---

InstantSSL er et nyt websted der sælger 128-bit SSL web server certifikater
online.

For mere information gå til http://www.instantssl.dk/

Med venlig hilsen
Pascal Geuns
InstantSSL by BitEngines

---

On Sun, 26 May 2002 21:38:51 +0200,
Pascal Geuns <pascal.geuns@bitengines.com> wrote:
> InstantSSL er et nyt websted der sælger 128-bit SSL web server certifikater
> online.

Priserne er OK. Men det er stadig netmisbrug.

Som en virksomhed der lever af Internet burde i have lidt mere
respekt for jeres levebrød.

--
Povl H. Pedersen -
Use 2 letters from first+last name to form username@home.terminal.dk
This article was written without the use of Micros~1 Windows

---

Kære Povl,

jeg forstå ikke din kritik!

Før jeg sendte min medelelse ud på dk.edb.sikkerhed har jeg været ind i
http://www.usenet.dk/grupper.pl?get=dk.edb.sikkerhed
og der står:

Annoncer er uønskede i gruppen. Der henvises til grupperne
dk.marked.kommerciel.edb og dk.marked.privat.edb.

Opslag om nyheder indenfor edb-sikkerhed er dog tilladt. Dette
gælder også opslag om nye versioner af f.eks.
krypteringssoftware, certifikater, o.s.v.

Jeg har bevidst skrevet mit indlæg som en nyhedsinformation til gruppen og
jeg har derfor bevidst undlad at nævne priser og vores fordele etc.!

Med venlig hilsen
Pascal Geuns
InstantSSL by BitEngines
http://www.instantssl.dk/


in article slrnaf2kco.r88.nospam@home.terminal.dk, Povl H. Pedersen at
nospam@home.terminal.dk wrote on 2002/05/26 23:20:

> On Sun, 26 May 2002 21:38:51 +0200,
> Pascal Geuns <pascal.geuns@bitengines.com> wrote:
>> InstantSSL er et nyt websted der sælger 128-bit SSL web server certifikater
>> online.
>
> Priserne er OK. Men det er stadig netmisbrug.
>
> Som en virksomhed der lever af Internet burde i have lidt mere
> respekt for jeres levebrød.

---

On Mon, 27 May 2002 00:10:45 +0200,
Pascal Geuns <pascal.geuns@bitengines.com> wrote:
> Kære Povl,
>
> jeg forstå ikke din kritik!
>
> Før jeg sendte min medelelse ud på dk.edb.sikkerhed har jeg været ind i
> http://www.usenet.dk/grupper.pl?get=dk.edb.sikkerhed
> og der står:
>
> Annoncer er uønskede i gruppen. Der henvises til grupperne
> dk.marked.kommerciel.edb og dk.marked.privat.edb.
>
> Opslag om nyheder indenfor edb-sikkerhed er dog tilladt. Dette
> gælder også opslag om nye versioner af f.eks.
> krypteringssoftware, certifikater, o.s.v.
>
> Jeg har bevidst skrevet mit indlæg som en nyhedsinformation til gruppen og
> jeg har derfor bevidst undlad at nævne priser og vores fordele etc.!

Du har sendt et link til et website hvor du sælger certifikater,
som er en almindelig handelsvare.

Du har ikke lavet et opslag om en nyhed indenfor EDB-sikkerhed, og
det i sælger er ikke en ny version af certifikater etc. Det eneste
der er specielt ved jeres ydelse er, at den er noget billigere end
de andre på markedet.

Man skal være meget varsom med at reklamere for produkter som
ikke er ny teknologi.

At jeg så måske vil overveje at anvende jeres certifikater er
en anden sag. Jeg synes dog at det er tåbeligt at slutbrugere
ikke uden videre bliver opmærksomme på, at jeres certifikater
nok er udstedt på et tyndere grundlag end f.eks. TDCs, og dermed
har et lidt lavere trust-level.

--
Povl H. Pedersen -
Use 2 letters from first+last name to form username@home.terminal.dk
This article was written without the use of Micros~1 Windows

---

in article slrnaf2o41.5ei.nospam@home.terminal.dk, Povl H. Pedersen at
nospam@home.terminal.dk wrote on 2002/05/27 00:24:

> Du har sendt et link til et website hvor du sælger certifikater,
> som er en almindelig handelsvare.
>
> Du har ikke lavet et opslag om en nyhed indenfor EDB-sikkerhed, og
> det i sælger er ikke en ny version af certifikater etc. Det eneste
> der er specielt ved jeres ydelse er, at den er noget billigere end
> de andre på markedet.
>
> Man skal være meget varsom med at reklamere for produkter som
> ikke er ny teknologi.
>

Ok, jeg kan see hvad du mener.

> At jeg så måske vil overveje at anvende jeres certifikater er
> en anden sag. Jeg synes dog at det er tåbeligt at slutbrugere
> ikke uden videre bliver opmærksomme på, at jeres certifikater
> nok er udstedt på et tyndere grundlag end f.eks. TDCs, og dermed
> har et lidt lavere trust-level.

Faktisk er vores rootcertificate ligesom TDCs rootcertificat fra GlobalSign,
så vores trust level er den samme !

Du kan læse mere om det på
http://www.instantssl.dk/dk/browser_compatibility.html

Med venlig hilsen
Pascal Geuns
InstantSSL by BitEngines
http://www.instantssl.dk/

---

On Mon, 27 May 2002 00:43:12 +0200,
Pascal Geuns <pascal.geuns@bitengines.com> wrote:
>
> Faktisk er vores rootcertificate ligesom TDCs rootcertificat fra GlobalSign,
> så vores trust level er den samme !

Hvilket principielt er en fejl når i har en mindre grundig undersøgelse
af ansøger. Men det kan slutbrugeren ikke set, og det er det jeg mener
der er galt. Ikke med jeres produkt, men med certifikater lidt mere
generelt.

--
Povl H. Pedersen -
Use 2 letters from first+last name to form username@home.terminal.dk
This article was written without the use of Micros~1 Windows

---

in article slrnaf4mtd.2dq.nospam@home.terminal.dk, Povl H. Pedersen at
nospam@home.terminal.dk wrote on 2002/05/27 18:15:

> On Mon, 27 May 2002 00:43:12 +0200,
> Pascal Geuns <pascal.geuns@bitengines.com> wrote:
>>
>> Faktisk er vores rootcertificate ligesom TDCs rootcertificat fra GlobalSign,
>> så vores trust level er den samme !
>
> Hvilket principielt er en fejl når i har en mindre grundig undersøgelse
> af ansøger. Men det kan slutbrugeren ikke set, og det er det jeg mener
> der er galt. Ikke med jeres produkt, men med certifikater lidt mere
> generelt.

Har du læst sektion 4 af vores CPS
eller http://www.instantssl.dk/dk/support/validation.html

Jeg seer ikke den store forskil til TDC.

Udover det har vores PremiumSSL certifikater faktisk en højre garanti en
TDCs certifikater ($10.000 = ca. Kr. 80.000 i forhold til Kr. 50.000).

Med venlig hilsen
Pascal Geuns
InstantSSL by BitEngines
http://www.instantssl.dk/

---

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

"Pascal Geuns" skrev:
> Har du læst sektion 4 af vores CPS
> eller http://www.instantssl.dk/dk/support/validation.html
>
> Jeg seer ikke den store forskil til TDC.
>
Jeg ser en væsentlig forskel.

Tilsyneladende har du kun e-mail-kontakt med dine kunder, inden du
udsteder et certifikat.
Hvordan er det nu lige, det er med e-mails og troværdighed?

Og selv om du også kan finde på at "ringe til en ven" eller lignende,
så kan det heller ikke altid være nok.
Læs evt. om, hvordan det gik for VeriSign, da én eller anden ringede
og påstod, at han arbejdede for Microsoft:
http://csirt.dk/newssystem/display.asp?ArticleID=28

Desuden har TDC gjort en hel del for at sørge for optimal fysisk
sikkerhed, så det ikke er enhver, der har adgang til
certificeringscentrets udstyr til udstedelse af certifikater. Det kan
du evt. læse lidt om her:
http://zillion.dk/arkiv/artikel.php?id=37039

Endelig er TDC's certificeringscenter underlagt en skrap
revisionskontrol, som gør, at det i øjeblikket kun er TDC og KMD, der
har mulighed for at udstede kvalificerede certifikater til brug for
digital signatur.

Læs evt. mere om TDC's certifikatpraksis og certifikatpolitikker her:
http://www1.certifikat.dk/producer/vis_side.pl?id=47&tmpl=15

Generelt synes jeg, at du sælger et fint produkt, som i teknisk
forstand formentlig er fuldt på højde med alle andre certifikater.

Jeg bryder mig bare ikke om, at du kalder det sikkert, når
sikkerheden i virkeligheden ligger i de procedurer, som burde følge
med. Og jeg bryder mig meget lidt om, at du inddrager TDC i din
markedsføring.

Med venlig hilsen

Thomas B. Maxe
(som er journalist hos Zillion it-sikkerhed, men som i dette
debatforum repræsenterer sig selv og ikke TDC Internet)

-----BEGIN PGP SIGNATURE-----
Version: PGP 7.0

iQA/AwUBPPMv84now7gkZNVSEQLKpgCdEXt0vP1mlgvkkBa3nZxpfISpyBcAoO2+
V0YsE4nj1zBsnSU2TezflIh1
=G1s9
-----END PGP SIGNATURE-----

---

Thomas B. Maxe wrote:
> Tilsyneladende har du kun e-mail-kontakt med dine kunder, inden du
> udsteder et certifikat.
> Hvordan er det nu lige, det er med e-mails og troværdighed?

Enig.

> Desuden har TDC gjort en hel del for at sørge for optimal fysisk
> sikkerhed, så det ikke er enhver, der har adgang til
> certificeringscentrets udstyr til udstedelse af certifikater. Det kan

Her er det ikke Pascal der står for sikkerheden men comodo, hvilket nok
er en forbedring. :)

Jeg regner med at comodo også har sørget for den fysiske sikkerhed, men
er ikke sikker, da jeg ikke kan finde noget omkring dette på deres website.

---

in article 3cf32fe8$0$18589$edfadb0f@dspool01.news.tele.dk, Thomas B. Maxe
at toxicthomas@nospam.hotmail.com wrote on 2002/05/28 09:21:

> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> "Pascal Geuns" skrev:
>> Har du læst sektion 4 af vores CPS
>> eller http://www.instantssl.dk/dk/support/validation.html
>>
>> Jeg seer ikke den store forskil til TDC.
>>
> Jeg ser en væsentlig forskel.
>
> Tilsyneladende har du kun e-mail-kontakt med dine kunder, inden du
> udsteder et certifikat.
> Hvordan er det nu lige, det er med e-mails og troværdighed?
>

Der er korrekt, men systemet advarer når der kommer suspecte requests in, og
i disse tilfælde undersøger vi nærmer om requesten er ægte!

