Názory k článku Certifikát na tři roky už si nepořídíte, maximální platnost se zkrátila na dva
-
Meh (neregistrovaný)
Porad dokola to same. Pokud browser hlasi, ze je certifikat platny, nic to neznamena, a pokud hlasi, ze je neplatny, tak take ne. Platnost certifikatu by se mela dale zkracovat az k nule, kdy pujdou CA konecne do haje.
PS: vyrobci tiskaren, routeru atd. nezapomente, bezpecnost predevsim! Takze web UI jen pres HTTPs s certifikatem na jeden rok.
-
Kromě bariéry technické existovala i bariéra přirozená. Tou přirozenou bariérou byly dříve náklady na pořízení certifikátu. Bylo to podobné, jako kdysi něco znamenala kreditka obecně, později zlatá kreditka. Dnes žádná platební karta nevyjadřuje nic.
Pokud bychom se chtěli posunout někam opravu (zpět) vpřed, mělo by se uvažovat o zrušení DV certifikátů. Vychází z totálně mylné premisy, že vlastník domény je ověřený při registraci domény a lze tedy s určitou nejistotou vycházet z ní, případně, že ověření je de facto implicitně provedeno uživatelem tím, že vidí obsah a přirozenou cestou zná poskytovatele. Právě ta druhá myšlenka totálně selhává v případě podvrhování obsahu, protože tam je účelem návštěvníka webu přesvědčit o tom, že komunikuje se správným poskytovatelem služby, a ne s podvrhem.
Tedy: zatímco celá filozofie DV certifikátu spoléhá na to, že ověření provedl někdo jiný a že zbytek ověření provede sám uživatel svojí znalostí, naopak uživatele bere zezelenalý adresní řádek právě za důkaz toho, že tomu tak je. Zcela se nám popletla premisa a důsledek.
Pokud jde jen o zajištění šifrování komunikace, je současný systém zbytečně komplikovaný. HTTP(S) se snaží být papežštější než papež. Pokud považujeme šifrování za životní nezbytnost, měli bychom se snažit šifrovat přenos už na Layer 3 - IP(v6).
Pokud nám ale jde o ověření identity poskytovatele služby, což byl dlouho hlavní cíl HTTPS, pak by bylo jedinou cestou zrušení DV certifikátů. Samozřejmě, zkracování platnosti - v době, kdy už máme technické prostředky pro automatickou obnovu - je také správná cesta. Ověření identity nabyvatele stačí provádět jednou za delší období, v mezičase lze navazovat reissue certifikátů.
Další zajímavou možností by bylo, kdyby se někomu podařilo vystavování cerfikátů a ověření nabyvatelů navázat na státem uznávané elektronické podpisy. V ČR, ale myslím, že i ve velké části EU, není pro fyzické osoby problém mít digitální podpis (občanky s čipem už stát dává zadarmo), právnické osoby už dávno mají datovou schránku. Na toto úřední (a tedy nejzaručenější) ověření už stačí jen navázat proces výstavy prvního certifikátu a periodické kontroly identity.
Snahy zavádět HTTPS bez ohledu na následky, jak vidíme v poslední dobou, považuji za nešťastné. Bojím se, že akorát povedou ještě k hlubší devalvaci jakéhokoliv vztahu digitální důvěryhodnosti a ke vzniku ještě jednodušších zkratek, jak se k certifikátu dobrat co nejjednodušeji (= s co nejmenším ověřením).
-
Ne, to je rozšířený omyl, že certifikáty ověřují identitu. Ty jen propojují doménové jméno s veřejným klíčem, aby bylo možné klíč důvěryhodným způsobem získat.
Autorita se nemůže zaručit za dobré úmysly držitele domény a ani to nedělá. Jen čistě technickým postupem zjistí, jaký klíč si přeje držitel domény používat a podepíše mu toto zjištění v certifikátu.
HTTPS tedy znamená, že šifrujeme za použití správného klíče. Nic víc. Ale i to je pořád dost, proto to dává smysl.
-
Ne, to je rozšířený omyl, že certifikáty ověřují identitu. Ty jen propojují doménové jméno s veřejným klíčem, aby bylo možné klíč důvěryhodným způsobem získat.
Ne, to není omyl. To je neštěstí, které jsme dopustili. Na jedné straně otevíráme vrata a na druhé straně hledáme, jak je zabarikádovat nábytkem, aby zloduch neprošel.
