Hlavní navigace

Názor k článku Certificate Transparency je tu, všechny HTTPS certifikáty musejí být veřejné od Vít Šesták - OK, to je asi do jisté míry speciální...

  • Článek je starý, nové názory již nelze přidávat.
  • 30. 3. 2018 10:53

    Vít Šesták

    OK, to je asi do jisté míry speciální případ, tam doménový řadič stejně už ty počítače spravuje. Můj hlavní point byl, že jako obecné řešení (zejména pokud ty počítače nespravujete) to přináší více problémů. A reagoval jsem na utajenou doménu na webu, což je trochu jiný případ než LDAPS (alternativní řešení jsou k dispozici).

    > ostatní, pokud to potřebují, si ho musí přidat. Jednou.

    Při každé změně CA. (Ta jednou vyprší.)

    > jednou do systému pro všechny, podruhé pro Firefox a potřetí pro Thunderbird

    Firefox a možná I Thunderbird umožňuje nastavit, aby používal certifikáty ze systému. Je to ale AFAIK Windows only: https://wiki.mozilla.org/CA:AddRootToFirefox

    Dalším zlobivcem je Java, ta má vlastní cacerts. Minimálně na Debianu (a možná I jiných distribucích) jde nastavit Java, aby to brala ze systému, tady pro změnu neznám řešení pro Windows: https://packages.debian.org/wheezy/ca-certificates-java

    Pak můžete mít ještě různé virtuální stroje, WSL, docker images, Vagrant atd., kde máte konfiguraci zvlášť.

    Záleží samozřejmě dost na konkrétním případě, co chcete řešit. Možná nemáte například Javu, nebo ji možná máte, ale nezajímá vás, protože k serveru s certifikátem podepsaným interní CA přístup nepotřebuje. Stejně tak s dalšími problematickými elementy. Nepochybně jsou prostředí, kde to je řešitelné celkem snadno.