Vlákno názorů k článku Domény v .GOV budou mít povinně HTTPS, vynutí to prohlížeče od VM - Takže: 1. nový FF bude zbytečně obsahovat politiky pro...
-
VM (neregistrovaný)
Takže:
1. nový FF bude zbytečně obsahovat politiky pro cizí domény, které by měly být v DNSSEC
2. uživatelům se zakáže přidat výjimka, takže cokoliv s webovým rozhraním (např. síťový HW) nebude přístupné přes DNS jméno
3. pokud máte na klientovi špatně nastavené datum a nejste admin, nepřipojíte se a nic s tím neuděláte (zfailuje validace data certifikátu) -
Ad 1) – nic takového se v článku nepíše. V článku je napsáno, že se použije standardní HSTS preload list.
Dvojka je nesmysl, na DNS se nic nemění. Trojka není nic specifického, to platí pro každý certifikát. To, že nejste admin a „samo“ se vám špatně nastaví datum, sice nastat může, ale daleko pravděpodobnější je, že vám odejde disk nebo myš a stejně budete muset admina zavolat. -
VM (neregistrovaný)
1) no právě - s prohlížečem se bude distribuovat seznam hostname, které většina lidí nikdy nenavštíví, a bude se jim pravidelně aktualizovat. Dá se čekat, že časem velmi nabobtná. Tohle by se mělo řešit jinde, asi v DNSSEC, tam to patří.
2) to závisí na tom, zda se opravdu všechny domény (ve smyslu hostname) budou automaticky přidávat. Pokud ano, dostanou se tam i DNS záznamy pro síťový HW a další embedded zařízení, a bude problém. Pořád ale bude dostupný přes IP adresy, tyhle věci většinou nepoužívají virtuální hosty.
3) baterie v RTC odchází daleko radši než HDD a myš, a doteď to nebyl moc velký problém. Když už nejde přidat uživatelská výjimka (už jsem kvůli tomu musel překonfigurovávat jeden Firefox), tak se člověk na korektní web nepřipojí. Jde to proti idei a definici svobodného SW - uživatel má ovládat program, ne že mu program diktuje na co smí a nesmí dát výjimku. -
1) S prohlížečem se distribuuje seznam hostname, které většina lidí nikdy nenavštíví. S tím, že by ten seznam časem velmi nabobtnal, se nepočítá, protože je to považováno za dočasné řešení, které bude zrušeno dřív, než by k tomu velkému nabobtnání došlo. Navíc to celé vůbec nijak nesouvisí s tím opatřením v doméně
.gov, protože HSTS preload listy už dávno existují, používají se a aktualizují.
2) Proč by se tam přidávaly hostname, budou se tam přidávat domény. Problém se síťovým HW a embeded zařízeními nebude, prostě se pro ně vystaví certifikát. Při přístupu přes IP adresu bude prohlížeč hlásit chybu certifikátu (neouhlasí jméno), stejně jako to dělá dnes.
3) Pokud se ze zařízení přistupuje na web, má internetovou přípojku. Takže baterka v RTC není žádný problém, protože čas se sesynchronizuje přes NTP. Idea a definice svobodného softwaru asi moc uživatelů nezajímá. Uživatelé chtějí, aby jim program sloužil k tomu, co chtějí udělat. Když se chce bezpečně podívat na webové stránky, tak mu to má umožnit, a ne že bude někde nastavovat nějaké výjimky proto, že správce jeho počítače neumí zařídit, aby na něm byl správný čas. -
VM (neregistrovaný)
1) S nabobtnáním se nepočítá, jen se teď automaticky přidá jedna celá TLD a všechno v ní, ať to je příklad i pro ostatní. Nějak jsem nezaregistroval tu dočasnost - to jako že už se přechází na něco lepšího, a HSTS preloady budou během pár měsíců vypnuty?
2) Obávám se, že spousta těchto zařízení HTTPS vůbec neumí. Při přístupu přes IP adresu a HTTP samozřejmě prohlížeč chybu hlásit nebude, protože žádná nenastane.
3) Právě - uživatelé chtějí, aby program sloužil k tomu co chtějí udělat, třeba dát výjimku na daný certifikát. Nevím proč by je neměly zajímat jejich vlastní svobody, nebo aspoň zda jim někdo hází klacky pod nohy. -
1) Kdyby se tam přidala celá TLD, přidaly by se tam 3 znaky. Proč si pořád něco vymýšlíte, místo abyste si přečetl alespoň zprávičku, pod kterou diskutujete? Všechny domény pod .gov se do HSTS přidávat nebudou, pouze nové. Přechází se na něco lepšího – postupně se eliminuje HTTP, a až se přestane používat úplně, HSTS se mohou zahodit.
2) A nebo se k tomu zařízení přihlásí telnetem. Když to někomu vyhovuje…
3) Mohl byste mi ukázat nějakého uživatele, který chce dát výjimku na daný certifikát? To se jako ráno probudí a řekne si „dneska je venku hezky, dneska si přidám tři výjimky na certifikáty“? -
VM (neregistrovaný)
1) Já ji četl, co vy?