Autorita se nemůže zaručit za dobré úmysly držitele domény a ani to nedělá. Jen čistě technickým postupem zjistí, jaký klíč si přeje držitel domény používat a podepíše mu toto zjištění v certifikátu.
Úmysly samozřejmě nemůže posuzovat. Ale může pohlídat, že pod žádostí o vystavení certifikátu je podepsána oprávněná a hlavně dohledatelná osoba. To by přineslo daleko víc užitku celému světu, než zběsilé šifrování kde čeho.
-
Proč sem pletete osoby? Napsal jsem, že certifikát svazuje doménu a klíč.
A já k tomu píšu, že je to špatně a lidé si to vykládají všelijak. Historicky se certifikáty vydávaly po ověření osoby (fyzické nebo právnické) a účelem nebylo jen zajistit šifrování, ale mít i jistotu, s kým mluvím a že ta osoba je s určitým stupněm jistoty dohledatelná.
Zkratkovité jednání BFU nyní vede k tomu, že cokoliv s certifikátem považují nekriticky za bezpečné, a zdá se, že v budoucnu ještě budeme zvykat uživatele na to, že i komunikace s vlastní tiskárnou bez HTTPS je a priori nebezpečná. Namísto edukace lid v nich nebezpečně tvoříme zkratkovité jednání. Podobně, jako dnes rodiče nejsou schopni pohlídat vlastní děti na non-EU-standardised dětském hřišti. Smutné a nebezpečné.
Pokud jde pouze o výměnu klíčů a šifrování, je zvolená metoda (HTTPS a DV certifikáty) dost nešťastná. Krátkodobě nás posunula vpřed, dlouhodobě nás potáhne dolů.
-
lojzak (neregistrovaný)
"Zkratkovité jednání BFU nyní vede k tomu, že cokoliv s certifikátem považují nekriticky za bezpečné"
Ale prd, BFU vůbec netuší, co je HTTPS, ani co jsou certifikáty. BFU se o takové věci vůbec nezajímá."že i komunikace s vlastní tiskárnou bez HTTPS je a priori nebezpečná"
Na router ve vlastní síti se připojuji přes SSH, i když by teoreticky neměl vadit Telnet."Pokud jde pouze o výměnu klíčů a šifrování, je zvolená metoda (HTTPS a DV certifikáty) dost nešťastná. Krátkodobě nás posunula vpřed, dlouhodobě nás potáhne dolů."
Já vidím pozitiva převyšující nad negativy. Jistě, ideální by byl DANE, ale to by bylo nutné mít na všech doménách DNSSEC a validovat ho až na koncových zařízeních. -
Jistě, ideální by byl DANE, ale to by bylo nutné mít na všech doménách DNSSEC a validovat ho až na koncových zařízeních.
Což je daleko představitelnější a hlavně to budou zavádět dvě strany, které se shodnou na tom, že o to mají zájem. Rozhodně lepší, než vytvářet "pozitivní" tlak, za kterým bohužel nestojí společenská objednávka.
Jakékoliv autority se v posledních 50 letech odtrhly od reality. Nemám tím na mysli jen technické. Zavádějí se normy pro normy, pak to dopadá tak, že málem máme koblihy balené v igelitu. Hlavně abychom si do úst nepřinesli mikroba. To, že se máme dívat, jestli má pekař čistý krám a prodavačka čisté ruce, to už nás nikdo neučí. A proto si necháváme podávat housku rukou sice v rukavici, ale v rukavici, kterou si prodavačka nemění půl hodiny a mezitím se v ní drbe ve vlasech.
-
A.S. Pergill (neregistrovaný)
Kdyby jen ve vlasech:
Zážitek z postgraduální výuky epidemiologie pro sestry (již hotové a pracující v nemocnici). Jedna z nich líčila příklad nerespektování pravidel hygieny na pracovišti takto: "Dostaly jsme od pacienty bonboniéru Tatiana, tu mám ráda. A náš doktor, to prase, do ní hrábl rukou v rukavici, kterou vyšetřoval pacientovi genitál. No, hned mě přešla chuť!"
-
lojzak:
> Na router ve vlastní síti se připojuji přes SSH, i když by teoreticky neměl vadit Telnet.
Jo, ale SSH ti umozni pri prvnim pripojeni "vlozit bezpecnostni vyjimku" - ulozit klic stroje. Tenhle klic stroje se navic nema omezenou platnost. Moderni prohlizece ti na neduveryhodny certifikat v lepsim pripade vyhodi obrazovku, na ktere musis hledat kde se vlastne da pokracovat (a vlozit bezpecnostni vyjimka, ktera casto nemusi byt permanentni), v horsim pripade zobrazit prislusny web uplne odmitne (treba kdyz ma certifikat, nebo spojeni zastaralou sifru). A to i v pripade, ze se jedna o vasi vlastni tiskarnu!
