Vlákno názorů k článku Chrome končí s certifikáty Symantec, Verisign, Thawte, RapidSSL a dalšími od Vláďa Macek - Na tomhle je zajímavý to, že jak security...
-
Na tomhle je zajímavý to, že jak security málokdo rozumí, vč. zaměstnanců Symantecu, tak zmíněné operace, za které je ta CA utopena, nemusely být vůbec záměrnou obchodní politikou manažera blízkého vedení. Teoreticky mohlo jít o nepozornost/zlovůli/nekompetenci relativně nízko postaveného zaměstnance.
Pokud to není případ Symantecu, zajisté se to bude dít jinde. Pěkná ukázka toho, jak toho hodně závisí na úzkých skupinkách lidí či jednotlivcích a shodách okolností...
-
Symantec není utopen za to, že se to stalo, ale za to, že to sám nepřiznal a pak se to snažil ještě utajovat. A to už je rozhodnutí někoho z vedení.
Alibismus vládne, to tak bohužel je.
Když se reálně zamyslíme nad současným systémem vydávání certifikátů, tak podstatnou roli hraje Let's Encrypt. To ověřuje DV certifikáty buďto http ověřením, nebo dns ověřením. Když se ale zamyslíme, tak i tento přísutp je silně alibistický. Kdyby LE udělali seriozní rešerši, zjistili by, jak obrovské procento webů běží na doménách, u nichž majitelé svěřují jak přístupové údaje, tak údaje k administraci DNS prakticky komukoliv. Password recovery jak k webhostingu, tak k mailhostingu je skoro ve 100 % přes e-mai, který je nezabezpečený (resp. přenos je jen opurtunisticky šifrován a to nepředstavuje překážku).
Dnešní útočník už nepotřebuje padělat svoji identitu a dokumenty prokazující vztah k doméně. Dnešní útočník získá přístup k administraci DNS a může si certifikátů vystavit kolik chce. Asi mi namítnete možnost sledování Certificate Transparency. Ale sakryš, jak velký je překryv osob a firem, které mají webhostingy s DNS webadministrací, a zároveň vědí co je CT a umějí to sledovat?
Z práce s certifikáty se stala celkově fraška a hry s odvoláváním důvěryhodnosti kořenových CA podle mě nenapravují ty hlavní současné slabiny.
-
Filip JirsákStříbrný podporovatelTo nijak nesouvisí s Let's Encrypt, přes DNS, HTTP nebo e-mail se ověřují všechny DV certifikáty, odjakživa. Podle mne je v pořádku jenom to ověřování přes DNS, ale DV certifikáty jsou jenom DV, tak co bychom chtěli…
Pokud útočník získá přístup k administraci DNS, může si celou doménu přesměrovat na svůj server, zprovoznit na ní vlastní web, vlastní e-mailový server, a pokud bude mít přístup i do nadřazené zóny, přidá si i vlastní klíče pro DNSSEC. To, že si může nechat vystavit i DV certifikáty, je jenom třešnička na dortu – a je to tak správně, vždyť on tu doménu ovládá.
-
Pokud útočník získá přístup k administraci DNS, (...), že si může nechat vystavit i DV certifikáty, je jenom třešnička na dortu – a je to tak správně, vždyť on tu doménu ovládá.
Ano, souhlasím s Vámi.
Jen mi pak přijde pokrytecké dělat haló kolem důvěryhodnosti CA Symantecu (i jiných), když slabina celého systému je úplně někde jinde. Přijde mi to jako pokutovat řidiče za to, že jede 200 km/h a k tomu mu vyčítat, že nemá připnutý pás. Ten je mu v té rychlosti stejně k ničemu. -
Filip JirsákStříbrný podporovatel
To, že jeden vlastník domény má něco nastavené špatně, není slabina systému. To byste pak za slabinu systému taky mohl označovat to, že ředitel firmy může dát uklízečce veškerá podpisová práva. Vlastník domény si ji může zabezpečit, pokud chce. Problém s nefungující certifikační autoritou je ten, že i když bude mít vlastník doménu zabezpečenou sebevíc, certifikační autorita klidně vydá DV certifikát někomu úplně jinému.
A navíc DV certifikáty nemají být to hlavní, co dělají certifikační autority – právě naopak, DV certifikáty by měly být úplně zrušeny a nahrazeny DANE. Certifikační autority jsou klíčové pro vydávání OV a EV cerifikátů a osobních certifikátů.
-
To, že jeden vlastník domény má něco nastavené špatně, není slabina systému.
Jenže on to není jeden, jedná se o tak masový jev, že je potřeba se jím zabývat.
A navíc DV certifikáty nemají být to hlavní, co dělají certifikační autority – právě naopak, DV certifikáty by měly být úplně zrušeny a nahrazeny DANE. Certifikační autority jsou klíčové pro vydávání OV a EV cerifikátů a osobních certifikátů.
