Vlákno názorů k článku Maximální délka platnosti HTTPS certifikátů bude zkrácena na 1 rok od Sinuhet - Autor píše, že díky tomu, že nefunguje dobře...
-
SinuhetStříbrný podporovatelAutor píše, že díky tomu, že nefunguje dobře zneplatnění certifikátu, má smysl zkrátit jeho maximální platnost.
Ale kde je ta ideální délka platnosti? Den, hodina, dvě sekundy?
Nezdá se mi, že by zkrácení platnosti nefunkční revokaci nějak řešilo. -
Tady bojuje několik směrů.
Jedni (a k nim patřím já) by rádi viděli, aby certifikát opravdu něco "certifikoval". Aby byla aspoň ověřena identita držitele. V tu chvíli by nebylo potřeba zkracovat platnost certifkátů, nesázely by se tak ukvapeně atd.
Druzí dávají větší přednost šifrování přenosu i za cenu menšího ověření. To je směr, který obsluhuje nejvíc Let's Encrypt. Vedlejším efektem je množství vystavených certifikátů, praktická nevyužitelnost CT, nespolehlivost revokací - které když se začnou vyžadovat, úplně to pohřbí myšlenku "HTTPS pro každého".
No a pak tu jsou technici, kteří by třeba mohli využívat HPKP. To naráží v praxi na zavedení docela přísných procesů. Když ztratíte klíč (nebo ho musíte zahodit kvůli kompromitaci), a nemáte záložní, celá služba přestane fungovat. Opět to jde proti myšlence "HTTPS pro každého".
Osobně si myslím, že technologie mají dávat rámec a možnosti, ale jejich využití by mělo být dáno zájmem stran. Znám weby, kde je šum a fuk, jestli se vůbec šifruje (potenciál škod je mizivý), nebo, když už se šifruje, tak nevadí certifikát třeba i na tři roky (a málo práce s ním).
Současný stav, kdy "rada moudrých velkých firem" píská pravidla je trochu znepokojivý a přispívá jen ke globalizaci v této oblasti. Od toho je už jen krůček ke zneužití.
-
Dovolím si na začátek ocitovat:
Zkracovat maximální délku platnosti certifikátů je obecně dobrý nápad z několika důvodů: tím hlavním je asi to, že některé prohlížeče platnost certifikátů vlastně nekontrolují.
Protože třeba takový nginx v klidu pošle odpověď bez OCSP statusu, pokud ji ještě nestáhl.Měl jsem na tohle téma s Michalem menší výměnu názorů na Twitteru. Z mého pohledu zkrácení (skoro) nic neřeší. Resp. neřeší hlavní problém, který Michal popisuje - revokace. To by se musely certifikáty vydávat s platností na na hodiny/dny.
Já zkracování platnosti na rok nechci, nic mi to nepřinese, naopak. Jak píše Michal, tak mnozí výrobci prohlížečů nebo i serverů kašlou na pořádnou implementaci práci s certifikáty, včetně CRL, OCSP apod. Ale namísto aby se na ně tlačilo, ať to dělají pořádně, tak se zkrátí platnost a budou mít o důvod víc na to kašlat. A jak jsem pochopil, je to jednostranné rozhodnutí Apple proti dohodě z září 2019.
Kdyby Apple (Google, Microsoft) raději zařízl mizerné prohlížeče, které kašlou na kontrolu certifikátů, udělal by z mého pohledu pro bezpečnost podstatně víc.
PS: Za chvíli zkrátíme platnost na týdny (což stejně opět nic nevyřeší) a následuje přerod Let's Encrypt do placené autority :-).
-
PS: Za chvíli zkrátíme platnost na týdny (což stejně opět nic nevyřeší) a následuje přerod Let's Encrypt do placené autority :-).
Těch rizik je ve skutečnosti víc. Překlopit LE do placené autority by bylo opravdu prvoplánové. Jenže v druhém plánu ještě musíte uvažovat i o dalších zájmech. Velké společnosti mají poměrně vyřešenou práci se SSL, ačkoliv jak jste sám psal, tak zdaleka nedělají všechny kroky, které se nabízejí. Malí hráči dopředu nevědí, co napadne Google či Apple, takže se nemohou dobře (levně) připravit. Spotřebitelé se nutně z části přizpůsobí, ale z části už "zjistí", že je pro ně výhodnější přejít k velkým do cloudu a tyto necitlivě vytvořené problémy neřešit. Další část pravdy je i v tom, že absolutní šifrování dává velkým hráčům obrovskou vyjednávací sílu s vládami zemí (které zase mají oprávněný (zákonný) zájem nahlížet do dat).
-
Filip JirsákStříbrný podporovatelTřeba autorům prohlížečů dojde, že bude lepší implementovat DANE než řešit správnou implementaci CRL a OCSP. Pokud vím, argumentem proti DANE je zpomalení při ověřování certifikátu – ale proti OCSP by DANE mohlo být rychlejší. (O CRL ani nepíšu, to má v prohlížečích smysl jen jako databáze beznadějných případů, které už jsou revokované dny a týdny.)
