Názory k článku GoDaddy vydal 8951 certifikátů bez správného ověření
-
Ondřej CaletkaZlatý podporovatel -
j (neregistrovaný)
To prece neni pravda, ten model je uplne uzasne genialni, ze se vymejslej jeste genialnejsi veci jako HSTS, HPKP ... a spousta dalsic hovadina na tema jak to zmrvit jeste vic....
Nekteri totiz jeste stale nedokazali pochopit, ze bezpecnost nemuze proste zajistovat nejaka treti osoba, ta ji tak maximlane muze zhorsit (pokud fuguje) nebo totalne zborit (coz se deje zcela pravidelne dlouhy roky, jen se o tom ted trochu vic pise).
-
lojzak (neregistrovaný)
@j
PPS
Jako vím, že jsi tady plácal o nějakém pseudosystému fungování TLS, ale to nebylo horší než současný model - méně bezpečné a mimořádně otravné pro uživatele. Já chtěl veďet, jestli jsi od té doby vymyslel něco použitelného a hlavně lepšího.A co se týče kritiky HPKP, tak tam jsi pokud se pamatuju blábolil nesmysly o ohromné velikosti databáze otisků klíčů, ale to jsem ti celkem úspěšně vyvrátil.
-
lojzak (neregistrovaný)
@hugochavez
Ale DANE+DNSSEC nemá (a nikdy ani neměl) nahradit PKI model. Nahradit má jenom DV certifikáty, pro OV a EV budou stále potřeba certifikační autority. A navíc, PKI se nepoužívá jenom pro SSL/TLS.
V současné době je ale stejně DANE nepoužitelný, protože většina domén DNSSEC nemá a ani není uspokojivě vyřešená validace (aby to bylo bezpečné, tak by musel být validující resolver na každém počítači).
Nadávat na PKI model je asi hrozně cool. Ale on funguje celkem dobře. Zase tolik problému (v porovnání s množstvím vydávaných certifikátu) nebylo.
-
Filip JirsákStříbrný podporovatelAby mělo DNSSEC smysl, není potřeba, aby validoval každý koncový počítač. Už když budou validovat DNS resolvery ISP, veřejné DNS resolvery nebo právě certifikační autority, je DNSSEC výrazné zlepšení.
A že by byl DANE bez DNSSEC nepoužitelný – certifikační autorita při ověřování DV certifikátů nedělá nic jiného, než prohlížeč. Položí DNS dotaz, a když daná doména nepoužívá DNSSEC, tak prostě věří odpovědi. Jediný rozdíl mezi certifikační autoritou a prohlížečem je ten, že certifikační autorita je k internetu připojena důvěryhodněji než je v průměru připojen webový prohlížeč, a že ty DNS dotazy může udělat z několika nezávislých sítí, což prohlížeč obvykle nedělá.
PKI model funguje dobře, co nefunguje je model DV certifikátů, kde certifikační autority zaručují něco, co z principu zaručit nemůžou, a dělají to jen s důrazem na co nejnižší náklady, takže se v systému vyskytuje velké množství prapodivných autorit. Takže PKI modelu výrazně prospěje, až se DV certifikátů konečně zbavíme a zůstane jen menší množství důvěryhodných autorit, které vydávají skutečné certifikáty (tedy OV a EV).
-
Filip JirsákStříbrný podporovatel
Z toho, že existují špatné certifikační autority, neplyne, že je špatně celý koncept certifikačních autorit. Když máte nůši jablek a jedno je nahnilé, neznamená to přece, že od teď přestanete jíst jablka. Spíš jenom to jedno nahnilé vyhodíte.
-
hugochavez (neregistrovaný)
ad...špatné certifikační autority, neplyne, že je špatně celý koncept certifikačních autorit...
Jestlize jsou spatne CA uz z principu designu soucasti konceptu, tak ano-pak je spatne cely koncept.
ad jabka
Mas velkou misu bonbonu, jsou pestrobarevne zabale a slibuji nevsedni chutovy zazitek.
Ovsem 3-4 z nich jsou prudce jedovate - nabidnes si??
Obzvlast kdyz vedle ty misy uz lezi par mrtvol....?? -
Filip JirsákStříbrný podporovatel
To byste měl vysvětlit, jak to, že jsou špatné CA z principu designu součástí konceptu. Vás něco nutí těm špatným CA důvěřovat?
Ad mísa bonbonů – ty 3–4 prudce jedovaté vyhodím. To vás nenapadlo?