Naprosto souhlasím, jen si kladu dvě otázky:
1. Zůstane vůbec nějaký trh z OV a EV certifikáty? Vyjma bank, které ze zákona musejí dělat hodně věcí preventivně a na vysoké úrovny, tak pro ostatní organizace (soukromé firmy) jsou OV a EV certifikáty cenné jen ve chvíli, kdy to ocení jejich zákazník. Obávám se, že zákazník si moc nevšímá a ani nechce všímat kvality certifikátu - a tím pádem to nemá hodnotu ani pro ty organizace - a tím pádem bude zájem malý. Kontroverzní krok v tomto směru dělá Apple Safari, které se snaží hodnotu EV certifikátu zvýšit tím, že nahradí zobrazení domény v adresním řádku - ano, to může být cesta, jak uživatele přinutit přemýšlet o tom S KÝM komunikuje podle certifikátu, nikoliv podle zobrazené domény.
2. Pokud zájemců o OV / EV certifikáty ubyde, tak zejména v Evropě, kde máme poměrně vyspělý e-goverment, je na snadě provádět ověření identity vlastníka pomocí nástrojů veřejné správy. Co může být jednoduššího a bezpečnějšího pro ověření EV certifikátu, než ověření identity při vystavování certifikátu pomocí kvalifikovaného elektronického podpisu (firmy, jednatele firmy, ...), nebo malou oklikou v ČR i přes Datové schránky? V ten moment mi přijde, že certifikační autority budou patřit hlavně do USA a dalších zemí, kde není technicky ani kulturně možné zaručit identitu samotným státem.
-
Lol Phirae (neregistrovaný)
Co může být jednoduššího a bezpečnějšího pro ověření EV certifikátu, než ověření identity při vystavování certifikátu pomocí kvalifikovaného elektronického podpisu (firmy, jednatele firmy, ...), nebo malou oklikou v ČR i přes Datové schránky?
To jste si asi nestihl všimnout, že mezitím nám soudruzi z Brusele stihli ty kvalifikované certifikáty harmonizovaně dojebat tak, že ve skutečnosti konkrétní osobu neidentifikují.
-
null null (neregistrovaný)
@Lol Phirae
Špatně jsi sdělení @Milan Keršláger pochopil. On ti jenom svými slovy napsal, že absolutně netuší, jak to v Bruseli a mezinárodní politice funguje ...
Ono to rčení "Není to Brusel a my, ale dohromady a máme tam svoje lidi ..." platí do té doby, dokud posloucháš - dnes se tomu říká být členem Tvrdého jádra. Posloucháš, implementuješ jinak mazáš ... Jediná otázka je, za kolik dotací to kdo vymění .... -
Filip JirsákStříbrný podporovatel
Jenže on to není jeden, jedná se o tak masový jev, že je potřeba se jím zabývat.
Tak se jím klidně zabývejte, nikdo vám nebrání.Zůstane vůbec nějaký trh z OV a EV certifikáty?
Ano, zůstane. Já nechci o občanku žádat jakésimvcr.cz, ale Ministerstvo vnitra České republiky. Podání k soudu nechci dávat na nějakéjustice.cz, ale na nějaký soud nebo nanejvýš prostřednictvím Ministerstva spravedlnosti ČR. Banky jste jmenoval, a dále jsou to všechny instituce, které existují primárně v neinternetovém světě a na internetu mají jen nějaké nástroje. Vlastně jsou to všechny subjekty s výjimkou internetových firem typu Seznam.cz, Google nebo Aktuálně.cz.Pokud zájemců o OV / EV certifikáty ubyde, tak zejména v Evropě, kde máme poměrně vyspělý e-goverment, je na snadě provádět ověření identity vlastníka pomocí nástrojů veřejné správy. Co může být jednoduššího a bezpečnějšího pro ověření EV certifikátu, než ověření identity při vystavování certifikátu pomocí kvalifikovaného elektronického podpisu (firmy, jednatele firmy, ...), nebo malou oklikou v ČR i přes Datové schránky?
A to vystavení kvalifikovaného certifikátu nebo serverového certifikátu dělají právě certifikační autority. -
Jirka (neregistrovaný)
Matně si vzpomínám, že už dříve bylo pomazanými hlavami kryptografie řečeno, že DV certifikát slouží tak maximálně k zabezpečení end-to-end komunikace a nemožnosti odposlouchávat ji. Nic neověřuje. A proto, pokud vím, prohlížeče mainstreamu tyto certifikáty začnou zobrazovat v adresním řádku shodně jako běžné http doposud, a http budou dříve či později ostrakizovat jako úplné fuj...
-
Ja. (neregistrovaný)
Keď niekto predstavuje "autoritu", musí mať mechanizmy, ako zabrániť zlým zamestnancom, aby robili zlé veci. Na 100% sa to nepodarí asi nikomu, ale toto bolo totálne systémové zlyhanie. Dostali sa na úroveň brazílskej civilnej polície. Tú by podľa mňa mali tiež zrušiť a všetky kompetencie prenechať policii militar.
-
Ondra Satai NekolaZlatý podporovatel...a proto je lepší mít systém, kde může CA kontrolovat úplně každý. Takže transparency.
-
j (neregistrovaný)
Ty uz tady jsou, za 5-10let pevne doufam uz PKI nebude vubec v soucasny podobe existovat.
Tady mas dalsi priklad toho, jak je strejda guugl "duveryhodnej" https://www.root.cz/clanky/google-blokuje-domain-fronting-ztizil-tim-situaci-cenzurovanym-sluzbam/
