Vlákno názorů k článku Let's Encrypt nabídne plné ECDSA, validaci z více bodů a vlastní CT log od NA - Mě znervózňuje něco jiného. Po malých krůčcích nenápadně...

Mě znervózňuje něco jiného. Po malých krůčcích nenápadně spějeme k situaci, kdy půjdou otevřít pouze stránky s povolením od Velkého Bratra a vybavené těmi správnými certifikáty a povoleními. K jiným se dostanete jen pomocí hackerského prohlížeče a jeho používání bude stíháno.

@Ondra Satai Nekola

Jen tak ze sporu, na protažení: Už jsi někdy viděl informační kanál, který by někdo nechtěl mít pod kontrolou? Císařpán si dokonce myslel že zreguluje i vtipy, dneska už jsme pomalu v době ve které se kdekdo kasá jak by třídil obsah na ten správný a na ten špatný. Kde si myslíš že se to zastaví?

Diky, pobavil som sa... bolo to zdarma alebo vyberas vstupne (napr patreon ci nieco podobne)? Ked tak prispejem :)

To ak si chces zaregistrovat domenu so svojimi supertajnymi pravdami, tak zvedsa potrebujes kontaknu osobu. To v pripade LE nepotrebujes.

Ak mas na mysli to ze tvoj crew pozna ip adresu serveru, ktoru si medzi sebou zdiela a v tom pripade neziskas od LE certifikat. Ani v tomto pripade nie je nic stratene, vytvoris si svoj certifikat ktory bude mat v common name tu IP adresu a navstevnici si ho mozu zdielat spolu s tou IP. Potom staci tento certifikat pridat medzi doverihodne.

Je videt, ze se s blbej stejne jako nekola ... az guugl rozhodne, ze se browser nepripoji k webu s "neduveryhodnym" certifikatem, tak se proste nepripoji. A az se le nebo jina "ca" rozhodne, ze tvuj web je "neduveryhodnej", tak zadnej certifikat nedostanes.

A muzes si jit podiskutovat trebas s tema, od kterych guugl odmita prijimat maily, protoze si vcera zapli mailserver a on neni dostatecne "duveryhodnej" ...

No ak sa niekto rozhodne ze tvoj web nie je doveryhodny tak ti rovno zrusia domenu, CA moze byt nejaky tajtrlik z CZ u rektalneho otvoru.

Moj maiselver s google funguje dobre, staci k tomu certifikat od le. Ak je niekto lama a nevie si to nastavit tak aby to fungovalo tak ako to fungovat ma, tak by si mal priznat ze je lama a mal by poziadat o pomoc niekoho kto to nastavit vie ;)

Tak moment. Máme tři možnosti, Firefox, Chromium*, IE/Edge**. Ostatní prohlížeče (jako Vivaldi a další krámy) jedou na Chromiu.

Pokud se někdo *** rozhodne zaříznout možnost jednoduchýho přidání vlastního certifikátu, co se s tvou alternativou stane? Budeš si kvůli tomu buildit vlastní prohlížeč a posílat ho známým? Nebo všem vnutíš jednu jedinou konkurenční alternativu, která kopíruje Chrome kde může?

Takže v tomhle konkrétně J-čkovy obavy celkem chápu.

*) Chrome = Chromium + šmírovací bonus
**) Oba EOL, oba nepoužitelný, oznámena migrace na Chromium
***) Chromium má pod palcem Google

mna znepokojuje hromada veci ale zrovna tato je na mojom zozname ohrozeni az uplne vzadu. Nim popisovany scenar by akurat pripravil google o zisk, ak by sa ludom v chrome nezobrazovali stranky s platnym certifikatom. To skor Cina vynamena Dalajlamu radom cervenej hviezdy prace za celozivotne zasluhy a Rusko dobrovolne vrati Krym Ukrajine...

> Potom staci tento certifikat pridat medzi doverihodne.

FYI v Chromě už nejde „výjimka“ přidat trvale (zkuste si třeba https://self-signed.badssl.com/) a i když jsem ten certifikát uložil a ručně naimportoval do certifikátů (good luck tohle vysvětlit BFU) tak se mi ho nepodařilo označit jako důvěryhodný. Už to sice nehlásí to „jste si jistí“, ale v URL baru to furt tvrdí že Not secure. (přitom já si myslím, že pokud uživatel nějaký certifikát pro nějakou doménu explicitně naimportuje, mělo by to znamenat, že je víc trusted než generický PKI validated, protože si tím vlastně vytvořil certificate pinning)