Vlákno názorů k článku Co dál s WoSign? Odebrat důvěru už nestačí od Filip Jirsák - Podle mne ty cross-signed certifikáty nemá v současné...
-
Filip JirsákStříbrný podporovatelPodle mne ty cross-signed certifikáty nemá v současné chvíli řešit Mozilla, ale ty certifikační autority, které je vydaly. Ty vydáním cross-signed certifikátu stvrdily, že WoSign postupuje podle certifikační politiky dané autority. Teprve když příslušná certifikační autorita ten cross-signed certifikát nezneplatní, měla by Mozilla začít řešit odebrání důvěry kořenovému certifikátu té autority (protože ve stromu pod tím certifikátem jsou vydávány certifikáty, které nesplňují příslušná pravidla).
Odebírání důvěryhodnosti certifikátům je sice tvrdé řešení, ale celý systém certifikačních autorit je postavený jenom na důvěře. Když k tomu budeme přistupovat způsobem, že když nějaká autorita porušuje pravidla, uděláme na ní bububu a budeme doufat, že se to zlepší, je celý ten systém úplně k ničemu. Zvlášť když jsou si dnes všechny autority rovny a kterákoli autorita může vydat certifikát pro jakoukoli doménu.
Je pravda, že odebrání důvěryhodnosti certifikátu certifikační autority postihne spoustu nevinných držitelů certifikátů, ale zrovna v případě certifikátů pro web je to dnes mnohem menší problém, než dříve, protože si dnes každý může docela snadno a zdarma nechat vystavit certifikát od LE.
-
Peto (neregistrovaný)
Ja by som dal ultimatum - 1.1.2017 sa bude odoberat root autorita WoSign. Ked bude vtedy platny jej podpis cez inu autoritu, bude po dalsom mesiaci odobrana aj ta. A tak dalej, dokedy bude existovat retazec dovery v certifikaty tej autority.
To by sa ostatne CA rychlo postarali o revokaciu.Cas by znamenal, ze uzivatelia postihnuti nebudu, lebo spravcovia budu mat moznost sa prisposobit.
Certificate transparency malo fungovat uz davno, takze to beriem ako samozrejmost.
-
Jenda (neregistrovaný)
> Podle mne ty cross-signed certifikáty nemá v současné chvíli řešit Mozilla, ale ty certifikační autority, které je vydaly. Ty vydáním cross-signed certifikátu stvrdily, že WoSign postupuje podle certifikační politiky dané autority. Teprve když příslušná certifikační autorita ten cross-signed certifikát nezneplatní, měla by Mozilla začít řešit odebrání důvěry kořenovému certifikátu té autority
To by mohlo vést k situaci, kdy CA tohle vydají komukoli na potkání, a teprve když se veřejně ukáže problém, tak to zneplatní a jakoby se nechumelilo.
