Názory k článku Let's Encrypt letos zdvojnásobí počet certifikátů, přidá wildcardy a ECDSA
-
Filip JirsákStříbrný podporovatelJak tohle ovlivní hvězdičkové certifikáty? Provozovatelé podvodných webů si přece mohou nechat vystavit certifikát na konkrétní jméno.
-
misho (neregistrovaný)
Mozno tak, ze ked sa razniekto rozhodne, ze zakaze vydanie certifikatu, ktoreho nazov zacina na "paypal." (Ano, bolo by to sice zvlastne rozhodnutie z hladiska "slobody" internetu), tak by sa do dall obist wildcardom.. ale to je take teoretizovanie, ze je to asi krajne nepravdepodobne...
-
-
To v podstatě od doby, kdy bylo zavedeno ověření pouze na úrovni DV. O té doby význam SSL v úrovni ověření devalvoval, samozřejmě samotné šifrování se tím nekompromitovalo. Prostě už jen dnes nemáte takovou úroveň ověření toho, s kým komunikujete. Certifikát je tak bezpečný, jak dobře máte zabezpečený přístup k DNS, a jak dobře fungují online revokační služby.
Osobně tipuji, jak vidím, jak se k tomu staví výrobci prohlížečů, že brzy bude svítit DV certifikát nějakou barvou (nejlépe červenou, aby každého děsil :), a certifikační autority budou dál nabízet své služby v úrovních OV a EV.
-
To je samozřejmě pravda, to povyšování standardu je nutné. Zamýšlím se spíš nad tím, jestli je to vhodná cesta a ve vhodný čas. Uživatelé budou mít jen další důvod, proč budou muset kupovat nové stroje, aby na nich fungovaly nové prohlížeče. Je to sice malá skupina (percentuálně), ale přesto existují. Docela pochopitelné bylo, že banky musely standard zvednout. Ale jak chcete vysvětlit lidem, že už jejich starý prohlížeč, starý OS, nedokáže zobrazit běžné stránky?
Proto jsem velkým zastáncem toho, aby si o úrovni zabezpečení rozhodoval ten, kdo poskytuje obsah. On ví, kdo je jeho cílová skupina, on dokáže ohodnotit rizika. Druhým, kdo by to měl dělat, je uživatel, kde by měly být nastaveny standardy tak, aby, když si uživatel pořídí moderní OS a moderní prohlížeč, byl implicitně chráněn co nejlépe.
U většiny uživatelů se o to starají aktualizace a přirozená obměna hardwaru (a softwaru). U poskytovatelů obsahu pak mohou být nápomocny webservery, které budou spojení bezpečně negociovat. Bohužel, jak u apache, tak hlavně u nginx chybí rozumný mechanismus na získávání ACME certifikátů a jejich užití bez reloadu celého webserveru. Podpora aplikací je také tristní. Např. nejrozšířenější Wordpress dodnes neumí nastavit SSL Offloading bez zásahu do kódu.
Tady všude jsou ty největší a také nejřešitelnější slabiny. A jsem pro bezpečnost na základe dobrovolnosti a dohody obou stran spojení, která jakou úroveň vyžaduje.
ČLÁNKY DO MAILU