Možná je problém v tom, že nevíte, že model PKI nikomu nepřikazuje, jakým autoritám má důvěřovat, naopak je to z principu volba každého uživatele.
-
Lol Phirae (neregistrovaný)
Ad mísa bonbonů – ty 3–4 prudce jedovaté vyhodím. To vás nenapadlo?
A poznáš je tak, že tam leží kolem nich mrtvoly. To je super koncept.
Vás něco nutí těm špatným CA důvěřovat? ... model PKI nikomu nepřikazuje, jakým autoritám má důvěřovat, naopak je to z principu volba každého uživatele.
Tak určitě, že to ale funguje, ta volba. Tys sem asi spadnul z Marsu a ještě v životě neviděl reálný OS nebo prohlížeč, viď.
-
Filip JirsákStříbrný podporovatel
Poznám je tak, že poznám ty ověřené, a ostatní mne nezajímají. Bavíme se o modelu PKI, ne o tom, jak je to implementováno v nějakém prohlížeči. Klidně můžete mít prohlížeč, kde budete mít po instalaci seznam důvěryhodných autorit prázdný. A bude to pořád stejný model PKI. Takže problém není v tom modelu.
-
lojzak (neregistrovaný)
@Lol Phirae
No vidíš, nakonec ses sám dobral k tomu, že PKI model není špatný a vina je na straně aplikací/OS při výběru které CA budou důvěryhodné by-default.
A kromě toho, některé věci které bývají prezentovány problém PKI ve skutečnosti s PKI vůbec nesouvisí. Tak například nedostatečná důvěryhodnost DV certifikátů. V modelu PKI se o tom (a vůbec ani o jiných metodách ověření) vůbec nemluví.
-
hugochavez (neregistrovaný)
@Lojzak
"....by musel být validující resolver na každém počítači...."
To by klidne moh' dnesni HW by s tim problem nemel-staci nainstalovat Unbound a ten ma vsechno co potrebujes. Dnesni i mobilni HW je vykonnostne o nekolik levelu dal nez pred par lety byly desktopy.
ja na svym routeru Unbound provozuju a 1Ghz CPU to nijak nevytezuje, osobne si myslim ze na mobilnim zarizeni vic demoluje baterku hromada sracek kterou ti kazda webka natahuje do browseru nez byti sosal vlastni resolver.Nadávat na PKI model je asi hrozně cool. Ale on funguje celkem dobře. Zase tolik problému (v porovnání s množstvím vydávaných certifikátu) nebylo.
Tak to mame asi kazdej "prah bolesti" posunutej nekde jinde.
Znas to prislovi: retez je tak silnej jak silnej je jeho nejslabsi clanek?
Jeto presnej popis PKI. A tech slabejch clanku ktery praskly bylo za poslednich par let opravdu hodne. A v nekterejch pripadech sem si i jistej ze to i lidi stalo zivot napr. kdyz Diginotar vystavil iransky vlade "duveryhodny certifikat" pro Google, FB a ja nevim koho jeste a vlada si pak zacla hrat na MitM pro veskerej trafik jdouci ze zeme....
To ze si o tech pruserech neslysel neznamena ze se nestaly.Muzu tito vysvetlit i polopaticky=vystaveni certu je dost podobny jako kdyz si jdes nechat vystavit pas.
Baba v okynku zkontroluje tvoji fotku, tvuj "background" + ID a pak ti vystavi "duveryhodny certifikat" za Ceskou republiku, kterymu veri vsude po svete. Pokud ta baba udela chybu a vystavi pas danyho ID na jinej xicht/subjekt prijde o cast platu, mozna o misto, kazdopadne kdyby to delala opakovane pude do kriminalu.
V pripade CA nic takovyho nehrozi- certy od evidentne fake autority "se nechaj dobehnout" (viz nedavnej Wosign-a to jeste pokud se na to vubec prijde) mozna (ty cinsky) babe pak zavrou to vokynko (ale nemusi viz Symantec co vydal "omylem testovaci" certy pro Google) abys zjistil ze za mesic sedi o kus dal v jinym okynku s jinym ucesem a prodava ty samy sracky.
Navic ti -tak jak je PKI navrzeno- v tom okynku klidne vystavi nejen "duveryhodny" pas cesky republiky ale treba Somalska ci spojeneho kralovstvi Fejsbuukoveho..... A vsechno je jen otazka ceny.
