za svakog „sam svoj majstor“ Webmaster‑a. Probate preko nekog Webmin‑a, sve (kao) može kroz maske, ali tih maski, recimo, nema za domen koji je sinonim drugog domena. I onda, zna se: Linux komandna linija, editujete džinovski httpd.conf, pitate se šta je ključ a šta sertifikat, zašto Web server neće da se restartuje, zašto sertifikat naoko radi ali neki od sajtova za testiranje kažu da nije dobar (proverite chain of trust fajl) i tako redom. Doskora ste barem mogli da kupite sertifikat na 3 ili 5 godina, instalirate ga i u dužem periodu zaboravite na njega, a sada se sertifikat mora tehnički obnavljati na svakih 12 meseci, ma za koliko godina ste ga platili.

Mogla bi se napisati čitava knjiga o problemima sa sertifikatima koje koriste razni domaći eBanking programi – o njihovoj instalaciji, drajverima za čitače smart kartica, „zanavljanju“ sertifikata i drugim operacijama koje zahtevaju mnogo sati razgovora sa službom podrške… i još više sati čekanja da se ta služba javi. Instalacija uglavnom zahteva da prihvatite bančin root sertifikat, što bezbednosno gledano nije nešto čemu se treba radovati. Slično važi za kvalifikovane elektronske potpise koji su neophodni da bi se, recimo, pristupilo svim servisima na portalu eUprava. Zar ni jedno od domaćih sertifikacionih tela nije, za pare koje mu dajemo, moglo da se i samo sertifikuje, tako da njihovi potpisi budu „priznati“ od strane Windows‑a i MacOS‑a? Najzad sam odvojio neki stari laptop na koji nekritički trpam sve tražene root sertifikate i koristim ga za domaće e‑servise, ali ga držim daleko od bilo kakvog drugog posla; čak ga ne puštam ni u kućnu mrežu.

PCPress.rs Image

Stvari nisu dobro organizovane ni van naših granica. Nekada sam mislio da će sva elektronska pošta uskoro biti digitalno potpisivana i da ćemo se tako ratosiljati spam‑a. Ali… Tamo negde 2004. godine radio sam konsalting za nemačku firmu koja je zahtevala da sva korespondencija bude digitalno potpisana sertifikatom koji sam kupovao od Verisign‑a, a da se osetljive informacije kriptografski zaštite. Tada je sve to lepo funkcionisalo, ali kada je prošle godine trebalo nastaviti posao pa sam potražio stare poruke u Outlook‑u, ispostavilo se da su sve one sada neispravno potpisane (sertifikat davno istekao) i da se, što je mnogo gore, ne mogu dekriptovati.

Sreća da sam sačuvao stare sertifikate te sam, uz mnogo muke i prastari Internet Explorer, uspeo da dešifrujem poruke, posle čega sam ih odmah prebacio u nezaštićeni Word dokument radi sigurnijeg čuvanja. Jasno mi je da sertifikati moraju da ističu kako bi nam svake godine uzimali pare, ali mi nije jasno zašto dokumenti davno potpisani sada isteklim, a tada važećim sertifikatom nisu i dalje korektno potpisani. Bez digitalnih sertifikata se očito ne može, ali mnoge stvari treba da se reorganizuju da bi oni bili zaista upotrebljivi, naročito za korisnika koji nije ekspert za računarsku bezbednost.

Uvodnik u broj #286 časopisa PC

Facebook komentari:

Tagovi: , , ,

Dejan Ristanović

www.dejanristanovic.com