Problem med att logga in på saseurobonusmastercard.se

[kjette]

Lätt hänt att det händer tyvärr. Men hörde någon skrev på IRC som jobbar på SEB Kort IT att dom har varit i kontakt med leverantören av certifikatet att få det förlängt men att den manuella verifikationen dröjer, är ju trots ett EV cert och då gäller det att vara ute i god tid innan det går ut. Får hoppas att detta var en engångshändelse. Skrämmer ju om inte annat en hel del folk

 

[agehall]

Välkommen hit kjette.

Jo, det skrämmer nog en hel del. Det folk ofta missar, är dock att certifikaten inte på något sätt garanterar säkerhet. Vem som helst kan utan större problem köpa ett SSL-certifikat och väldigt få skulle kontrollera ett certifikat som inte browsern klagar på. lnixon kanske skulle göra det varje gång han loggar in i sin bank, men jag tror inte det heller faktiskt.

 

[lnixon]

Huh. De skulle ju kunna skaffa ett cert på tio minuter från StartSSL eller vilken månglare som helst. EV-cert är bara ett sätt för CA:erna att suga ut lite extra pengar.

(Det är ju bara en poäng med EV-cert *om* användaren vet att han ska förvänta sig ett EV-cert. Och ingen, inte ens jag, reagerar väl på att en sajt inte har ett EV-cert, utan bara ett vanligt....)

Som andra redan sagt, det är bara att klicka OK i det här fallet. Det är ju ett schysst cert, det har bara råkat gå ut.

 

[agehall]

Finns det någon browser som kan reagera på att en site's cert har ändrats? De flesta, inkl undertecknad, bryr sig ju ganska lite så länge browsern inte klagar på att certet är ogiltigt. Men egentligen är det ju mer intressant att få en varning när certet ändrar på sig, även om det är giltigt.

 

[lnixon]

Jodå, det kallas "certificate pinning". I Chrome kan man slå på experimentellt stöd för det (och den näraliggande standarden HSTS) på den här interna inställningssidan: chrome://net-internals/#hsts

(Man kan alltså säga att certifikatet för en viss site ska ha ett visst fingerprint.)

 

[agehall]

Aha! Det ska jag slå på! Tack för tipset!