Hlavní navigace

Názor k článku Maximální délka platnosti HTTPS certifikátů bude zkrácena na 1 rok od Miroslav Šilhavý - Možná je na čase, aby DNS přestali spravovat...

  • Článek je starý, nové názory již nelze přidávat.
  • 24. 2. 2020 21:27

    Miroslav Šilhavý

    Možná je na čase, aby DNS přestali spravovat polovzdělaní adminové. Ostatně nedostatky ve správě DNS argumentujete často, a bez fungujícího a bezpečného DNS nedávají DV certifikáty smysl.

    DV certifikáty nedávají smysl vůbec. Doménu si zaregistrujete i na fake jméno a nejen v ČR.

    Lidé málokdy umějí rozlišit mezi registrátorem a webhostérem. Vysvětlil zákazníkovi, jaký je vztah mezi CZ.NIC, registrátorem, technickým správcem, správcem DNS, správcem serveru a správcem webu je prakticky nemožné. Otočí se na podpadku a jde o dveře vedle, kde nějaký klávesář umí do Active24 vše odborně naťukat. Ti trochu "prozřelejší" zákazníci nedají z ruky přístupy do správy domén (kde mají pod správou jak registrace, tak klikátko do DNS), což jim nyní dává jakous takous jistotu, že jim doménu nikdo neukradne - a to je jediný ohled, který jsou schopni vnímat. Zbytek jsou pro ně jen technické buzerace ajťáků.

    Osobně nemám problém ani se správou DNS, ani se správou v registrech. Přál bych Vám ale vidět, když se Vám ozve velký zákazník (nebudu jmenovat, ale byla to jedna z firem Velké čtyřky), že zítra musí projekt běžet. Ve tři odpoledne začnou po baráku hledat, který kolega a kde doménu registroval a na konci Vám pošlou přístupy k FTP, protože to je jediné, k čemu dohledali dublet jméno+heslo. Na další dotazy už nereagují, na Váš čas proplatit nechtějí (vždyť kolega odvedle si web naklikal ve Webnode za dvě hodiny a fungovalo to hned). Začnete to řešit nějakou vyšší šajbou, která si zjedná pořádek, ale zároveň to předá lex oddělení, protože tohle bez právníků nemůže rozhodnout. Ti se začnou pídit, co je to za projekt a otravují Vás, protože jste jediný technik v celém řetězci který spískal někdo v kanceláři. Pak Vám předloží smlouvu, kde chtějí garantovat i to, že projekt bude vydělávat - vysvětlíte, jaká je Vaše role a že vymysleli něco, na co nejste najat. Na konci, dva dny po termínu máte přístupy a začíná hádání se o peníze. Budget drží ten první, co Vám volal, ale na X vypálených hodin rozpočet nemá - a není jeho problém, že technik a právníci vypálili hodiny. Spustíte to i přes své přesvědčení nezabezpečeně. Po dvou měsících se někdo ozve, že chtějí dělat pentest. Vypíšete jim, co vše by se mělo připravit. Termín pentestu je naplánovaný za 4 dny a nemůže se posunout, protože to dělá nakontrahovaná firma z USA a přeci je samozřejmé, že jste jim dodal něco, co je od začátku až na věky věkův ve 120% kvalitě. Tak jim vysvětlíte, jak to bylo (obvykle už jsou 2/3 účastníků projektu vymění, takže vysvětlujete od začátku). Na konci strávíte den a noc rovnáním stavu před pentestem, abyste další dva týdny ex post vyjednával peníze.

    Takhle to funguje v praxi i s těmi největšími (pokud to zrovna nejsou technologické firmy). Ve výsledku se postupně k té bezpečnosti začínáte blížit, ale po strašných bojích. Nelze ji zavést rovnou, musí se vždy čekat na moment, kdy zákazník má na to prostor.