Vlákno názorů k článku Konec EV certifikátů: prohlížeče je přestanou zvýrazňovat od Kamil Zmeškal - Jak se tedy od sebe liší OV a...
-
"Proti tomu u OV (Organization Validation) a EV (Extended Validation) probíhá podrobné ověřování žadatele.
...
DV certifikáty se dnes dávají zdarma, OV nepřináší nic zásadního, ale EV má podle komerčních autorit výhodu ve větší důvěryhodnosti takto označených webů"Pokud tomu tedy rozumím správně, tak OV mají stejnou úroveň validace jako EV (tady mám ale trochu rozpor s tím, že "OV nepřináší nic zásadního") a to, za co se u EV platilo, bylo jen to zobrazení názvu v prohlížečích, protože ověření bylo stejné. Pak ale moc to rušení podpory EV nechápu. Klidně to mohli nechat, pokud si někdo chce platit za to, aby se uživatelům zobrazoval jeho název. Je to jeho věc. Není to podle mě nic proti ničemu. Banky na to peníze mají.
Pokud je ale nějaký problém v té validaci (pokud to má to vyjadřovat ono "nepřináší nic zásadního"), tak naopak měli zrušit i OV.
Asi jsem moc paranoický, ale já za tom spíše vidím snahu oddělat komerční CA ve prospěch LE, kterou Mozilla i Chrome podporují. A za pár let začneme prskat, že LE má monopol a LE pak bude za $ (ani ty firmy, které ji podporují, nejsou charita).
-
Asi jsem moc paranoický, ale já za tom spíše vidím snahu oddělat komerční CA ve prospěch LE, kterou Mozilla i Chrome podporují. A za pár let začneme prskat, že LE má monopol a LE pak bude za $ (ani ty firmy, které ji podporují, nejsou charita).
Já se k Vašemu pocitu připojuji, taky se mi zdá, že cílem je devalvovat ověření certifikátem až na samotné dno. Důvodů může být mnoho, mimo komerčních aktivit do toho mohou vstupovat širší zájmy USA, které v podnikání velkých korporací (Google, Cisco, ...) mají dost významné slovo.
-
Filip JirsákStříbrný podporovatelPokud tomu tedy rozumím správně, tak OV mají stejnou úroveň validace jako EV
Je to jinak. DV ověřuje jen držení domény (nebo webového serveru v dané doméně, e-mailové schránky apod.), OV ověřuje, že máte právo mluvit za danou organizaci (na základě zaslaných dokumentů), EV ověřuje tu organizaci důkladněji (např. i telefonátem). Tedy OV i EV ověřují to samé (příslušnost k organizaci), ale EV by mělo být důkladnější ověření.to, za co se u EV platilo, bylo jen to zobrazení názvu v prohlížečích, protože ověření bylo stejné
Ověření bylo jiné, ale reálně se platilo za to zobrazení v prohlížeči, to bylo to jediné, co uživatel mohl rozpoznat.Klidně to mohli nechat, pokud si někdo chce platit za to, aby se uživatelům zobrazoval jeho název.
Problém je v tom, že EV vydávají certifikační autority, ale o zobrazení v prohlížeči rozhodují autoři prohlížečů. To, co se dnes mění, je zobrazení v prohlížeči. EV certifikáty tedy zatím budou dál existovat – akorát už nebudou dávat žádný smysl, protože jediné reálné rozlišení bylo právě v těch prohlížečích.Asi jsem moc paranoický, ale já za tom spíše vidím snahu oddělat komerční CA ve prospěch LE, kterou Mozilla i Chrome podporují.
To si nemyslím. Ten argument, že to drtivá většina uživatelů nerozlišuje, mi připadá validní. Akorát si nemyslím, že by to měl být důvod ke zrušení – těch pár lidí, kteří si název v adresním prohlížeči kontrolují, o tuhle možnost přijde, a přínos té změny není žádný.Osobně bych EV zrušil, ale jméno v prohlížeči by se mělo zobrazovat u OV certifikátů. Proto se přece serverový certifikát vydává, aby někdo důvěryhodný spojil jméno s doménou. DV certifikáty jsou nesmysl, stejnou službu udělá veřejný klíč v DNS a odpadne tím jeden prvek (CA), na který je možné zaútočit.
Problém je, že spousta CA rezignovala na to, aby svou práci dělaly pořádně. DV certifikáty validovaly čím dál méně, až to dospělo do stavu, že to v pohodě zvládne automat a vznikl LE. Validaci pro OV certifikáty také flákaly, tak zavedly EV jako certifikáty, kde validaci provedou fakt správně. Bylo by fajn, kdyby se to dostalo zpět do rozumného stavu, kdy budou certifikační autority vydávat jen OV certifikáty a budou je validovat pořádně.
