Vlákno názorů k článku Domény v .GOV budou mít povinně HTTPS, vynutí to prohlížeče od David1234 - Zajímalo by mě jak se bude řešit to...
-
Z hlediska doménové hierarchie ano, z hlediska HTTPS rozhodně ne. Třeba autority mají seznamy domén, pro které nevystavují certifkáty nebo mají speciální režim a je pro ně potřeba extra ověření. Stejně tak třeba prohlížeče distribuují zvláštní revokační seznamy certifikátů pro vybrané domény, které jsou zajímavější než jiné a podobně. Tady rovnost rozhodně neplatí. Pokud HSTS přeroste, je možné, že se prostě ten seznam nějak redukuje a dostanou se do něj třeba jen nějaké top weby z Alexa nebo podobně.
-
David1234 (neregistrovaný)
A není tenhle postup trochu nefér? Pokud by k tomu došlo - tak bych nechápal proč by Tonda z Horní Dolní nemohl používat HSTS preload, co na tom že mu chodí na web jeden člověk mesíčně? Je nějaká autorita, která objektivně určí kdo je VIP a kdo není? A podle čeho? Podle počtu návštěv?
Přijde mi že HSTS preload je systémově neudržitelný.
-
Jozo (neregistrovaný)
Ked ten zoznam prilis narastie, mozno by slo pouzit Bloom filter. Moze sa sice stat, ze nejaka domena bude "omylom" vyhodnotena ako zaradena v HSTS, no stale je to lepsie ako zapnut HSTS automaticky pre vsetkych. Prip. by sa dal potom udrziavat este zoznam vynimiek, ale uz len pre domeny ktore do HSTS preload listu zaredene explicitne neboli ale dostali sa tam "nedopatrenim" (side-effect bloom filtru).
Domeny zaradene do zoznamu by tam zostali vzdy, co je dobre.
-
BobTheBuilderStříbrný podporovatelNo vidíte, chtěl byste privátní rozsahy a měl byste to blbě - co 172.16.0.0-172.31.255.255?
-
Ondřej CaletkaZlatý podporovatelŘekl bych, že až naroste na takovou velikost, že by to mohl být problém, prohlásí se HSTS za standard a prohlížeče ponesou pouze seznam výjimek. Ten ale nejspíš nebude otevřený pro každého, takže pro obyčejné lidi bude buď HTTPS a nebo nic.
-
Dashiel (neregistrovaný)
Brzo (za pár let) bude HTTPS tak běžné, že HTTP bude jen fallback ze situace, kdy server šifrované spojení odmítne. Prohlížeče budou zobrazovat varování (jako dnes u neplatných certifikátů) a/nebo nebudou dovolovat některé operace (jako odesílání formulářů).
HSTS je jen přechodná funkce a myslím že byla tak i myšlena.
-
j (neregistrovaný)
Ale kdeze ... soudruzi uz stvorili i vylepseni, browser si bude uchovavat seznam klicu ... pripadne jeste lip, to uz vymyslel o nejvetsi guugl ... se bude pred kazdou navstevou dotazovat prave guuglu, jestli prave tenhle cert patri prave tomuhle webu, neni nahodou revokovanej ... a pokud v seznamu nebude, tak zadny browsani, takze smirovani ve velkym ale samo pro nasi bezpecnost.
Milionkrat sem psal, za stavajici situace je http exaktne stejne bezpecny jako https. A zajistit bezpecnost na https se stavajicim fungovani ani nelze. Protoze i kdyby kdokoli smazal vsechny CA v systemu a importoval si jen konkretni klice konkretnich webu (ziskany zcela bezpecne a proverene), tak se mu to cely s prvni aktualizaci rozbije.
-
Ondra Satai NekolaZlatý podporovatelPokud narazis na certificate transparency, tak ti nelze nez ponekolikate doporucit si precist, co to je, nez budes pokracovat v placani nesmyslu. Vysel tady o tom docela dobry clanek:
https://www.root.cz/clanky/certificate-transparency-vydavani-certifikatu-pod-kontrolou/
ČLÁNKY DO MAILU