Hlavní navigace

Názor k článku Let's Encrypt zablokoval nebezpečnou validaci pomocí self-signed certifikátu od Miroslav Šilhavý - Certifikáty, které ověřují "s kým komunikují" přece stále...

  • Článek je starý, nové názory již nelze přidávat.
  • 12. 1. 2018 12:56

    Miroslav Šilhavý

    Certifikáty, které ověřují "s kým komunikují" přece stále existují a používají se.

    Pochopitelně ano. Ale před léty bylo pravidlem, že certifikát byl vystavený jen osobě (fyzické či právnické), jejíž totožnost byla ověřena. Pak se začaly vystavovat DV certifikáty a pomalu to upadalo. Dnes už certifikát neznamená víc, než že data od Vás na druhý konec jdou šifrovaně. Ale jestli je druhý konec opravdu tím zamýšleným druhým koncem, to už nevíte. V praxi: ztratíte přístupy ke správě DNS (běžný spotřebitel, u nějakého registrátora); útočník získá DNS, přesměruje si A záznamy k sobě a nechá vystavit certifikát.

    Když bude šikovný, provede to v noci, a po snížení TTL, takže ani nevíte, že certifikát na Vaši doménu někdo má. Když nebude potřebovat svoji činnost utajit, ale půjde jen pro "velkou ránu", může "zabezpečený" web provozovat Vaším jménem.

    Nemusíme pak snad už ani rozebírat, že registrátoři Vám odešlou postup k obnově zapomenutého hesla e-mailem, který jde nešifrovaně a ještě se může válet po cestě ve frontách.

    Tedy, to co říkám je, že rizika se přesunula jen do jiné oblasti, a že nejtenčí článek řetězu je někde jinde. Osobně hodnotím tyto "nové zranitelnosti" jako ještě zákeřnější, než když někdo tu a tam po cestě zamění obsah - to lze vystopovat v reálném čase. Napadení administrace DNS a vystavení DV certifikátu zjistíte až ex post.