> Jistě, ideální by byl DANE, ale to by bylo nutné mít na všech doménách DNSSEC a validovat ho až na koncových zařízeních.
Jako mezistupen muze DANE alespon chranit vlastniky webu: pokud je na domene zapnute DNSSEC, tak zkontrolovat existenci DANE (vyzadovat podepsany "dukaz" exitence nebo neexistence DANE zaznamu) certifikacni autoritou ktera DV vydava. Akorat by to chtelo pridat do pravidel pro vsechny CA, ktere vydavaji DV. Pokud se jim nepodari zvalidovat ze domena nema zapnute DNNSEC (na to je podepsany zaznam u nadrazene domeny), nebo zda ma DANE (podepsany zaznam o neexistenci), tak nesmi DV certifikat vydat.
Momentalne totiz DV muze autorita overit nekolika zpusoby. Timto by vlastnik domeny mohl vybrat jen jeden povoleny zpusob (tedy DANE) a nemusel by resit, ze kdyz se mu nekdo vlame do webserveru pres spatne zabezpeceny wordpress (bude mit moznost ulozit verifikacni soubor), tak ten nekdo bude schopen si i nechat vystavit certifikat.
-
654 (neregistrovaný)
Bohužel za to mohou i všemožné "babské rady" pro širokou veřejnost. Všude bylo "sledujte barvu zámku vpravo nahoře". Myslím, že se snažili zjednodušovat problematiku podvodných stránek, aby to pochopili všichni, ale bohužel z toho stal zlozvyk - sledovat zámek a myslet si, že je to OK. S rozšířením otevřených certifikátů se z celé situace stal pro velký počet lidí chaos. Ti lidé teď neví, co si mají myslet. Prohlížeče taky nepomáhají, když pořád píšou "zabezpečeno" se zeleným zámkem, i když běžný HTTPS v podstatě nahradil původní šedý HTTP.
Myslím, že by měli tvůrci prohlížečů udělat krok kupředu a zobrazit HTTPS běžnou šedou barvou bez zámku, neplatný certifikát nebo jen HTTP červeně a zelený zámek by si měli nechat na případnou nadstavbovou službu pro skutečné ověření identity, které by se aspoň pro banky vyplatilo (aspoň ověření, že byl certifikát vydán existující bance, a ne nějakému joudovi z Horní Dolní).
-
j (neregistrovaný)
Jedinej pripad kdy by browser mel jakkoli protestovat a uzivatele vopruzovat, je situaci, kdy na danym webu neni UZIVATELEM zadany klic, pripadne UZIVATELEM odsouhlasena CA.
Ve vsech ostatnich pripadech ma proste drzet hubu. A samozrejme odstranit vsechny tzv "duveryhodny" CA ze vsech seznamu, protoze to je vec vyhradne UZIVATELE, komu hodla verit.
Krasnej priklad ... https://www.root.cz/zpravicky/po-uniku-klicu-bude-dnes-zneplatneno-23-000-tls-certifikatu/
-
j (neregistrovaný)
Neni, neexistuje zadnej zpusob jak to udelat. CA totiz MOZNA duveruju, ale pro JEDEN konkretni web. A navic i kdyz vsechny ty sracky smazu, tak se s pristi aktualizaci naserou zpet.
Je to neprakticke leda proto, ze vyvojari browseru jsou trotlove. Kdyz nepotrebuju telefonovat do seznamu, tak je mi taky uplne uprd.ele, jakej certifikat pouzivaj, a je mi uplne u rite, jestli selfsign, nebo jestli ho podepsal josifek vyskocilu. Takze browser ma proste drzet hubu a zobrazit to.
-
Pokud by mi bylo jedno, jaký klíč mi protistrana strčí, pak je celé šifrování k ničemu, protože kdokoliv prostě prohlásí, že je kdokoliv a pak nemusíme šifrovat vůbec.
Jenže rizika se nám přesunula. Zastánci šifrování uvádějí jako jeden z příkladů MITM útok a zásah do dat od serveru k uživateli. Fajn, to je jedno riziko, beru ho. Tento typ útoku je víceméně stochastcký, pokud ovládáte nějaký síťový prvek blíž poslední míli, netušte, jaký obsah uživatel otevírá.
