Vlákno názorů k článku Certifikát na tři roky už si nepořídíte, maximální platnost se zkrátila na dva od Ondro - Preto, ze nefunguje revokacia, tak skratime platnost certifikatov. Toto...
-
Ondro (neregistrovaný)
Preto, ze nefunguje revokacia, tak skratime platnost certifikatov.
Toto nieje riesenie ale poriesenie problemu. Bez fungujucej revokacie mozme skoncit pri jednodnovej platnosti a nic to nevyriesi, len skomplikuje.
Milujem taketo riesenia.
Samozrejme som si vedomy, ze riesenie nieje/nebude jednoduche ale dnesny stav, ze kazdy si robi, co chce je zly.p.s. paci sa mi v google chrome, ktory ked pouzijem na navstevu mojej testovacej stranky so self-signed certifikatom (kde je zablokovany http pristup) zahlasi, ze stranka nieje bezpecna a v hlavicke vypise http:// hoci to nieje pravda. Nieco ako potvrdit bezp. vynimku mi ani neponuka.
FF zahlasi upozornenie a ked potvrdim bezp. vynimku, tak veselo fungujem dalej. -
Když jste takový jouda, že si ani neumíte přidat autoritu (klíč) do seznamu důvěryhodných, tak to radši svěřte někomu jinému.
Ano, vzniknou na to videonávody, které ukáží JAK, ale už lidem nevysvětlí, jak se rozhodnout, co zařadit do důvěryhodných. Typický uživatel něco hledá na internetu. Nemusí to být zrovna porno nebo cracky k softwaru, ale také mohou. Když ho browser dál nepustí, garantuji Vám, že se najde dostatečně velká skupina lidí, co si neznámou CA přidají do důvěryhodných. A to je velmi nebezpečná věc - mít nespolehlivou CA mezi důvěryhodnými je daleko nebezpečnější pro uživatele (do budoucna), než ho na jeden web pustit.
Dovedu si živě představit, že vzniknou rozsáhlé "projekty", které budou motivovat uživatele přidávat CA mezi důvěryhodné. V druhé vlně pak může daleko horší malware využít toho, že bude mít k dispozici miliony PC, které mu budou důvěřovat. Byť by to bylo jen na webu.
-
A.S. Pergill (neregistrovaný)
Obávám se, že je zde více problémů:
1. Zkrátí se doba funkčnosti operačního systému, protože si po dvou letech od instalace si přestanou prohlížeče rozumět s https stránkami (vlastní zkušenost i při těch třech letech exspirace)
2. BFU buď zajistí, aby se certifikace ignorovaly, protože má počítač na práci, ne na "bezpečnost" nebo:
3. Budou preferovány stránky http proti https (protože ty druhé fungují nejistě nebo nefungují) = kdo má na nich nějakou komerci, tak to pocítí na penězích.IMHO je celá koncepce těch certifikátů principiálně špatná.
Nehledě k tomu, že se opravdu nemusí šifrovat každé upšouknutí. Nemyslím si, že třeba tu na rootovi je nějaký obsah, který by stálo za to přenášet šifrovaně.
-
Zas a znovu (a nejspíš znovu zbytečně), šifrování neznamená jenom to, že data tečou tajně. Taky to znamená, že klient dostane přesně a pouze to, co odeslal server.
Zas a znovu (a nejspíš znovu zbytečně): ne vždy je to tak důležitý cíl, aby do něj chtěl někdo investovat byť i korunu, hodinu času, nebo pár CPU cyklů. Najdu Vám v IT světě aspoň deset příkladů, kde jsou rizika daleko větší a nikdo je neřeší. Jako první tři mezi nimi: nešifrovaný a nepodepsaný přenos e-mailů (kde se reálně řeší víc důležitých věcí, než třeba na root.cz), nebo třeba nešifrované přístupy k FTP, které často chrání celý obsah webů. Na konec přístupy ke správě DNS, které jsou často přes web, kde je password recovery právě přes nešifrovaný e-mail. To vše jsou podle mě daleko větší a zároveň řešitelnější slabiny našeho světa.
-
Toto je jasný argumentační klam - to, že existují další nebezpečí, neznamená, že se na tohle vyseru.
Není. Některá nebezpečí jsou jen podmnožinou většího problému, který se stejně bude muset řešit. Pak nemá smysl tříštit svoji sílu na něčem, co Vás nikdy nedovede do cíle. Opravdu nemá cenu zasklívat okno, když mám stále vylomené dveře.
-
Sten (neregistrovaný)
A taky to znamená, že to, co se opravdu musí přenášet šifrované, se skryje v tunách komunikace, která by šifrovaná být nemusela, což naředí analýzy podle metadat (např. s kým komunikujete šifrovaně a tedy máte něco, co chcete skrýt) a omezuje rainbow útoky (útočník pravděpodobně dostane jen nezajímavá data).
