banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Cho em hỏi về Certificate  XML
  [Question]   Cho em hỏi về Certificate 25/02/2007 12:53:01 (+0700) | #1 | 43000
harry012005
Member

[Minus]    0    [Plus]
Joined: 22/10/2005 09:35:27
Messages: 13
Offline
[Profile] [PM]
Cho em hỏi mấy anh về cái Certificate: thời hạn hiệu lực tối đa của Certificate là bao lâu? em vào website của ngân hàng Đông Á thấy cái IE báo lỗi Certificate, khi em xem thì thấy certificate của nó hiệu lực tới 10 năm(từ 2005->2015) trong khi của Yahoo có 5 năm, dzậy cái certificate của thằng Đông Á là đồ thật hay đồ dỏm dzậy mấy anh?
[Up] [Print Copy]
  [Question]   Cho em hỏi về Certificate 25/02/2007 20:27:52 (+0700) | #2 | 43037
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

harry012005 wrote:
Cho em hỏi mấy anh về cái Certificate: thời hạn hiệu lực tối đa của Certificate là bao lâu? em vào website của ngân hàng Đông Á thấy cái IE báo lỗi Certificate, khi em xem thì thấy certificate của nó hiệu lực tới 10 năm(từ 2005->2015) trong khi của Yahoo có 5 năm, dzậy cái certificate của thằng Đông Á là đồ thật hay đồ dỏm dzậy mấy anh? 


Cho cái link xem thử?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Cho em hỏi về Certificate 26/02/2007 01:55:21 (+0700) | #3 | 43090
mfeng
Researcher

Joined: 29/10/2004 15:16:29
Messages: 243
Offline
[Profile] [PM]
https://ebanking.eab.com.vn/login

Ngân hàng Đông Á sử dụng hệ thống PKI của riêng mình, không được công nhận bởi các Root CA (Thawte, Verisign....) (các root certificate thường được cài đặt sẵn trên các hệ thống Windows) Vì vậy IE cảnh báo certificate này không tin cậy.

Thời hạn sử dụng của certificate do đăng ký với CA quyết định.
[Up] [Print Copy]
  [Question]   Re: Cho em hỏi về Certificate 26/02/2007 02:01:39 (+0700) | #4 | 43092
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
E = infosec@eab.com.vn
CN = EAB InfoSec Group
OU = Data Center
O = Eastern Asia Commercial Bank
L = HCMC
ST = Ho Chi Minh
C = VN


Cái này gọi là "self-cert", có nghĩa là tự mình issue request certificate, rồi tự mình signed luôn certificate cho nên muốn cho nó mấy năm cũng được hết. Loại "self-cert" không được "trusted" vì không có CA (certificate authority) nào xác thực cả.

"Dỏm" thì không dỏm, nhưng không được một cơ quan có thẩm quyền như Verisign, Cybertrust.... xác thực nên nó không có giá trị rộng rãi.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Cho em hỏi về Certificate 26/02/2007 07:51:18 (+0700) | #5 | 43140
[Avatar]
dangminh4
Member

[Minus]    0    [Plus]
Joined: 04/02/2007 21:44:21
Messages: 107
Offline
[Profile] [PM]
PKI là Cơ sở hạ tầng khóa công khai là dạng khác với CA ( chứng chỉ cấp phép) vậy sao cần phải được các root CA công nhận chứ
[Up] [Print Copy]
  [Question]   Cho em hỏi về Certificate 26/02/2007 08:42:48 (+0700) | #6 | 43145
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Cái này gọi là làm ăn nhỏ local thôi. Cũng vì chưa có đủ khả năng để quản lý nên Đông Á không chơi với quốc tế khoản certificate.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Cho em hỏi về Certificate 27/02/2007 00:53:12 (+0700) | #7 | 43231
No.13
Moderator

Joined: 25/08/2003 22:07:38
Messages: 500
Offline
[Profile] [PM]

dangminh4 wrote:
PKI là Cơ sở hạ tầng khóa công khai là dạng khác với CA ( chứng chỉ cấp phép) vậy sao cần phải được các root CA công nhận chứ
 