(Hermed en lille hilsen til den spammer da prøvde at bestille et certificat
for Microsoft Corp. genem www.instantssl.dk)

> Og selv om du også kan finde på at "ringe til en ven" eller lignende,
> så kan det heller ikke altid være nok.
> Læs evt. om, hvordan det gik for VeriSign, da én eller anden ringede
> og påstod, at han arbejdede for Microsoft:
> http://csirt.dk/newssystem/display.asp?ArticleID=28
>
> Desuden har TDC gjort en hel del for at sørge for optimal fysisk
> sikkerhed, så det ikke er enhver, der har adgang til
> certificeringscentrets udstyr til udstedelse af certifikater. Det kan
> du evt. læse lidt om her:
> http://zillion.dk/arkiv/artikel.php?id=37039

Comodo står for den physiske sikkerhed og den er beskrevet i CPSen under
sektion 3 som kan hentes via
http://www.instantssl.dk/dk/practice_statement.html og
http://www.comodo.net/repository/

>
> Generelt synes jeg, at du sælger et fint produkt, som i teknisk
> forstand formentlig er fuldt på højde med alle andre certifikater.
>

Tak det gør i også.

> Jeg bryder mig bare ikke om, at du kalder det sikkert, når
> sikkerheden i virkeligheden ligger i de procedurer, som burde følge
> med. Og jeg bryder mig meget lidt om, at du inddrager TDC i din
> markedsføring.
>

Vores procedurer er beskrevet i CPSen og de er ikke usikkere !

Jeg tager heller ikke TDC ind i min markedsføring, jeg har kun svaret på et
indlæg !

Med venlig hilsen
Pascal Geuns
InstantSSL by BitEngines
http://www.instantssl.dk/

---

Nå-ja, jeg synes lige jeg vil gøre dig opmærksom på, at dit eget
SSL-certifikat er udløbet den 7. maj 2002...
https://www.instantssl.dk/

Ellers tak for debatten. Jeg må videre...

Med venlig hilsen

Thomas B. Maxe
(som i denne forbindelse repræsenterer sig selv og ikke TDC Internet)

---

On Wed, 29 May 2002 08:46:37 +0200, "Thomas B. Maxe"
<toxicthomas@nospam.hotmail.com> wrote:

>Nå-ja, jeg synes lige jeg vil gøre dig opmærksom på, at dit eget
>SSL-certifikat er udløbet den 7. maj 2002...

Er det da et certifikat, der er i aktiv produktion?

Hvis det blot handler om at fremprovokere fejl, så er det ikke noget
problem - fx https://tdp.certifikat.dk/ , hvor jeg blot går ind på et
andet hostnavn, der ligger på samme IP-adresse som www.certifikat.dk.
Det er der selvfølgelig ikke noget link til, men det skal da ikke
afholde mig fra at klynke over det.

--
- Peter Brodersen

---

Peter Brodersen wrote:
>
> Hvis det blot handler om at fremprovokere fejl, så er det ikke noget
> problem - fx https://tdp.certifikat.dk/ , hvor jeg blot går ind på et
> andet hostnavn, der ligger på samme IP-adresse som www.certifikat.dk.
> Det er der selvfølgelig ikke noget link til, men det skal da ikke
> afholde mig fra at klynke over det.

Jeg prøvede noget andet, som jeg synes er mere interesant.
Jeg prøvede at indtaste "www.certifikat.dk" i min browser,
men min browser vælger som de fleste andre http som
default. Jeg tænkte, jeg kan jo altid selv skrive det
manglende s bagefter.

Men inden jeg kunne nå det, blev jeg viderestillet til
http://www1.certifikat.dk/producer/vis_side.pl?id=35&tmpl=15
Nu prøvede jeg så alligevel at rette det til https, og
jeg fik nu at vide at certifikatet både var udløbet og
tilhørte en anden server.

Jeg prøvede også https://www.certifikat.dk./ hvor min
browser så fortalte mig, at certifikatet tilhører en anden
server. Det sidste har ikke noget med certifikat.dk at gøre,
mig bekendt sker det på alle https servere og med flere
forskellige browsere. Men burde det ikke have virket?

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

---

On Wed, 29 May 2002 23:00:59 +0200, Kasper Dupont
<kasperd@daimi.au.dk> wrote:

>Men inden jeg kunne nå det, blev jeg viderestillet til
>http://www1.certifikat.dk/producer/vis_side.pl?id=35&tmpl=15
>Nu prøvede jeg så alligevel at rette det til https, og
>jeg fik nu at vide at certifikatet både var udløbet og
>tilhørte en anden server.

Sjovt!

>Jeg prøvede også https://www.certifikat.dk./ hvor min
>browser så fortalte mig, at certifikatet tilhører en anden
>server. Det sidste har ikke noget med certifikat.dk at gøre,
>mig bekendt sker det på alle https servere og med flere
>forskellige browsere. Men burde det ikke have virket?

Det har dog ikke så meget med certifikater og lignende at gøre.

Certifikater udstedes til specifikke hostnavne, fx secure.ter.dk. Der
kan imidlertid være flere hostnavne, der peger på samme IP-adresse.
Tilgår man så et andet hostnavn vha. https, rammer man så samme
webserver, og får sandsynligvis stukket samme certifikat i hovet.
pe.ter.dk og secure.ter.dk peger på samme IP-adresse, men certifikatet
på den webserver er kun udstedt til secure.ter.dk. Man kan dog både gå
ind på https://secure.ter.dk/ og https://pe.ter.dk/ (man rammer jo
samme webserver), og browseren vil så brokke sig over hostnavnet i
sidstnævnte tilfælde.

Man kan også skrive hostnavne med punktum i slutningen; dette vil være
en absolut angivelse af et hostnavn (med det sidste punktum som root).
Man vil ramme samme IP-adresse, men den host-header, der fx sendes
med, vil selvfølgelig være anderledes (fx "Host: secure.ter.dk." i
stedet for "Host: secure.ter.dk"). På samme måde vil "secure.ter.dk."
ikke være lig med "secure.ter.dk" fra certifikatet, og så vil
browseren brokke sig.

Webservere har det i øvrigt lidt forskelligt med om de uden videre kan
håndtere et punktum i slutningen af et hostnavn for virtual hosts.

--
- Peter Brodersen

---

On Wed, 29 May 2002 23:55:26 +0200,
Peter Brodersen <professionel@nerd.dk> wrote:
> Man kan også skrive hostnavne med punktum i slutningen; dette vil være
> en absolut angivelse af et hostnavn (med det sidste punktum som root).
> Man vil ramme samme IP-adresse, men den host-header, der fx sendes
> med, vil selvfølgelig være anderledes (fx "Host: secure.ter.dk." i
> stedet for "Host: secure.ter.dk"). På samme måde vil "secure.ter.dk."
> ikke være lig med "secure.ter.dk" fra certifikatet, og så vil
> browseren brokke sig.

Så du siger, at såfremt jeg ejer .com.com domænet, så burde jeg
kunne få et relativt certifikat til www.microsoft.com.com,
altså til www.microsoft.com (unden punktum til sidst), og når MS
DNS servere er nede, og browseren prøver at smide .COM i enden,
så ender browseren på mit relative certifikat, og synes alt er OK,
og brugeren kan se han er på www.microsoft.com (relativ DNS).

Lyder sygt.

> Webservere har det i øvrigt lidt forskelligt med om de uden videre kan
> håndtere et punktum i slutningen af et hostnavn for virtual hosts.

Skal de kunne. For det er der implicit i alle fuldt resolvede
domænenavne. Serveren burde da vide at brugerem står på et relativt
domæne.

--
Povl H. Pedersen -
Use 2 letters from first+last name to form username@home.terminal.dk
This article was written without the use of Micros~1 Windows

---

On Wed, 29 May 2002 22:02:43 +0000 (UTC), "Povl H. Pedersen"
<nospam@home.terminal.dk> wrote:

>Så du siger, at såfremt jeg ejer .com.com domænet, så burde jeg
>kunne få et relativt certifikat til www.microsoft.com.com,
>altså til www.microsoft.com (unden punktum til sidst), og når MS
>DNS servere er nede, og browseren prøver at smide .COM i enden,
>så ender browseren på mit relative certifikat, og synes alt er OK,
>og brugeren kan se han er på www.microsoft.com (relativ DNS).

Øh... nej? Jeg kan faktisk slet ikke se at jeg skriver noget i den
stil.

I øvrigt, hvis browseren prøver at smide .com i enden, så ændres
hostnavnet tilsvarende, og brugeren vil kunne se, at han så er inde på
www.www.microsoft.com.com.

>> Webservere har det i øvrigt lidt forskelligt med om de uden videre kan
>> håndtere et punktum i slutningen af et hostnavn for virtual hosts.
>Skal de kunne. For det er der implicit i alle fuldt resolvede
>domænenavne. Serveren burde da vide at brugerem står på et relativt
>domæne.

Det må være et implementationsspørgsmål, og grundlæggende kan man ikke
bruge én standard (DNS) til at give absolutte konklusioner hvad angår
virkemåde i en anden standard (HTTP). Browserne sender jo som sådan
forskellige host-headers med i de to tilfælde.

Hvis du fx har sat default search domain op til "domæne.dk", og du
forsøger at gå ind på "www" (hvor www.domæne.dk så resolver), så vil
din browser også blot sende "www" med som host-header, og ikke
"www.domæne.dk". Dette er fx en situation, webserveren ikke kan
kompensere for generelt set, da den ikke kender det FQDN, der
oprindeligt er slået op. Den kan dog selvfølgelig godt lade en virtual
hostblock svare for "www", hvis det skulle være.

--
- Peter Brodersen

---

in article 3cf47939$0$78758$edfadb0f@dspool01.news.tele.dk, Thomas B. Maxe
at toxicthomas@nospam.hotmail.com wrote on 2002/05/29 08:46:

> Nå-ja, jeg synes lige jeg vil gøre dig opmærksom på, at dit eget
> SSL-certifikat er udløbet den 7. maj 2002...
> https://www.instantssl.dk/
>
> Ellers tak for debatten. Jeg må videre...
>
> Med venlig hilsen
>
> Thomas B. Maxe
> (som i denne forbindelse repræsenterer sig selv og ikke TDC Internet)
>
>

Hvad er det du beskylder os for ?! Du har vidst ikke checket om det var
vores certifikat!

Vi har ikke noget certifikat på navnet www.instantssl.dk !

Vores certifikat ligger på https://secure.instantssl.dk/ og løber først ud
den 24 Maj 2003!

Med venlig hilsen
Pascal Geuns
InstantSSL by BitEngines
http://www.instantssl.dk/

---

"Povl H. Pedersen" wrote:
>
> Jeg synes dog at det er tåbeligt at slutbrugere
> ikke uden videre bliver opmærksomme på, at jeres certifikater
> nok er udstedt på et tyndere grundlag end f.eks. TDCs, og dermed
> har et lidt lavere trust-level.

Ligger problemet i softwaren eller certifikaterne?

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

---

Pascal Geuns wrote:
> Med venlig hilsen

venlig hilsen? Har du læst fundatet for denne nyhedsgruppe?

> Pascal Geuns
> InstantSSL by BitEngines

Kan du ikke tilføje noget til nyhedsgruppen, i stedet for at reklamere.
Hvis vi alle reklamede ville dette være et indholdsløst sted (min
mening). Prøv evt. dk.marked.<et eller andet passende>

Det er dårlig reklame at reklamere i et medie folk ikke ønsker reklame i.

