nie ma najważniejszej informacji
czy kiedy sprawdzę ten certyfikat klikając na kłódke bedę miał dane danej firmy, czy witryna np będzie ebuy a certyfikat z allegro.
chodzi o to czy w jakikolwiek sposób użytkownik może to zweryfikować.
bo jeśli nie no to to jest wielka porażka sll i certyfikatów.
klęska bezpieczeństwa w sieci
a tytuł powinien brzmiec
"CERTYFIKATY SSL ZŁAMANE"

Z tego co zrozumiałem to certyfikaty należą do witryn, na które udało się włamać - czyli należące do jakiś firm nie koniecznie związanych z finansami. Wydaje mi się, że po sprawdzeniu certyfikatu można uzyskać dane firm, ale tych do których należy certyfikat. Nie wyświetli nam się, że właścicielem jest bank do którego się logujemy, tylko jakaś nic nie mówiąca nam firma.

Z tego co zrozumiałem nie następuje tutaj żadne łamanie certyfikatów, a jedynie użycie dostępnych na serwerze w celu stworzenia ułudy bezpieczeństwa jaką jest kłódka w pasku adresowym. Jeżeli użytkownik nie kliknie by sprawdzić certyfikat to dał się nabrać, jak kliknie to phishing się nie uda.

też tak zrozumiałem, ale z tego co wiem jeśli cert. należy do innej witryny przeglądarka wyświetla komunikat, tak samo kiedy jest przeterminowany dostaniemy komunikat. nie opisany jest zbyt obszernie problem, a problem to spory

Problem taki jak zawsze, głąby wejdą na bzwbk.com, czy coś i będą się cieszyć ze "zabezpieczone" bo kłódeczka jest.

dokladnie. troche wstyd drodzy redaktorzy. artykul jest kompletnie niezrozumialy (przynajmniej dla mnie - zawodowego informatyka). wypadalo by wiecej szczegolow z perspektywy zwyklego uzytkownika

Chodzi o to, że zakładasz sobie "lewą stronę bankową". Następnie zakładasz sobie certyfikat SSL na serwerku. Później wykupujesz za kilka stówek "autentyczność certyfikatu" w jakiejś organizacji zajmującej się tym i w przeglądarce będziesz miał pokazane na zielono (w FireFox), że certyfikat jest ok. To tak na polski :-)

mówisz o zwykłym nabyciu certyfikatu przez przestępców, no chyba to jakoś sprawdzają i gdzie tu techniczna ułomność SSL.
to chyba nie to, trzeba znaleźć dokładne info

Pisałem już o tym jakiś rok temu.
W największym skrócie:
I) przygotowanie
1) zdobycie certyfikatu - najlepiej "legalnie"
2) postawienie dokładnej kopii strony banku z "dodatkowym" oprogramowaniem
3) zaatakowanie DNS (czy to na stacji roboczej lub nawet na serwerach DNS)
II) atak
Ofiara wpisuje adres strony banku. Otwiera jej się strona podstawiona (identyczna), prawidłowy adres, https i kłódeczka, jest certyfikat (w tej chwili JEDYNYM sposobem ujawnienia ataku jest sprawdzenie szczegółów certyfikatu strony).
Zazwyczaj ludzie nie sprawdzają tego. Zatem niby OK. Logowanie. Skrypt loguje się danymi ofiary na stronie banku. Wyświetla ofierze autentyczny stan konta. Ofiara wykonuje operację z potwierdzeniem (sms, karta kodów, token). Skrypt zleca przelew. Bank wysyła kod do klienta (dla opcji sms). Skrypt wie o co zapytać ofiarę (np. numer kodu / jakie znaki etc - bo to przecież skrypt jest zalogowany na prawdziwej stronie). Klient wpisuje kod (sms, karta kodów, token). Skrypt przepisuje kod. Przelew poszedł. Oczywiście klient dostaje potwierdzenie od skryptu, że zlecona przez niego operacja się udała. Klient wykonuje następną operację na podstawionej stronie. Skrypt ma następny kod.
Proste... Dziki zachód :-)