CA là một thành phần của PKI chứ không phải là một dạng khác.
Dĩ nhiên là Certificate của EAB được root CA của họ công nhận nhưng root CA của EAB có được mọi người công nhận hay không là chuyện khác.
[Up] [Print Copy]
  [Question]   Cho em hỏi về Certificate 27/02/2007 02:29:18 (+0700) | #8 | 43249
phdt
Elite Member

[Minus]    0    [Plus]
Joined: 09/06/2003 08:04:16
Messages: 11
Offline
[Profile] [PM]
Sẽ hết lỗi nếu em import cert (và cert path) của root server trên máy của em. Chuyện này giải quyết vấn đề commale đưa ra về trusted.

Mục đích là em add root server cert của NHDA vào trong container của IE (em có thể xem trong phần option, hoặc mở MMC) tới một danh sách các trusted root certificate. (Lưu ý là cert không nhất thiết được lưu trong browser)

Không nhất thiết phải có third party thì mới triển khai được PKI. Còn vấn đề công nhận hay không nó nằm trong khuôn khổ pháp lý và luật (legacy), nhằm làm cơ sở pháp lý cho các hoạt động về sau.


[Up] [Print Copy]
  [Question]   Re: Cho em hỏi về Certificate 28/02/2007 14:08:04 (+0700) | #9 | 43631
harry012005
Member

[Minus]    0    [Plus]
Joined: 22/10/2005 09:35:27
Messages: 13
Offline
[Profile] [PM]
em cũng biết là inport certificate sẽ hết lỗi, nhưng thấy nó báo lỗi làm em sinh nghi. ko chỉ có thằng Đông Á, kể cả Vietcombank cũng vậy. Mấy thằng này giàu kếch xù mà cũng ko thèm bỏ ít tiền xác nhận nữa(như thằng Pacific Airlines, hôm em mua vé ko hề có SSL nữa là, em gửi mail cho nó bảo nó chỉnh lại, bây giờ đc Verisign chứng nhận rùi đấy). Dù sao cũng dính tới tiền bạc em ko dám xài online banking của nó nữa, có CA chứng nhận mới dám xài.
[Up] [Print Copy]
  [Question]   Re: Cho em hỏi về Certificate 28/02/2007 17:52:52 (+0700) | #10 | 43650
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

harry012005 wrote:
em cũng biết là inport certificate sẽ hết lỗi, nhưng thấy nó báo lỗi làm em sinh nghi. ko chỉ có thằng Đông Á, kể cả Vietcombank cũng vậy. Mấy thằng này giàu kếch xù mà cũng ko thèm bỏ ít tiền xác nhận nữa(như thằng Pacific Airlines, hôm em mua vé ko hề có SSL nữa là, em gửi mail cho nó bảo nó chỉnh lại, bây giờ đc Verisign chứng nhận rùi đấy). Dù sao cũng dính tới tiền bạc em ko dám xài online banking của nó nữa, có CA chứng nhận mới dám xài. 


Hì hì, "sinh nghi" cái gì trời? smilie). Nếu "nghi" và được giải thích rõ ràng, rành mạch như trong chủ đề này mà vẫn còn cố chấp và quyết định không dùng dịch vụ của họ nữa là hơi.. khó hiểu. Nếu xem cert và thấy "Issued by" đúng là do chính cty đó issue và có đầy đủ thông tin cần thiết thì có thể tạm dùng, nhất là ở hoàn cảnh hiện tại cho thương mại điện tử ở VN.

Đồng ý các cty lớn nên dùng x509 cert thứ xịn do CA cung cấp. Tuy nhiên, nên nhớ rằng, Verisign "bụp" cỡ 1400 đô (Úc) cho 1 cert / 1 năm cho một host. Bởi thế, phí tổn này không nhỏ cho một cty mới bắt đầu với thương mại điện tử ở VN.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Cho em hỏi về Certificate 01/03/2007 07:10:52 (+0700) | #11 | 43783
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]
bạn chỉ cần trả lời certificate dùng để làm gì là biết nên dùng hay không liền hà . tmd gọi là local cũng không đúng . thân
[Up] [Print Copy]
  [Question]   Cho em hỏi về Certificate 01/03/2007 12:57:16 (+0700) | #12 | 43852
phdt
Elite Member

[Minus]    0    [Plus]
Joined: 09/06/2003 08:04:16
Messages: 11
Offline
[Profile] [PM]
Ngoài lề tí tẹo. Tranh luận với commale về một vài điểm:

"Đồng ý các cty lớn nên dùng x509 cert thứ xịn do CA cung cấp. Tuy nhiên, nên nhớ rằng, Verisign "bụp" cỡ 1400 đô (Úc) cho 1 cert / 1 năm cho một host."  


Ý thứ 2 đúng, Chính xác là Verisign tính tiền khác nhau cho từng loại cert.

Ý đầu không đồng ý ở khuyến nghị "các cty lớn nên dùng X509 cert thứ xịn do CA cung cấp".

a/bắt bẻ chữ nghĩa: CA ở đây chỉ chung là Certificate Authority. (có hãng security CA nhưng chắc bác ko định chỉ thằng này). Cert nào (thứ xịn hay thứ dỏm) đều do CA cấp hết.

b/Cert không nhất thiết theo chuẩn X509. Kể cả cert xịn

c/(main point) Việc một công ty dùng cert nào tùy thuộc vào luật quy định, không phụ thuộc cảm tính. Ví dụ, anh sẽ không dùng dịch vụ của hãng thứ 3 nếu anh không được luật bảo vệ, ví dụ cho tính chống từ chối của các giao dịch.


"Dỏm" thì không dỏm, nhưng không được một cơ quan có thẩm quyền như Verisign, Cybertrust.... xác thực nên nó không có giá trị rộng rãi.  


Các hệ thống PKI có thể xác thực chéo (cross trusted) hoặc bắc cầu (bridge). Thế nên không nhất thiết phải sử dụng cert của hệ thống PKI ngoài.




PS smilie Vui vẻ tí. Đã mang tiếng châm thì châm cho chót
[Up] [Print Copy]
  [Question]   Cho em hỏi về Certificate 02/03/2007 03:26:02 (+0700) | #13 | 43966
No.13
Moderator

Joined: 25/08/2003 22:07:38
Messages: 500
Offline
[Profile] [PM]
a/ => chắc anh đùa smilie) , dĩ nhiên certificate sẽ do CA cấp rồi, em nghĩ CA mà bác conmale đề cập là những CA được [mọi người] tin cậy.
b/ Ngoài chuẩn X509 ra còn chuẩn nào nữa anh ? em mới biết võ vẽ mong anh chỉ giáo thêm.
c/ Em nghĩ dùng cert do ai cấp cũng được nhưng nếu người dùng giống bạn harry012005 thì sao ? Họ có cảm thấy không an toàn, khó chịu không ?. Trừ trường hợp chỉ dùng trong nội bộ. Mobifone có một thời gian xài cert đã expire, FPT thì tự cung tự cấp chứ không riêng gì AEB.
Dùng có cross trusted hay bridge nhưng lần theo chain cuối cùng cũng lên root chứ anh ?
[Up] [Print Copy]
  [Question]   Cho em hỏi về Certificate 02/03/2007 15:55:16 (+0700) | #14 | 44128
phdt
Elite Member

[Minus]    0    [Plus]
Joined: 09/06/2003 08:04:16
Messages: 11
Offline
[Profile] [PM]
Không đùa nữa nếu không cái post này lại vào tán gẫu mất. Phí đi smilie

b/ Câu trả lời theo hai hướng:

- X509 chỉ là chuẩn cơ bản dù các chuẩn khác có thể được xây dựng từ nó. Ví dụ WEQ proposed by NAESB, được giới thiệu trong hệ thống OASIS (một hệ thống khuyến nghị giống như ISO-BS17799 hoặc HIPAA, nhưng tổng quát hơn, không chỉ cho security).

