Vlákno názorů k článku Let's Encrypt: jak funguje a co nabídne od Filip Jirsák - Je paradoxní, že aby se vyřešil problém s...
-
Filip JirsákStříbrný podporovatelJe paradoxní, že aby se vyřešil problém s mnoha autoritami, založí se nová. Ale jejich cílem je založit jednu a ukázat všem, jak to dělat pořádně.
Kdyby to chtěli dělat opravdu pořádně, tak nemůžou vydávat DV certifikáty. Protože v případě DV certifikátu se certifikační autoritu zaručuje, že vlastník privátního klíče je držitelem domény – za což se ve skutečnosti zaručit nemůže, protože i kdyby to vlastnictví domény ověřila opravdu bezpečně, stejně může majitel doménu vzápětí po vydání certifikátu prodat, nebo může expirovat, nebo mu může být odňata.Mimochodem, jak se Let's Encrypt brání útokům na DNS? Ověřuje DNSSEC, pokud je k dispozici? Provádějí DNS dotazy z několika nezávislých lokalit a porovnávají odpovědi?
-
Ondřej CaletkaZlatý podporovatelBohužel, Rubicon už byl překročen, DV certifikáty se vydávají a klientské systémy jim důvěřují. Tohle už se asi nedá vzít zpět, tak je dobré to aspoň udělat pořádně a znesnadnit případná zneužití. Tedy ano, DNSSEC validují (ale podepsaná doména není podmínkou) a ano provádějí ověření z více lokalit. Také mají po vzoru ostatních autorit implementovaný blacklist na Alexa Top 1000 domén. Nejzajímavější je pro mě ale právě kontrola existujících certifikátů a požadavek na důkaz držení privátního klíče.
-
Filip JirsákStříbrný podporovatel
Podle mne ale „udělat to pořádně“ neznamená vytvořit další certifikační autoritu, která bude potvrzovat něco, co potvrdit nedokáže, ale implementovat do nějakého rozšířeného prohlížeče (asi do Firefoxu) podporu pro DANE.
-
Ondřej CaletkaZlatý podporovatel
To, co popisujete, není „udělat pořádně to, co se už dělá“, ale „vyrobit něco nového, co stávající systém nahradí a doufat, že na to lidé přejdou“.
Když bych to přirovnal k řešení problému nedostatku IP adres, tak vámi navrhované řešení je typu IPv6, zatímco Let's Encrypt představuje spíš něco jako NAT :)
-
Ondřej CaletkaZlatý podporovatel
Oficiálně nikde. Nicméně blacklist byl ještě nedávno součástí zdrojových kódů autority:
https://github.com/letsencrypt/boulder/blob/2b760ceee392228a2e3a90ae3c558edf5d42b9d5/policy/blacklist.goPozději byl odloučen do samostatné databáze, aby nebylo nutné při každé změně autoritu překompilovávat. Bohužel se ale od té doby ztratil z veřejného prostoru, můžeme jen věřit, že tam stále je :)