Hvorfor koster i endvidere det dobbelte i forhold til
http://www.instantssl.com/ når i reklamere med at i sælger til markets
beste pris? Det virker som falsk reklame.


Citat fra Jeres website:

....Med et certifikat fra InstantSSL opnår du større tryghed mellem dig
og dine Internet kunder, og samtidig signalerer du din identitet,
seriøsitet, kvalitet og sikkerhed!...

Hvordan forholder i Jer til http://www.counterpane.com/pki-risks-ft.txt ?

---

Kære Christian,

> Hvorfor koster i endvidere det dobbelte i forhold til
> http://www.instantssl.com/ når i reklamere med at i sælger til markets
> beste pris? Det virker som falsk reklame.
>

Hvordan gør du Kr. 449 til det doppelte af $49, eller $49 til det doppelte
af $49 (see vores engelske site) ?

> Citat fra Jeres website:
>
> ...Med et certifikat fra InstantSSL opnår du større tryghed mellem dig
> og dine Internet kunder, og samtidig signalerer du din identitet,
> seriøsitet, kvalitet og sikkerhed!...
>
> Hvordan forholder i Jer til http://www.counterpane.com/pki-risks-ft.txt ?
>

Du kan læse vores Certification Practice Statement på

http://www.instantssl.dk/dk/practice_statement.html

For ikke at blive misforstæt vil jeg undskylde mig hvis jeg har misforstæt
reglerne angåhende gruppen som specificered i
http://www.usenet.dk/grupper.pl?get=dk.edb.sikkerhed

Med venlig hilsen
Pascal Geuns
InstantSSL by BitEngines
http://www.instantssl.dk/

---

Pascal Geuns wrote:
>Hvordan gør du Kr. 449 til det doppelte af $49, eller $49 til det
>doppelte af $49 (see vores engelske site) ?

Undskyld jeg har ikke lagt mærke til at
http://www.instantssl.dk/dk/products.html og http://www.instantssl.com
har byttet rundt på det 2 produkter.

>>Hvordan forholder i Jer til
>>http://www.counterpane.com/pki-risks-ft.txt ?
>Du kan læse vores Certification Practice Statement på
>http://www.instantssl.dk/dk/practice_statement.html

Har du læst det link, jeg sende?

Efter fuldendt registering får man følgende:

....Der vil typisk gå 2 arbejdsdage inden du får dit SSL certifikat
tilsendt på e-mail...

Sender i virkelig certifikatet via e-post?

Hvilken type beskyttelse ydes der da for certifikatet?

>For ikke at blive misforstæt vil jeg undskylde mig hvis jeg har
>misforstæt reglerne angåhende gruppen som specificered i
>http://www.usenet.dk/grupper.pl?get=dk.edb.sikkerhed

Hvordan misforstår man:

....Annoncer er uønskede i gruppen. Der henvises til grupperne
dk.marked.kommerciel.edb og dk.marked.privat.edb...

FUT: dk.admin.netikette

---

>
> Efter fuldendt registering får man følgende:
>
> ...Der vil typisk gå 2 arbejdsdage inden du får dit SSL certifikat
> tilsendt på e-mail...
>
> Sender i virkelig certifikatet via e-post?

Ja det gør vi lige som alle andere SSL certifikat udbyder !

>
> Hvilken type beskyttelse ydes der da for certifikatet?

Uden din private nøgle og dit password er der ingen der kan bruge dit
certifikat til noget !

>
>> For ikke at blive misforstæt vil jeg undskylde mig hvis jeg har
>> misforstæt reglerne angåhende gruppen som specificered i
>> http://www.usenet.dk/grupper.pl?get=dk.edb.sikkerhed
>
> Hvordan misforstår man:
>
> ...Annoncer er uønskede i gruppen. Der henvises til grupperne
> dk.marked.kommerciel.edb og dk.marked.privat.edb...
>

Fordi lignen efter står der

Opslag om nyheder indenfor edb-sikkerhed er dog tilladt. Dette
gælder også opslag om nye versioner af f.eks.
krypteringssoftware, certifikater, o.s.v.

og det kan misforstås !

Med venlig hilsen
Pascal Geuns
InstantSSL by BitEngines
http://www.instantssl.dk/

---

ertifikater=29?= wrote:
>>Hvordan misforstår man:
>>
>>...Annoncer er uønskede i gruppen. Der henvises til grupperne
>>dk.marked.kommerciel.edb og dk.marked.privat.edb...
>
> Fordi lignen efter står der
>
> Opslag om nyheder indenfor edb-sikkerhed er dog tilladt. Dette
> gælder også opslag om nye versioner af f.eks.
> krypteringssoftware, certifikater, o.s.v.
>
> og det kan misforstås !

Der er intet nyt i at man kan lave certifikater på en hjemmeside.

Hvordan kan det misforståes, generelt er det:

...2. Beskrivelse:
Forum til debat af alle former for edb-sikkerhed...

Læg mærke til ordet debat, hvad er der af debat i en annonce?

---

in article 3CF25238.4000606@example.net, Christian E. Lysel at
chlyshoswmdatapunktumcom@example.net wrote on 2002/05/27 17:35:

>
> ..2. Beskrivelse:
> Forum til debat af alle former for edb-sikkerhed...
>
> Læg mærke til ordet debat, hvad er der af debat i en annonce?
>

Vi fik da lidt debat om SSL certifikater ud af det

O&O
Pascal Geuns
InstandSSL by BitEngines
http://www.instantssl.dk/

---

erti?= wrote:
>>Sender i virkelig certifikatet via e-post?
> Ja det gør vi lige som alle andere SSL certifikat udbyder !

I min begrebsverden er et certifikat én offentlige og én privat nøgle,
og nogle andre informationer beskrevet i X.509v3.

>>Hvilken type beskyttelse ydes der da for certifikatet?
> Uden din private nøgle og dit password er der ingen der kan bruge dit
> certifikat til noget !

Intet sted bliver kunden opfordret til at bruge en privat nøgle.

[cut, om netetikke, se evt. på dk.admin.netetik]

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> skrev i en
meddelelse news:3CF2968B.4000206@example.net...
> erti?= wrote:
> >>Sender i virkelig certifikatet via e-post?
> > Ja det gør vi lige som alle andere SSL certifikat udbyder !
>
> I min begrebsverden er et certifikat én offentlige og én privat nøgle,
> og nogle andre informationer beskrevet i X.509v3.
>
Et certifikat er: certifikat-ejerens offentlige nøgle signeret med CA's private
nøgle.
Og meningen med et certifikat er jo netop, at det er frit tilgængeligt (f.eks.
fra web site), således at man kan holde en digital signatur op mod certifikatet.

Mvh
Lars

---

Lars Mosegård wrote:
> "Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> skrev i en
> meddelelse news:3CF2968B.4000206@example.net...
>>I min begrebsverden er et certifikat én offentlige og én privat nøgle,
>>og nogle andre informationer beskrevet i X.509v3.
> Et certifikat er: certifikat-ejerens offentlige nøgle signeret med CA's private
> nøgle.

Snakker du ikke om x.509 offentlige certifikater (x.509 public-key
certificate)?

Dette er nok det Pascal i virkeligheden mener.

Et x509v3 certifikat kan indeholde flere oplysninger, det du skriver i
ovenstående er ét eksempel, det jeg skriver ét andet eksempel.

> Og meningen med et certifikat er jo netop, at det er frit tilgængeligt (f.eks.
> fra web site), således at man kan holde en digital signatur op mod certifikatet.

Ovenstående certifikat kan ikke bruges alene på en webserver, da den
private nøgle mangler.

At et certifikat endvidere skulle være frit tilgændeligt, er jeg ikke
enig i.

Jeg er enig i at den offentlige nøgle er frit tilgændelig, som kan være
reprænsenteret i et x.509 offentlige certifikater.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net>
wrote:

>Ovenstående certifikat kan ikke bruges alene på en webserver, da den
>private nøgle mangler.

Du siger så vidt jeg kan se at den instans der underskriver ens
certifikat, i hvert fald sommetider har brug for at sende én den
hemmelig nøgle.

Det forstår jeg ikke: man skal da nødig under nogen som helst
omstændigheder røbe sin hemmelige nøgle for nogen, heller ikke
dem der skal underskrive ens offentlige nøgle og derved gøre den
til et brugbart certifikat.

Eller er der certificerende instanser som genererer nøgleparret
på kundens vegne og sender ham begge dele? Det ville jeg finde
helt forkert. En hemmelig nøgle skal være hemmelig.
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

Jesper Dybdal wrote:
>>Ovenstående certifikat kan ikke bruges alene på en webserver, da den
>>private nøgle mangler.
> Du siger så vidt jeg kan se at den instans der underskriver ens
> certifikat, i hvert fald sommetider har brug for at sende én den
> hemmelig nøgle.

Hvor siger jeg det?

Jeg siger at et certifikat med kun en offentlige nøgle kan ikke bruges
på en webserver der skal kører SSL.

> Det forstår jeg ikke: man skal da nødig under nogen som helst
> omstændigheder røbe sin hemmelige nøgle for nogen, heller ikke
> dem der skal underskrive ens offentlige nøgle og derved gøre den
> til et brugbart certifikat.

Følgende er en request bygget af openssl:

-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,76C74FC16D61AF61

JnMD+8VOxD0hA2a+j5AhMmNITpBJQXajlUi8gJpZ20e1KDNofn5jw+owkmgok6WO
[cut]
WsuK4wv6X5cz6frVhbnN7S9kSS45RgOATxV9RIy8gm7sIogDBA5YuA==
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE REQUEST-----
MIIBxjCCAS8CAQAwcTELMAkGA1UEBhMCQVUxEzARBgNVBAgTClNvbWUtU3RhdGUx
[cut]
BW9z6jo/oUGsc9noIKXQW9IhJStpKHPtEgA=
-----END CERTIFICATE REQUEST-----

Og som du kan se vil det være en dum idé at sende den private nøgle.

I stedet bør man sende ceritifikat forspørgelsen, som er en x.509v3
struktur indeholdende det offentlige certifikat og information om dig,
dit firma og din server.

Noget andet jeg synes er interessant er at du udfylder en HTML form med
en certifikat forspørgelse, du modtager en email omkring fakturering. Du
betaler, for derefter at modtage en underskrevet offentlig nøgle med epost.

Hvad forhindre mig i at taste de rigtige oplysninger for Den Dansk Bank,
betale, for derefter at modtage en underskrevet offentlig nøgle via epost?

E-post mediet er ikke sikkert, det ved alle.

> Eller er der certificerende instanser som genererer nøgleparret
> på kundens vegne og sender ham begge dele? Det ville jeg finde
> helt forkert. En hemmelig nøgle skal være hemmelig.

Som kunde sender man en request til certifikat udstederen. Ordet
"certifikat udsteder" er misvisende, og burde nok hedde "forspørgelses
underskriver" :)

Sødt, jeg er blivet blacklistet på deres website, da jeg har lavet to
bestillinger hvor alle felter er udfyldt med "none" og e-mail med
"none@example.com" (regnede med den automatisk blev filteret). Nu bliver
jeg vel tvunget til at bruge det amerikanske site.

