Vlákno názorů k článku HTTPS má být zdarma a pro všechny, říká Tomáš Hála od Jenda - V anketě chybí možnost „HTTPS by nemělo být...
-
Jenda (neregistrovaný)
V anketě chybí možnost „HTTPS by nemělo být nikde“.
Proč? Nelíbí se mi, že existuje HTTPS, IMAPS, SSH, SMTPS, …. Každý si implementuje šifrování podle svého, někde je to alespoň podobné (vše přes TLS), někde se musí uprostřed protokolu implementovat STARTTLS příkaz, někde je to úplně samodomo. Z pohledu admina mám pět různých služeb, u kterých musím pětkrát nakonfigurovat šifrování (protože třeba Postfix měl ještě nedávno v defaultu naprosto insane šifry jako DES nebo 40bit RC-4), u každé samozřejmě jiným způsobem, a když se něco rozbije, nemám si jak ten protokol sniffnout, protože ty služby nenabízí žádné API, jak z nich dostat klíč (kvůli Perfect Forward Secrecy mi už nepomůže nahrát do Wiresharku privátní RSA, ale potřebuju přímo per-session ephemeral), a tak to naprosto nelze debugovat.
Z pohledu vývojáře mi zase přijde pakárna to řešit, pokud chci jen jednoduchého TCP klienta. A z pohledu uživatele si to každý klient zase řeší sám a jinak.
Podle mě by tohle mělo být záležitostí nižších vrstev s tím, že by to exportovalo nějaké API, přes které by se řešily věci jako přihlašování klientským certifikátem.
-
Jenda (neregistrovaný)
Současně je třeba nemožné, abych se jako uživatel rozhodl „teď chci DANE“. V „mém“ modelu se browser zeptá „Je protistrana ověřená?“ a nechá na OS, jestli se podívá na důvěryhodné CA, do DNSSECu, jestli na druhou stranu zatelefonuje, nebo to vytáhne z křišťálové koule. Takže by se přidalo DANE tam a bylo by.
Zatímco teď to musí implementovat úplně všechny Firefoxy, Chromy, Thunderbirdy, a spousty knihoven, které používají CLI aplikace, které si chtějí z HTTPS webu stáhnout soubor nebo přes SMTPS poslat e-mail.
-
DannyStříbrný podporovatelZ pohledu admina mám pět různých služeb, u kterých musím pětkrát nakonfigurovat šifrování
Tak jiste, ono to nastavovani kazdeho admina jen obtezuje :D Pak by ale sam admin mel predevsim zvazit, zda by se nemel jit venovat jine praci - kdyz to, co by delat mel ho nebavi. -
Tak ono spíš jde o to, že na ostatní věci se zapomíná. Poslední dva roky je docela dost slyšet o webu a https a ty věci se dost zlepšily. Navíc instituce jako CSIRT (nebo NIC nebo kdo to posílá), posílaly, alespoň veřejným institucím, výsledky testů a upozorňovaly je na problém.
Jenže vedle toho jsou třeba VPNky, kde se používá 10 let stejná konfigurace s 1024b klíči, sha1, někde i md5 podpisy apod. A to nikdo neřeší. Takže vedle relativně dobře zabezpečeného webu je díra do zdi v podobě vpn, která je nastavená z doby krále klacka.