BTW ty Cinani do tech vydavanejch certu udajne vkladali i reklamu, coz celkem ilustruje jakej "vztah" k cely ty slavny PKI maj :-)))) -
hugochavez (neregistrovaný)
Jeste dodatek k tematu
https://en.m.wikipedia.org/wiki/Moxie_Marlinspike#Solutions_to_the_CA_problem
odstavec "notable research" je zajimavej
+ https://en.m.wikipedia.org/wiki/Convergence_(SSL)
mozna ze resenim pro "domeny a jejich klice" by bylo neco na zpusob https://en.m.wikipedia.org/wiki/Namecoin mozna to vyresi nejaka implementace pomoci https://en.m.wikipedia.org/wiki/Ethereum to ukaze cas, kazdopadne PKI se budou snazit zuby nehty udrzet vsichni ti vandraci co z toho profitujou +tajny sluzby protoze nepochybuju ze pulka tech "verohodnych" CA jsou jejich filialky. -
ebik (neregistrovaný)
Zde musim s @hugochaves souhlasit:
soucasne pouziti PKI je takove, ze kterakoli autorita ti smi vystavit certifikat, vcetne WoSignu, Diginotary, Symantecu a dalsich. A ty v defaultu neoverujes ktera autorita to byla. A pokud budes pro konkretni oblasti vyzadovat konkretni autority (jako treba v DNSSEC je tvoji "autoritou" spravce domeny), tak je pak PKI jaksi principielne zbytecne. PKI je rozhodne lepsi nez, nic. Na druhou stranu mi pripada, ze o proti tomu, ceho bychom chteli dosahnout, je to skoro nic. Castecne je to take dano, tim ze je PKI preuzivane. To je stejne jako s Captcha. Ta uz take funguje spatne, mimo jine i proto, ze je velmi casto vkladana na mista kde by vubec potreba nebyla, a tim je vyrazne vyssi tlak na jeji obejiti.
-
Filip JirsákStříbrný podporovatel
ebik: To jste ale nepochopil princip PKI, resp. jste ho otočil naruby. PKI vůbec neřeší, kdo komu může vystavit jaký certifikát. Já si klidně se svou soukromou autoritou můžu vystavit certifikát na vaší doménu nebo vaše jméno, a vy s tím nic neuděláte, ani se to nikdy nedozvíte. Princip PKI je ale úplně opačný, neřeší kdo komu vystavuje certifikát, ale který koncový uživatel věří které autoritě. Takže já se rozhodnu, že Symantecu věřit budu a WoSignu ne. A pak je mi úplně jedno, jaké certifikáty WoSign vydává.
Že je PKI nadužívané je částečně pravda, mohou za to právě DV certifikáty, které vznikly jako způsob,jak obejít nedostatek DNS protokolu, a pak se rozšířily jako rakovina. A dnes se jich budeme horko těžko zbavovat – už sice máme DNSSEC a DANE, takže technicky už žádné DV certifikáty nepotřebujeme, ale místo abychom se jich rychle zbavili, vznikne Let's Encrypt, který jejich vydávání ještě více usnadní. Na druhou stranu, PKI je zároveň podužívané, protože třeba některé české banky používají OV certifikáty – přitom kde už jinde bych měl na první pohled vidět, s jakým subjektem komunikuju. (Ano, můžu si to dohledat v certifikátu, ale kdo to dělá?) Samostatnou kapitolou jsou pak certifikáty mimo TLS, např. podpisové certifikáty – ČR byla průkopníkem v zavádění elektronického podpisu v legislativě, ale od té doby vymýšlí neuvěřitelné skopičiny,jenom aby se používání certifikátů vyhnula.
-
ebik (neregistrovaný)
Hmm, tak jsem si schvalne otevrel wikipedii, co mi rekne o PKI, abychom se nebavili o voze a o koze. Pokud tedy pod pojmem PKI myslis proces overovani a nasledneho vystaveni certifikatu, tak v tom problem nevidim.
Pokud ovsem pod pojmem vidis to s cim se v beznem zivote setka bezny uzivatel - tedy, ze je seznam (certifikatu) toplevel CA, ve kterem jsou si vsechny rovny. Nasledne (v defaultu) vsechny certifikaty, u nichz existuje retez podpisu k jedne (libovolne!) z techto CA, se povazuje za duveryhodne, takze je to mas/nemas (zaplatpanbu tu mame horkou novinku - uz jsou tri stavy: mas EV, mas OV/DV, nemas). Takze beznemu utocnikovi staci na provoz MITM proxy sehnat certifikat (staci DV) od libovolne CA, a jede se. Ze byl web puvodne podepsany EV certifikatem? Nevadi, pokud si toho uzivatel vsimne, tak vetsi misto na zadani URI bude povazovat za feature. Ze to neni PKI? Pak rikate, ze soucasny problem s duveryhodnosti certifikatu PKI neresi.