Pokud ovládáte síťový prvek blíž k serveru, začíná být úvaha daleko zajímavější. Zejména jsem jaksi nepochopil, proč bych jako hacker měl někomu měnit obsah HTTP protokolu, když si můžu na té samé větvi odposlechnout nešifrovaná hesla k FTP protokolu, nebo odposlechnout SMTP zaslání zapomenutého hesla. Zapomenuté heslo je obzlášť štavnaté, pokud je k systému spravujícímu DNS. Pak si mohu nechávat vystavit DV certifikáty víceméně, aniž by si toho legitimní provozovatel všimnul.
Mám pocit, že jsme koudelí zacpali dírky ve stěnách vědra, které ale nemá dno.
-
lojzak (neregistrovaný)
"když si můžu na té samé větvi odposlechnout nešifrovaná hesla k FTP protokolu, nebo odposlechnout SMTP zaslání zapomenutého hesla."
Když jsou nebezpečné ostatní protokoly, tak se na zabezpečení vykašleme na bezpečnost i u HTTPS. Super úvaha."Pak si mohu nechávat vystavit DV certifikáty víceméně, aniž by si toho legitimní provozovatel všimnul."
Není od věci dívat se do Certificate Transparency. -
j:
Zdovolenim te opravim: EXISTUJE ALESPON JEDNA "DUVERYHODNA" CA ktera prohlasi o komkoli ze je kdokoli.
To bohate staci aby cely system duvery padl na hubu. Vsechny ostatni CA si muzou byt striktni jak chteji, kdyz existuje alespon jedna, ktera je ochotna (trebas nevedomky) pravidla porusit. (A posledni dobou jich bylo nekolik).
-
Vsechny ostatni CA si muzou byt striktni jak chteji, kdyz existuje alespon jedna, ktera je ochotna (trebas nevedomky) pravidla porusit. (A posledni dobou jich bylo nekolik).
Proto by bylo poměrně logické, aspoň v rámci Evropy, vystavovat certifikát po ověření kvalifikovaného elektronikcého podpisu (evt. datové schránky u nás). Ten proces je zvladatelný a představoval by významný posun vpřed. Myslím tím ovšem to, že by použití certifikátu či šifrování vůbec bylo čistě dobrovolné, ale ten, kdo získá certifikát s ověřením totožnosti, mohl by být bonifikován nějakým viditelným zvýrazněním.
Celý systém certifikačních autorit pochází především z USA, kde prakticky nejsou žádné všemocné orgány veřejné moci, které by mohli cokoliv či kohokoliv ověřovat. Tam je opravdu nutné, aby ověření prováděla dostatečně důvěryhodná soukromá autorita. Nevidím ale důvod, proč musíme tento princip přejímat i my. Když už máme Evropskou byrokratickou tradici, tak proč ji nevyužít.
V praxi by komunikace podepsaná takovým certifikátem, mohla být zvýrazněná jako EV certifikáty a ještě s vlaječkou EU a možná i země, která za ověřením stojí.
-
Petr M (neregistrovaný)
Je to opravdu na tvůrcích prohlížečů. Aktuálnímu stavu by odpovídalo spíš tohle:
Šedá = https, platný certifikát (normální stav)
Zelená = podepsaná doména + platný certifikát (jsem si jistý i správnou IP adresou)
Oranžová = http (pozor, nepodepsáno a nešifrováno)
Červená = neplatný certifikát nebo neplatný podpis domény (někde je problém, kontaktuj vlastníka domény)Nic víc není potřeba vymýšlet.
-
To není tak že "Lidé dokáží rozlišit maximálně červenou a zelenou", ale že ty je máš za takové tupce a proto o nich i pohrdavě vynášíš takové soudy.
To vůbec není pohrdavé!!! Naopak si myslím, že běžný člověk má být chráněn, ale smysluplně. To, že lidé nechtějí sledovat nějaké čtyřbarevné semafory není o tom, že bych si myslel, že jsou tupci. Naopak si myslím, že lidé mají svých životních starostí nad hlavu na to, abychom jim ničili životy dalšími nadbytečnými povinnostmi, ve kterých nevidí smysl.
Jestli je něco pohrdání lidmi, tak je to zavádění technologií, o které lidi ve skutečnosti zájem nemají - jen kvůli tomu, že si nějaký odborník myslí, že je chytřejší.
