witam

zawsze staram się sprawdzać certyfikat strony przy łączeniu z adresem
https://www.mbank.com.pl, teraz jest to nawet opisane na prawej kolumnie
strony logowania.

Przypominamy o przestrzeganiu podstawowych zasad bezpieczeństwa:
:: przed zalogowaniem sprawdź certyfikat strony

no i dziś sprawdzam, a tam zupełnie co innego, jeszcze rano (i parę
miesięcy nazad) było

odcisk SHA1 32:B4:74 .... A7:D8
odcisk MD5 1B:54:77 .... 16:52

a teraz

odcisk SHA1 ED:F7:29 .... 5D:50
odcisk MD5 14:18:92 .... CD:63

ki czort?, ktoś mi coś umiejętnie pozmieniał? czegoś niedopatrzyłem?
zmiana jest ogólna i tak już ma być? jak w takim razie rozumieć pojęcie
"sprawdzać certyfikat strony"?, z czym porównywać?

Dla ułatwienia/utrudnienia mam Mozillę Firebird

andy_nek

do góry

Andrzej Kłos wrote:

> odcisk SHA1 32:B4:74 .... A7:D8
> odcisk MD5 1B:54:77 .... 16:52
>
> a teraz
>
> odcisk SHA1 ED:F7:29 .... 5D:50
> odcisk MD5 14:18:92 .... CD:63
>
> ki czort?, ktoś mi coś umiejętnie pozmieniał? czegoś niedopatrzyłem?
> zmiana jest ogólna i tak już ma być? jak w takim razie rozumieć pojęcie
> "sprawdzać certyfikat strony"?, z czym porównywać?
>
> Dla ułatwienia/utrudnienia mam Mozillę Firebird

Zobacz na pole "validity":
not before: 2004-10-26 02:00:00
not after: 2005-10-27 01:59:59

stary certyfikat wygasł i został zastąpiony nowym. Następna zmiana za rok.

Pozdrawiam,

Marcin

do góry

Dnia 04-10-27 18:04, Użytkownik Marcin Wieczorek napisał :

> Zobacz na pole "validity":
> not before: 2004-10-26 02:00:00
> not after: 2005-10-27 01:59:59
>
> stary certyfikat wygasł i został zastąpiony nowym. Następna zmiana za rok.

o, niezauważyłem tego, dzięki

może wiesz co to jest "odcisk palca"
cytuję za forum mBanku:

"warunkiem korzystania ze strefy szyfrowanej serwisu (https) powinno być
sprawdzenie parametrów szyfrowanej komunikacji, m.in. ścieżki
certyfikacji, danych o wystawcy certyfikatu oraz 'odcisku palca').
Więcej ważnych informacji na ten temat:
http://www.mbank.com.pl/przewodnik/bezpieczenstwo/sz
yfrowanie.html#cer"

ale tam nic o tym nie ma

andy_nek

do góry

> może wiesz co to jest "odcisk palca"

Potocznie jest tak nazywana wartość funkcji skrótu (ang. fingerprint) - w
przypadku algorytmu SHA1 będzie to 160 bitów, a dla algorytmu MD5 128 bitów.
Odciskiem palca jest ten ciąg heksadecymalny ED:F7:29 .... 5D:50 (w sumie
20B)

Pozdrawiam
BM

do góry

> > może wiesz co to jest "odcisk palca"
>
> Potocznie jest tak nazywana wartość funkcji skrótu (ang. fingerprint) - w
> przypadku algorytmu SHA1 będzie to 160 bitów, a dla algorytmu MD5 128
bitów.
> Odciskiem palca jest ten ciąg heksadecymalny ED:F7:29 .... 5D:50 (w sumie
> 20B)

no prosze i mamy prostą jak drut definicje odcisku palca :-)
zaloze sie, ze nikt prosciej tego nie wylumaczy !
;-)

ps
szkoda, ze mam tak slaba pamiec i nie jestem w stanie zapamitac tey
definicjii, bo wyglaszalym ja na kazdych imieninach u cioci zosi :-) a moze
dosze ze mam taka slaba pamiec - bo mogly by to byc ostatnie imieniny na
jakie by mnie zaprosila ;-))

do góry

Andrzej Kłos napisał(a):
> "warunkiem korzystania ze strefy szyfrowanej serwisu (https) powinno być
> sprawdzenie parametrów szyfrowanej komunikacji, m.in. ścieżki
> certyfikacji, danych o wystawcy certyfikatu oraz 'odcisku palca').
> Więcej ważnych informacji na ten temat:
> http://www.mbank.com.pl/przewodnik/bezpieczenstwo/sz
yfrowanie.html#cer"

Z tym odciskiem palca to trochę przesadzili -- to jest skrót z
certyfikatu w postaci zakodowanej BER, który się zmienia wraz ze zmianą
z kolejnymi generacjami certyfikatu witryny (czyli prawdopodobnie co
rok). Istotne jest, że aktualny certyfikat jest wydany na mBank i
podpisany przez znane CA (tzn. takie, które jest znane przeglądarce).

J.

do góry