- Nếu hiểu rộng PKI đúng theo nghĩa Public Key Infrastructure - Hạ tầng mã hóa công khai (mà không bị dính chặt vào tính chất hierachy trong mô hình), thì các cert trong hệ thống PGP (pretty good privacy) được xây dựng hoàn toàn khác với X.509.

Có thể search (PGP, Web of Trust, PKI) để đọc thêm về cái này. Một địa chỉ khác (highly recommended), là blog của giáo sư Bruce Schneier.

c/ Câu này nằm ngoài domain kỹ thuật (nhưng sẽ lại quyết định về mô hình và kiến trúc). Ở đây cũng muốn anh (chị) em kỹ thuật thêm một cách nhìn từ góc độ quản lý.

Ở đây có hai ý về tính an toàn và phạm vi nội bộ.

Thử đặt ngược lại câu hỏi: thế nào là an toàn?

Câu hỏi trên không nhất thiết cần có câu trả lời, chỉ nhằm đưa lại nhận thức rằng lấy gì làm cơ sở cho việc tin cậy hay không tin cậy. Một hãng lớn có thể phá sản, hoặc điều gì xảy ra nếu nó trở thành độc quyền?

Xét trên khía cạnh quản lý, cơ sở rõ ràng được đặt trong luật.

Dùng cert của mobilephone nếu luật pháp quy định người sử dụng được bảo đảm quyền lợi khi sử dụng. Vì sẽ có thể kiện nó đến bù cho những thiệt hại nếu có thể xảy ra. Còn nếu anh bỏ tiền mua Verisign, ít nhất anh sẽ không kiện được nó ở việt nam trong trường hợp luật pháp không công nhận tính pháp lý.

Từ ý trên thì thấy được phạm vi cung cấp cho các khách hàng có giao dịch trực tuyến, hoặc liên quan tới các dịch vụ trực tuyến của NHDA chẳng hạn, thì cũng có thể gọi là "nội bộ" được.

d/ Cross, Bridge và Root.

Giải thích nôm na thôi nhé. Kỹ hơn thì phải đọc tài liệu, nhiều tài liệu.

Root (và mô hình hierarchy) là mô hình quản lý cert tập trung có phân cấp. (xem thêm X500). Trong mô hình phân cấp thì mới có chain.

Thế giữa các hệ thống PKI (giả thiết mỗi hệ thống được đại diện là 1 CA) chúng làm việc với nhau thế nào? Xét trên vai trò, chúng là peer.

Ví dụ ông Việt nam có một cái CA (CA_VN). Tất nhiên là ông Mỹ có cái riêng của ông ấy (CA_US), và ông Nga thì đích thị cũng có một cái cho bằng bạn bằng bè (CA_RU). Không có thằng nào là CA liên hợp quốc nhé.

Cross: Ông chấp nhận tôi thì tôi chấp nhận ông và ngược lại. Đây là các mối quan hệ song phương.

Bridge: Nếu Mỹ chấp nhận Việt nam và Việt nam chấp nhận Nga thì Mỹ chấp nhận Nga.

[Up] [Print Copy]
  [Question]   Cho em hỏi về Certificate 02/03/2007 18:39:56 (+0700) | #15 | 44137
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Hè hè, bắt bẻ dữ dzị? smilie)

phdt wrote:
Ngoài lề tí tẹo. Tranh luận với commale về một vài điểm:

"Đồng ý các cty lớn nên dùng x509 cert thứ xịn do CA cung cấp. Tuy nhiên, nên nhớ rằng, Verisign "bụp" cỡ 1400 đô (Úc) cho 1 cert / 1 năm cho một host."  


Ý thứ 2 đúng, Chính xác là Verisign tính tiền khác nhau cho từng loại cert.
 