-
Filip JirsákStříbrný podporovatel
PKI opravdu neřeší, kterým certifikačním autoritám bude uživatel důvěřovat. Když bude mít ve výchozí instalaci webového prohlížeče nebo operačního systému dlouhý seznam „důvěryhodných“ autorit, když budou kritéria pro ten seznam mnohem přísnější, když bude na začátku prázdný nebo když si uživatel bude muset při instalaci vybrat, které autority tam chce, je to pořád stejný model PKI. Takže problém není v tom modelu, problém je v tom, jak se dnes běžně používá. A tedy nemá smysl tvrdit, že PKI je k ničemu (když stejně nic lepšího nemáme), ale má smysl se zabývat tím, jak PKI používat rozumně.
-
Filip JirsákStříbrný podporovatel
Hlavně certifikáty nejsou jen na doménová jména – naopak certifikáty na doménová jména jsou nesmysl, protože certifikační autorita zaručuje něco, co z principu zaručit nemůže. Doménová jména se mají ověřovat přes DNS, to je jediná racionální možnost.
-
Filip JirsákStříbrný podporovatel
Jenže mi se tu nebavíme o SSL certifikátech, ale o infrastruktuře veřejných klíčů a certifikačních autorit. SSL certifikáty tvoří jen část tohoto problému, přičemž velkou část SSL certifikátů tvoří DV certifikáty – a ty vůbec nemají být certifikáty, doména se má ověřovat přes DNS. Jinak pokud si někdo chce hlasovat o tom, který veřejný klíč komu patří, ať si o tom klidně hlasuje – mně je to jedno, já stejně budu důvěřovat důvěryhodné certifikační autoritě a bude mi úplně jedno, co si o tom myslí hlas lidu.
-
j (neregistrovaný)
Uzivatel nemuze duverovat ZADNY CA, jednoduse proto, ze neexistuje zpusob, jak tu duveru deklarovat nebo omezit. Proto jak sem milionkrat psal, by browser pri zcela libovolnym certifikatu na webu mel tak maximalne drzet hubu, a teprve kdyz uzivatel rekne ze tenhle web chce resit, tak by mu mel umoznit bud ulozit konkretni klic nebo deklarovat duveru konkretni CA ale vyhradne pro ten web.
Jinak je to zcela khovnu.
-
hugochavez (neregistrovaný)
"Model PKI se prezil"-ale model prodeje tepleho vzduchu (po)kvete dal-toci se v tom prilis moc $.
Holt ve stredoveku se ovcim prodavaly odpustky a ted podobna parta vykuku co sama sebe oznacuje jako "duveryhodna autorita" prodava "vericim" iluzi jakehosi bezpeci na internetu :-)))))Jetu nejaky znalec historie? Docela by me zajimal pomer cena za kus vs prijem tehdy a ted = nebyly nakonec ty odpustky tenkrat levnejsi nez dnesni rekneme EVcerty?? :-))
-
Cohen (neregistrovaný)
Mě teda přijde, že je dost tristní, že nemají u tak zásadního procesu dostatečně detailní log/audit na to, aby byli zpětně schopni vyfiltrovat certifikáty, které vydané být neměly. Testovat dodatečně existenci ověřovacího souboru na serverech a podle toho je revokovat, je sice postup, který je pro ně nejbezpečnější, ale vůči klientům je to docela drsné a svědčí to o slušném diletantství GoDaddy. Tedy ne že by to bylo poprvé.
-
j (neregistrovaný)
... zeby $$$$ ....
Zkus si predstavit, ze budu chtit vydavat opravdu overeny osobni certifikaty. A budu to chtit delat pokud mozno bezpecne jak to de. Tudiz se musis dostavit osobne, a minimalne 15 minut se ti musi venovat nekdo na druhy strane. Musi overit tvoji totoznost podle nekolika dokladu, musi idealne nejakym zpusobem overit spravnou funkcnost tvyho tokenu ... a teprve pak muze podepsat tvoji zadost o cert.
Pokud budes chtit cert pro web, tak k tomu jeste pribude dokladovani ze ses opravnenej k dany domene.
15 minut prace mas jen v nakladech rekneme $10. Jenze ty chces, abych zaroven celej proces auditoval, platil vsem pravidelny skoleni, testoval, jestli dodrzujou postup ... takze $50.
