Re: apache och säkerhet (fråga 1)
"Patrik Nordlund" <me99pnd@ing.umu.se> writes:
> Tjosan!
>
> Tänkte höra med er som vet...
>
> 1. En dataexpert har, som ni kanske redan känner till, knäckt SSL:en som
> bl.a. banker runt om använder sig av i sina webbanker... man kan läsa att
> "...en känd svaghet i Microsofts tillämpning av SSL...". Det är altså
> skillnad på Microsofts lösning av SSL och i vårt fall Linux debians apache's
> lösning... Vad jag undrar är alltså:
> - Är debians Apache-SSL säkrare än Microsofts?
>
> /Patrik
Svaret är 42!
Eller snarare, frågan är felaktigt ställd....
Problemet med "microsoft ssl" är, om jag inte misstar mig,
eller glömt att läsa bugtraq nykter den senaste veckan, att de
certifikat som ssl kan använda sig av genererats av verisign
helt korrekt. Helt korrekt innebär att de innehåller en flagga
som talar om om certifikatet i sig är ett "leaf", eller "root"
- certifikat. Root - certifikat kan användas för att börja på
en ny root av certifikat, exempelvis för att skapa ett
certifikat för verisign.com. Retorisk fråga till den kritiske
läsaren: testar internet exploiter på denna flagga...
--
######################################################################
Torbjörn Pettersson # Email tobbe@strul.nu
Vattugatan 5 # Web www.strul.nu/~tobbe
S-111 52 Stockholm, Sweden #
######################################################################
Reply to: