thảo luận Certificate của Voz.vn

microvn2012 said:
Vậy là có 2 cách để client biết đc 1 cert đã hết hạn hay chưa
1 là update crl, có thể auto thông qua windows update. cách này thì khi sử dụng dịch vụ có chứng thực cert là biết luôn.
2 là dùng link ocsp của chính cert đó. Cách này nghe có vẻ hơi ảo. link ocsp trong 1 cert đã hết hạn sẽ báo chính cái cert đó đã hết hạn :D.

Bác giải thích thêm giúp em về trust root cert được ko ạ? Em thấy có rất nhiều NCC cert nhưng trong trust root (em vào qua giao diện mmc console snap-in của windows) thì chỉ có vài cert và em cũng ko hiểu tác dụng, vai trò của nó rõ ràng.
Thank bác.
Click to expand...
trusted root đúng như tên của nó, là những nhà cũng cấp chứng thực mà thím tin tưởng (trused)
thường thì CA nó sẽ phân cấp như vậy:
C: 
                    +- intermediate CA --> certificate
                    |
Root CA ------------+- intermediate CA --> certificate
                    |
                    +- intermediate CA --> certificate

thì thằng Root CA chủ yếu là để chứng thực cho bọn CA con ở dưới, đám CA con đấy nó lại chứng thực cho CA con khác hoặc cấp chứng thực cho ai đấy.

Khi thím xác thực 1 thằng CA thì thím sẽ kiểm tra theo thứ tự từ dưới đi lên, cho đến khi gặp thằng cha của nó. Nếu thằng gốc (Root CA) được thím tin tưởng thì bọn con, cháu, chắt, chít của nó cũng sẽ được tin tưởng theo.
 
sigel said:
trusted root đúng như tên của nó, là những nhà cũng cấp chứng thực mà thím tin tưởng (trused)
thường thì CA nó sẽ phân cấp như vậy:
C: 
                    +- intermediate CA --> certificate
                    |
Root CA ------------+- intermediate CA --> certificate
                    |
                    +- intermediate CA --> certificate

thì thằng Root CA chủ yếu là để chứng thực cho bọn CA con ở dưới, đám CA con đấy nó lại chứng thực cho CA con khác hoặc cấp chứng thực cho ai đấy.

Khi thím xác thực 1 thằng CA thì thím sẽ kiểm tra theo thứ tự từ dưới đi lên, cho đến khi gặp thằng cha của nó. Nếu thằng gốc (Root CA) được thím tin tưởng thì bọn con, cháu, chắt, chít của nó cũng sẽ được tin tưởng theo.
Click to expand...
Vậy nói nhanh và đơn giản là với người dùng internet đơn thuần, chỉ cần trust 1 CA duy nhất là đủ để chứng thực cho các cert trong mạng lưới CA chính thống toàn cầu phải ko thím?
many thank.
 
microvn2012 said:
Vậy nói nhanh và đơn giản là với người dùng internet đơn thuần, chỉ cần trust 1 CA duy nhất là đủ để chứng thực cho các cert trong mạng lưới CA chính thống toàn cầu phải ko thím?
many thank.
Click to expand...
ừ =]]
 
sigel said:
biết hết, từ giao dịch ngân hàng, giao dịch trên shopee, mở voz lướt facebook, làm gì cũng biết cả mà :D
nếu đăng nhập vào website thì còn khuyến mãi password cho mấy anh IT luôn
Click to expand...
Khoan, bác này troll phải không? Em đây không rõ lắm nhưng mà các giao thức HTTPS, Password Banking, tin nhắn hình ảnh nó dễ đọc được như thế à, tạo proxy cho người khác truy cập vào là nắm hết được thông tin :bad_smelly:
 
langthangkhapnoi said:
Khoan, bác này troll phải không? Em đây không rõ lắm nhưng mà các giao thức HTTPS, Password Banking, tin nhắn hình ảnh nó dễ đọc được như thế à, tạo proxy cho người khác truy cập vào là nắm hết được thông tin :bad_smelly:
Click to expand...
Trên lý thuyết là ai có root ca certificate là wiretap lấy dc thông tin theo dạng mitm
 
langthangkhapnoi said:
Khoan, bác này troll phải không? Em đây không rõ lắm nhưng mà các giao thức HTTPS, Password Banking, tin nhắn hình ảnh nó dễ đọc được như thế à, tạo proxy cho người khác truy cập vào là nắm hết được thông tin :bad_smelly:
Click to expand...
miễn là máy có cài cert của proxy là trình duyệt báo xanh lè.
mà việc remote cài cert lên máy trong công ty nó đơn giản nếu công ty đó sử dụng domain + GPO + remote deploy.

còn nếu chỉ là proxy public thì ông nào tinh ý là thấy trình duyệt cảnh báo không an toàn ngay, còn ông nào lơ ngơ chấp nhận luôn thì tôi bó tay rồi :D
48q2Q0k.png
 
