Cisco, academia, şi implementarea SSL

Acum o lună a implementat în sfârşit şi Cisco mecanismul de SSL pentru login pe pagina netacad (pagina academiei Cisco). Cu vreo câţiva ani prea târziu – de mult timp eu când predau cursurile de security fac demonstraţii de password sniffing direct pe paginile cisco (cisco.com nici măcar acum nu cred că a implementat SSL pe toate paginile de login…). Dar nu despre asta vreau să vorbim acum.

Ia uitaţi-vă un pic la mesajul oficial de la Cisco referitor la implementare:

On Saturday December 1, we performed an update to improve security and data privacy on Academy Connection by implementing the Secure Socket Layer (SSL) protocol and SSL Certification. The benefits of SSL are explained in the Academy Connection cookie policy. As a result of these changes, users who attempt to log in to Academy Connection may encounter a pop-up message requesting approval of the site certificate. Cisco advises users to “Accept the Certificate Permanently” to avoid future pop-ups.

Sublinierea îmi aparţine. Adică eu mă chinui să le explic studenţilor „nu daţi click pe `accept` orbeşte”, şi ei încep cu „daţi accept”??? Nu mi se pare tocmai o atitudine demnă de o firmă care… activează în domeniu 🙂

Iniţial am crezut că este din cauza certificatului self-signed. Şi râdeam cu studenţii de faptul că amărâţii de la Cisco nu şi-au permis şi ei un certificat de la un CA recunoscut. Dar la o privire mai atentă, constat că de fapt certificatul este emis de VeriSign. Şi browser-ul meu (ffox) are cheile publice pentru root-urile VeriSign.

Atunci care era problema? De ce apărea popup-ul? Nu am acces la serverele lor ca să vă spun exact 😛 , dar am o bănuială că problema e de la ei. Mai exact, pare să fie fix problema de aici:

This issue occurs when the Intermediate CA certificate is missing or not installed on the server. For more information regarding Intermediate CA certificates, please see our Intermediate CA Certificates Advisory.
Answer:
Step 1: Download the Intermediate CA Certificate
Step 2: Import the Intermediate CA Certificate

Şi e acolo explicat pas cu pas cum să faci asta. Oare chiar nimeni de la Cisco nu s-a deranjat să citească, şi au preferat soluţia cu „daţi accept”? Un pic cam jenant, aş putea spune…

4 Comments »

  1. Fuzzy Said,

    January 4, 2008 @ 16:28

    Mai trebuie să subliniez că, din păcate, nici măcar cei care creează soluţii de securitate nu gândesc câtuşi de puţin în paradigmele securităţii ?
    Ce pretenţie să mai am de la diverse SRL-uri dacă până şi CISCO nu e în stare să priceapă cu ce se mănâncă…
    Povestirea mi-a amintit vremurile SSH-ului când a durat ani în şir până au abandonat în sfârşit telet-ul.

    Nu veau să-mi imaginez ce se va întâmpla cu CISCO dacă se mai inventează cine-ştie-ce minune de soluţie sigură de *ceva*. Eu pariez pe minim 2 ani până o implementează.
    Fscking iliterate cuksukrz :#

  2. Cristian Said,

    August 11, 2008 @ 5:32

    Si astia ne invata retele? :-)))

  3. bogd Said,

    August 12, 2008 @ 12:49

    Dupa cum ziceai si tu mai devreme – “sa faci ce zice popa”… 🙂

    Trebuie mentionat totusi ca intre timp problema s-a rezolvat. 🙂

  4. NetworkBay Said,

    December 17, 2008 @ 15:21

    Eh, si tu acum ce vrei, chiar sa implementeze o solutie de SSL ca lumea din prima? Mai greu si cu retelili astea … chiar daca te cheama Cisco :))

RSS feed for comments on this post · TrackBack URI

Leave a Comment