Hlavní navigace

Názor k článku Let's Encrypt zablokoval nebezpečnou validaci pomocí self-signed certifikátu od Filip Jirsák - Ano, ale v praxi došlo k té devalvaci. Akorát...

  • 13. 1. 2018 12:09

    Filip Jirsák

    Ano, ale v praxi došlo k té devalvaci.
    Akorát že ta devalvace není důsledkem šifrování. DV certifikáty se vydávají už mnoho let, dávno před tím, než přišel současný boom šifrování.

    V praxi bylo něco možná trohcu s horkou hlavou "vylepšeno"
    Proč s horkou hlavou, proč vylepšeno v uvozovkách? Máte snad lepší nápad, jak zvýšit bezpečnost na internetu?

    Přínos v praxi velký není (důležité služby už dávno SSL zavedly), nedůležité jsou přinucovány.
    Přece vás nikdo nenutí to šifrování používat. Ty nedůležité služby si klidně můžete číst /dev/random, šifrovat nic nemusíte, a na výsledek máte stejné spolehnutí, jako na ty nešifrované služby.

    Už jen tím, že můžete podvrhnout DNS odpovědi, máte v kompromotované síti obrovskou moc.
    Proti tomu se dá bránit pomocí DNSSEC. Nemůžete chtít, aby se mávnutím kouzelného proutku vyřešily všechny problémy najednou – problémy se řeší postupně, nezávisle na sobě.

    Jediným řešením by byl 100% přechod na HTTPS a úplné vypnutí HTTP.
    Ano, to je cíl. Jenže k tomu cíli se nedostaneme jinak, než postupným zvyšováním podílu HTTPS.

    To není v příštích, dovolím si tvrdit, patnácti letech reálné.
    Já si myslím, že na webu to půjde mnohem rychleji. Ale i kdyby to trvalo patnáct let, budeme mít od teď za 15 let veškerý web šifrovaný. Jak byste to řešil vy? Čekal byste deset let, za deset let bychom začali s tím samým, co se dělá dnes, řešili bychom stejné problémy, a pak by za dalších patnáct let by byl přechod dokončen? Jaký by byl rozdíl v tom, že bychom to celé udělal i úplně stejně, se stejnými problémy, akorát o deset let později?

    Podívejte, že doposud jsme nevyřešili ani šifrovaný přenos pošty, který by byl jistě prospěšnější, nebo jsme se nezbavili prehistorického FTP.
    I ten šifrovaný přenos pošty se v posledních letech zlepšuje, a řekl bych, že právě díky zavádění HTTPS. Ale i kdyby ne. Brání to nějak nasazování HTTPS? Nebo nasazování HTTPS naopak zpomaluje nasazování šifrování pošty nebo ukončování FTP? Mimochodem, je dost možné, že náhradou FTP bude WebDAV, protože SFTP je přeci jen trochu jiná technologie. A pro šifrovaný WebDAV potřebujete zase HTTPS.

    Buďte trochu realista. Já Vám přiznávám idealistické vnímání vývoje technologií, ale nejen nihilisté, ale i přílisní idealisté bývají zaseklí na stejném místě.
    Buďte trochu realista. Konzervativní postoj je užitečný, ale nejde se zaseknout na místě, ani tvrdit, že když něco nevyřeší všechny problémy světa, nemáme se vůbec snažit o zlepšení.

    Já vůbec nejsem proti EU!
    Taková deklarace nevypovídá vůbec o ničem. Miloš Zeman taky tvrdí, že nevede žádnou kampaň.

    Jsem jedině proti překomplikované EU, která vydává směrnice pro desítky států, které mají na tolik odlišnou kulturu - od Balkánu až po vlny Atlantiku -, žč nejdou v praxi implementovat bez většího výčtu výjimek, než je prvotní myšlenka samotné normy.
    Opět jen nicneříkající obecné tvrzení. Jak mám vědět, jaká směrnice je pro vás překomplikovaná, když neuvedete žádný příklad? Naopak takové tvrzení jenom vzbuzuje podezření, že o žádné takové směrnici nevíte a akorát něco papouškujete.

    Nesouhlasím.
    Pokud vám nevadí, že přenášený obsah může být změněn, čtěte si ta nešifrovaná data z /dev/random. Vždyť na tom přece podle vás nezáleží, jestli čtete to, co web server odeslal, nebo něco jiného.