Cái này ai cũng biết.

phdt wrote:

Ý đầu không đồng ý ở khuyến nghị "các cty lớn nên dùng X509 cert thứ xịn do CA cung cấp".

a/bắt bẻ chữ nghĩa: CA ở đây chỉ chung là Certificate Authority. (có hãng security CA nhưng chắc bác ko định chỉ thằng này). Cert nào (thứ xịn hay thứ dỏm) đều do CA cấp hết.
 

"cert thứ xịn do CA cung cấp" được diễn giải một cách khác là: SSL digital certificate do các Certificate Authority được công nhận và có thẩm quyền cung cấp.

phdt wrote:

b/Cert không nhất thiết theo chuẩn X509. Kể cả cert xịn
 

Những tiêu chuẩn khác thì có nhưng hiện thời các CA phổ biến và nổi tiếng như Verisgn, CyberTrust, Entrust, GeoTrust... đều dùng x509. Hơn nữa, context hiện đang bàn cãi nằm ở giới hạn x509 (xem lại bài đầu tiên của chủ đề).

phdt wrote:

c/(main point) Việc một công ty dùng cert nào tùy thuộc vào luật quy định, không phụ thuộc cảm tính. Ví dụ, anh sẽ không dùng dịch vụ của hãng thứ 3 nếu anh không được luật bảo vệ, ví dụ cho tính chống từ chối của các giao dịch.
 

Hì hì, VN hiện nay có luật cụ thể cho việc dùng digital certificate chưa? nếu chưa, chuyện "luật" hay "cảm tính" ở đây đều irrelevant.

phdt wrote:

"Dỏm" thì không dỏm, nhưng không được một cơ quan có thẩm quyền như Verisign, Cybertrust.... xác thực nên nó không có giá trị rộng rãi.  


Các hệ thống PKI có thể xác thực chéo (cross trusted) hoặc bắc cầu (bridge). Thế nên không nhất thiết phải sử dụng cert của hệ thống PKI ngoài.
 

Ngoại trừ cty nào đó được Verisign hay CyberTrust chấp nhận và ủy nhiệm, ngoài ra, "self-cert" không có giá trị gì trong cross hay bridge cả. Phần này bị mâu thuẩn với phần trên đó smilie) .

phdt wrote:

PS smilie Vui vẻ tí. Đã mang tiếng châm thì châm cho chót
 

Ai mang tiếng châm vậy? smilie)
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Cho em hỏi về Certificate 06/03/2007 14:29:49 (+0700) | #16 | 44987
phdt
Elite Member

[Minus]    0    [Plus]
Joined: 09/06/2003 08:04:16
Messages: 11
Offline
[Profile] [PM]
Sorry vì trả lời muộn. Dạo này bận quá, sáng ra sàn, chiều buôn dưa lê, tối kiểm kê, đêm về lên danh sách. Hehe.

Bác mang tiếng châm chứ ai smilie

Đã muốn mở rộng vấn đề ra tí chút chứ chỉ để đóng lại thì ngay từ đầu đã chả reply. Bác ...."quan liêu" lắm smilie (j/k)

Chốt lại là muốn nói hai ý thế này:

(1) Muốn giới thiệu về khái niệm "Web of Trust", một mô hình PKI khá được quan tâm gần đây. SourceCode cũng có: OpenPGP + một vài source tài liệu khá tốt.

(2) Muốn mọi người nghĩ rộng ra về việc sở hữu chứng chỉ. Lúc nào cũng với suy nghĩ cần được cấp, có liên quan và bị phụ thuộc bởi các hãng lớn, có "uy tín" thì không ổn.

Còn lan man mà bắt bẻ thì nhiều lắm. Thôi tranh luận nốt một câu rồi dừng smilie. Vốn dĩ mỗi người có những ngầm định khác nhau nên có những quan niệm khác nhau. Chẳng hạn,

"cert thứ xịn do CA cung cấp" được diễn giải một cách khác là: SSL digital certificate do các Certificate Authority được công nhận và có thẩm quyền cung cấp  


- Bác commale ngầm định cert ở đây là cho web. Cert đâu chỉ mỗi dùng cho web?
- Việc được công nhận và có thẩm quyền là một diễn giải khác về chuyện "tuân thủ theo luật".