DieuHi said:
Trên lý thuyết là ai có root ca certificate là wiretap lấy dc thông tin theo dạng mitm
Click to expand...
Em không trong ngành nên nghe hơi lùng bùng, có khi phải Google tìm hiểu thêm... hỏi nhanh bác thì cái này có phần đúng không, chứ thấy dễ lấy thông tin thật =((
1633189191688.png
 
langthangkhapnoi said:
Em không trong ngành nên nghe hơi lùng bùng, có khi phải Google tìm hiểu thêm... hỏi nhanh bác thì cái này có phần đúng không, chứ thấy dễ lấy thông tin thật =((View attachment 795247
Click to expand...
xác nhận là đúng nhé, hồi bên tôi chưa bị khóa hoàn toàn facebook, mỗi lần chat messenger mà lỡ tay upload hình lên là ăn ngay 1 cái mail gửi tự động từ IT của công ty
NgKRbwb.png
 
sigel said:
xác nhận là đúng nhé, hồi bên tôi chưa bị khóa hoàn toàn facebook, mỗi lần chat messenger mà lỡ tay upload hình lên là ăn ngay 1 cái mail gửi tự động từ IT của công ty
NgKRbwb.png
Click to expand...
Nó còn phụ thuộc vào thiết bị proxy hoặc trình độ it phải k thím.
Như pfsense, opnsense, tmg, isa, fortigate đều chưa nghe thì đều k thấy mạnh mẽ đc đến như bác nói.

Ngày nay với thời đại mới, wfh nhiều thì còn phương án deploy agent/plugin lên client nữa.
Cái này có vẻ hay nhưng e chưa dùng bao giờ ccho web filtering, đã bác bào dùng chưa ạ?

Với các cty đặc thù cho nv mang máy về nhà dùng thì p/a này có vẻ dễ hơn là dựng 1 public proxy.
 
microvn2012 said:
Nó còn phụ thuộc vào thiết bị proxy hoặc trình độ it phải k thím.
Như pfsense, opnsense, tmg, isa, fortigate đều chưa nghe thì đều k thấy mạnh mẽ đc đến như bác nói.

Ngày nay với thời đại mới, wfh nhiều thì còn phương án deploy agent/plugin lên client nữa.
Cái này có vẻ hay nhưng e chưa dùng bao giờ ccho web filtering, đã bác bào dùng chưa ạ?

Với các cty đặc thù cho nv mang máy về nhà dùng thì p/a này có vẻ dễ hơn là dựng 1 public proxy.
Click to expand...
Proxy của công ty chỉ dùng để lọc web từ trong mạng công ty đi ra ngoài thôi, chứ nó không có public server này ra ngoài nha.

cái đấy bên công ty mình xài mcafee, theo mình đoán thì bên trong nó vẫn xài squid với ssl filter + antivirus thôi.
kết hợp với vài cái rule kiểu: nếu upload size > 100kb, upload file type = document, image then action: send email thôi.
Nói chung là đủ làm chùn chân các anh em.

mà thêm nữa là do xài squid với ssl filter nên giờ cái messenger web nó hết chạy rồi thím ah, do cái chế độ này làm lỗi websocket luôn. Kết quả là discord, spotify, messenger tịt hết
ocDLkyP.png


còn về wfh thì có nhiều kiểu lắm, bên mình thì hiện giờ có:
  • ôm laptop/desktop công ty về, cài phần mềm client proxy để kết nối vô mạng công ty.
  • xài máy ở nhà, dùng VDI kết nối với máy ảo vmware trên server công ty để làm việc
  • xài máy ở nhà, máy trên công ty cài vmware horizon client rồi kết nối VDI vô để làm việc.
còn kiểu dùng máy nhà và VPN vô mạng công ty thì giờ chắc bỏ rồi, do không kiểm soát được máy cá nhân có bị dính virus gì không.
 
sigel said:
Proxy của công ty chỉ dùng để lọc web từ trong mạng công ty đi ra ngoài thôi, chứ nó không có public server này ra ngoài nha.

cái đấy bên công ty mình xài mcafee, theo mình đoán thì bên trong nó vẫn xài squid với ssl filter + antivirus thôi.
kết hợp với vài cái rule kiểu: nếu upload size > 100kb, upload file type = document, image then action: send email thôi.
Nói chung là đủ làm chùn chân các anh em.