-
Petr M (neregistrovaný)
" Naopak si myslím, že lidé mají svých životních starostí nad hlavu na to, abychom jim ničili životy dalšími nadbytečnými povinnostmi, ve kterých nevidí smysl.
Jestli je něco pohrdání lidmi, tak je to zavádění technologií, o které lidi ve skutečnosti zájem nemají - jen kvůli tomu, že si nějaký odborník myslí, že je chytřejší."
Přesně tak, a proto zrušme povinnost dát přednost vlaku na přejezdu, závory a signalizační zařízení. Pro mě jako řidiče je přece otravný čekat na přejezdu a o nějaký zastavovací zařízení na silnici nemám zájem. A furt to tam ti odborníci cpou...
-
Pro mě jako řidiče je přece otravný čekat na přejezdu a o nějaký zastavovací zařízení na silnici nemám zájem. A furt to tam ti odborníci cpou...
To ne, ale je zbytečné dávat závory na vlečky, kde stačí Stůj!, dej přednost v jízdě (vlaku). Bohužel, šraňky už máme i na těch vlečkách a platíme je všichni.
-
A.S. Pergill (neregistrovaný)
Ten příklad se železničními přejezdy je velice dobrý. Opakovaně jsem zažil při cestách po vlastech českých, že jsem ukázněně stál před zvonícím a blikajícím signalizačním zařízením, desítky minut mě ostatní řidiči objížděli (a někteří si významně plácali na čelo), až mi nějací místní přišli říct "Tady to bliká a zvoní pořád a žádný vlak nejede".
Kdysi to také železničáři vysvětlovali tím, že nejsou s to řešit jednotlivé přejezdy, takže když jede vlak do úseku (jehož projetí trvá i se zastávkami desítky minut), tak se uzavřou přejezdy na celém tomto úseku a otevřou se až vlak úsek opustí.
Z tohoto stavu je také třeba vyjít při posuzování "šílenců", co jeli přes blikající přejezd nebo kličkovali mezi spuštěnými závorami. Přitom drážní inspekce zkoumá pouze to, že přejezd blikal či závory byly dole v době střetu auta s vlakem a nikoli to, jak dlouho byl ten přejezd zbytečně uzavřený.
Je jasné, že pokud by měl řidič jistotu, že když je přejezd uzavřený, tak tam opravdu brzy něco pojede, tak by nehod tohoto typu silně ubylo.
Nicméně to samé v bleděrůžovém jsou i naprosto zbytečné dopravní značky (zbytečná omezení rychlosti apod.) - stačí srovnat naše silnice s německými, kde když je někde nějaké omezení rychlosti, tak je vidět, že je opodstatněné. Takže u nás na to řidiči kašlou, na rozdíl od toho Německa.A to samé platí i pro ty certifikáty: Pokud se šifruje kdejaký slovní/obrázkový exkrement a ještě takovým způsobem, že to lidi jen obtěžuje, aniž by to reálně nějak redukovalo rizika, tak to lidi budou obcházet (a tudíž tak budou s vysokou pravděpodobností činit i v těch vzácných případech, kdy to bude mít nějaký pozitivní smysl).
-
Petr M (neregistrovaný)
To jako že když ti zavřou silnici k baráku a bude tam 20km objížďka, tak tě to bude otravovat v kombíku a v sedanu ne?
Pokud je šifrování OK, uživatel nevidí rozdíl. Pokud ne, je to o výběru, jestli to bez milosti zabít a nechat uživatele tápat, nebo ho informovat, že tam je problém a zkusit aspoň něco.
-
Ondro (neregistrovaný)
Preto, ze nefunguje revokacia, tak skratime platnost certifikatov.
Toto nieje riesenie ale poriesenie problemu. Bez fungujucej revokacie mozme skoncit pri jednodnovej platnosti a nic to nevyriesi, len skomplikuje.
Milujem taketo riesenia.
Samozrejme som si vedomy, ze riesenie nieje/nebude jednoduche ale dnesny stav, ze kazdy si robi, co chce je zly.p.s. paci sa mi v google chrome, ktory ked pouzijem na navstevu mojej testovacej stranky so self-signed certifikatom (kde je zablokovany http pristup) zahlasi, ze stranka nieje bezpecna a v hlavicke vypise http:// hoci to nieje pravda. Nieco ako potvrdit bezp. vynimku mi ani neponuka.
FF zahlasi upozornenie a ked potvrdim bezp. vynimku, tak veselo fungujem dalej. -
Když jste takový jouda, že si ani neumíte přidat autoritu (klíč) do seznamu důvěryhodných, tak to radši svěřte někomu jinému.