VN hiện nay có luật cụ thể cho việc dùng digital certificate chưa? nếu chưa, chuyện "luật" hay "cảm tính" ở đây đều irrelevant  


Chưa có luật chung thì có thể làm luật riêng chứ sao. Ví dụ, Công ty ghi rõ trong hợp đồng abc có cert thế này thế kia, khách hàng đồng ý thì ký vào, thế là chấp nhận, là tin tưởng vì luật việt nam bảo vệ khách hàng theo các hợp đồng và điều khoản trong hợp đồng. Ôi chao nhiều cách lắm.

Ngân hàng nhà nước vừa đấu thầu xong vụ PKI dùng cho hệ thống thanh toán liên ngân hàng (IBPS: Inter-banking payment system). Mô hình của nó vẫn có root CA self-signed đấy thôi.

Về bridge và cross, Bác đọc thêm ví dụ sau, để ý keyword là mesh PKI nhé:

http://csrc.nist.gov/pki/documents/B2B-article.pdf

Khi đã peer thì đâu cần mấy chú ngoại?

[Up] [Print Copy]
  [Question]   Cho em hỏi về Certificate 06/03/2007 16:36:45 (+0700) | #17 | 44996
mfeng
Researcher

Joined: 29/10/2004 15:16:29
Messages: 243
Offline
[Profile] [PM]
Để một certificate(cert) được coi là tin cậy (trust), cần phải có một căn cứ xác đáng để chứng tỏ rằng cert này không phải đồ giả.

Với cert được các "chú ngoại" phát hành, căn cứ đó chính là các root cert, đã được import sẵn trong OS, Browser... Việc giả mạo các cert này không phải đơn giản: chỉ khi nắm được toàn quyền truy xuất hệ thống mới hi vọng thay thế được các root cert này.

Với cert "nội", như của NH Đông Á, điều gì khẳng định cert này là tin cậy, vì nó là seft-cert, tự mình tin tưởng mình. smilie Bất kỳ một ai cũng có thể mang một hệ PKI về (ví dụ: OpenPKI), cài đặt, cấu hình, tự đặt E, CN, OU, O, ST, C hệt như cert của NH Đông Á. Vậy thì sao?

Điều cốt yếu của bất kỳ hệ thống PKI nào (hierachical hay mesh) là đảm bảo an toàn và tin cậy khi phân phối root cert cho các client của mình, đồng thời có các biện pháp an ninh thích đáng với root CA của hệ thống PKI đó. Các "chú ngoại" PKI đã được công nhận rộng rãi, nên họ có lợi thế trong việc phân phát root cert. Với một tổ chức nhỏ nào đó tự mình tổ chức PKI liệu có thỏa đáng không? Ngân hàng nhà nước thành lập một hệ thống PKI riêng (IBPS), không rõ là PKI này đứng độc lập, tách riêng với phần còn lại của thế giới, hay nằm trong một mạng lưới chung của thế giới? Nếu câu trả lời ở ý thứ nhất thì không còn gì để nói, vì hệ thống đó là vô nghĩa, hoạt đông banking không chỉ đơn thuần gói gọn trong một quốc gia mà cần phối hợp ra toàn thế giới. Nếu câu trả lời ở ý sau, nghĩa là IBPS nằm trong một mesh PKI nào đó, được thế giới công nhận. Suy ra, root cert của IBPS cũng phải được một root cert khác công nhận (được signed). Mà đa phần thế giới đang thừa nhận PKI "ngoại", nên để thế giới thừa nhận PKI "nội" thì dĩ nhiên root cert "nội" phải được root cert "ngoại" công nhận. smilie

Cho nên, muốn chơi với "ngoại" thì ta cần được "ngoại" công nhận, không thể tự "mình ta với ta" được.
smilie)
[Up] [Print Copy]
  [Question]   Cho em hỏi về Certificate 06/03/2007 20:16:09 (+0700) | #18 | 44999
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

phdt wrote:
Sorry vì trả lời muộn. Dạo này bận quá, sáng ra sàn, chiều buôn dưa lê, tối kiểm kê, đêm về lên danh sách. Hehe.