mà thêm nữa là do xài squid với ssl filter nên giờ cái messenger web nó hết chạy rồi thím ah, do cái chế độ này làm lỗi websocket luôn. Kết quả là discord, spotify, messenger tịt hết
ocDLkyP.png


còn về wfh thì có nhiều kiểu lắm, bên mình thì hiện giờ có:
  • ôm laptop/desktop công ty về, cài phần mềm client proxy để kết nối vô mạng công ty.
  • xài máy ở nhà, dùng VDI kết nối với máy ảo vmware trên server công ty để làm việc
  • xài máy ở nhà, máy trên công ty cài vmware horizon client rồi kết nối VDI vô để làm việc.
còn kiểu dùng máy nhà và VPN vô mạng công ty thì giờ chắc bỏ rồi, do không kiểm soát được máy cá nhân có bị dính virus gì không.
Click to expand...
  • ôm laptop/desktop công ty về, cài phần mềm client proxy để kết nối vô mạng công ty.
Cái này bản chất là vpn về cty. Nên khi user ko bật lên là khỏi kiểm soát nhỉ.
Có giải pháp nào ko hay vẫn là deploy always on vpn?
 
microvn2012 said:
  • ôm laptop/desktop công ty về, cài phần mềm client proxy để kết nối vô mạng công ty.
Cái này bản chất là vpn về cty. Nên khi user ko bật lên là khỏi kiểm soát nhỉ.
Có giải pháp nào ko hay vẫn là deploy always on vpn?
Click to expand...
không đâu thím, cái nào quan trọng thì phải giới hạn chặt, nên bắt nhân viên xài 1 con VM trong công ty rồi xem từ trong đó qua, hạn chế được việc copy về local rồi leak lung tung.

chứ còn nhân viên muốn leak thì có tài giời mà cản được.
 
sigel said:
không đâu thím, cái nào quan trọng thì phải giới hạn chặt, nên bắt nhân viên xài 1 con VM trong công ty rồi xem từ trong đó qua, hạn chế được việc copy về local rồi leak lung tung.

chứ còn nhân viên muốn leak thì có tài giời mà cản được.
Click to expand...
Nó do đặc thù doanh nghiệp thím. Tận dụng cơ sở vật chất đang có là đám laptop cấp cho nhân viên. Phương án máy ảo good về kỹ thuật nhưg thực tế ko ổn với nhiều đơn vị :(
 
microvn2012 said:
Nó do đặc thù doanh nghiệp thím. Tận dụng cơ sở vật chất đang có là đám laptop cấp cho nhân viên. Phương án máy ảo good về kỹ thuật nhưg thực tế ko ổn với nhiều đơn vị :(
Click to expand...
nói chung việc bảo vệ dữ liệu nó rất khó nếu dữ liệu đó nằm trên máy laptop của nhân viên thím ah.
nếu dữ liệu đó chỉ là code hoặc chương trình nội bộ thì cũng không sao. Thằng nào chôm thì DMCA nó.
nếu dữ liệu đó là thông tin kinh doanh, bí mật công nghệ thì tuyệt đối k được cho sao chép về là điều đầu tiên, nếu cho nhân viên sao chép về thì thua rồi :D
 
sigel said:
nói chung việc bảo vệ dữ liệu nó rất khó nếu dữ liệu đó nằm trên máy laptop của nhân viên thím ah.
nếu dữ liệu đó chỉ là code hoặc chương trình nội bộ thì cũng không sao. Thằng nào chôm thì DMCA nó.
nếu dữ liệu đó là thông tin kinh doanh, bí mật công nghệ thì tuyệt đối k được cho sao chép về là điều đầu tiên, nếu cho nhân viên sao chép về thì thua rồi :D
Click to expand...
Nó nhiều yếu tố lắm nên chỉ làm tới mức có thể thôi thím.
Mà cái mình muồn hỏi ở đây là web filtering cho nhân viên wfh cơ mà nhỉ :d
 
microvn2012 said:
Nó nhiều yếu tố lắm nên chỉ làm tới mức có thể thôi thím.
Mà cái mình muồn hỏi ở đây là web filtering cho nhân viên wfh cơ mà nhỉ :d
Click to expand...
cái đấy thì chỉ có áp dụng trong nội bộ công ty thôi,
nhân viên về nhà nó xài mạng nhà lên bôn húp thì trời cản rồi fen.
 

Similar threads

Q
thắc mắc Nên mua kaspersky phiên bản nào?
2
Replies
29
Views
1K
hoangpham94
H
sansiro213
thảo luận HCM cần tìm cao nhân hỗ trợ unlock H196A của viettel !!!
Replies
0
Views
183
sansiro213
sansiro213
Ô
thảo luận Lỗi "bạn đã tắt quyền truy cập danh bạ" trên redmi note 13
Replies
7
Views
160
Cà Là Tê
Cà Là Tê
stevenha
thắc mắc Throuhgput của router và băng thông của nhà mạng
Replies
16
Views
882
lupin.212
lupin.212
daydreamm
thắc mắc combo best pp khoảng 12tr cho người mới
2
Replies
35
Views
1K
Kinggodmonkey
Kinggodmonkey

Share this page

Back
Top