Vlákno názorů k článku Google chce omezit platnost certifikátů na 90 dnů, změna zřejmě přijde brzy od MarSik - Dost by mě zajímalo, jestli někdo mysli na...
-
DannyStříbrný podporovatelZe by se konecne nasadilo IPv6? ;-) Na zabiti argumentu "neni verejna IP" to je relevantni argument - i kdyz samozrejme vim ze v ceste budou dalsi prekazky, pocinaje firewallem na tom routeru.
-
Ok, teoreticky by mohl prohlížeč udělat sken síťových zařízení, vytáhnout si routy a porovnat co kam směřuje. Ale už to není tak jednoduché jako 10/8, 192.168/16, 172.16...
Krom toho, třeba Vodafone (ex-UPC) přiděluje IPv6 pomocí DHCPv6. Ale nejspíš to bude mít podobný vzor.
Každopádně se ta logika komplikuje.
-
Dost by mě zajímalo, jestli někdo mysli na domácí uživatele.
Dovolím si kacířskou myšlenku: skutečným motivem podobných opatření vůbec není bezpečnost, to je spíš záminka a PR. Ve skutečnosti je to spíš snaha o větší "industrializaci" oboru, tedy potlačení DIY řešení a malých hráčů. Ideálem je dosáhnout podobného stavu, jaký už v podstatě máme u e-mailu, kde provozovat vlastní MTA je jen pro silné nátury a pro malou firmu je to pořád ještě zatraceně těžké, aby to nějak ekonomicky fungovalo, takže je skoro každý nucen koupit nebo pronajmout komerční řešení od velkých hráčů. Teď je tu holt snaha dosáhnout téhož i u webu.
A co se týká těch domácích krabiček, tam už to stejně delší dobu směřuje k tomu, že místo toho, aby se s nimi komunikovalo přímo, krabička i vy se připojíte na nějaký server výrobce, jakkoli je to absudní, když jste ve stejné lokální síti. (A nezřídka to ani nejde ovládat přes webové rozhraní, jen přes "apku".)
11. 9. 2024, 08:35 editováno autorem komentáře
-
...místo toho, aby se s nimi komunikovalo přímo, krabička i vy se připojíte na nějaký server...
Tak tohle je presne ten duvod, proc u kazdeho access pointu menime firmware. Kvuli tomu jsme museli opustit TP link, protoze ty od jiste verze nesly preflashovat. Nastesti Ubiquiti jde preflashovat, takze jsme presli na Ubiquiti. -
Michal ŠmucrBronzový podporovatel
Přesně to mě taky hned napadlo. Hlavně u tohoto typu zařízení, kde výrobce třeba zapomene na nějaký rozumný fallback mechanismus pro alternativní přístup k administraci, pokud vyprší platnost certifikátu. Například když zařízení bude z jakéhokoliv důvodu offline (ať už úmyslně, nebo nějakou špatnou konfigurací) a prostě se nepovedou aktualizace.
Věřím, že nějaký zkušenější uživatel s tím třeba poradí, dostane se tam browserem, kde to půjde ignorovat atp. Ale když vidím okolo sebe uživatele, kteří ani nemají počítač a vše řeší hybrid appkami na tabletu a telefonu, které používají nějaké integrované web view ze systému. Těm se v horším případě nestane nic, v lepším případě tam bude někde půlmilimetrovým písmem hláška ERR_CERT_INVALID.Ne že by tam už teď nemohl tenhle problém nastat (už jsem něco podobného viděl), ale s navrhovaným zkrácením platnosti se může výskyt ještě násobit.
Navíc mi to obecně přijde v tomhle typu zařízení jako další zbytečný time bomb a jen to zvýší závislost na podpoře od výrobce, případně zkrátí životnost toho zařízení, pokud už poskytovaná nebude. -
Filip JirsákStříbrný podporovatelTohle ovšem není chyba certifikačních autorit, nýbrž tvůrců routerů (a ISP). Podle mne by každý domácí router měl mít funkcionalitu ACME proxy, tj. měl by umět protokolem ACME zajistit vystavení certifikátů pro zařízení ve vnitřní síti (zařízení by komunikovalo ACME protokolem s routerem, ten by ACME protokolem zajistil vystavení certifikátu u zvolené CA).
K tomu by to ještě chtělo, aby ISP delegoval svým zákazníkům nějakou doménu 3. či 4. řádu, kterou by obhospodařoval právě ten domácí router. Takže uživatel by doma používal tyto DNS názvy (typicky jen hostname, zbytek by doplnil router). Je smutné, že se v roce 2024 pořád považuje za normální, že domácí uživatel bude používat IP adresy pro přístup ke svým zařízením.
