Vlákno názorů k článku Google chce omezit platnost certifikátů na 90 dnů, změna zřejmě přijde brzy od Lochneskometr - https://www.root.cz/zpravicky/od-1-zari-se-zkracuje-platnost-https-certifikatu-na-jeden-rok/ 1. 9. 2020 9:37 czechsys Stale jsem nikde nedohledal, zda...

Málokdo má doma jenom jeden počítač a nic jiného. Většina lidí má mobil či mobily, a dostat tam self-signed certifikát není snadné. Navíc těch certifikátů asi bude víc než jeden, některé aplikace nepoužívají systémové certifikáty ale mají nějakou vlastní sadu důvěryhodných certifikátů…

Typicky mi v tom brani dane zariadenie, alebo aplikacia na tom zariadeni.

Napriklad Android na mobiloch a tabletoch ma store pre uzivatelske CA. Google vsak zmenil, ako sa pouziva a niektore aplikacie dodnes maju problem s CA, ktora nie je systemova. Existuje kopec postupov pre rootnute telefony, ako to napravit (v podstate nastavit vlastny CA bundle), ale pre pouzivatela s nerootnutnym telefonom je to konecna.

Dalsia kapitola je Android TV. Tam sa vlastna CA neda naimportovat vobec. Vid vlakna na stackoverflow, kde je to "vyriesene" rootom a adb v emulatore :facepalm.

No a uplna konecna je chromecast. Chcem si pozriet foto a video z vlastneho NAS na TV cez chromecast? No, blbe, mas mat verejnu domenu a verejny cerfikat.

Ja tam teda takovy problem nevidim. Pokud chci doma koukat na televizi na film z NASu, tak na domaci siti by nesifrovany provoz vadit nemel. Pokud chci sifrovat filmy i na interni siti, tak bud verejna domena + letsencrypt, nebo selfsigned + raspberry pi.
Pokud nekomu ani jedno z techto 3 reseni nevyhovuje a radsi kazdy rok manualne obnovuje certifikat od verejne CA na NASu, tak mi ho zas tak lito neni, ze to ted bude muset delat 4x.

Nejde o šifrování filmů, ale hlavne o přístup k management rozhraní přes webový prohlížeč. A tam posíláte hesla a úplně nepotřebujete, aby je děti zjistily :)

Za děti si klidně dosaďte malware na něčím zařízení..

Management děláte z PC, takže si můžete udělat jakékoli vlastní řešení a není problém, že do nějakého telefonu nebo krabičky nenarvete svůj certifikát.

To teda je problém. Celkem dost lidí už klasické PC nemá. Celkem dost lidí navíc nejsou IT experti (a přesto mají krabičky .. dneska má web snad i pračka).

Považuju to za problém a názor nezměním jen proto, že já to zrovna umím většinou obejít. Ale takové HP iLO s HTML5+js konzolí už v linksu nezobrazím.

Kdo není IT expert, tak vybírá řešení, které fungují pro BFU. Máme tu např. Apple ekosystém a ta pračka jede přes server venku.

Dokonale reseni, a kdyz se vyrobce dostane na sankcni program a provider to zarizne?

Pozeranie foto, domacich videi - napr. Synology Photos - http, https.

Pozeranie filmov - Jellyfin, Plex - http, https.

Vlastna kniznica - napr. calibre-web - http, https.

Na http browsery prskaju. Https je zase nepouzitelne na mobilnych zariadeniach - konkretne jellyfin sa mi takto nikdy nepodaril rozhodit na AndroidTV; aspon Kodi s Jellyfin pluginom ma sposob, ako podhodit vlastnu CA.

Synology Photos (vystup na Chromecast, na navsteve cez VPN) sa mi nepodarilo rozbehat nikdy. Podarilo sa cez Synology Quickconnect - pretoze ten vytvorit verejny dns zaznam v domene Synology , k nemu Let's Encrypt certifikat a dokonca aj relay cez nat; co je zase zbytocna zavislost na cloudovej sluzbe.

na domaci siti by nesifrovany provoz vadit nemel
Nejde o to, jestli to někde vadí nebo nevadí. Uživatel to v drtivé většině případů neumí rozhodnout (jak je vidět i v této diskusi – doma to může vypadat jako bezpečné, ale pak vám dojde, že mobil hosta na vaší WiFi vám může ukrást heslo k routeru). Prohlížeč to také neumí rozhodnout. Tím pádem se musí šifrovaný provoz používat všude – protože abyste mohl chránit ten provoz, kde je šifrování potřeba, musí prohlížeč vyžadovat a kontrolovat šifrování při jakékoli komunikaci. Jakmile povolíte uživateli schválit nějakou výjimku, bude tohle nejslabší místo.

