Hlavní navigace

Názor k článku Let's Encrypt zablokoval nebezpečnou validaci pomocí self-signed certifikátu od madloki - Za mne je tu zasadni problem s hysterii...

  • Článek je starý, nové názory již nelze přidávat.
  • 10. 1. 2018 16:16

    madloki (neregistrovaný) ---.net.upcbroadband.cz

    Za mne je tu zasadni problem s hysterii z posledni doby ohledne pouziti sifrovani vzdy a vsude.

    Jen protoze se par ichtylu snazi zviditelnit (bohuzel i u nas), sifruji se data, ktera jsou sifrovana uplne zbytecne, nici se zakladni predpoklady pro rychly beh web aplikaci (data nacitana in-paralel z vice zdroju), a jediny benefit z toho je, ze uzivatel cekajici na zelenou pizdu v adresnim okenku browseru ji duveruje stejne slepe, jako kdykoliv predtim.

    Sifrovat se maji vyhradne formulare, VPN provoz, osobni udaje, online bankovnictvi atp.
    Vubec nejlepsi by ale bylo na strane browseru v java aplikaci takova data zasifrovat pomoci OTP + klasickeho hesla, ktere jiz uzivatel zna.

    Tato cesta vse via https je zrudnost.

    Kdysi v browseru po kliknuti na tu zelenou ikonu videl uzivatel i udaje o certifikatu, a dnes by u vetsiny browseru musel slozite projit celou sekvenci kliknuti nebo klavesovych zkratek, aby mel vubec sanci neco o pouzitem certifikatu zjistit.

    Vysledek mu ale proste jen rika, ze nekdo pouzil pro browser duveryhodny certifikat.

    Ze mu ale nejaka apka do store naimportuje vlastni CA, a pomoci lokalniho DNS utoku ci proxy v browseru pak bude primo na pocitaci uzivatele provadet MITM, stejne jako ho provadeji ruzne komercni security produkty pouzivajici desifraci SSL (ktere svuj certifikat CA instaluji via domenovou politiku), to uz jaksi nezjisti.

    Takze klidne muze koukat dal na zelenou pizdu, jenze dokud na strane browseru nebude defaultne implementovan nezavisly mechanismus na overeni certifikatu CA, ktera podepsala certifikat serveru, ze jde opravdu o spravnou CA + certifikat serveru se spravnym serial number.

    Dejme stranou, ze takovy mechanismus zatim neexistuje a ze DNS ani DNSSEC takto pouzit nelze (protoze primo na pocitaci uzivatele mohu pro nej generovat vlastni DNS i DNSSEC).

    I tak porad jeste musite verit te ktere CA (protoze nejaka jedna nadrazena pro vsechny duveryhodna autorita proste vubec neexistuje).