Vlákno názorů k článku Let's Encrypt už není beta, zůstávají však nesplněné sliby od lol - cele to vystavovanie suborov mohli vynechat a podporovat...

Vystavit subor niekde na webe je ovela jednoduchsie nez vystavit dns zaznam pre danu domenu. Staci jeden deravy script. Nezabranila by tomu ani specialna hlavicka (ktora vypadla z podmienok), kedze cez .htaccess sa da toho spravit tolko...

Ani DNS validacia nie je terno... obecne DV je cela naprd. Tieto certifikaty nie su o nic bezpecnejsie nez self-signed.

obecne DV je cela naprd. Tieto certifikaty nie su o nic bezpecnejsie nez self-signed.

Hurá. Takže bychom se mohli konečně shodnout, že ty certifikáty mají zajistit šifrování komunikace a na ty tanečky okolo (včetně příšerného opruzování uživatelů v prohlížečích) se konečně vysr*t a že k tomu žádné "důvěryhodné" CA nepotřebujeme?

Jojo, jasně. Anonymní TLS vymyslíme. Sice to široko daleko nic neumí ani to nikdo nikde nehodlá implementovat, ale to je jedno.

Jestli neco je totalne imbecilni reseni, tak celej Let's encrypt. Nadava ti snad SSHcko pokazdy, kdyz se prihlasujes, ze ten cert neni duveryhodnej?

Tak proc si ten klic menis? Neni k tomu zadnej duvod. Nemluve o tom, ze SSH se chova asi tak milionkrat lip. Protoze ti umoznuje prave tu autorizaci konkretniho klice pro konkretni stroj => pokud se zmeni, tak MUZE byt neco spatne. Ale to, ze sam o sobe je selfsign, mu vubec neva.

Jinak prave proto je tu TLSA a pro SSH pak trebas SSHFP.

To by me zajimalo v cem ...

Ale me je sumafuk jestli na druhy strane je franta nebo pepa ... ja chci sifrovat to spojeni ... narozdil od CA nesmyslu pak tady mam i ten bonus, ze u ssh muzu zcela jednoduse zjistit, ze komunikuju se stejnym pepou co minule.

Nj jirsak dment samo netusi, ze pokud bude na webu zcela JINY klic, ale podepsany CA, kterou mi nejakce imbecil z Mozilly/M$/Googlu natlaci do browseru v ramci aktualizaci, tak bude browser ZCELA spokojen. Takze je ti jirsak to, ze si pridas konkretni cert zcela khovnu. Protoze neexistuje zadnej zpusob jak rict, ze pouze a vyhradne tento klic ma byt pouzivan na tomto webu.

Jasne, jeste muzu pri kazdym kliknuni na webu kontrolovat (rucne) jestli sedi fingerprint ... proti tomu, co si napisu nekam na papir ... jo, to mame uzasnej SW ...

Třeba v tom, že při SSH si klíč vyměníš sám, nebo v rámci firmy ----- zkus to udělat třeba u bankovnictví .....

Ty jsi při zřizování účtu v bance nedostal žádný papír, na kterým by otisk klíče mohl být uveden?

"jenda"

Ať už je situace s CA jakákoliv z pohledu kohokoliv, to přirovnání s SSH je ustřelené.

Já nevím, na koho to je tedy reakce, protože díky geniálnímu vylepšení diskusí z dílny žižkovských studentíků to prostě není vidět, ale co přesně nefunguje na tom TLSA, nebo co nefunguje na SSHFP, proč tady vymýšlíme kraviny typu CAA záznamy, které jsou uživatelům v tomto směru úplně k ničemu a nějaké podobné pseudometody ověřování, které nic neřeší. Furt v té diskusi žádnou rozumnou odpověď nevidím.

Diskusue su naozaj fail - na monitore mam 1/2 priestoru prazdneho.

Ale mozno je to tak schvalne a ma to fungovat ako flame retardant - vlakno zakape pretoze sa v nom nikto nedokaze orientovat...

A s cim maji tvurci browseru presne problem, kdyz existuje addon, kterej to dela? Jo aha, oni nezvladnou ani daleko primitivnejsi veci ... https://bugzilla.mozilla.org/show_bug.cgi?id=14328 .. mozna za dalsich 15 let to bude umet srv, a tudiz tlsa tak nekde kolem roku 2100.

Zato maji spoustu casu integrovat hovadiny, ktery nikdo nanic nepotrebuje.

janek: Já tu k SSH nepřirovnával.

Petr Krčmář: Já vím, že to jinde takhle nejde, ale předřečník si bohužel vybral jeden z mála příkladů, kde to jde.

Mimochodem - jakým způsobem jsem se dozvěděl, že Softcom je důvěryhodný obchod a Centrum je důvěryhodný freemail? Nemohl bych se stejným způsobem („lidovou slovesností“) dozvědět rovnou i otisk jejich klíče?

Nijak, ale mohl by jste si přijít na pobočku s bločkem pro nový :-) Celé je to jak to chápu o důvěryhodnosti CA. Je to takový slabší článek.

Jednoduše, do banky se už nedostanete. Změna klíče (bez předchozího podepsání nového starým) znamená, že banka přišla o data, a u takové banky stejně mít účet nechcete :-)