"Letos má přijít další krok: nové domény a subdomény v .GOV budou muset povinně zavést i HTTPS včetně HSTS. (...) Jakmile totiž bude nová doména registrována, GSA ji automaticky přidá na seznam domén v HSTS preloadu. "
Tohle říká celkem jednoznačně, že se přidá každý nový záznam pod GOV, a to opravdu nejsou 3 znaky.
Jinak úplně zrušit HTTP je nesmysl třeba u toho síťového HW. Něco HTTPS vůbec neumí, a i u toho zbytku nebude BFU instalovat certifikát telnetem, aby se vůbec dostal do webového nastavení. Nehledě na to že bez funkční sítě ten certifikát ani nezíská.
2) Telnet je workaround, není moc user-friendly, a některý HW ho ani neumí.
3) Ach jo.. třeba ten síťový HW výše, firemní servery pokud zrovna nemáme nainstalovanou jejich CA, vlastní web se self-signed certifikátem atd. -
Já jsem četl i zprávičku, i váš komentář. Vy jste napsal „teď se přidá jedna celá TLD“. Kdyby se přidala celá TLD gov, jsou to tři znaky. Jenže jak sám píšete, nebude se přidávat teď celá doména, ale budou se postupně přidávat nové domény. Chápete, že „postupně jen nové“ je něco úplně jiného, než „teď celá“?
Úplně zrušit HTTP není nesmysl, naopak k tomu dříve (doufejme) či později dojde. Dříve se ke konfiguraci takových zařízení používal třeba telnet, a dneska rozhodně není telnet klient v běžné výbavě každého uživatele. Zkrátka internetové protokoly také zastarávají a přestávají se používat. To, že dneska nějaké zařízení neumí HTTPS, neznamená, že taková zařízení budou i za deset let. Ostatně před deseti lety taková zařízení neuměla ani HTTP a konfigurovala se přes telnet nebo proprietárním nástrojem.
Bez funkční sítě se k tomu zařízení ani nepřipojíte, takže nepotřebujete řešit nějaký certifikát.
HTTP je také workaround a není moc user-friendly, některý HW ho také „neumí“ (rovnou vás přesměruje na HTTPS). Síťový HW, firemní servery, vlastní web – to vše může mít certifikát, kterému bude prohlížeč důvěřovat.
-
VM (neregistrovaný)
Jasně, koupím si domů router, ale nepůjde nastavit, dokud si pro něj nevyřídím certifikát pro danou IP adresu, což bez nastaveného routeru bude trochu komplikované. A nedej bože abych byl jako 95% lidí za NATem, protože na lokální rozsahy mi certifikát žádná CA nedá. A stávající HW co HTTPS neumí nemá nikdo co nastavovat, ne?
Tohle nemá cenu. -
Proč byste si pro něj vyřizoval certifikát vy? Uživatelsky přívětivé nastavení routeru rozhodně nevypadá tak, že uživatel bude někam zadávat nějakou IP adresu. Vypadá spíš tak, že uživatel klikne na odkaz v e-mailu, který dostal, nebo načte QR kód nebo přinejhorším opíše nějakou webovou adresu.
Certifikační autorita nevydává certifikáty na IP adresy, ale na jména.
Stávající HW, co HTTPS neumí, mohou lidé klidně nastavovat stávajícím prohlížečem, který umí HTTP. Ale není důvod, proč by to tak mělo být i za deset let. A pokud tou dobou někdo pořád bude mít zařízení, které se bude konfigurovat přes HTTP, není žádný důvod, aby ten protokol podporoval běžný webový prohlížeč určený pro práci na webu. Některá zařízení se i dnes konfigurují přes telnet, SSH nebo třeba přes sériový port, a neznamená to, že tohle všechno musí podporovat webový prohlížeč.
-
j (neregistrovaný)
To by me jirsak zajimalo, jak vydas certifikat (klidne na dns) kdyz netusis, kdo a kam to zarizeni pripoji ... celkem by me zajimalo, jak budes resolvovat 987hjasawd787.router.cisco.com na 192.168.4.79, protoze exaktne na to jmeno je vydanej cert ...
Mluvis predpokladam o tom stavajicim i budoucim HW (predevsim pak o IOT), ktery https umi, jen holt ho nekdo navrh pred 1/2 rokem, kdy jeste sha1 nikomu nevadilo ...