---

in article 3CF32CB1.2090909@example.net, Christian E. Lysel at
chlyshoswmdatapunktumcom@example.net wrote on 2002/05/28 09:07:
>
> Sødt, jeg er blivet blacklistet på deres website, da jeg har lavet to
> bestillinger hvor alle felter er udfyldt med "none" og e-mail med
> "none@example.com" (regnede med den automatisk blev filteret). Nu bliver
> jeg vel tvunget til at bruge det amerikanske site.
>

Til hvad ? At producere mere spam ?

Hvis du virkelig vil købe et certifikat, får du det kun hvis du angiver
korrekte information.

Og at prøve at få et certifikat for Microsoft Corp. er virkelig plat!

Der er stadigvæk menesker bag systemet, og systemet selv checker også på
suspekte firma navne !

Så lad være med det børneagtige spaming !

Med venlig hilsen
Pascal Geuns
InstantSSL by BitEngines
http://www.instantssl.dk/

---

Pascal Geuns wrote:
> Til hvad ? At producere mere spam ?

Til test.

Jeg producere ikke spam, hvis du ser det som det, beklager jeg meget.

> Hvis du virkelig vil købe et certifikat, får du det kun hvis du angiver
> korrekte information.

Formålet har været at teste systemet.

> Og at prøve at få et certifikat for Microsoft Corp. er virkelig plat!

Hvad beskylder du mig for? Jeg har ikke sendt nogle ceritifikat request!

> Der er stadigvæk menesker bag systemet, og systemet selv checker også på
> suspekte firma navne !

Hvordan kan du seriøst mene det, når du påstår jeg har prøvet at sende
et certifikat request for Microsoft. Det virker som om i ikke har styr
på registeringerne.

Endvidere har jeg fået en faktura på en bruger der hedder "dette er en
test" til et firma der hedder "dette er en test", jeg regnede med at få
en afvisning. Dog kan jeg ikke se noget sikkerhedsproblem i dette, da
jeg regner med i undersøger certifikat requesten efter pengene er
betalt, hvilket må spare jeg for en del unødig tid.

> Så lad være med det børneagtige spaming !

Børneagtige?

Jeg håber da du kan bruge det til noget at Jeres system mener jeg har
sendt et certifikat request for Microsoft, når jeg ikke har. I mine
øjene har i et eller andet i skal kikke på.


Men Pascal kan du ikke svarer på mit spørgsmål, som jeg og andre finder
mere interessant:

....Hvad forhindre mig i at taste de rigtige oplysninger for Den Dansk
Bank, betale, for derefter at modtage en underskrevet offentlig nøgle
via epost?...

Eller finder du også dette børneagtig?

---

in article 3CF3494D.8040906@example.net, Christian E. Lysel at
chlyshoswmdatapunktumcom@example.net wrote on 2002/05/28 11:09:

> Pascal Geuns wrote:
>> Til hvad ? At producere mere spam ?
>
> Til test.
>
> Jeg producere ikke spam, hvis du ser det som det, beklager jeg meget.
>

Du kun har spurgt mig om det var ok at lave en test !
Og jeg vil ikke have noget imod at du tester systemet en gang !

>
>> Og at prøve at få et certifikat for Microsoft Corp. er virkelig plat!

Undskyld, jeg har ikke været korrekt her, det var ikke dig men en anden en
som vi også har IP adresse på.

>> Der er stadigvæk menesker bag systemet, og systemet selv checker også på
>> suspekte firma navne !
>
> Hvordan kan du seriøst mene det, når du påstår jeg har prøvet at sende
> et certifikat request for Microsoft. Det virker som om i ikke har styr
> på registeringerne.
>

Se svaret længer op.

> Endvidere har jeg fået en faktura på en bruger der hedder "dette er en
> test" til et firma der hedder "dette er en test", jeg regnede med at få
> en afvisning. Dog kan jeg ikke se noget sikkerhedsproblem i dette, da
> jeg regner med i undersøger certifikat requesten efter pengene er
> betalt, hvilket må spare jeg for en del unødig tid.
>
>> Så lad være med det børneagtige spaming !
>
> Børneagtige?

Ja det mener jeg ! En test skulle vel være nok !

>
> Jeg håber da du kan bruge det til noget at Jeres system mener jeg har
> sendt et certifikat request for Microsoft, når jeg ikke har. I mine
> øjene har i et eller andet i skal kikke på.
>

Se svaret længer op.

>
> Men Pascal kan du ikke svarer på mit spørgsmål, som jeg og andre finder
> mere interessant:
>
> ...Hvad forhindre mig i at taste de rigtige oplysninger for Den Dansk
> Bank, betale, for derefter at modtage en underskrevet offentlig nøgle
> via epost?...
>

Hvis du har læst vores CPS ville du vide det !

Men for at gøre det kort kan jeg fortelle dig at enhver suspect request
bliver doppelt checked og hvad angår certificate request for en bank, så
kræver vi faktisk citat fra vores CPS sektion 4.4.2

Certain entities such as banks and financial institutions may be required to
provide proof of their activity prior to having digital certificates issued
to them with a purpose to perform banking or otherwise licensed or
controlled functions.


> Eller finder du også dette børneagtig?
>

Jeg synes du skulle lave den undersøgelser mer professionelt inden du
konkluderer alt for hurtigt !

Med venlig hilsen
Pascal Geuns
InstantSSL by BitEngines
http://www.instantssl.dk/

---

Pascal Geuns wrote:
> Du kun har spurgt mig om det var ok at lave en test !
> Og jeg vil ikke have noget imod at du tester systemet en gang !

Jeg har ikke spurgt om lov, derimod har jeg udfyldt den så det ikke er
svært at gennemskue, at den blot skal smides over venstre side.

> Undskyld, jeg har ikke været korrekt her, det var ikke dig men en anden en
> som vi også har IP adresse på.

>>Børneagtige?
> Ja det mener jeg ! En test skulle vel være nok !

En test er vel nok til at teste én ting.

Har man brug for at teste mere kan det være svært i én test.

Da jeg læste datalogi, var testning det der tog længst tid i et projekt.

>>...Hvad forhindre mig i at taste de rigtige oplysninger for Den Dansk
>>Bank, betale, for derefter at modtage en underskrevet offentlig nøgle
>>via epost?...

> Hvis du har læst vores CPS ville du vide det !
>
> Men for at gøre det kort kan jeg fortelle dig at enhver suspect request

Hvad er der suspekt i at taste de rigtige oplysninger og betale regningen?

> bliver doppelt checked og hvad angår certificate request for en bank, så
> kræver vi faktisk citat fra vores CPS sektion 4.4.2

Jeg har blot brugt Den Danske Bank som et eksempel.

> Certain entities such as banks and financial institutions may be required to
> provide proof of their activity prior to having digital certificates issued
> to them with a purpose to perform banking or otherwise licensed or
> controlled functions.

Hvad med andre instancere end en bank eller ligende?

>>Eller finder du også dette børneagtig?
> Jeg synes du skulle lave den undersøgelser mer professionelt inden du
> konkluderer alt for hurtigt !

Hvad har jeg konkluderet, udover at spørge? Det er da fedt at kunne
spørge en certifikat underskriver i dette forum.

Jeg har kikket overfladisk på Jeres system i min fritid, jeg har ikke
modtaget penge for at udfører et "professionelt" stykke arbejde.

Desuden vil en rigtig teste koste mange penge for mig, da jeg skal
betale for certifikaterne.

---

in article 3CF35DD3.2040305@example.net, Christian E. Lysel at
chlyshoswmdatapunktumcom@example.net wrote on 2002/05/28 12:37:

> Jeg har blot brugt Den Danske Bank som et eksempel.
>
> Hvad med andre instancere end en bank eller ligende?
>

Igen læs vores CPS.

>>> Eller finder du også dette børneagtig?
>> Jeg synes du skulle lave den undersøgelser mer professionelt inden du
>> konkluderer alt for hurtigt !
>
> Hvad har jeg konkluderet, udover at spørge? Det er da fedt at kunne
> spørge en certifikat underskriver i dette forum.
>

Og jeg giver gerne et svar når spørgsmålet er vel funderet !

> Jeg har kikket overfladisk på Jeres system i min fritid, jeg har ikke
> modtaget penge for at udfører et "professionelt" stykke arbejde.
>

Og jeg har ikke bedt dig om at udføre et "professionelt" stykke arbejde!

Hvor meget får du ud af at teste et system "overfladisk" ?

Er det ikke rent spil af tid ?!

Med venlig hilsen
Pascal Geuns
InstantSSL by BitEngines
http://www.instantssl.dk/

---

Pascal Geuns wrote:
>>Hvad med andre instancere end en bank eller ligende?
> Igen læs vores CPS.

Jeg har læst dele af din CPS
(http://www.comodo.net/repository/CPS_Instant_v1.00.pdf), specielt punkt
4.4. Citat:


....Upon receipt of an application for a digital certificate and based on
the submitted information, Comodo confirms the following information:

o the certificate applicant is the same person as the person identified
in the certificate request....


Men hvordan undersøger du dette over epost?

Hvis du mener jeg har overset noget, kan du da ikke komme med nogle mere
præsise referencer?

>>Hvad har jeg konkluderet, udover at spørge? Det er da fedt at kunne
>>spørge en certifikat underskriver i dette forum.
> Og jeg giver gerne et svar når spørgsmålet er vel funderet !

Ovenstående spørgsmål er et typisk problem. Og i flere sager har det
undret mig hvor nemt der er at få et certifikat hos de store certifikat
underskrivere.

Det virker dog som om du ikke tager dette seriøst, men måske har jeg
misforstået dig.

>>Jeg har kikket overfladisk på Jeres system i min fritid, jeg har ikke
>>modtaget penge for at udfører et "professionelt" stykke arbejde.
> Og jeg har ikke bedt dig om at udføre et "professionelt" stykke arbejde!

Ja, det er det jeg skriver.

> Hvor meget får du ud af at teste et system "overfladisk" ?

Lidt.

> Er det ikke rent spil af tid ?!

Nej, det mener jeg ikke. Det er interessant at finde ud af hvordan dit
system opfører sig. Det er uinteressant at læse om hvordan I mener det
opførere sig (jeg henviser til CPS'en).

---

in article 3CF370B4.1070002@example.net, Christian E. Lysel at
chlyshoswmdatapunktumcom@example.net wrote on 2002/05/28 13:57:

> Pascal Geuns wrote:
>>> Hvad med andre instancere end en bank eller ligende?
>> Igen læs vores CPS.
>
> Jeg har læst dele af din CPS
> (http://www.comodo.net/repository/CPS_Instant_v1.00.pdf), specielt punkt
> 4.4. Citat:
>
>
> ...Upon receipt of an application for a digital certificate and based on
> the submitted information, Comodo confirms the following information:
>
> o the certificate applicant is the same person as the person identified
> in the certificate request....
>
>
> Men hvordan undersøger du dette over epost?
>

Det gør vi ikke over epost og svaret star i punkt 4.3 !

