Odpověď na názor
Odpovídáte na názor k článku Centralizovaná automatizace certifikátů pomocí orchestračního nástroje Ansible. Názory mohou přidávat pouze registrovaní uživatelé. Nově přidané názory se na webu objeví až po schválení redakcí.
-
Pokud vím, prohlížeče tohle stále umožňují. Ale problém je v tom, že přesně tuhle cestou si do prohlížeče nainstalujete falešný certifikát útočníka. Jakmile uživatelům umožníte falešným certifikátem se proklikat, uživatelé to udělají.
Riziko by se dalo minimalizovat tím, že prohlížeč by na tohle stále uplatňoval HSTS, tj. u webu s HSTS by self-signed certifikát a vyjímku nepovolil. To manuální ověření by se uplatnilo pouze při prvním spojení, a uživatel by byl jasně a zřetelně vyzván k tomu, ať otisk klíče zkontroluje, jako u toho SSH.
ČLÁNKY DO MAILU