Ale o to jde a jestli to uzivatel neumi rozhodnout, tak by se do toho nemel poustet, jinak to smrdi dobroserskym "ochranime vas i proti vasi vuli".

Pokud nekdo nema rozsegmentovanou sit a necha pripojit nezname zarizeni (mobil hosta na moji wifi) do interni site, tak ma v bezpecnosti velky problem a sifrovani castecne mitiguje nasledky, ale neresi pricinu.

Jinak ja proti sifrovani i zbytecnosti jako filmy nic nemam, jen si myslim, ze to neni treba za kazdou cenu vynucovat.

Ale o to jde a jestli to uzivatel neumi rozhodnout, tak by se do toho nemel poustet,
Ano, uživatel to neumí (v drtivé většině uživatelů) rozhodnout, takže ho do toho nikdo nemá pouštět a tím pádem je potřeba veškerou komunikaci z prohlížeče považovat za takovou, která musí být šifrována (je potřeba se přiklonit k bezpečnější variantě).

Uživatelé, kteří to rozhodnout umí, si umí poradit i s tím, aby tam byl certifikát, kterému prohlížeč důvěřuje.

Pokud nekdo nema rozsegmentovanou sit a necha pripojit nezname zarizeni (mobil hosta na moji wifi) do interni site, tak ma v bezpecnosti velky problem a sifrovani castecne mitiguje nasledky, ale neresi pricinu.
Za prvé, takhle to má 99 % uživatelů, a ani netuší, co jsou to segmenty sítě. A někteří to rozsegmentované mají, protože jim to tak někdo nastavil, a ani o tom nevědí.

Za druhé, myslet si, že když máte domácí segment sítě, kam pustíte jen známá zařízení, že je tento segment bezpečný, to je také dost „odvážné“.

Jinak ja proti sifrovani i zbytecnosti jako filmy nic nemam, jen si myslim, ze to neni treba za kazdou cenu vynucovat.
Jak jsem psal, pokud to nevynutíte, nejslabším místem bude právě ta uživatelova možnost volby. Jakmile uživatel narazí na chybovou zprávu, že je nějaký problém s certifikátem, hledá jenom kde to má odmáčknout, aby se dostal na web – a na bezpečnost nemyslí. A nic s tím neuděláte, takové chování je přirozené. (Ze stejného důvodu vjede řidič na blikající přejezd před přijíždějící vlak – když lidé z tohoto důvodu riskují život, těžko je přesvědčíte, že to dělat nemají kvůli takové banalitě, jako je nějaká webová stránka, třeba internetové bankovnictví.) Navíc až na ten web dotyčný půjde příště, tak už se ho prohlížeč ptát nebude, protože už přece jednou schválil bezpečnostní výjimku pro tento web.

Ja netvrdim, ze rozsegmentovana sit = bezpecna, jen resit siforvani bez segmentace je trochu staveni domecku od strechy.
Ano, 99% uzivatelu to tak ma a ma to spatne, ale neni to dobry argument proc omezovat pouzivani nesifrovane komunikace, je to dobry argument treba dat do defaultniho nastaveni routeru guest wlan. Nastesti to pro 98,999% uzivatelu neni problem, protoze tohle neni bezny vektor utoku. Kdyz uz se nekomu podari nainstalovat skodlivy software do telefonu, tak se daji delat lepsi veci nez odposlouchavat hesla do ip kamer nebo lednicek v siti.

Jen nevim jestli jsme se ted tematicky neposunuli uz nekam zbytecne daleko, ja s vami v podstate souhlasim, za me spis jen - Default ano, Forced ne.

Ja netvrdim, ze rozsegmentovana sit = bezpecna, jen resit siforvani bez segmentace je trochu staveni domecku od strechy.
To si nemyslím, i v domácí síti řeší šifrování spoustu potenciálních problémů, segmentovaná síť je spíš třešnička na dortu.

za me spis jen - Default ano, Forced ne
Jenže to bohužel v praxi nefunguje. Jakmile dáte uživatelům na výběr, je pro útočníka nejjednodušší zaútočit na to, aby si uživatel sám vybral, že bezpečnost vypne.