Hlavní navigace

Názor k článku Let's Encrypt zablokoval nebezpečnou validaci pomocí self-signed certifikátu od Miroslav Šilhavý - Ostatně je standardizované řešení, které pro ověření...

  • Článek je starý, nové názory již nelze přidávat.
  • 13. 1. 2018 11:18

    Miroslav Šilhavý

    Ostatně je standardizované řešení, které pro ověření domény důvěryhodnou certifikační autoritu vůbec nepotřebuje (DANE). Takže ta devalvace není nevyhnutelný důsledek šifrování.

    Ano, ale v praxi došlo k té devalvaci. V praxi bylo něco možná trohcu s horkou hlavou "vylepšeno", ale to druhé zavedeno se stejnou vehemencí nebylo.

    Proto se každé bezpečnostní opatření dělá, abychom předešli nějakému typu útoku – útočník pak musí použít jiné metody, které jsou nákladnější, takže se to méně vyplatí.

    Ano, a toto si myslím, že bylo špatně odhadnuto a vyhodnoceno. Přínos v praxi velký není (důležité služby už dávno SSL zavedly), nedůležité jsou přinucovány. Ale ten přesun útoků / útočníků jinam jim sebral méně energie, než si myslíte. Podobné je to s našimi zákony. Vždy něco zalátáme, abychom se nakonec dozvěděli, že gauneři našli další, a ještě méně odhalitelný a ještě méně řešitelný a postihnutelný způsob kradení. Viz např. kauza nehorázně drahého tisku jízdenek pro pražskou MHD - kdy soudy skončily na tom, že není s čím porovnat, jestli ta cena je při takové zakázce přiměřená, či není, a DPP neměl povinnost to lépe soutěžit.

    DNS bylo vždy součástí toho řetězce důvěry, už jen z toho prostého důvodu, že DNS je autoritativním zdrojem dat pro překlad jmen na IP adresy

    Rád uvádíte, že přínosem HTTPS je, že nikdo uprostřed, v kompromitované přenosové síti, nemůže podvrhnout obsah. Ale ono to tak úplně. Už jen tím, že můžete podvrhnout DNS odpovědi, máte v kompromotované síti obrovskou moc. Jediným řešením by byl 100% přechod na HTTPS a úplné vypnutí HTTP. To není v příštích, dovolím si tvrdit, patnácti letech reálné. Podívejte, že doposud jsme nevyřešili ani šifrovaný přenos pošty, který by byl jistě prospěšnější, nebo jsme se nezbavili prehistorického FTP.

    Buďte trochu realista. Já Vám přiznávám idealistické vnímání vývoje technologií, ale nejen nihilisté, ale i přílisní idealisté bývají zaseklí na stejném místě.

    To vám sice připomíná hezky, ale nic takového reálně neexistuje. Akorát je v ČR módní být proti EU

    Já vůbec nejsem proti EU! Jsem naopak příznivcem federalizace, sjednocení předpisů a zjednodušení a zefektivnění EU. Jsem jedině proti překomplikované EU, která vydává směrnice pro desítky států, které mají na tolik odlišnou kulturu - od Balkánu až po vlny Atlantiku -, žč nejdou v praxi implementovat bez většího výčtu výjimek, než je prvotní myšlenka samotné normy.

    Takže nezbytná komunikace musí být vždy šifrována.

    Nesouhlasím.