כדי לאבטח את התקשורת בין הדפדפן שלי לשרת שלך, אתה מספק לדפדפן שלי את מה שהוא צריך כדי להצפין ולפענח את המסרים מ/אל השרת. הבעיה היא, שאת מפתחות ההצפנה/פענוח הדפדפן שלי צריך לקבל מהאתר שלך.

איך הדפדפן יכול לדעת שהמידע שסיפקת אמין, ז"א הוא באמת מגיע מהאתר שלך ולא מאתר מתחזה? הדרך לעשות זאת היא לאמת את המידע שסיפקת לי (מפתחות ההצפנה) מול צד ג', שיוודא שהמפתחות שקיבלתי אכן הגיעו מהשרת שלך ולא מאיזה שרת שמנסה לתחמן אותי.

לכן, על האישור הדיגיטלי שאתה מספק לי צריכה להיות "חתימה" של מישהו שהדפדפן שלי יודע שהוא יכול לסמוך עליו. בלי החתימה הזו, כל אישור שתספק לי לא ממש שווה כלום (הוא אולי יצפין את המידע, אבל אני לא באמת יודע מאיפה הוא מגיע ולאן הוא הולך).

תעודה כזו היא אישור (שניתן לוודא בצורה אוטומטית) מ"מישהו מוכר".

יש מספיק משתמשים ש"סומכים על המילה של GoDaddy", כלומר שהדפדפן שלהם (לדוגמה) מוגדר לסמוך על כל מי שיש לו אישור של GoDaddy .

באותה מידה שלא תיתן לכל אחד להנפיק תעודת זהות כך גם לא תסמוך על סתם סרטיפיקט שמישהו מציג אם הוא לא חתום ע"י מישהו שאתה סומך עליו.

צפריר

רק לידע כללי, כשאני הזמנתי תעודה לחברה שעבדתי בה, לא ממש ראיתי שהספק (בזמנו VERISIGN) ממש יצר איתי קשר לבדוק מי אני ומה אני. בכלל, כל הבדיקה היא מוגבלת ולא הייתי סומך ב 100% על אתר עם "סימן המנעול" :) כמו שתמיד אומרים בכל מיני תוכניות טלוויזיה.

הבדיקה העיקרית בדרך כלל היא שהחברה היא אכן הבעלים של הדומיין שעבורו הוזמנה החתימה.

מה שכן, הם דרשו מכם מסמכים מזהים. כלומר, אם הייתם רוצים לקבל מהם סרטיפיקט על שם שאינו בבעלותכם הייתם חייבים לזייף מסמכים רשמיים. זו כבר עברה פלילית.

צפריר

המשמעות של סרטיפיקט אמורה להיות אישור של גוף אמין שמי שמחזיק את ההמפתח (הפרטי והציבורי) הוא אמנם מי שהוא טוען שהוא.

הכלי שלהם מאפשר לך ליצור בצורה אוטומטית רשיון ללא שום ווידוי של פרטיו. יצרתי אצלם סרטיפיקט זויף בעליל (שם פרטי ושם משפחה: mockup, הדומיין: microsoft.com) וקיבלתי אותו ישר ליד. זה אומר שאם אתם סומכים על startcom בתור גוף מסמיך אתם עכשיו תאמינו לי שיש לי את הדומיין microsoft.com .

חוץ מזה, אנשי StartCom צריכים לדעת שקודם עושים כסף מסרטיפיקטים ורק אחר־כך מקימים הפצה ;-)

צפריר