> Hvis du mener jeg har overset noget, kan du da ikke komme med nogle mere
> præsise referencer?
>
>>> Hvad har jeg konkluderet, udover at spørge? Det er da fedt at kunne
>>> spørge en certifikat underskriver i dette forum.
>> Og jeg giver gerne et svar når spørgsmålet er vel funderet !
>
> Ovenstående spørgsmål er et typisk problem. Og i flere sager har det
> undret mig hvor nemt der er at få et certifikat hos de store certifikat
> underskrivere.
>
> Det virker dog som om du ikke tager dette seriøst, men måske har jeg
> misforstået dig.
>

Jeg tager det meget seriøst !

Og resultatet af din "test" viste også at du ikke kan få et certifikat hos
os for en organisation som du ikke representerer !

>>> Jeg har kikket overfladisk på Jeres system i min fritid, jeg har ikke
>>> modtaget penge for at udfører et "professionelt" stykke arbejde.
>> Og jeg har ikke bedt dig om at udføre et "professionelt" stykke arbejde!
>
> Ja, det er det jeg skriver.
>
>> Hvor meget får du ud af at teste et system "overfladisk" ?
>
> Lidt.
>
>> Er det ikke rent spil af tid ?!
>
> Nej, det mener jeg ikke. Det er interessant at finde ud af hvordan dit
> system opfører sig. Det er uinteressant at læse om hvordan I mener det
> opførere sig (jeg henviser til CPS'en).
>

Jeg håber du bliver lige så glade når andre folk bare "tester" dine systemer
fordi de synes det er sjovt !

O&O
Pascal Geuns
InstantSLL by BitEngines
http://www.instantssl.dk

---

Pascal Geuns wrote:
> Det gør vi ikke over epost og svaret star i punkt 4.3 !

Kan vi ikke tage et eksempel?

Jeg hedder nu Martin Thorborg og har firmaet Jubii A/S.

På Jeres site giver jeg følgende information:

Fornavn: Martin
Efternavn: Thorborg
E-mail: <fjernet i dette eksempel, grundet spam>
Organisation: Jubii A/S
CVR/SE-NR.: 18479249
Adresse 1: Rahbeks Alle 11, 2
Adresse 2:
Postcode: 1749
By: København V
Område: Sjaelland
Land: [Danmark]

Certifikat requesten er udfyldt som følgende:

The Subjects Distinguished Name is as follows
countryName :PRINTABLE:'DK'
stateOrProvinceName :PRINTABLE:'Sjaelland'
localityName :PRINTABLE:'Koebenhavn V'
organizationName :PRINTABLE:'Jubii A/S'
organizationalUnitName:PRINTABLE:'Marketing'
commonName :PRINTABLE:'www.jubii.dk'
emailAddress :IA5STRING:'<fjernet i dette eksempel, grundet spam>'

og ser ud som følgende:

-----BEGIN CERTIFICATE REQUEST-----
MIIB8TCCAVoCAQAwgbAxCzAJBgNVBAYTAkRLMRIwEAYDVQQIEwlTamFlbGxhbmQx
FTATBgNVBAcTDEtvZWJlbmhhdm4gVjESMBAGA1UEChMJSnViaWkgQS9TMRIwEAYD
VQQLEwlNYXJrZXRpbmcxFTATBgNVBAMTDHd3dy5qdWJpaS5kazE3MDUGCSqGSIb3
DQEJARYoPGZqZXJuZXQgaSBkZXR0ZSBla3NlbXBlbCwgZ3J1bmRldCBzcGFtPjCB
nzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEArTI6tYY1ByKHF+hGyKyDlXU6rIaB
up/McYTzCpEqsjCL2NjYcO+ALlkSkHFJsr+vy01X4+c9aoKkEDijFXKHkPpkdWf4
WLtgAbpPhDoebSP4ZMF7Fj63npSl9YvyJiBud9wsCxUlq/iOTAYqSkXTPAAgYr8V
RnzBDzsoNf/lNYUCAwEAAaAAMA0GCSqGSIb3DQEBBAUAA4GBAH5zBxWfCaCQ2xS0
zRXTFqD469rR99nXTor/8B39eRJOgH25YS7Z8EhaooRtiQfPAGDjzbJiX1+SPofi
9yx4R3VhNn2zrEAddsX+5ZmlIYPttfk26quR+alyqUbJb1RYZ8uMdpFPIDihAyLa
hzzutAVO82wzRv6QdD1nTPbCEe/H
-----END CERTIFICATE REQUEST-----


Hvilket oplysninger vil du nu normalt opkræve på et andet medie end epost?

Af CPS'en fremgår bla.:

! Proof of right to use name

Hvilke type beviser?

! Proof of existence of the Organisation

Hvilket type beviser?

! Proof of organisational status such as articles of incorporation of a
company, letter from office
of Dean or Principal (for Educational Institutions), official letter
from an authorised
representative of a government organisation.

Hvilke information skal dette indeholder, eller hvilke papir skal i have
kopi af?

! Registration form signed and properly filled in

Hvor er denne form?

! Subscriber agreement, signed

Hvor er denne aftale?


Og er det normalt at man skal udfylde og dokumentere ovenstående?

>>Det virker dog som om du ikke tager dette seriøst, men måske har jeg
>>misforstået dig.
> Jeg tager det meget seriøst !

Godt.

> Og resultatet af din "test" viste også at du ikke kan få et certifikat hos
> os for en organisation som du ikke representerer !

Jeg har ikke forsøgt at få et certifikat.

Jeg forsøgte blot at se på hvilke informationer I forespørger inden
betalingen skal falde. Og desuden se hvordan betalingen skal falde, da
der på sitet står at man få instruktionerne omkring dette efter
requesten er sent.

> Jeg håber du bliver lige så glade når andre folk bare "tester" dine systemer
> fordi de synes det er sjovt !

Ja, hvorfor skal jeg ikke blive glad for at andre folk interessere sig
for mine systemer?

Hvis du mener det er et problem eller en stor arbejdsbyrde, at jeg
tester det, så sig det venligst.

---

On Tue, 28 May 2002 12:37:07 +0200, "Christian E. Lysel"
<chlyshoswmdatapunktumcom@example.net> wrote:

>> Du kun har spurgt mig om det var ok at lave en test !
>> Og jeg vil ikke have noget imod at du tester systemet en gang !
>Jeg har ikke spurgt om lov, derimod har jeg udfyldt den så det ikke er
>svært at gennemskue, at den blot skal smides over venstre side.

Dvs. det er okay at teste andres udstyr, tilmeldingsformularer, etc.,
blot til sit eget formål?

>Da jeg læste datalogi, var testning det der tog længst tid i et projekt.

Er du da blevet projektansat til at teste løs?

--
- Peter Brodersen

---

Peter Brodersen wrote:
>>Jeg har ikke spurgt om lov, derimod har jeg udfyldt den så det ikke er
>>svært at gennemskue, at den blot skal smides over venstre side.
> Dvs. det er okay at teste andres udstyr, tilmeldingsformularer, etc.,
> blot til sit eget formål?

Dette ser jeg ikke som noget problem.

Hvis dette er et problem, er der noget galt med systemet!

>>Da jeg læste datalogi, var testning det der tog længst tid i et projekt.
> Er du da blevet projektansat til at teste løs?

Nej, hvilket også er min pointe.

---

On Tue, 28 May 2002 13:41:12 +0200, "Christian E. Lysel"
<chlyshoswmdatapunktumcom@example.net> wrote:

>> Dvs. det er okay at teste andres udstyr, tilmeldingsformularer, etc.,
>> blot til sit eget formål?
>Dette ser jeg ikke som noget problem.
>
>Hvis dette er et problem, er der noget galt med systemet!

Jeg tror, der er mange ude i verden, der ikke sætter pris på at man
indsender formularer og tilmeldinger, laver vilkårlige telefonopkald,
sender e-mails, etc., også selvom der bare står TEST hist og her.

Verden er ikke éns legeplads, uanset hvad du har lært om tests i
datalogi.

--
- Peter Brodersen

---

Peter Brodersen wrote:
>>>Dvs. det er okay at teste andres udstyr, tilmeldingsformularer, etc.,
>>>blot til sit eget formål?
>>Dette ser jeg ikke som noget problem.
>>Hvis dette er et problem, er der noget galt med systemet!
> Jeg tror, der er mange ude i verden, der ikke sætter pris på at man
> indsender formularer og tilmeldinger, laver vilkårlige telefonopkald,

Telefonopkald, ville jeg aldrig bruge til tests, hvis jeg ikke bliver
betalt. Endvidere finder jeg det forkert at udfører denne slags test.

De andre typer tests... Hvor mange sårbarheder er der efterhånden fundet
af mennesker der har testet et system fordi personen har fundet dette
interessant, evt. for at lærer mere om dette system. De fleste
offentlige sårbarheder kommer fra denne slags mennesker!

> sender e-mails, etc., også selvom der bare står TEST hist og her.

Sende e-mails, vil jeg aldig bruge til tests. Kun hvis det er en bestilt
opgave.

Jeg kan intet galt se i at ændre en URL eller taste oplysninger ind i en
form, for at teste et eller andet. Finder jeg noget interessant, giver
jeg sitet information om dette og venter på det bliver løst, herefter
vil jeg måske publisere dette hvis jeg finder det måtte være interessant
for offentligheden.


Du nævner telefon og email...I min dagligdag blive jeg gang på gang
overrasket over hvor meget man kan gøre med en e-post adresse eller en
telefon. Folk oplyser de mest mærkelige ting over telefonen eller
e-mail, og man kan få store danske udbydere til at ændre kritiske
systemer uden at de snakker med deres kunder.

> Verden er ikke éns legeplads, uanset hvad du har lært om tests i
> datalogi.

Grunden til at jeg snakker om tests i datalogi, er at Pascal får test
fasen til at lyde som ét test-eksempel.

I sikkerhedssystemer er det en af de faser der fylder _meget_.

---

On Wed, 29 May 2002 21:49:54 +0200, "Christian E. Lysel"
<chlyshoswmdatapunktumcom@example.net> wrote:

>De andre typer tests... Hvor mange sårbarheder er der efterhånden fundet
>af mennesker der har testet et system fordi personen har fundet dette
>interessant, evt. for at lærer mere om dette system.

En del, for de personer, der er blevet hyret til opgaven.

Mange overordnede sårbarheder findes ved at teste i test-setups eller
ved granskning af kildetekst. Ikke ved at teste de servere, andre
tilfældigvis har sat op.

Der er i øvrigt også flere tilfælde, hvor folk er blevet sigtet for
straffelovens §263 stk. 2, bare fordi de ville prøve at finde
sårbarheder i andres systemer, selv udelukkende af akademisk
interesse.

Som sagt: Verden er ikke éns legeplads.

>Jeg kan intet galt se i at ændre en URL eller taste oplysninger ind i en
>form, for at teste et eller andet. Finder jeg noget interessant, giver
>jeg sitet information om dette og venter på det bliver løst, herefter
>vil jeg måske publisere dette hvis jeg finder det måtte være interessant
>for offentligheden.

Er det sikkerhedsmæssige aspekter, kan jeg ikke forestille mig andet
end at du vil kunne risikere at blive sigtet. Om du så blot gjorde det
af nysgerrighed eller på anden måde ikke havde ønske om at skaffe dig
adgang til anlægget, er derimod et spørgsmål om bevisførelse.