Ano, vzniknou na to videonávody, které ukáží JAK, ale už lidem nevysvětlí, jak se rozhodnout, co zařadit do důvěryhodných. Typický uživatel něco hledá na internetu. Nemusí to být zrovna porno nebo cracky k softwaru, ale také mohou. Když ho browser dál nepustí, garantuji Vám, že se najde dostatečně velká skupina lidí, co si neznámou CA přidají do důvěryhodných. A to je velmi nebezpečná věc - mít nespolehlivou CA mezi důvěryhodnými je daleko nebezpečnější pro uživatele (do budoucna), než ho na jeden web pustit.
Dovedu si živě představit, že vzniknou rozsáhlé "projekty", které budou motivovat uživatele přidávat CA mezi důvěryhodné. V druhé vlně pak může daleko horší malware využít toho, že bude mít k dispozici miliony PC, které mu budou důvěřovat. Byť by to bylo jen na webu.
-
A.S. Pergill (neregistrovaný)
Obávám se, že je zde více problémů:
1. Zkrátí se doba funkčnosti operačního systému, protože si po dvou letech od instalace si přestanou prohlížeče rozumět s https stránkami (vlastní zkušenost i při těch třech letech exspirace)
2. BFU buď zajistí, aby se certifikace ignorovaly, protože má počítač na práci, ne na "bezpečnost" nebo:
3. Budou preferovány stránky http proti https (protože ty druhé fungují nejistě nebo nefungují) = kdo má na nich nějakou komerci, tak to pocítí na penězích.IMHO je celá koncepce těch certifikátů principiálně špatná.
Nehledě k tomu, že se opravdu nemusí šifrovat každé upšouknutí. Nemyslím si, že třeba tu na rootovi je nějaký obsah, který by stálo za to přenášet šifrovaně.
-
Zas a znovu (a nejspíš znovu zbytečně), šifrování neznamená jenom to, že data tečou tajně. Taky to znamená, že klient dostane přesně a pouze to, co odeslal server.
Zas a znovu (a nejspíš znovu zbytečně): ne vždy je to tak důležitý cíl, aby do něj chtěl někdo investovat byť i korunu, hodinu času, nebo pár CPU cyklů. Najdu Vám v IT světě aspoň deset příkladů, kde jsou rizika daleko větší a nikdo je neřeší. Jako první tři mezi nimi: nešifrovaný a nepodepsaný přenos e-mailů (kde se reálně řeší víc důležitých věcí, než třeba na root.cz), nebo třeba nešifrované přístupy k FTP, které často chrání celý obsah webů. Na konec přístupy ke správě DNS, které jsou často přes web, kde je password recovery právě přes nešifrovaný e-mail. To vše jsou podle mě daleko větší a zároveň řešitelnější slabiny našeho světa.
-
Toto je jasný argumentační klam - to, že existují další nebezpečí, neznamená, že se na tohle vyseru.
Není. Některá nebezpečí jsou jen podmnožinou většího problému, který se stejně bude muset řešit. Pak nemá smysl tříštit svoji sílu na něčem, co Vás nikdy nedovede do cíle. Opravdu nemá cenu zasklívat okno, když mám stále vylomené dveře.
-
Sten (neregistrovaný)
A taky to znamená, že to, co se opravdu musí přenášet šifrované, se skryje v tunách komunikace, která by šifrovaná být nemusela, což naředí analýzy podle metadat (např. s kým komunikujete šifrovaně a tedy máte něco, co chcete skrýt) a omezuje rainbow útoky (útočník pravděpodobně dostane jen nezajímavá data).
-
Zajímavé, mohl bych vidět tu stránku? Na https://self-signed.badssl.com mi to takto nefunguje.
-
v. (neregistrovaný)
A zase něco, kdy se řeší následek a ne příčina. Přitom z mého pohledu pro weby to řeší lépe browsery i kdyby byla platnost certifikátů měsíc. Pro většinu lidí je to dostačující. Pro jiné aplikace, které CRL/OCSP přímo ignorují nebo nepodporují by bylo daleko zajímavější mít někde oficiální veřejný seznam nebezpečného softwaru a to by se podle mě společnosti začali trošku snažit, aby na tom seznamu jejich SW nebyl ...
Btw. stačilo by dostávat do systémů CRL během pravidelných aktualizací OS nebo dynamicky a cachovat to, což už se mimochodem často děje.
ČLÁNKY DO MAILU