-
Varianta č. 1, pravděpodobnější: zařízení se připojí do domácí sítě a ohlásí se routeru, že je tu nové a přeje si býti nakonfigurováno. V rozhraní routeru (něco jako Amazon Echo, Google OnHub, Apple Home – můžete hádat, proč zrovna tyhle firmy najednou řeší domácí routery) uvidíte, že máte v síti nové zařízení, třeba „webkamera D-Link 999L“. Zadáte PIN ze štítku na kameře, čímž se autorizujete, povolíte zařízení přístup do sítě, pojmenujete ho, umístíte ho na plánku, a pak případně budete pokračovat jeho konfigurací. V okamžiku „povolíte přístup do sítě a pojmenujete ho“ ten router vytvoří certifikát pro to zařízení a pošle mu ho spolu s dalšími údaji o síťové konfiguraci. Certifikát router uloží do DANE, takže ani není potřeba řešit certifikační autoritu. A nebo ta komunikace může jít vždy přes router a autentizaci si zajistí router, a klidně pak ta komunikace se zařízením může jít přes SSLv2 a MD5 certifikát a router to přeloží do něčeho, co bude ochoten akceptovat uživatelův prohlížeč.
Varianta č. 2, kterou se budou snažit prosadit ti výrobci zařízení, kteří nebudou mít vlastní domácí routery: certifikát se vystaví na 987hjasawd787.router.cisco.com, buď přes ACME, nebo ho může vystavit intermediate certifikační autorita Cisca. Až se router někde připojí do internetu, oznámí svou interní IP adresu, která se nastaví do toho DNS záznamu, a stáhne si příslušný certifikát. Jediný „problém“, že podle RFC by IP adresy z privátních rozsahů neměly být ve veřejném DNS, ale Ciscu to nikdo vyčítat nebude, případně se to RFC změní na těch pár let, co ještě budou mít domácí zařízení běžně privátní IPv4 adresu. Nevím, zda už některý z poskytovatelů služeb dynamického DNS umožňuje ověřit pro ACME certifikát, pokud ano, můžete si to takhle udělat hned zítra.
Varianta č. 3, která se používá už dnes – k zařízení se připojujete přes nějaký portál myvyrobcezarizeni.com, hostname je pořád stejné, takže na něj má certifikát výrobce toho zařízení. Zařízení komunikuje s tím portálem nějakým interním protokolem, když chcete něco nastavit třeba na NASu, jde příkaz na cloud poskytovatele a zase zpět do vaší sítě. Je to padlé na hlavu, ale IPv6 je zlé ošklivé a NATy vládnou světu, takže máme, co jsme chtěli.
-
j (neregistrovaný)
Jo, tovizejo a vsichni vyrobci na planete se dohodnou na jednotnym zpusobu distribuce certifikatu, a vsechna zarizeni budou podporovat vsechny algoritmy ... pricemz ten router sam se nakonfiguruje telepaticky a bude se (sam) co tri mesice vymenovat jak HW tak SW za novej (a totez zaridi u vsech krabek v dosahu), to aby podporoval i vsechny budouci algoritmy a certifikaty ... lol
-
j (neregistrovaný)
Nevsim sem si, ze by se kameny tabulky vyradily z provozu behem 1/2 roku, stejne jako sem si nevsim, ze by sme je i po ticisich let neumeli precist (naprozdil od tech papyru, ktery davno shnily). Zato sem si vsim, ze data stari sotva 20 let uz precist neumime, protoze jednak neexistuje HW (a to je jeste ten mesi problem) druhak uz nikdo nezna format.
Mam tu 3 roky starou telku, asi bych ji mel zahodit ... https totiz jaksi neumi. Jo, ma i webovy rozhrani ... a tu novou (ktera https nebude umet taky) muzu rozslapat hned v krame ... jo aha, ono je mi uplne u rite jestli to https umi nebo ne, protoze kvuli tomu si to nekupuju, pouziju to mozna jednou pri nejaky konfiguraci.
-
j (neregistrovaný)
2Heron: treba takovy cisco ... ma bydefault hned dve moznosti ... seriovou linku, kde budes resit problem s tim, ze soudruzi seriovy porty zrusili a zadna usb redukce nefunguje jak ma (takze bezne nosis tak 3-4, a testujes, ktera se chytne tentokrat). nebo ... voiala ... telnet. Naprosto nesifrovanej textovej protokol ... katastrofa, je treba to hned vsechno nechat sesrotovat.
Nebo treba ... skladovy systemy. Nejmin polovina toho co sem kde videl pouziva ... taky telnet. Skladnik ma nejakej pomerne blbej terminal ... a ten ani HW nic jinyho neumi. Ovsem takovej terminalek vpohode stoji neco mezi ... 50 - 150k (ono se totiz ceka, ze v tom sklade neco vydrzi). Vyhodit, okamzite ... nesifruje to.
Nebo ... lol ... pred mesicem zprovozneny osvetleni ... komunikuje to bezdratove, v kazdy lampe je chip za 10Kc ... a ... pouziva to nejakou formu defakto sms - ciste text. Okamzite rozflakat ...
-
To už záleží na každém soudruhovi, jestli považuje za jednodušší zadat do prohlížeče
kamera-garážnebo3ffe:1900:4545:3:200:f8ff:fe21:67cf. A jestli mu připadá jednodušší hledat v nastavení routeru IP adresy připojených zařízení a hledat mezi nimi ten nový NAS, nebo jestli je jednodušší si prostě jen vybrat ze seznamu zařízení podle jejich výrobce a názvu.
ČLÁNKY DO MAILU