A ja chci vydelat, takze za ten cert ty zaplatis nejmin $100. Jenze sme porad u toho, ze za tyhle prachy tam bude sedet tak mozna chytrejsi orangutan.
Vysledek pak bude ten, ze sice budes mit paradni cert vydanej opravdu jak se patri, ale tem co lezou na tvuj web je to naprosto u rite.
-
Cohen (neregistrovaný)
Já o voze a Vy o koze. Naprosto netuším, kde jste přišel na to, že jsem kritizoval proces ověření serveru/zakazníka. Ten je standardní (tak, jak měl fungovat) a asi nikdo neočekává, že ho bude GoDaddy rozšiřovat nad rámec doporučení. Psal jsem, že měli mít takové záznamy, které by jim umožnily ta vydání zpětně revidovat. To je vše.
-
Ondro (neregistrovaný)
To j:
No a o com to potom cele je?O nicom, bez ohladu aku technologiu vymyslia. Cele je to o dovere a technologie su len prostriedkom, nie tym, na com to stoji. Aka je asi moja dovera v akukolvek cert. autoritu po vsetkych tych odhalenych veciach v poslednej dobe? Blizi sa k nule. Bez tych afer by tiez nebola extra vysoka.
Co, ze mi napriklad Firefox zobrazi symbol zelenej kladky a vypise, kto overil danu domenu. To nijako nepomaha mojmu pocitu bezpecnosti. Je mi to u rite ako pises a ani neviem aka technologia to nezmeni. Toto by mali pochopit vsetci zainteresovany. BFU to bude stale jedno a cloveku znalemu musia byt jasne obmedzenia celeho tohto systemu a bude mu to tiez viac menej jedno. Je to o zdravom rozume a viere, lebo 100% istota je len iluzia.Ano je to o $$$$, je to o predaji lacnej doveryhodnosti. O nicom inom.
Rovnako a este horsie je to v beznom svete a tam nikto neplace a nevedie siahodlhe diskusie o tom ake slabe a nedokonale je overovanie identity.
-
j (neregistrovaný)
Jenze to bezpecny ani bejt nemuze ani kdybys to bezpecny mit chtel, treba jen sam pro sebe. Protoze je to cely rozbity. Kdybys ty sam chtel bezpecne pristupovat k jedinymu webu, tak to nejses schopnej realizovat, minimalne ne dokud si nenapises vlastni browser.
Proto jak sem uz tisickrat psal, jen naprostej nesmysl soucasny chovani browseru, ten by proste zcela bez ohledu na pouzitej cert mel drzet hubu, protoze bezpecnost ssl spojeni je presne stejne zadna, jako bezpecnost bez ssl.
-
NULL (neregistrovaný)
To není pravda - nevleze ti tam každý janek který buď neumí okno rozbít nebo na to nemá koule (rámus, divnější na svědky - při projítí dveřmi si toho moc lidí nevšimne narozdíl od lezení do okna, celou dobu bude rozbité okno a někdo to může začít řešit na rozdíl od odemčených a zase zavřených dveří, navíc už jenom porušením okna či dveří zanechá stopy - od použité metody, otisků možná, nářadí, doby - hned zjistit že tam nědo byl, rámus - svědci -> čas -> okolní kamerové záznamy & svědci . . . . )
A i kdyby nic z toho co jsem napsal - jaký je tedy smysl takových příspěvků? Nezamykat se? Ty si nezamykáš sví skvělé kolo i když může přijít profík a i tak ti ho sebrat?
-
Ondro (neregistrovaný)
Ano zamykám si bicykel skoro vzdy s vedomim, ze tym odradim, len "nahodne okoloiducich" aby mi ho ukradli. Ozajstneho zlodeja to nezastavi a tak vzdy prichadzam k bicyklu s obavou, ci je tam, kde som ho nechal.
Nezamykam si ho len tam, kde viem, ze mi ho tam ukradne len ozajstny zlodej, ktory ide na istotu. Je to tam, kde ludom doverujem.Je to zly priklad, lebo tu som odkazany naniekoho ineho, ze mi tam tu retaz da. Som odkazany mu verit, ze mi spravne pripevnil(aby mi niekto lahko neukradol predne koleso alebo, ze mi ho nepriviazal k odkvapu namiesto ku stojanu), ze mi ju vobec zamkol, ze vobec pouzil retaz a nielen spagat skryty v gumenej buzirke, ze nedal vedome kopiu kluca niekomu dalsiemu, ze kluc len tak nepohodil na stol a tak k nemu moze mat pristup ktokolvek,.....