Bác mang tiếng châm chứ ai smilie

Đã muốn mở rộng vấn đề ra tí chút chứ chỉ để đóng lại thì ngay từ đầu đã chả reply. Bác ...."quan liêu" lắm smilie (j/k)

Chốt lại là muốn nói hai ý thế này:

(1) Muốn giới thiệu về khái niệm "Web of Trust", một mô hình PKI khá được quan tâm gần đây. SourceCode cũng có: OpenPGP + một vài source tài liệu khá tốt.

(2) Muốn mọi người nghĩ rộng ra về việc sở hữu chứng chỉ. Lúc nào cũng với suy nghĩ cần được cấp, có liên quan và bị phụ thuộc bởi các hãng lớn, có "uy tín" thì không ổn.

Còn lan man mà bắt bẻ thì nhiều lắm. Thôi tranh luận nốt một câu rồi dừng smilie. Vốn dĩ mỗi người có những ngầm định khác nhau nên có những quan niệm khác nhau. Chẳng hạn,

"cert thứ xịn do CA cung cấp" được diễn giải một cách khác là: SSL digital certificate do các Certificate Authority được công nhận và có thẩm quyền cung cấp  


- Bác commale ngầm định cert ở đây là cho web. Cert đâu chỉ mỗi dùng cho web?
- Việc được công nhận và có thẩm quyền là một diễn giải khác về chuyện "tuân thủ theo luật".

VN hiện nay có luật cụ thể cho việc dùng digital certificate chưa? nếu chưa, chuyện "luật" hay "cảm tính" ở đây đều irrelevant  


Chưa có luật chung thì có thể làm luật riêng chứ sao. Ví dụ, Công ty ghi rõ trong hợp đồng abc có cert thế này thế kia, khách hàng đồng ý thì ký vào, thế là chấp nhận, là tin tưởng vì luật việt nam bảo vệ khách hàng theo các hợp đồng và điều khoản trong hợp đồng. Ôi chao nhiều cách lắm.

Ngân hàng nhà nước vừa đấu thầu xong vụ PKI dùng cho hệ thống thanh toán liên ngân hàng (IBPS: Inter-banking payment system). Mô hình của nó vẫn có root CA self-signed đấy thôi.

Về bridge và cross, Bác đọc thêm ví dụ sau, để ý keyword là mesh PKI nhé:

http://csrc.nist.gov/pki/documents/B2B-article.pdf

Khi đã peer thì đâu cần mấy chú ngoại?

 


E hèm... tớ thấy bồ đi ra ngoài cái context của post đầu tiên rồi. Bồ "bắt bẻ" nhưng bắt không đúng trong giới hạn chủ đề.

Thế này,
harry012005 thắc mắc cái gì? "em vào website của ngân hàng Đông Á thấy cái IE báo lỗi Certificate"

harry012005 thắc mắc vấn đề nằm ở 3 tiêu điểm:
1) web.
2) x509 certificate.
3) CA: self signed.

Tớ không "ngầm định" gì cả vì tính chất của câu hỏi đưa ra rất rõ ràng.

Nếu bồ muốn bàn rộng ra thì rất tốt để mọi người tham khảo bề rộng của vấn đề nhưng dùng những điểm bồ đưa ra để "bắt" là trật vì chẳng có cái gì để "bắt" cả.

Ngay cả cái pdf bồ cung cấp cũng chỉ là một "proposal" cho B2B model chớ cũng chẳng hoàn toàn relevant cho C2B nữa.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|