Někdo pana Nekolu např. nutí klikat na minus z více IP adres?
Ale dost kočkování, pojďme k věci. Zatím jsem tomu moc času nevěnoval, takže nemám úplně jasno např. v následující situaci:
Mám privátní síť a v ní privátní doménu local.firma.cz, IP adresy jsou pochopitelně z neveřejného rozsahu(RFC1918). Na té síti běží služby, dostupné přes https, pro jejichž účely jsem zřídil privátní CA. Každý uživatel má nainstalovaný kořenový certifikát této CA atd... Nebudu nucen v takovém případě zveřejňovat informace o vystavených certifikátech, že ne... Byla by to de.ilita opravdu hrubého zrna, ale dnes už je bohužel možné vše...
Druhá modelová situace: konfigurační rozhraní nějakého zařízení, přístupné pro omezený rozsah adres z veřejného Internetu, certifikáty vydávané stejnou privátní CA jako výše. Také v tomto případě by zveřejňování hraničilo s duševní poruchou, ale, jak jsem již psal, v době vzedmutí vlny boje gutmenschů za univerzální blaho člověk nemůže předem vyloučit i ty sebebláznivější varianty....
Snad nenastane doba, kdy si budeme muset udržovat vlastní verze Firefoxu.... Tak daleko v "pokroku" snad ještě nejsme.
Nejde o buzeraci.
Vlastní autorita není něco, co „stačí“, naopak je to velký problém. Protože ta vlastí autorita klidně může podepsat certifikát pro *.google.com nebo www.mojedatovaschranka.cz.
Já jsem o žádném náhodném návštěvníkovi nepsal. Ta privátní CA je obrovským bezpečnostním rizikem pro každého, kdo si její certifikát přidá mezi důvěryhodné autority. Pokud si ji přidáte jen vy sám, je to bezpečnostní riziko jen pro vás, což nic nemění na tom, že je to bezpečnostní riziko. A obvykle se privátní CA nevytváří pro to, aby je používal jediný člověk…
Privátní CA si obvykle vytvoříte, pokud víte, co děláte a dokážete ji dobře zabezpečit, aby vaše certifikáty nevydával někdo jiný.
Její certifikát instalujete jen svým uživatelům, kteří vám v tom pochopitelně musejí důvěřovat.
Oboje zmíněné je ve vašem vlastním zájmu. Pokud to děláte blbě, ohrožujete pouze vlastní firmu a Jirsákovi do toho nic není.
Privátní CA si obvykle vytvoříte, pokud víte, co děláte a dokážete ji dobře zabezpečit, aby vaše certifikáty nevydával někdo jiný.
Jistě, Muf doma na koleně zvládne vytvořit stejně bezpečnou certifikační autoritu, jako jsou profesionální autority všeobecně považované za důvěryhodné. Pak pro vás ale přece nemůže být problém přidávat certifikáty i na CT.
Její certifikát instalujete jen svým uživatelům, kteří vám v tom pochopitelně musejí důvěřovat.
Což je právě ten problém. Ti uživatelé pak musejí důvěřovat něčemu, čemu by normálně nedůvěřovali.
Oboje zmíněné je ve vašem vlastním zájmu.
Ne, v mém zájmu není to, abych musel důvěřovat někomu, komu ve skutečnosti nedůvěřuju.
Pokud to děláte blbě, ohrožujete pouze vlastní firmu
Nejen vlastní firmu, ale také její zaměstnance a nejspíš i partnery a zákazníky.
a Jirsákovi do toho nic není.
Jsme na veřejném diskusním fóru, takže snad ještě pořád můžu napsat svůj názor, že privátní certifikační autority ohrožují bezpečnost.
Muf to doma na koleně pro firmu dělat nebude, i když bezpečně uložit privátní klíč, související se službou pro vlastní potřebu zvládne. Muf prostě pošle žádost o vydání certifikátu pro lokální službu IT oddělení své mateřské firmy.
Muf a jeho kolegové ví, že firemní PC nejsou soukromá a nepoužívají je k vyřizování soukromých záležitostí. Nikdo je nenutí si certifikát instalovat na svá soukromá zařízení. Firma tedy ohrozí případně jen sama sebe, i když pravděpodobnost je malá, protože ví, co dělá.