Zmysel takych prispevkov je v tom, ze upozornuju nato, ze fungovanie a presadzovanie niektorych veci je nezmyselne, zle, zbytocne,...
-
NULL (neregistrovaný)
Ne, vydavatel certifikátů je v jakoby výrobce toho zámku na kolo. Něco garantuje, dá se překonat a občas vydá špatnou séri ať už je to čímkoliv.
Jak už jsem jednou psal: vidím spoustu důvodů proč komunikaci zabezpečit, ale nevidím žádný proč to nedělat - tedy krom obvyklých: mě se to ještě nestalo, nebo napadnout se dá i jinak tak se na to vyser . .e - to si říct u každé kategorie možného vektoru útoku, tak nemusíš zabezpečovat nikdy nic . . . -
Filip JirsákStříbrný podporovatel
To by museli mít uložené komplet odpovědi serveru i s hlavičkami. To už bych nenazýval log/audit, protože to už by měli zaznamenanou skoro celou komunikaci…
Hlavně je ale podle mne chybou považovat to za zásadní proces. DV certifikáty jsou obezlička, která řešila to, že nebylo možné důvěřovat DNS odpovědi. V DV certifikátu autorita potvrzuje, že je někdo držitelem domény, což žádná certifikační autorita potvrdit nemůže, může to potvrdit jen majitel nadřazené domény. A navíc autority ani neověřují, zda je někdo držitelem domény, ale obvykle stačí prokázat, že dotyčný má alespoň nějakou kontrolu nad webovým serverem nebo nad poštovním serverem. Což je ještě o dost slabší tvrzení. U DV certifikátů jde primárně o to, aby byly levné, tudíž jejich ověření musí být co nejjednodušší. Takže je potřeba hlavně nemít o DV příliš velké iluze a doufat, že DV certifikáty brzy zmizí ze světa.
-
ebik (neregistrovaný)
No, tady je zásadní, že součástí URL byl i ověřovací kód. Pokud by tedy útočník podvrhl odpověď dvakrát, tedy při původním ověření a i při kontrole. Tak je jedno, že při kontrole už v url ten kód není, když je stejný, jako při prvním dotazu. Takže bych byl opatrný i u těch certifikátů, které dodatečně ověřili, bez účasti žadatele. (Ta neúčast nepřímo vyplývá z tohoto článku. Pokud originální zdroje tvrdí něco jiného, tak mne prosím opravte.)
-
Typicky útočník nepotřebuje podvrhnout komunikaci s CA.* Registrovat se a požádat o ověření libovolné domény může typicky kdekdo. Nicméně to ověření by mělo selhat, pokud doména není moje. Typicky tedy pro takový útok nepotřebuju napadnout komunikaci CA<–>klient a CA<–>server, ale stačí jen jedno z toho. Nenapadá mě scénář, kdy bych jako útočník potřeboval obojí.
Hlavní, co mě tu zaráží, je, že stačilo, aby odpověď *obsahovala* ověřovací kód.
*) Pokud jsem schopen upravit poslané CSR, mohu vyměnit veřejný klíč, takže podepsaný certifikát bude patřit k mému klíči. Akorát je to trochu nápadné.
-
Lol Phirae (neregistrovaný)
Jéééminkote to jsem ale šokován, že další z "důvěryhodných" agentů s teplou vodou selhal.
Mimochodem, po aférce s ssls.cz a opakovaném bezvýsledném upozornění soudruhům na F rating jejich zákaznického webu jsem nelenil a poslal jsem - jakožto poněkud frustrovaný (ex)zákazník - na superhypereuroautorizovanou CA Certum email s upozorněním na to, jak jejich certifikovaný partner nakládá s doménou, kde přeprodávají ty certifikáty a udržují zákaznické účty.
Myslíte, že se někdo ozval? Nasraaaaat, jo nasraaaat.
-
MarSik (neregistrovaný)
Oni to F maji kvuli OpenSSL Padding Oracle vuln. (CVE-2016-2107) - Yes INSECURE. Všechno ostatní mají v pořádku. Tudíž je problém v operačním systému serveru. A co si pamatuju proces, tak na CSR nic moc tajného stejně není. Samotný certifikát se pak stahoval z webu konkrétního vydavatele (ssls jsou jen přeprodejci).
Jejich aférka s Lets Encrypt je pak úplně jiné kafe a email ode mě dostali taky.
