Hlavní navigace

Názor k článku Let's Encrypt letos zdvojnásobí počet certifikátů, přidá wildcardy a ECDSA od Miroslav Šilhavý - To je samozřejmě pravda, to povyšování standardu je...

  • 3. 1. 2018 8:43

    Miroslav Šilhavý

    To je samozřejmě pravda, to povyšování standardu je nutné. Zamýšlím se spíš nad tím, jestli je to vhodná cesta a ve vhodný čas. Uživatelé budou mít jen další důvod, proč budou muset kupovat nové stroje, aby na nich fungovaly nové prohlížeče. Je to sice malá skupina (percentuálně), ale přesto existují. Docela pochopitelné bylo, že banky musely standard zvednout. Ale jak chcete vysvětlit lidem, že už jejich starý prohlížeč, starý OS, nedokáže zobrazit běžné stránky?

    Proto jsem velkým zastáncem toho, aby si o úrovni zabezpečení rozhodoval ten, kdo poskytuje obsah. On ví, kdo je jeho cílová skupina, on dokáže ohodnotit rizika. Druhým, kdo by to měl dělat, je uživatel, kde by měly být nastaveny standardy tak, aby, když si uživatel pořídí moderní OS a moderní prohlížeč, byl implicitně chráněn co nejlépe.

    U většiny uživatelů se o to starají aktualizace a přirozená obměna hardwaru (a softwaru). U poskytovatelů obsahu pak mohou být nápomocny webservery, které budou spojení bezpečně negociovat. Bohužel, jak u apache, tak hlavně u nginx chybí rozumný mechanismus na získávání ACME certifikátů a jejich užití bez reloadu celého webserveru. Podpora aplikací je také tristní. Např. nejrozšířenější Wordpress dodnes neumí nastavit SSL Offloading bez zásahu do kódu.

    Tady všude jsou ty největší a také nejřešitelnější slabiny. A jsem pro bezpečnost na základe dobrovolnosti a dohody obou stran spojení, která jakou úroveň vyžaduje.