Dříve takhle ISP poskytovali e-mailovou schránku nebo malý prostor na webhosting, takže poskytovat takhle doménu by nebyla zas až taková novinka a bylo by to užitečné.
-
Filip JirsákStříbrný podporovatel
Zkuste komentář, na který reagujete, dočíst až do konce. Nebudete se pak ptát na věci, které jsou tam vyřešené.
-
DannyStříbrný podporovatel
Nemate, viz komentar nize ;-) To je teoreticke plkani, ktere by v praxi nefungovalo. Nebo fungovalo stejne dobre, jako CRL.
-
DannyStříbrný podporovatel
A jinak to s DNS je absolutni blbost, to fakt nikdo delat nebude. A buhvi jak by to fungovalo. Ono staci vzpomenout, jake problemy dost casto maji i jen blbe interni resolvery - a to i u velkych ISP. Predstava, ze budou provozovat rozumne fungujici infrastrukturu s rozumne bezpecne fungujicimi dynamickymi updaty.... je detinska ;-) Ale nic vam nebrani takoveho ISP provozovat a svetu predvest, ze to jde...
-
Filip JirsákStříbrný podporovatel
Mohl byste používat jen hostname (bez celé domény) a nechat DNS resolver doplňovat název domácí domény. Navíc na domácích zařízeních asi moc odkazů v interních konfiguracích nemáte. Pokud má někdo složitější domácí síť, použil by svou doménu (kterou takoví lidé obvykle stejně mají).
-
DannyStříbrný podporovatel
No, to vam nebude fungovat ani v tom prohlizeci. Kdyz tam zadate jedno slovo (aka hostname), tak vas to instantne prehodi na vyhledavac 🤣 Ach tyhle teorie....
-
Filip JirsákStříbrný podporovatel
Příště si to radši nejdřív vyzkoušejte, ať nepíšete takové nesmysly.
-
DannyStříbrný podporovatel
Ja to vyzkousene mam. Chrome i Firefox minimalne na Linuxu instantne provede presmerovani na preferovany search engine a o DNS lookup se ani nepokusi. Pletete si prohlizec s prikazovou radkou - tam to funguje, ale tu bezny franta uzivatel nepouziva, ze? :-)
-
Filip JirsákStříbrný podporovatel
Mně Vivaldi na Windows posílá normálně dotaz na DNS server, i když do adresního řádku zadám jen hostname, bez domény.
-
DannyStříbrný podporovatel
Fajn, takze jste si nasel prohlizec se statisticky zanedbatelnym poctem uzivatelu (a to i proti Firefoxu, ktery je na tom bidne, ale zdaleka ne tolik) a tim argumentujete 🤣
-
V desktopovém Firefoxu jdou takovýhle věci přepnout na původní chování:
https://www.reddit.com/r/firefox/comments/re99w3/what_is_with_firefox_war_on_intranetslocal_domains/Bohužel Firefox pro Android už odstranil about:config, takže je na pokročilejší věci nepoužitelný a lidi přechodem na majoritní Chrome o nic nepřijdou :'-(
-
Jirsak ma pravdu, ale chce to splnit bud vypnut vyhladavanie pre adresny riadok, alebo zadat http(s)://hostname pretoze inak browser nevie o tom ze ma ist na hostname, rovno to da vyhladavacu. Ano pouzivam vivaldi a vyskusal som si to aj vo firefoxe a nedalo mi nainstaloval som si aj chrome a spravanie je rovnake ....
-
Tohle není pravda.
Já mám v práci na PC nastavený v resolv.conf "search" a v prohlížečích Firefox i Chrome mi jednoslovné názvy krásně fungují.
Dokonce jsem si to kdysi zkoušel odchytávat: prvně DNS dotaz na jednoslovný název, pak dotaz na název s připojenou search částí a teprve potom Google či jiný search engine.
-
Názor zajímavý, ale co provedení?
http01 asi nepůjde, protože NAT, a jak docílit vystavení výzvy přes dns01? Navíc na nějaké .local doméně, která je rezervovaná s tím, že se nesmí objevit na internetu, podobně jako jisté rozsahy IP adres...
Domácí router s ACME proxy by musel mít buď veřejnou IP (kvůli http01) nebo přístup k modifikaci DNS nějakého poskytovatele, což asi úplně běžně nechce žádný poskytovatel, snad kromě dynamicDNS systémů...
-
Filip JirsákStříbrný podporovatel
Právě že by to nebyla žádná .local doména, ale normální veřejná doména. Pokud někdo nemá svojí, dostal by nějakou doménu třetího či čtvrtého řádu od svého ISP. A tuhle doménu by ISP delegoval celou klientovi, takže ten by si tam pak mohl vytvářet záznamy dle libosti. Dělal by to skrze domácí router – když by připojil nové zařízení, na routeru by mu dal název a router by to vypropagoval do té domény. Ať už pomocí DDNS nebo nějakým nově vzniklým protokolem.
