Vlákno názorů k článku LinuxDays 2014: sítě musí být robustní, rychlé a bezpečné od Duri - "StartSSL tedy provádí pouze tzv. domain validation, takže...
-
Duri (neregistrovaný)
"StartSSL tedy provádí pouze tzv. domain validation, takže takto vydaný certifikát žádným způsobem nechrání proti odcizení domény. Útočník si při zajištění přístupu k doméně může nechat vydat papírově stejně silný certifikát. "
NEMUZE VYDAT protoze u startssl "class1 server" (zadara) nelze vydat 2 certifikaty na tu samou domenu (!).
-
To platí, pokud už má ta doména vydaný certifkát od StartSSL. Pokud má ale certifikát od libovolné jiné autority a já se dostanu do pozice, kdy můžu přijímat poštu pro tu doménu a přesměrovávat uživatele jinam (MITM), tak mám možnost si u StartSSL vystavit certifikát, který nedokazuje vůbec nic (což je to, na co Ondřej Caletka upozorňoval) a přesto je stejně platný jako super prověřený certifikát od kterékoliv ultra super autority = uživatel uvidí zelený zámeček a je v klidu.
Není to chyba StartSSL, ale principiální problém DV certifikátů, který oslabuje důvěru v PKI model. Takto to bylo na přednášce řečeno.
-
Duri (neregistrovaný)
To ale muze platit aj naopak pac PKI model to neresi ... Tzn udelam si cert u startssl a pak nekde jinde. Fakt ze startssl je stale mezi duveryhodnymi autoritami znamena ze to nikoho moc nestve. Stve je ocividne jen to ze to je zadarmo.
BFU je to nakonec jedno protoze pokudl na neho nevyskoci "nezname okno" a nasledne nestrati nic hmotne tak se nic nedeje.
-
Přesně tak, tohle PKI nijak neřeší. To je přesně to, o čem se v přednášce mluvilo a v článku píše: dokud se prováděla kontrola organizace, která si certifikát pořizovala, dalo se celkem věřit tomu, že si někdo nemůže snadno vytvořit důvěryhodný certifikát na mou doménu. S DV certifikáty to už ale vlastně neplatí, protože se dá vystavit certifikát, který pro BFU vypadá stejně důvěryhodně (objeví se zámeček a neječí to) jako každý jiný. Rozdíl je vidět samozřejmě v detailech o certifikátu, ale ty v praxi nikdo nečte. Výsledkem je zhoršení celého PKI, protože ten neřeší detaily. Buď jsi důvěryhodný nebo ne.
-
Ondřej CaletkaZlatý podporovatelJá bych jen pro upřesnění doplnil, že StartSSL samozřejmě umí a nabízí i vyšší úrovně validace, ale pochopitelně ne zadarmo. Na druhou stranu ostatní certifikační autority také nabízejí celé portfolio validací od DV přes OV až k EV. StartSSL se od ostatních tedy liší hlavně v obchodním modelu a v tom, že ten nejjednodušší DV certifikát je zdarma.