Jeg har tilsvarende min mængde crashede scripts og væltede databaser
på samvittigheden, typisk ud fra URL-stunts eller mere komplicerede
HTTP-requests gående mod dårlig validering eller uhensigtsmæssige
implementationer. Men med udgangspunkt i at teste applikationer på
opfordring fra de site-ansvarlige.

--
- Peter Brodersen

---

Peter Brodersen wrote:
> Mange overordnede sårbarheder findes ved at teste i test-setups eller
> ved granskning af kildetekst. Ikke ved at teste de servere, andre
> tilfældigvis har sat op.

Her er jeg ikke enig, mange huller findes ved tilfældigheder man ikke
har tænkt på i test opstillingen eller kunne gennemskue ved granskning
af kildetekst.

Eller som der også er set mange gange før, et site skal overholde en
tidsfrist (eller et budget) og derfor bliver sitet ikke testet
ordenligt, før det bliver sat i produktion.

> Der er i øvrigt også flere tilfælde, hvor folk er blevet sigtet for
> straffelovens §263 stk. 2, bare fordi de ville prøve at finde
> sårbarheder i andres systemer, selv udelukkende af akademisk
> interesse.

Ligesom man heller ikke må lave en port scanning, hvordan skal man
ellers finde ud af hvilke service serveren tilbyder? :)

> Som sagt: Verden er ikke éns legeplads.

I et af mine tidligere jobs, havde vi en konkurrent der fandt huller i
kunders løsninger, for derefter at true dem med negativ presse omtale
hvis de ikke købte sikkerheds ydelser hos ham. Det var ikke i Danmark.

> Er det sikkerhedsmæssige aspekter, kan jeg ikke forestille mig andet
> end at du vil kunne risikere at blive sigtet. Om du så blot gjorde det
> af nysgerrighed eller på anden måde ikke havde ønske om at skaffe dig
> adgang til anlægget, er derimod et spørgsmål om bevisførelse.

Hvis man efter episoden fortæller om sårbarhederne, kan det da stadigvæk
betragtes som man havde til hensigt at skaffe adgang til anlægget?

Eller hvis man ved tilfældigheder udløser et hul?

> Jeg har tilsvarende min mængde crashede scripts og væltede databaser
> på samvittigheden, typisk ud fra URL-stunts eller mere komplicerede
> HTTP-requests gående mod dårlig validering eller uhensigtsmæssige
> implementationer. Men med udgangspunkt i at teste applikationer på
> opfordring fra de site-ansvarlige.

Jeg har én gang handlet i ond tro. Det var da nogle undersøgte mig for
at proxie http request. Denne request var et kald af et cgi script, der
havde 3 argumenter:

1) min ip-adresse.

2) min port proxien lytter på.

3) filen ovenstående skal logges i.

Min første tanke var at stoppe deres logning. Dette var trivielt da jeg
selv kunne bestemme hvilken fil der skal logges i og jeg valgte CGI
scriptet. Herefter brokkede jeg mig til ISP'en http requesten kom fra og
til websitet der kørte CGI scriptet. Timer efter var websitet taget ned.

De havde iøvrigt fundet 300 maskiner der proxiede http request!

---

Christian E. Lysel skrev:

>> Peter Brodersen wrote:

> Ligesom man heller ikke må lave en port scanning, hvordan skal man
> ellers finde ud af hvilke service serveren tilbyder? :)

Det er du blevet informeret om, da du blev tilbudt at benytte servi-
cen, går jeg ud fra.

>> Som sagt: Verden er ikke éns legeplads.

> I et af mine tidligere jobs, havde vi en konkurrent der fandt huller
> i kunders løsninger, for derefter at true dem med negativ presse
> omtale hvis de ikke købte sikkerheds ydelser hos ham.

Virkede det (fik de solgt deres ydelser)?
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >

---

Peder Vendelbo Mikkelsen wrote:
>>Ligesom man heller ikke må lave en port scanning, hvordan skal man
>>ellers finde ud af hvilke service serveren tilbyder? :)
> Det er du blevet informeret om, da du blev tilbudt at benytte servi-
> cen, går jeg ud fra.

Dvs. hvis jeg bruger en service på Internet som jeg ikke er blevet
tilbudt, kan jeg straffes for dette?

>>>Som sagt: Verden er ikke éns legeplads.
>>I et af mine tidligere jobs, havde vi en konkurrent der fandt huller
>>i kunders løsninger, for derefter at true dem med negativ presse
>>omtale hvis de ikke købte sikkerheds ydelser hos ham.
> Virkede det (fik de solgt deres ydelser)?

Ja!

Dog fik vi selv nogle kunder, der kom til os, da de ikke ville finde sig
i det, og vi løste så deres sikkerhedsproblemmer.

---

On Tue, 28 May 2002 09:07:29 +0200, "Christian E. Lysel"
<chlyshoswmdatapunktumcom@example.net> wrote:

>Jeg siger at et certifikat med kun en offentlige nøgle kan ikke bruges
>på en webserver der skal kører SSL.

Den private nøgle har man jo selv i første omgang.

>Følgende er en request bygget af openssl:

[..]

Jeg ved ikke hvor, det går galt for dig, men når jeg laver CSR'er med
openssl, vil den private nøgle selvfølgelig ikke være med.

>I stedet bør man sende ceritifikat forspørgelsen, som er en x.509v3
>struktur indeholdende det offentlige certifikat og information om dig,
>dit firma og din server.

Det er vel også det, der sker?

--
- Peter Brodersen

---

Peter Brodersen wrote:
>>Jeg siger at et certifikat med kun en offentlige nøgle kan ikke bruges
>>på en webserver der skal kører SSL.
> Den private nøgle har man jo selv i første omgang.

Ja.

>>Følgende er en request bygget af openssl:
> Jeg ved ikke hvor, det går galt for dig, men når jeg laver CSR'er med
> openssl, vil den private nøgle selvfølgelig ikke være med.

Jeg bruger CA.pl, denne smider den private nøgle med, som man selv skal
klippe ud, så den ikke bliver sendt med.

>>I stedet bør man sende ceritifikat forspørgelsen, som er en x.509v3
>>struktur indeholdende det offentlige certifikat og information om dig,
>>dit firma og din server.
> Det er vel også det, der sker?

Nej, ikke med CA.pl

Beskriv evt. din metode til at bygge en certifikat request.

Jeg bruger, "./CA.pl -newreq"

---

On Tue, 28 May 2002 11:31:17 +0200, "Christian E. Lysel"
<chlyshoswmdatapunktumcom@example.net> wrote:

>> Jeg ved ikke hvor, det går galt for dig, men når jeg laver CSR'er med
>> openssl, vil den private nøgle selvfølgelig ikke være med.
>Jeg bruger CA.pl, denne smider den private nøgle med, som man selv skal
>klippe ud, så den ikke bliver sendt med.

Hvorfor ikke blot bruge openssl direkte?

openssl req -new -key www.domæne.com.key >www.domæne.com.csr

OpenSSL kan måske godt virke overvældende i første omgang, men
praktisk talt alle SSL-sites har gode trin-for-trin-vejledninger,
bl.a. til openssl. Omend jeg må indrømme, at jeg pt. ikke kan holde
www.certifikat.dk ud, efter det røg over i Zillion-look. Stavefejl,
der springes mellem forskellige sites og designs, fjollede redirects,
håbløs supportguide... i det mindste kan man stadigvæk finde det gamle
site på http://tdp.certifikat.dk/

--
- Peter Brodersen

---

On Tue, 28 May 2002 12:21:28 +0200, Peter Brodersen
<professionel@nerd.dk> wrote:

>>Jeg bruger CA.pl, denne smider den private nøgle med, som man selv skal
>>klippe ud, så den ikke bliver sendt med.
>Hvorfor ikke blot bruge openssl direkte?

Der er i øvrigt en fin vejledning på:
http://www.instantssl.dk/dk/support/csr_generation/mod_ssl.html

Et eller andet sted mener jeg ikke, man kan holde en
certifikat-leverandør op på at du har valgt at bruge et eller andet
tilfældigt script.

--
- Peter Brodersen

---

Peter Brodersen wrote:
> Et eller andet sted mener jeg ikke, man kan holde en
> certifikat-leverandør op på at du har valgt at bruge et eller andet
> tilfældigt script.

Holder jeg certifikat-underskriveren op mod det?

---

On Tue, 28 May 2002 12:39:42 +0200, "Christian E. Lysel"
<chlyshoswmdatapunktumcom@example.net> wrote:

>> Et eller andet sted mener jeg ikke, man kan holde en
>> certifikat-leverandør op på at du har valgt at bruge et eller andet
>> tilfældigt script.
>Holder jeg certifikat-underskriveren op mod det?

Du bragte i hvert fald umådeligt meget forvirring ind over med
<news:3CF32CB1.2090909@example.net>

==
Følgende er en request bygget af openssl:
[..]
Og som du kan se vil det være en dum idé at sende den private nøgle.
==

Jeg kan ikke se hvad den fejlagtige brug af openssl har at gøre med
noget som helst.

--
- Peter Brodersen

---

Peter Brodersen wrote:
> Jeg kan ikke se hvad den fejlagtige brug af openssl har at gøre med
> noget som helst.

Fejlagtig brug? Jeg bruger et standard værktøj der følger med!

Endvidere fortæller jeg blot at det ikke er en god idé at sende den
private nøgle.

At andre læser det som at jeg anklager en tilfældig certifikat
underskriver for dette, og at den tilfældige certifikat underskriver
føler sig truffet, må være deres problem.

---

On Tue, 28 May 2002 13:39:55 +0200, "Christian E. Lysel"
<chlyshoswmdatapunktumcom@example.net> wrote:

>Endvidere fortæller jeg blot at det ikke er en god idé at sende den
>private nøgle.

Det er der jo heller ingen, der beder dig om. Faktisk beder alle
SSL-udbyderne dig netop om at indsende CSR'et (og ikke fx din nøgle).

Jeg kan ikke se hvordan den private nøgle overhovedet kommer på banen
i første omgang.

--
- Peter Brodersen

---

in article PXII8.28295$4f4.984371@news000.worldonline.dk, Peter Brodersen at
professionel@nerd.dk wrote on 2002/05/28 12:28:

> On Tue, 28 May 2002 12:21:28 +0200, Peter Brodersen
> <professionel@nerd.dk> wrote:
>
>>> Jeg bruger CA.pl, denne smider den private nøgle med, som man selv skal
>>> klippe ud, så den ikke bliver sendt med.
>> Hvorfor ikke blot bruge openssl direkte?
>
> Der er i øvrigt en fin vejledning på:
> http://www.instantssl.dk/dk/support/csr_generation/mod_ssl.html
>
> Et eller andet sted mener jeg ikke, man kan holde en
> certifikat-leverandør op på at du har valgt at bruge et eller andet
> tilfældigt script.

Tak

Med venlig hilsen
Pascal Geuns
InstantSSL by BitEngines
http://www.instantssl.dk/

---

Peter Brodersen wrote:
>>Jeg bruger CA.pl, denne smider den private nøgle med, som man selv skal
>>klippe ud, så den ikke bliver sendt med.
> Hvorfor ikke blot bruge openssl direkte?

