Vlákno názorů k článku Budou mít všechny phishingové weby platný certifikát? od achjo - Tak se to pokusim shrnout. Jsou tu lidi: 1) Kterym...
-
achjo (neregistrovaný)
Tak se to pokusim shrnout.
Jsou tu lidi:
1) Kterym vadi validace cert pomoci souboru na strance nehlede na to, ze pokud uz dokaze menit soubory tak je asi utocnikovi nejakej certifikat uplne u riti protoze si web pozmeni podle sebe, klidne i s placenym certifikatem.
2) Kteri nevedi ze stejnou validaci umoznuji do ted placene autority.
3) Kteri veri ze selfsing cert je bezpecnejsi protoze lidem reknou ze mu maj duverovat. (protoze evidentne kdyby rekli jakej otisk ma certifikat z Let's encrypt tak by to bylo uplne neco jinyho protoze Let's encrypt dozajista vygeneruje 2 uplne stejny certifikaty)
4) A strasna mensina, ktera vidi ze se vlastne nic nezmenilo, krome toho ze weby budou sifrovany.
-
Filip JirsákStříbrný podporovatelCertifikáty neslouží jenom pro web. To, že útočník ovládne web server, ještě nemusí znamenat, že ovládne i e-mail, Jabber a cokoli dalšího.
Problém je ale v tom, že certifikační autority se v DV certifikátech zaručují za něco, za co se zaručit nemůžou. A navíc by to po nich ani nikdo neměl chtít, protože příslušné informace lze bezpečně uložit do DNS stromu. Jenže realita je jiná, hrajeme si na DV certifikáty, tak LE tu hru alespoň usnadňuje. Já pořád doufám, že se díky LE zviditelní, že je to jenom hra, a autoři prohlížečů konečně přistoupí na to udělat to pořádně – přes DANE.
-
achjo (neregistrovaný)
Ja jen rikam, ze LE v tomto pripade vubec nic nemeni. Certifikaty timto zpusobem overuje temer kazdy a treba na https://www.startssl.com/ sel sehnat zdarma uz pred LE. To uz clovek muze prestat duverovat vsem autoritam. Vynechat jen LE nema zadnej vyznam.
DANE je krasny reseni, ale bohuzel podpora je mala. Spousta domen stale nema ani DNSSEC.
-
Filip JirsákStříbrný podporovatel
Vynechat jen LE význam nemá. Ale LE přeci jen dost mění pravidla hry. Jednak může fungovat úplně automaticky bez lidského zásahu, takže je snadné sériově používaný nástroj pro napadání známých děr na webu doplnit o automatické generování certifikátu. Za druhé ty ostatní autority mají nastavena nějaká pravidla pro kontrolu podezřelých žádostí, které pak kontroluje člověk a může si vyžádat např. další ověření. LE myslím žádnou takovouto kontrolu nemá, prostě vystaví certifikát opravdu každému, kdo o něj požádá a splní ta základní pravidla. Ve výsledku je tedy pro útočníka podle mne mnohem snazší získat certifikát od LE než od někoho jiného.
-
j (neregistrovaný)
1) co tvrdi CA? Ze zarucuje ze komunikuju s provozovatelem serveru na dane domene. A to proste neni pravda. To zarucit nemuze.
2) jenze se to nepouzivalo v masivnim meritku
3) CA muze podepsat milion certifikatu na presne tutez domenu, stejne jako muzu mit milion certifikatu pro tutez domenu popsanych ruznyma CA. Ve VSECH pripadech to browser s prehledem a bez protestu sezere. Seflsign cert nikym podepsany neni, existuje sam o sobe => pokud ho nekdo uzna duveryhodnym, tak kupodivu duveruje jen a prave tomuto certifikatu a jak prekvapive, pro ten konkretni web. Je to JEDINY zpusob, jak zajistit, ze duvera je deklarovana ke konkretni domene. Browseru je totiz uprdele jestli je seznam.cz podepsanej pepou nebo frantou, kdyz ma oba mezi "duveryhodnyma" CA. A je mu to dokonce uprdele i v pripade, ze si nekdo da tu praci a naimportuje si konkretni certifikat. To by totiz musel zaroven odstranit vsechny CA (a prestat patchovat browser).
A pak by pochopitelne resil to, ze by mu browser na kazdym https webu nadaval, ze to neni duveryhodny.
4) zmenilo se, BFUckum se dlouhodobe tvrdi, ze kdyz je tam zelenej zamecek, je to bezpecny. Neni, nebylo nikdy, ale viz 2)
-
Filip JirsákStříbrný podporovatel
Self-signed certifikát je podepsaný privátním klíčem příslušným k veřejnému klíči, který je na tom certifikátu. Nebo-li sám sebou. Od toho má také své jméno.
Z hlediska webového prohlížeče nejsou self-signed certifikáty ničím výjimečné. Stejně, jako můžu nějaký self-signed certifikát považovat za důvěryhodný a přiřadit ho v prohlížeči k nějakému webu, můžu to udělat i s kterýmkoli certifikátem vystaveným certifikační autoritou.
-
j (neregistrovaný)
Jirsak, vyzkousej si to laskave a nezvan, to ze z podepsanyho certifikatu udelas duveryhodnej jaksi nezmeni nic na tom, ze prohlizec ho povazuje za duveryhodnej kvuli CA, tudiz ho tam mas tak leda khovnu.
Kdyz tam das selfsign cert, tak bude browser rvat, pokud je na dany domene jinej. To v prvnim pripade NEPLATI, protoze ten co tam bude, bude podepsanej a tudiz koser.
A pokud ti to jeste porad nedoslo, tak kupodivu PRESNE takhle se desifruje https v korporatu. A browserum to nijak divny neprijde.
-
Filip JirsákStříbrný podporovatel
Přidal jsem do Firefoxu a Chrome výjimku pro webovou adresu – self-signed certifikát. Pak jsem místo self-signed certifikátu dal na server certifikát vystavený certifikační autoritou – a Firefox ani Chrome ani nepíply a web zobrazily. Vaše teorie o tom, že prohlížeče self-signed certifikáty automaticky připichují je zajímavá, nicméně se týká nějakých jiných prohlížečů.