Muf prostě pošle žádost o vydání certifikátu pro lokální službu IT oddělení své mateřské firmy.
Aha, tím se bezpečnost řádově zvýší. Jakmile v tom figuruje „žádost“ a „IT oddělení mateřské firmy“, nemůže to být špatně zabezpečené.
Firma tedy ohrozí případně jen sama sebe, i když pravděpodobnost je malá, protože ví, co dělá.
Firem, které vědí, co dělají, je spousta. Často tu o nich vychází zprávičky v rubrice bezpečnost: Pětina poskytovatelů VPN umožňuje únik IP adres při použití WebRTC, BranchScope je nový útok postranním kanálem na procesory Intel, Šance na změnu Facebooku po aféře Cambridge Analytica?, Postřehy z bezpečnosti: příliš inteligentní kamery, Hacking Team je zpět, i když vlastně nikdy doopravdy nikam neodešel…
Dovolte, abych vám trošku osvěžil paměť. Ve vašem komentáři byla jediná otázka: „Nejde zase o další buzeraci?“ Na tuto otázku jsem odpověděl hned první větou v prvním komentáři, na který jsem reagoval.
Ano, opět proběhlo ono pověstné jirsákovské kolečko, kdy si někdo nepamatuje, co napsal; nečte komentáře, na které reaguje; nebo prostě píše nesmysly – a já to pak opravuju nebo dotyčnému připomínám, co napsal.
Což je právě ten problém. Ti uživatelé pak musejí důvěřovat něčemu, čemu by normálně nedůvěřovali.
Což se nijak neliší od tzv. "důvěryhodných" veřejných CA (lemplové z Comodo, DigiNotar, Symantec, StartCom, fízlové z CNNIC...)
Ne, v mém zájmu není to, abych musel důvěřovat někomu, komu ve skutečnosti nedůvěřuju.
Opět žádná rozdíl oproti výše uvedenému.
Nejen vlastní firmu, ale také její zaměstnance a nejspíš i partnery a zákazníky.
A repete!
privátní certifikační autority ohrožují bezpečnost.
Jistě. Necháme si vydat veřejné certifikáty třeba pro firemní VPNky, protože nám to poradil mudrc Jirsák.
Ano, opět se nám zacyklil. Odpověď na to, jestli po implementaci CT např. Firefox umožní import certifikátu mé vlastní CA pro privátní síť a nebude kolem toho nějaká buzerace jsem se stále nedozvěděl.
Místo toho teď vím, že tomu vůbec nerozumím a neměl bych se sám rozhodovat, protože Jirsák ví, co je pro lidstvo dobré. :-)
Je to asi moje vina, že neumím bratrancům Sheldona Coopera z levého kolena klást dotazy polopaticky.
Odpověď na to, jestli po implementaci CT např. Firefox umožní import certifikátu mé vlastní CA pro privátní síť a nebude kolem toho nějaká buzerace jsem se stále nedozvěděl.
To bude tím, že jste se na to nikdy nezeptal. Na tohle vám ale odpovědět také mohu: umožní a nebude.
Místo toho teď vím, že tomu vůbec nerozumím
To je myslím dost užitečné zjištění.
neměl bych se sám rozhodovat, protože Jirsák ví, co je pro lidstvo dobré.
Netuším, jak jste na něco takového přišel. Napadá mne jediná varianta – že jste si až dosud myslel, že vy jediný víte, co je pro lidstvo dobré, a tím, že jsem si dovolil vám oponovat, jsem vás urazil, a vy teď tvrdíte, že když ten nejchytřejší na světě nejste vy, musím to tedy být já. Protože někdo méně chytrý by přece nemohl nejchytřejšímu člověku na světě oponovat. Je mi líto, ale budete se muset smířit s tím, že se někdo opováží mít jiný názor, než vy.
Je to asi moje vina, že neumím bratrancům Sheldona Coopera z levého kolena klást dotazy polopaticky.
Vaše vina je, že se necháte nachytat na svůj vlastní trolling.