CA.pl bygger selv katalog hirakiet, har simple kommando linier:

usage: CA -newcert|-newreq|-newca|-sign|-verify

> openssl req -new -key www.domæne.com.key >www.domæne.com.csr

CA gør som følgende:

$REQ -new $DAYS -keyout newreq.pem -out newreq.pem

Hvilket er,

openssl req -new -days 365 -keyout newreq.pem -out newreq.pem

Herved smider den både den privat og offentlige nøgle i newreq.pem.

---

in article 3CF34E65.9000805@example.net, Christian E. Lysel at
chlyshoswmdatapunktumcom@example.net wrote on 2002/05/28 11:31:

>
> Jeg bruger CA.pl, denne smider den private nøgle med, som man selv skal
> klippe ud, så den ikke bliver sendt med.
>

Det er vist en sikkerheds manko af dit nøgle genererings program !

Alle andere adskiller den private og den offentlige del automatisk.

Med venlig hilsen
Pascal Geuns
InstantSSL by BitEngines
http://www.instantssl.dk/

---

Pascal Geuns wrote:
> Det er vist en sikkerheds manko af dit nøgle genererings program !

Som følger med som standard med OpenSSL.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net>
wrote:

>Jesper Dybdal wrote:
>>>Ovenstående certifikat kan ikke bruges alene på en webserver, da den
>>>private nøgle mangler.
>> Du siger så vidt jeg kan se at den instans der underskriver ens
>> certifikat, i hvert fald sommetider har brug for at sende én den
>> hemmelig nøgle.
>
>Hvor siger jeg det?

I Message-ID: <3CF2968B.4000206@example.net>, sendt af dig, står
der:
>erti?= wrote:
>>>Sender i virkelig certifikatet via e-post?
>> Ja det gør vi lige som alle andere SSL certifikat udbyder !
>
>I min begrebsverden er et certifikat én offentlige og én privat nøgle,
>og nogle andre informationer beskrevet i X.509v3.

hvor både ">" og ">>>" er dig. Det tillod jeg mig at fortolke
som at du mener at det at sende et certifikat indebærer også at
sende den hemmelige nøgle - hvis det ikke er det du mener,
forstår jeg ikke ovenstående diskussion. (Medmindre selvfølgelig
det kun er brugen af selve _ordet_ "certifikat" og ikke det
reelle indhold af den omtalte e-post der bekymrer dig - men jeg
formodede at dit indlæg ikke kun var ment som ordkløveri.)

>Jeg siger at et certifikat med kun en offentlige nøgle kan ikke bruges
>på en webserver der skal kører SSL.

Jeg skal ikke gøre mig klog på præcis hvad ordet "certifikat"
betyder. Jeg har altid opfattet det som dækkende den
underskrevne offentlige nøgle, men jeg vil absolut ikke påstå at
der nødvendigvis er noget galt i at bruge det om hemmelig +
underskrevet offentlig nøgle.

En webserver skal naturligvis kende den hemmelige nøgle selv, og
skal kunne levere den underskrevne offentlige nøgle til klienter.

Men certifikatudstederen har så vidt jeg kan se ingen som helst
brug for at kende den hemmelige nøgle, og det ville være særdeles
kritisabel praksis at røbe den for certifikatudstederen. Derfor
kan jeg ikke se noget problem i at kommunikation med
certifikatudstederen sker pr. e-post, da den kommunikation ikke
bør indeholde hemmeligheder. (Der bør naturligvis desuden være
en anden type kommunikation som beviser for certifikatudstederen
hvem man er, men det er en anden sag.)

>Følgende er en request bygget af openssl:
>
>-----BEGIN RSA PRIVATE KEY-----
>Proc-Type: 4,ENCRYPTED

Det betyder forhåbentlig at den er krypteret, og således
ubrugelig for certifikatudstederen.

>...
>-----END RSA PRIVATE KEY-----
>-----BEGIN CERTIFICATE REQUEST-----
>...
>-----END CERTIFICATE REQUEST-----
>
>Og som du kan se vil det være en dum idé at sende den private nøgle.

Ja. Det undrer mig meget. Det fremgår jo nærmest at openssl
ikke betragter den hemmelige nøgle som en del af "CERTIFICATE
REQUEST", men så er det ret forbavsende at den anbringer dem i
samme fil. Jeg ville naivt forvente at kun "CERTIFICATE
REQUEST"-delen skulle sendes til certifikatudstederen.

>I stedet bør man sende ceritifikat forspørgelsen, som er en x.509v3
>struktur indeholdende det offentlige certifikat og information om dig,
>dit firma og din server.

Er svaret på min undren ovenfor måske at det gør man altid i
praksis? I så fald er vi igen tilbage til at e-post næppe er
noget problem.

>Noget andet jeg synes er interessant er at du udfylder en HTML form

(Det gør jeg ikke, så jeg formoder du bruger ordet "du" i
betydningen "man" her.)

Du har naturligvis ret i at en certifikatudsteder skal verificere
hvem han udsteder certifikater til. Ellers bliver hans
underskrift på et certifikat forhåbentlig hurtigt noget som ingen
tror på.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

Jesper Dybdal wrote:
>>>Du siger så vidt jeg kan se at den instans der underskriver ens
>>>certifikat, i hvert fald sommetider har brug for at sende én den
>>>hemmelig nøgle.
>>Hvor siger jeg det?
>
>
> I Message-ID: <3CF2968B.4000206@example.net>, sendt af dig, står
> der:
>
>>erti?= wrote:
>>>>Sender i virkelig certifikatet via e-post?
>>>Ja det gør vi lige som alle andere SSL certifikat udbyder !
>>I min begrebsverden er et certifikat én offentlige og én privat nøgle,
>>og nogle andre informationer beskrevet i X.509v3.

Det sidste er forkert formuleret fra min side, min pointe er at et
certifikat kan indeholde forskellige typer informationer.

> hvor både ">" og ">>>" er dig. Det tillod jeg mig at fortolke
> som at du mener at det at sende et certifikat indebærer også at
> sende den hemmelige nøgle - hvis det ikke er det du mener,
> forstår jeg ikke ovenstående diskussion. (Medmindre selvfølgelig

Det normale er at man sender et certifikat request, dvs. en forspørgelse
på at få sit certifikat underskrevet.

Men sender ikke et certifikat.

> det kun er brugen af selve _ordet_ "certifikat" og ikke det
> reelle indhold af den omtalte e-post der bekymrer dig - men jeg
> formodede at dit indlæg ikke kun var ment som ordkløveri.)

Kik på http://www.ietf.org/rfc/rfc2511.txt

>>Jeg siger at et certifikat med kun en offentlige nøgle kan ikke bruges
>>på en webserver der skal kører SSL.
> Jeg skal ikke gøre mig klog på præcis hvad ordet "certifikat"
> betyder. Jeg har altid opfattet det som dækkende den
> underskrevne offentlige nøgle, men jeg vil absolut ikke påstå at
> der nødvendigvis er noget galt i at bruge det om hemmelig +
> underskrevet offentlig nøgle.

Enig

> En webserver skal naturligvis kende den hemmelige nøgle selv, og
> skal kunne levere den underskrevne offentlige nøgle til klienter.

Enig

> Men certifikatudstederen har så vidt jeg kan se ingen som helst
> brug for at kende den hemmelige nøgle, og det ville være særdeles
> kritisabel praksis at røbe den for certifikatudstederen. Derfor
> kan jeg ikke se noget problem i at kommunikation med
> certifikatudstederen sker pr. e-post, da den kommunikation ikke

Enig

> bør indeholde hemmeligheder. (Der bør naturligvis desuden være
> en anden type kommunikation som beviser for certifikatudstederen
> hvem man er, men det er en anden sag.)

Denne anden sag er en meget interessant sag, da jeg selv i nogle
situationer har oplevet hvor nemt det er at få et certifikat på baggrund
af oplysninger alle kan hente fra Internettet.

>>Følgende er en request bygget af openssl:
> Det betyder forhåbentlig at den er krypteret, og således
> ubrugelig for certifikatudstederen.

Ikke i dette tilfælde.

>>Og som du kan se vil det være en dum idé at sende den private nøgle.
> Ja. Det undrer mig meget. Det fremgår jo nærmest at openssl
> ikke betragter den hemmelige nøgle som en del af "CERTIFICATE
> REQUEST", men så er det ret forbavsende at den anbringer dem i
> samme fil. Jeg ville naivt forvente at kun "CERTIFICATE
> REQUEST"-delen skulle sendes til certifikatudstederen.

Ja.

>>I stedet bør man sende ceritifikat forspørgelsen, som er en x.509v3
>>struktur indeholdende det offentlige certifikat og information om dig,
>>dit firma og din server.
> Er svaret på min undren ovenfor måske at det gør man altid i
> praksis? I så fald er vi igen tilbage til at e-post næppe er
> noget problem.

I praksis gør man det altid, men at sige at man sender certifikatet er
noget vrøvl, da man sender en request på at få ens offentlige nøgle
underskrevet.

>>Noget andet jeg synes er interessant er at du udfylder en HTML form
> (Det gør jeg ikke, så jeg formoder du bruger ordet "du" i
> betydningen "man" her.)

Ja.

> Du har naturligvis ret i at en certifikatudsteder skal verificere
> hvem han udsteder certifikater til. Ellers bliver hans
> underskrift på et certifikat forhåbentlig hurtigt noget som ingen
> tror på.

Ja.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> skrev i en
meddelelse news:3CF2A6EA.6000004@example.net...
> Lars Mosegård wrote:
> > "Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> skrev i en
> > meddelelse news:3CF2968B.4000206@example.net...
> >>I min begrebsverden er et certifikat én offentlige og én privat nøgle,
> >>og nogle andre informationer beskrevet i X.509v3.
> > Et certifikat er: certifikat-ejerens offentlige nøgle signeret med CA's
private
> > nøgle.
>
> Snakker du ikke om x.509 offentlige certifikater (x.509 public-key
> certificate)?
>
Nej jeg snakker om certifikater generelt!

> Et x509v3 certifikat kan indeholde flere oplysninger
>
Ja

>det du skriver i ovenstående er ét eksempel,
>
Nej, det er minimumsindhold

>det jeg skriver ét andet eksempel.
>
Nej, et certifikat vil aldrig indeholde en privat nøgle!

> At et certifikat endvidere skulle være frit tilgændeligt, er jeg ikke
> enig i.
>
> Jeg er enig i at den offentlige nøgle er frit tilgændelig, som kan være
> reprænsenteret i et x.509 offentlige certifikater.
>
Ingen er interessert kun i en offentlig nøgle... man vil netop have et
certifikat, der er udstedt af en CA, som man stoler på (direkte eller
inddirekte).


Mvh
Lars

---

Lars Mosegård wrote:
>>Snakker du ikke om x.509 offentlige certifikater (x.509 public-key
>>certificate)?
> Nej jeg snakker om certifikater generelt!

Hvis vi snakker om certifikater generelt, kan de indeholde alt.

I min begrebsverden er et x.509 public-key certificat den type der
bruges i PKI løsninger (heraf navnet _P_ublic _K_ey _I_nfrastructure),
et eksempel på anvendelse kan være som public-key certificat kombineret
med et privat certifikat til en webserver der kører SSL.