-
DannyStříbrný podporovatel
S temi certifikaty by to porad nefungovalo, Protoze certifikat je na FQDN a cele hostname s domenou 3/4 radu by fakt nikdo nevypisoval. Plus je tam problem s tim vyresit funkcni (a bezpecne) delegace... zrovna DDNS udelat bezpecne v "large scale" fakt zadna legrace neni. Predpokladam ze s tim jen teoretizujete ;-)
-
DannyStříbrný podporovatel
Ano, ja vim ze protokol existuje... ale udelat to bezpecne - tak aby jeden klient treba nemohl menit zaznamy jineho klienta uz zas tak trivialni neni - krom jineho to chce TSIG nebo TLS klic pro kazdeho klienta (router) a prislusne omezit prava, kam ktery klic muze zapisovat... a tam uz jen vyreseni jejich distribuce nebude uplna stouracka v nose ;-) Ono u podobnych vykriku se na bezpecnost rado zapomina...
-
Filip JirsákStříbrný podporovatel
Omezit to, aby uživatel mohl aktualizovat jen své DNS zóny, umí každý poskytovatel DNS služeb. Zas taková věda to není.
A co se týče autentizace – ISP musí vědět, kterého klienta do své sítě pustit a kterého ne, kterému povolit jakou rychlost, komu má účtovat přenášená data. Takže identifikovat klienta umí ISP také docela dobře.
Technicky to není žádná raketová věda. Dalo by se to ohackovat se současnými protokoly, dá se pro to navrhnout nový protokol (třeba pro tu aktualizaci DNS z routeru by se asi hodilo vytvořit něco založené na HTTPS, než to řešit skrze DNS protokol).
Jediný problém je v tom, že by bylo potřeba, aby to začali podporovat ISP (alespoň nějaké kritické množství) a výrobci routerů (alespoň nějaké kritické množství).
Na druhou stranu, současný stav, kdy se tváříme, že mají uživatelé doma normálně používat IPv4 adresy, je ostuda. A s rozšířením IPv6 to bude ještě horší, protože na jednu stranu se (správně) říká, že není potřeba používat IPv6 adresy, protože máme DNS – pak ale musíme dát uživatelům nástroj, jak to DNS opravdu používat (i v SOHO sítích).
Mimochodem, pokud se toho nechytnou výrobci routerů a ISP, chytnou se toho Google a Apple, zakomponují to do svých zařízení pro chytrou domácnost – a pak zase všichni budou brečet, že Google a Apple mají všechno, jdou přes ně všechna data a jsou na nich všichni závislí.
-
DannyStříbrný podporovatel
TL;DR mnoho "teorii" a nulova provozni praxe... mozna byste mel zacit uz u toho, jak ISP "overuji" ty klienty...
-
Filip JirsákStříbrný podporovatel
Pro domácího uživatele by to mělo ten přínos, že by používal normální názvy, kterým rozumí, ne nějaké divné IP adresy. Na NAS by se připojil pomocí https://nas, na tiskárnu přes https://tiskarna apod.
Certifikát zajistí to, že nebudete muset v prohlížeči potvrzovat varování, kterým nerozumíte. Do budoucna to, že se s prohlížečem vůbec na domácí zařízení dostanete.
-
DannyStříbrný podporovatel
Tohle v prohlizeci take failne, certifikat se SubjectAltName bez FQDN vam nikdo nevyda. A prohlizec (kdyz uz teda uzivatel vypise cele URL vc. toho https://, coz ale fakt bezne delat nebude) opet vyhlasi chybu, ze domena nesedi...
-
Filip JirsákStříbrný podporovatel
Ano, to máte pravdu, že prohlížeč se celé jméno nedozví, takže přes SNI posílá jen tu část, co zadal uživatel, a bude proti tomu validovat certifikát. Takže v současné podobě by to nefungovalo. Nicméně i to by bylo technicky řešitelné, aby prohlížeč znal tu lokální doménu a doplňoval ji sám.
-
DannyStříbrný podporovatel
Technicky resitelne je i DANE. Ale to se za tech cca devet let jaksi take nezvladlo. Tak kolik davate tomuto? ;-)
-
DLNA je pro TV a chytré krabičky, pokrývá video, hudbu a fotky. Pokud chcete soubory obecně, tak s těmi pracujete pravděpodobně na chytřejších zařízeních, kde máte více možností. Např PC - na mobilech se stejně nedá moc pracovat se soubory, i na Androidu zlobí asociace a "otevřít v app", o iOS nemluvě.
11. 9. 2024, 12:47 editováno autorem komentáře
