Vlákno názorů k článku Co dál s WoSign? Odebrat důvěru už nestačí od Ondřej Novák - Proc nejde ty korenove a intermediate certifikaty wosign...
-
Proc nejde ty korenove a intermediate certifikaty wosign a startssl proste prohlasit za neduveryhodne primo v prohlizecich (dat je na blacklist) a problem se sam vyresi. Majitele webovek si pravdepodobne opatri LE nebo od jine konkurence. V tom nevidim problem, kazdou chvili v roli admina resim zmenu konfigurace serveru, protoze se objevi nejaky exploit (tady se do toho holt prida mala investice)
-
Sten (neregistrovaný)
Protože odebrání důvěry certifikátu nevynucuje, že se jeho podpisu nesmí věřit. X.509 certificate store má pouze binární trust flagy s významem „důvěryhodný“ a „neznámý/výchozí stav“. Neexistuje stav vynucují nedůvěryhodnost (ani CRL nevynucuje nedůvěryhodnost, pouze odvolává podpis). Nedůvěryhodný certifikát je tak brán stejně jako neznámý certifikát, a pokud se vám podaří sestavit řetěz vedoucí k důvěryhodnému certifikátu (zde konkrétně certifikát Unizeto, který je cross-signoval), bude mu prohlížeč důvěřovat.
-
Ľubomír Mlích (neregistrovaný)
V článku popsaný problém bych navrhoval řešit vytvořením blacklistu, jak říká Ondřej Novák. Argument, že to funguje jinak a zásah by byl nesystémový přijímám, nicméně je zřejmé, že aktuální systém nepracuje ve prospěch uživatele a proto je třeba nějakou změnu.
Myslím, že když by v prohlížeči bylo:
if certifikát je vydaný wosign a nejsme na doméně .cn
certifikát je nedůvěryhodný (a uživateli se zobrazí klasická žádost o vyjádření důvěry certifikátu)Ano, je to nesystémové řešení, ale fuknční a pro ilustraci myslím dostatečné.