> Nej, et certifikat vil aldrig indeholde en privat nøgle!

Kan diskuteres.

Et almindeligt x.509v3 certifikat kan indeholde, en signatur fra en
privat nøgle.

> Ingen er interessert kun i en offentlig nøgle... man vil netop have et
> certifikat, der er udstedt af en CA, som man stoler på (direkte eller
> inddirekte).

Den forstår jeg ikke.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> skrev i en
meddelelse news:3CF3F214.30801@example.net...
>
> Hvis vi snakker om certifikater generelt, kan de indeholde alt.
>
Jow jow, i princippet.

> I min begrebsverden er et x.509 public-key certificat den type der
> bruges i PKI løsninger (heraf navnet _P_ublic _K_ey _I_nfrastructure),
> et eksempel på anvendelse kan være som public-key certificat kombineret
> med et privat certifikat til en webserver der kører SSL.
>
Jeg kunne godt tænke mig at vide, hvad du forstår ved et privat certifikat.

> > Nej, et certifikat vil aldrig indeholde en privat nøgle!
>
> Kan diskuteres.
>
Hvad skulle meningen være?

> Et almindeligt x.509v3 certifikat kan indeholde, en signatur fra en
> privat nøgle.
>
Ja det er jo netop meningen med et certifikat: Det indeholder CA's signatur af
din offentlige nøgle (genereret med CA's private nøgle)

> > Ingen er interessert kun i en offentlig nøgle... man vil netop have et
> > certifikat, der er udstedt af en CA, som man stoler på (direkte eller
> > inddirekte).
>
> Den forstår jeg ikke.
>
Eksempel:
Du har sendt en mail til mig, som du har signeret med din private nøgle.
Jeg vil verificere at mailen faktisk kommer fra dig. For at kunne det, har jeg
brug for din offentlige nøgle.
Hvordan får jeg fat i DIN offentlige nøgle? Måske er den sendt med i mailen...
måske kan jeg hente den på en server.....
Men hvordan kan jeg vide, at det er DIN offentlige nøgle....
Det kan jeg IKKE!
Altså er jeg nødt til at have fat i et certifikat, der indeholder din offentlige
nøgle. Og certifikatet skal være udstedt af en CA, som jeg stoler på - dermed
kan jeg stole på at certifikatet indeholder DIN offentlige nøgle.
Dermed kan jeg verificere at mailen er fra dig.

Mvh
Lars

---

Lars Mosegård wrote:
>>I min begrebsverden er et x.509 public-key certificat den type der
>>bruges i PKI løsninger (heraf navnet _P_ublic _K_ey _I_nfrastructure),
>>et eksempel på anvendelse kan være som public-key certificat kombineret
>>med et privat certifikat til en webserver der kører SSL.
> Jeg kunne godt tænke mig at vide, hvad du forstår ved et privat certifikat.

Det samme som man forstår ved et offentligt certificat.

>>>Nej, et certifikat vil aldrig indeholde en privat nøgle!
>>Kan diskuteres.
> Hvad skulle meningen være?

Lagring af den private nøgle i et standard format, hvad ellers?

>>Et almindeligt x.509v3 certifikat kan indeholde, en signatur fra en
>>privat nøgle.
> Ja det er jo netop meningen med et certifikat: Det indeholder CA's signatur af
> din offentlige nøgle (genereret med CA's private nøgle)


>>>Ingen er interessert kun i en offentlig nøgle... man vil netop have et
>>>certifikat, der er udstedt af en CA, som man stoler på (direkte eller
>>>inddirekte).
>>Den forstår jeg ikke.

> Eksempel:
> Du har sendt en mail til mig, som du har signeret med din private nøgle.
> Jeg vil verificere at mailen faktisk kommer fra dig. For at kunne det, har jeg
> brug for din offentlige nøgle.
> Hvordan får jeg fat i DIN offentlige nøgle? Måske er den sendt med i mailen...
> måske kan jeg hente den på en server.....
> Men hvordan kan jeg vide, at det er DIN offentlige nøgle....
> Det kan jeg IKKE!
> Altså er jeg nødt til at have fat i et certifikat, der indeholder din offentlige
> nøgle. Og certifikatet skal være udstedt af en CA, som jeg stoler på - dermed
> kan jeg stole på at certifikatet indeholder DIN offentlige nøgle.
> Dermed kan jeg verificere at mailen er fra dig.

Hvad løser det, hvordan stoler du på CA'en?

Endvidere er CA'en blot endnu en offentlig nøgle.

Når jeg downloader Internet Explorere 6.0, hvordan kan jeg da være
sikker på den ikke indeholder en fake CA's offentligs nøgle?

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> skrev i en
meddelelse news:3CF68E45.5070209@example.net...
> >>>Nej, et certifikat vil aldrig indeholde en privat nøgle!
> >>Kan diskuteres.
> > Hvad skulle meningen være?
>
> Lagring af den private nøgle i et standard format, hvad ellers?
>
Aha, men hvorfor vil du gemme den i et certifikat? Findes der er standard
certifikat format til opbevaring af private nøgler?
Undskyld, men jeg har aldrig hørt om opbevaring af privat nøgle i et certifikat.
Hvorfor ikke gemme nøglen i et "key store". Der findes sikert en passende PKCS
standard til dette formål....

> Hvad løser det, hvordan stoler du på CA'en?
>
Jeg har selvfølgelig installeret min CA's rodcertifikat

> Endvidere er CA'en blot endnu en offentlig nøgle.
>
Enig

> Når jeg downloader Internet Explorere 6.0, hvordan kan jeg da være
> sikker på den ikke indeholder en fake CA's offentligs nøgle?
>
Det kan du ikke

Mvh
Lars

---

Den Thu, 30 May 2002 22:03:24 +0200 skrev Lars Mosegård:
>
>Eksempel:
>Du har sendt en mail til mig, som du har signeret med din private nøgle.
>Jeg vil verificere at mailen faktisk kommer fra dig. For at kunne det, har jeg
>brug for din offentlige nøgle.
>Hvordan får jeg fat i DIN offentlige nøgle? Måske er den sendt med i mailen...
>måske kan jeg hente den på en server.....
>Men hvordan kan jeg vide, at det er DIN offentlige nøgle....
>Det kan jeg IKKE!
>Altså er jeg nødt til at have fat i et certifikat, der indeholder din offentlige
>nøgle. Og certifikatet skal være udstedt af en CA, som jeg stoler på

Og her ryger hele fidusen i SSL - folk bruger jo ikke en CA som jeg
stoler på, men derimod dem der er indbygget i browserne. Og hvad
hjælper det at Microsoft stoler på Verisign? Jeg stoler hverken på MS
eller Verisign...

Bruger folk endelig en CA som man stoler på, så kommer browseren og
brokker sig, fordi amerikanerne aldrig har hørt om et dansk firma...
Man kan så installere CA'ens public key, men det er ikke specielt nemt,
og man kommer ikke uden om et par sikkerhedsadvarsler først.

Mvh
Kent
--
Which one is faster - Lotus Notes or Lotus Esprit?

---

in article 3CF2968B.4000206@example.net, Christian E. Lysel at
chlyshoswmdatapunktumcom@example.net wrote on 2002/05/27 22:26:

> erti?= wrote:
>>> Sender i virkelig certifikatet via e-post?
>> Ja det gør vi lige som alle andere SSL certifikat udbyder !
>
> I min begrebsverden er et certifikat én offentlige og én privat nøgle,
> og nogle andre informationer beskrevet i X.509v3.
>
>>> Hvilken type beskyttelse ydes der da for certifikatet?
>> Uden din private nøgle og dit password er der ingen der kan bruge dit
>> certifikat til noget !
>
> Intet sted bliver kunden opfordret til at bruge en privat nøgle.
>
> [cut, om netetikke, se evt. på dk.admin.netetik]
>

Du har sikkert ikke læst afsnittet om

"Generelle ting du skal huske i forbindelse med genereringen af dit CSR"

på vores site

http://www.instantssl.dk/dk/support/csr_generation/index.html

Med venlig hilsen
Pascal Geuns
InstantSSL by BitEngines
http://www.instantssl.dk/

---

Pascal Geuns wrote:
>>Intet sted bliver kunden opfordret til at bruge en privat nøgle.
> Du har sikkert ikke læst afsnittet om
>
> "Generelle ting du skal huske i forbindelse med genereringen af dit CSR"
>
> på vores site
>
> http://www.instantssl.dk/dk/support/csr_generation/index.html

Som brugeren bliver bedt om at læse ved købet?

Dette er en support side brugeren selv skal gå ind på hvis han mener
ikke at kunne finde ud af det.

---

in article 3CF349E0.5060304@example.net, Christian E. Lysel at
chlyshoswmdatapunktumcom@example.net wrote on 2002/05/28 11:12:

> Pascal Geuns wrote:
>>> Intet sted bliver kunden opfordret til at bruge en privat nøgle.
>> Du har sikkert ikke læst afsnittet om
>>
>> "Generelle ting du skal huske i forbindelse med genereringen af dit CSR"
>>
>> på vores site
>>
>> http://www.instantssl.dk/dk/support/csr_generation/index.html
>
> Som brugeren bliver bedt om at læse ved købet?
>
> Dette er en support side brugeren selv skal gå ind på hvis han mener
> ikke at kunne finde ud af det.
>

Hvis du har kendskab til hvordan man generer et CSR, har du også kendskab
til hvad du skal gøre med din private nøgle !

Hvis ikke, har vi som service denne support side, som der også under
købsprocessen er en link til !

Openbart kan du kun komme med destruktive kritik !

Med venlig hilsen
Pascal Geuns
InstantSSL by BitEngines
http://www.instantssl.dk/

---

Christian E. Lysel wrote:

> Hvorfor koster i endvidere det dobbelte i forhold til
> http://www.instantssl.com/ når i reklamere med at i sælger til
> markets beste pris? Det virker som falsk reklame.

Det dobbelte i forhold til dem selv? Que?

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
"Again and again they struck him on the head with a
patch cable and spat upon him." - Book of THOL, verses

---

"Niels Callesøe" <pfy@nntp.dk> writes:

> Det dobbelte i forhold til dem selv? Que?

..dk != .com :)
/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgment merely degrades the spirit divine.'

---

Lasse Reichstein Nielsen wrote in <news:vg9air8m.fsf@hotpop.com>:

>> Det dobbelte i forhold til dem selv? Que?
>
> .dk != .com :)

Fair nok, men det er altså stadig samme firma.. (så vidt jeg kan se,
med forbehold, etc.)

--
Niels Callesøe - nørd light @work
http://www.pcpower.dk/disclaimer.php
pfy[at]nntp.dk
Jeg repræsenterer med denne udtalelse mig selv og ikke TDC Internet.

---

Niels Callesøe wrote:
>>Hvorfor koster i endvidere det dobbelte i forhold til
>>http://www.instantssl.com/ når i reklamere med at i sælger til
>>markets beste pris? Det virker som falsk reklame.
> Det dobbelte i forhold til dem selv? Que?

Nej, jeg har set forkert, se evt. min anden tråd.