Vlákno názorů k článku Konec EV certifikátů: prohlížeče je přestanou zvýrazňovat od LD - No to je celé pěkné, ale jak teď...
-
No to je celé pěkné, ale jak teď ověřit, že když v hypotetickem případě jdu (poprvé) na stránky bankax.cz a přesměruje mě to na nejlepsiucetnasvete.cz kde pak kliknu na odkaz založit účet a to mě hodí na bankax-cz.cloud.com, že jsem pořád tam kde chci být a ne někde u útočníka? S EV jsem se koukl a viděl že pořád cert patří bankax, ale teď mě někdo poraďte kde bude ta informace dál (za předpokladu, že EV skončí)
-
Jak uz tu bylo napsano mnohokrat. EV zatim nekonci, POKUD BY se prestal v budoucnu vydavat, zustane tu jeste OV, coz je prakticky to same.
A to ze jsi na spravnem miste ti prozradi certifikat, akorat to neni pekne v URL radku ukazane(coz se mi osobne take nelibi). Kdyz si alespon v Chrome/Chromium kliknes na ten zamecek v URL radku, je tam polozka Certifikat. Kdyz na ni kliknes zobrazi se ti informace o certifikatu a to hlavne komu by vydan -> Organizace (O) coz je informace co se do ted vypisovala do URL radku.
-
Příklad se založením účtu v bance je špatný, protože v takové bance, kde je zakládání účtu roztroušeno po různých doménách druhé úrovně svědčí o neprofesionalitě banky. Když už bych se rozhodoval, tak si ten certifikát rozkliknu a přečtu si komu patří doména.
Lepší příklad je spíš při placení v eshopu. Jdu do eshopu, kde mě při výběru "bezhotovostní platba platební kartou" přesměrují na web třetí strany. A tady už je to skutečně masakr.
případ č.1
při platbě mě přesměrují mě na web gopay.com, nebo paypal.com, atp.. adresa je vidět v horní liště prohlížeče a lze rozkliknout certifikát do detailu.
pokud doménu poskytovatele platební brány znám a používám a je bez problému, zaplatím.
Když neznám, například je to nějaká platební brána z jiného kontinentu, například z Číny (nemám nic proti Číně), tak si to jdu koupit radši jinde.případ č.2
při platbě se zobrazí web platební brány v iframe, nebo v podobné šílenosti, že adresa platební společnosti není vidět. tady se už vůbec neobtěžuju detektivní prací jakou je například přepínání prohlížeče do vývojářského režimu a studování http hlaviček a rovnou jdu do jiného eshopu.Závěr:
EV chybět nebude. Název společnost u EV neznamená nutně správnou identifikaci z pohledu uživatele. Firma se může jmenovat ČSOB a mít certifikát EV... a nějaký jouda z Číny si zaregistruje CSOB u certifikacni autority v Číně taky jako EV. Laik si nevšimne, kdo to podepisoval a nemusí si všimnout ani chybějící diakritiky. -
Filip JirsákStříbrný podporovatelU té banky je ovšem problém i když je vše na jedné doméně. Založíte si účet v Komerční bance – a na webu pak jdete na mojebanka.cz. Je to web Komerční banky nebo není? Dneska to přesměrovává na login.kb.cz, ale nevím, zda to na doméně kb.cz dál vydrží – dříve to tak rozhodně nebylo.
A tohle je přesně ten případ, kdy jméno v URL má dobrý smysl – protože já primárně komunikuju s institucí z „kamenného“ světa, a potřebuji si ověřit, že komunikuju opravdu s ní. U internetových firem, které známe podle domény, je to něco jiného, tam je primárním identifikátorem ta doména (a často ani nevím, jak se jmenuje firma, která je za tím). Ale navštívit web instituce, kterou jinak primárně znám ze světa mimo internet, je časté a mělo by to být bezpečné.
nějaký jouda z Číny si zaregistruje CSOB u certifikacni autority v Číně taky jako EV
To je ale obecný problém certifikačních autorit, mělo by jich být méně a důvěryhodnější. Bylo by fajn, kdyby se podařilo dotáhnout dál certifikáty eIDAS – u certifikátů vydaných dle eIDAS zobrazovat v adresní řádku vlaječku EU a u OV certifikátů (případně EV) tam zobrazovat jméno. -
No, tak ty banky budou "muset" používat rozumnou doménu, to je až tolik snad bolet nebude. No, marketingové žvásty apod. by asi mohly pořád nechat na jiných.
> nějaký jouda z Číny si zaregistruje CSOB u certifikacni autority v Číně taky jako EV
Jestli tomu dobře rozumím, jiný jouda si založí společnost "CSOB" v Číně a pak mu EV validace pochopitelně projde. A rozdílu si ani před změnou v adresním řádku nebude jednoduché všimnout.
-
Filip JirsákStříbrný podporovatel
No, tak ty banky budou "muset" používat rozumnou doménu, to je až tolik snad bolet nebude.
Super, takže CZ.NIC konečně zavede IDN do TLD .cz, aby KB mohla začít používat rozumnou doménu komerční-banka.cz? Cokoli jiného je pořád jen doména, která je více či méně podobná oficiálnímu názvu banky.No, marketingové žvásty apod. by asi mohly pořád nechat na jiných.
To považuju za nebezpečné. Pokud bude mít uživatel u stránky s marketingovými kecy pocit, že je na stránce banky, nebude už znovu kontrolovat adresu třeba bankovnictví, pokud klikne na nějaký odkaz na té stránce. Když považuje stránku za důvěryhodnou, bude věřit i odkazům. Pokud uživatel vůbec něco zkontroluje, bude to jen první stránka, na kterou se dostane.Jestli tomu dobře rozumím, jiný jouda si založí společnost "CSOB" v Číně a pak mu EV validace pochopitelně projde. A rozdílu si ani před změnou v adresním řádku nebude jednoduché všimnout.
Toho, že „CSOB [CN]“ není „ČSOB, a. s. [CZ]“, by si uživatel měl všimnout. Když už neví, že oficiální název (který musí být na certifikátu) je „Československá obchodní banka, a. s.“, ta zkratka státu a chybějící „a. s.“ by mělo trknout každého.
-
Filip JirsákStříbrný podporovatel
Vážně si myslíte, že existuje někdo, kdo ví, že si v prohlížeči má zkontrolovat jméno z EV certifikátu vypsané v adresním řádku, a zároveň nebude vědět, co znamená ta zkratka [CZ] nebo [CN] za jménem? I kdyby někdo takový byl, můžeme ho připočítat k těm, kterým je EV certifikát k ničemu – pořád ale ještě zbývají ti, kteří si ten název zkontrolují a kterým teď prohlížeče zobrazením jména z certifikátu pomáhají.
