Vlákno názorů k článku Krademe kryptoměny pomocí BGP aneb proč je dobré mít HTTPS a DNSSEC od Aaaa - Neviem, ci by tu https pri letsencrypt naozaj...
-
Cx (neregistrovaný)
Stačí si přečíst konec článku, kde je napsané, proč by LE certifikát nešel velmi pravděpodobně vystavit. HSTS hlavička by zabránila použití nešifrovaného přenosu a pokud uživatel používal resolver, který hledí striktně na DNSSEC, tak by se k uživatel k podvodnému serveru vůbec nedostal. Nástroje jsou, EV certifikát to ale není.
-
EV cert moc nepomůže, aspoň ne o moc víc než obyčejný DV:
* Nijak nezabrání útočníkovi si nechat vystavit DV cert. (Ledaže bychom měli CAA záznam, který se ale opět spoléhá na DNS…)
* Málokdo si všimne, že na té stránce byl EV a teď tam je jen DV.
* I ten, kdo si toho všimne, může mít problém – session leakne hned, cache taky není těžké otrávit nebo nainstalovat ServiceWorker.
* Last but not least: https://www.root.cz/clanky/postrehy-z-bezpecnosti-komu-se-neleni-tomu-se-ev-certifikat-zeleni/ -
P (neregistrovaný)
Podle me stoji za zminku jeste tento komentar
"Let's Encrypt does not currently validate from multiple perspectives but we're working on it" viz https://news.ycombinator.com/item?id=16918382 -
Ondřej CaletkaZlatý podporovatelTohle je určitě nějaká zastaralá informace. Už minimálně v druhé polovině roku 2017 Let's Encrypt prováděl validaci z více míst a nikoli pouze z dvou hlavních datových center v USA.
-
Ondřej CaletkaZlatý podporovatel
Aha, tak jsem zkonzultoval logy webserveru a skutečně, validaci provádějí jen z jednoho místa, ale kromě jejich vlastních datových center používají i Amazon EC2. Dopředu se tedy asi nedá říct, odkud validace přijde.
