2015. február 23., hétfő

A "biztonsági" cég

Ebben a történetben meg fogom nevezni a másik felet, okulásul.
A cégünkben főnököm egy pár éve kért egy Code Signing típusú tanusítványt a Comodo nevű bagázstól. Ez ugye egy jó nevű tűzfal gyártó és CA.
A tanusítvány idő közben lejárt, de a kutya se használta. A mi cégünknél sem múlt el az idő nyomtalanul. A regisztrációként megadott telefonszámunk már nem él.
Most szükségünk lett újra a fent nevezett tanusítványra. Főnököm a meglévő Comodo-s regisztrációjával kért egy újat.
Megkapta.
Pontosabban elkészült, de kapott egy "Awaiting Validation" státuszt. Ebben a státuszban van február 7. óta. Csütörtökön átadta nekem a dolgot, hogy intézzem el.
Kicsit nyomoztam és az derült ki, hogy ha írok nekik akkor megmondják, miért van ez a státusz.

A beszélgetésünk dióhélyban (sok levélből, nem pontos fordítás):
K: Miért van "Awaiting Validation" státuszban
V: Mert majd akkor kerül ki belőle, ha a korábban megadott számon tudtak a főnökömmel (akinek a neve meg van adva) beszélni.
K: Mi a teendőm ha az a szám már nem él.
V: Akkor olyan számon tudnak hívni ami szerepel a megadott publikus Észt (Észt a cégünk alapvetően) online telefonkönyvek valamelyikében (és megadott két site-ot ami a telefonkönyv szolgáltatók listája)
Megnéztem a site-okat, az egyiken találtam Add gombot. Kitöltöttem a cég adatait. Gondoltam majd a telefonkönyvszolgáltató ellenőrzi a menedzsmenttel. Addig is megnéztem mi van a Whois-ban. Ott a jó, új telefonszámunkat találtam.
K: A Whois-ban jók az adatok. Azt nem lehetne használni a validációra?
V: Nem. Az nem felel meg a mi validációs processzünknek.
Ezek után minden ellenőrzés nélkül a beírást követő fél óra elteltével megjelentek az adataink az online telefonkönyvben.
K: Már latom az adatainkat itt és itt. Ez megfelel?
V: Igen, akkor azon a számon fogjuk hívni az urat.

Hogy az a jó büdös....
Tehát, az azonosított biztonságilag ellenőrzött, belépés nélkül nem módosítható Whois nem jó, egy random telefonkönyves csapat ahova azt küldök be amit akarok meg jó?
Ezek után bízzunk meg az SSL tanusítványok adattartalmában? Hmmm.

U.I.: Tévedések elkerülése végett. Nem a titkosító kulcs biztonságát kritizálom!!!

2 megjegyzés:

  1. Welcome to the wonderful world of professional PKI

    VálaszTörlés
    Válaszok
    1. Hali,

      Kétlem, hogy ennek ilyen gáznak kéne lennie. Rég foglalkozom PKI-val. Ifjú koromban a MEASZ egyik alapítótagja voltam, volt/van közöm olyan céghez aki ezt komolyan veszi. De ez egy vicc. Ráadásul drága vicc.

      üdv,
      Zoli

      Törlés