-
BobTheBuilderStříbrný podporovatel"DV certifikáty validovaly čím dál méně..."
No a jak víc byste chtěl validovat DV certifikát?
Byly doby, kdy dotazem na whois se o doméně dalo zjistit kde co, včetně telefonu a mailu technického kontaktu, pak by se možná dalo validovat něco dalšího, ale dnes je je to silně ořezané a nemáte proti čemu validovat. -
Filip JirsákStříbrný podporovatel
Dříve i validaci domén dělal člověk. Předpokládal jsem, že u toho přemýšlí a nedovolí např. validaci domény seznam.cz pomocí e-mailu, když zjistí, že Seznam na té doméně provozuje poštovní schránky pro veřejnost a potřebnou schránku si tam mohl založit kdokoli.
Ale jinak já bych validovat DV certifikát neměl, jak jsem psal, považuju to za nesmysl. O údajích v DNS rozhoduje registrátor příslušné domény, nedává smysl, aby nějaká CA dávala palec na to, že to u registrátora ověřila, když to může udělat každý sám. Navíc když se to bude ověřovat přímo z DNS, budou údaje vždy aktuální (podle možností DNS). Dnes je klidně možné nechat si vystavit DV certifikát den před expirací domény a pak můžete mít přes dva roky certifikát k doméně, která vám nepatří.
Takže za sebe bych byl rád, abychom se DV certifikátů co nejdřív zbavili – ale zatím to bohužel nevypadá, že by to šlo tímto směrem.
-
Takže za sebe bych byl rád, abychom se DV certifikátů co nejdřív zbavili – ale zatím to bohužel nevypadá, že by to šlo tímto směrem.
Já s tím naprosto souhlasím. Jen bych k tomu dodal, že v EU máme docela dobře vyřešené digitální podpisy a ověření, na rozdíl od mnohých jiných částí světa včetně USA je u nás jednoduché, kvalitní a právně hodnotné. Občanky s čipem to přinesou ještě o kus blíž i běžnému občanovi.
-
Podle mě přesně naopak. Současná situace s el. podpisy je tristní a zatím skoro nepoužitelná, protože osobu, která dokument podepsala, prakticky nelze nijak identifikovat/ztotožnit. EU tomu s eIDAS ještě nasadila korunu tím, že povolila mít v certifikáty pouze pseudonymy.
Mohu sice říct, že tento dokument podepsala osoba, která má tento veřejný klíč a certifikát SN XY, ale kdo ta osoba je, to se nedozvím. Tohle je pro eGov jedna z velkých brzd.
Ale snad se blýská na lepší časy. Snažíme se protlačit, aby byly informace o certifikátu občana uloženy v ROB nebo v PO a ten je přes eGSB dokázal poskytnout AIS.
-
Filip JirsákStříbrný podporovatel
Jak se do ROBu dostane certifikát vydaný třeba španělskou autoritou? A to omezení na AISy je také nešťastné, tu informaci by z certifikátu potřeboval každý. Ale eIDAS to opravdu pokazil, předtím bylo alespoň možné v certifikátu vyžadovat IK MPSV, to aspoň pro občany ČR fungovalo.
-
Certifikát vydaný španělskou CA by se mohl do ROB dostat třeba na CzechPOINTu.
O omezení na AIS jsem nic nepsal. Já jen psal, že AIS by údaje měly získávat přes eGSB (nebo ISZR), což je pro AIS primární rozhraní. Jestli budou poskytovány i jiným rozhraním, to je jiná otázka.
PS: Zdůrazňuji všude ono "by", může dopadnout všelijak...
-
Filip JirsákStříbrný podporovatel
Chápu to jako „rychlý“ hotfix. Ale radši bych systémové řešení, které nebude vyžadovat další osobní návštěvu úřadu, bude fungovat pro všechny spoléhající subjekty (a ideálně bude platit v celé EU, ale společná identifikace osob v celé EU je na hodně dlouhou trať, když i v ČR se v této oblasti akorát ruší to, co fungovalo).
-
BobTheBuilderStříbrný podporovatel
To by se ten ověřující člověk něco z whois musel dozvědět, aby měl jak ověřovat. Podívejte se na výstup "whois root.cz". Jak byste žádost o DV certifikát ještě nějak dodatečně ověřoval?
-
Filip JirsákStříbrný podporovatel
OV se zobrazují stejně, jako DV – pouze zámeček, beze jména. Viz třeba web ČÚZK :-)