-
Rozdíl je v tom, že DANE musí chtít nastavit a udržovat ten, kdo řeší DNS. Dost často má do DNS přístup užší okruh osob, než ke správě serverů a certifikátů. OSCP má v praxi nižší práh dostupnosti než DANE. Ano, můžete namítnout, že DNS se dá delegovat - ale i to je administrativa a práce navíc. V praxi bojujete s tím, že i velké korporace mají projektové domény registrované a spravované kde kým, bojujete vůbec o to, aby někdo nastavil A/AAAA, když chcete nastavit DKIM a SPF, bojujete o to, aby nějaký nevzdělaný poloadmin vůbec věděl, co má udělat. DANE je v takových situacích nepředstavitelné. Investor pak položí jedinou otázku: bude to fungovat i bez toho, aniž bych to musel řešit a platit? A jste v koncích. OSCP si proti tomu zavede jen ten, kdo se stará o jednu jedinou malou část. Proto je v praxi OSCP lepší volba, než nedosažitelné DANE.
Autoři prohlížečů nemají skutečný zájem na bezpečnosti. Bezpečnost je pro ně dobrá jen pokud jim přináší konkurenční výhodu. Buďto je to téma, na které spotřebitelé slyší, nebo je to nástroj, jak pozlobit konkurenci. Žádný autor prohlížeče nezavede nic, co by ho mohlo poškodit u spotřebitelů. Zkrácení doby platnosti certifikátů je pro ně bezpečné: vyskočí hláška, že web nemá správně certifikát.
-
Filip JirsákStříbrný podporovatel
OCSP si nezavádí provozovatel webu, je to čistě věc mezi prohlížečem a certifikační autoritou. Provozovatel webu by mohl zavádět maximálně OCSP stapling.
Možná je na čase, aby DNS přestali spravovat polovzdělaní adminové. Ostatně nedostatky ve správě DNS argumentujete často, a bez fungujícího a bezpečného DNS nedávají DV certifikáty smysl.
-
Možná je na čase, aby DNS přestali spravovat polovzdělaní adminové. Ostatně nedostatky ve správě DNS argumentujete často, a bez fungujícího a bezpečného DNS nedávají DV certifikáty smysl.
DV certifikáty nedávají smysl vůbec. Doménu si zaregistrujete i na fake jméno a nejen v ČR.
Lidé málokdy umějí rozlišit mezi registrátorem a webhostérem. Vysvětlil zákazníkovi, jaký je vztah mezi CZ.NIC, registrátorem, technickým správcem, správcem DNS, správcem serveru a správcem webu je prakticky nemožné. Otočí se na podpadku a jde o dveře vedle, kde nějaký klávesář umí do Active24 vše odborně naťukat. Ti trochu "prozřelejší" zákazníci nedají z ruky přístupy do správy domén (kde mají pod správou jak registrace, tak klikátko do DNS), což jim nyní dává jakous takous jistotu, že jim doménu nikdo neukradne - a to je jediný ohled, který jsou schopni vnímat. Zbytek jsou pro ně jen technické buzerace ajťáků.
Osobně nemám problém ani se správou DNS, ani se správou v registrech. Přál bych Vám ale vidět, když se Vám ozve velký zákazník (nebudu jmenovat, ale byla to jedna z firem Velké čtyřky), že zítra musí projekt běžet. Ve tři odpoledne začnou po baráku hledat, který kolega a kde doménu registroval a na konci Vám pošlou přístupy k FTP, protože to je jediné, k čemu dohledali dublet jméno+heslo. Na další dotazy už nereagují, na Váš čas proplatit nechtějí (vždyť kolega odvedle si web naklikal ve Webnode za dvě hodiny a fungovalo to hned). Začnete to řešit nějakou vyšší šajbou, která si zjedná pořádek, ale zároveň to předá lex oddělení, protože tohle bez právníků nemůže rozhodnout. Ti se začnou pídit, co je to za projekt a otravují Vás, protože jste jediný technik v celém řetězci který spískal někdo v kanceláři. Pak Vám předloží smlouvu, kde chtějí garantovat i to, že projekt bude vydělávat - vysvětlíte, jaká je Vaše role a že vymysleli něco, na co nejste najat. Na konci, dva dny po termínu máte přístupy a začíná hádání se o peníze. Budget drží ten první, co Vám volal, ale na X vypálených hodin rozpočet nemá - a není jeho problém, že technik a právníci vypálili hodiny. Spustíte to i přes své přesvědčení nezabezpečeně. Po dvou měsících se někdo ozve, že chtějí dělat pentest. Vypíšete jim, co vše by se mělo připravit. Termín pentestu je naplánovaný za 4 dny a nemůže se posunout, protože to dělá nakontrahovaná firma z USA a přeci je samozřejmé, že jste jim dodal něco, co je od začátku až na věky věkův ve 120% kvalitě. Tak jim vysvětlíte, jak to bylo (obvykle už jsou 2/3 účastníků projektu vymění, takže vysvětlujete od začátku). Na konci strávíte den a noc rovnáním stavu před pentestem, abyste další dva týdny ex post vyjednával peníze.
Takhle to funguje v praxi i s těmi největšími (pokud to zrovna nejsou technologické firmy). Ve výsledku se postupně k té bezpečnosti začínáte blížit, ale po strašných bojích. Nelze ji zavést rovnou, musí se vždy čekat na moment, kdy zákazník má na to prostor.
-
Filip JirsákStříbrný podporovatel
DV certifikáty nedávají smysl vůbec. Doménu si zaregistrujete i na fake jméno a nejen v ČR.
Dost velká část internetové bezpečnosti je založená na tom, že komunikujete s tou doménou, se kterou si myslíte, že komunikujete. Na čí jméno je doména zaregistrovaná je ve velké většině případů úplně jedno – lidé znají weby jako google.com, gmail.com, youtube.com a ani nemusí vědět, kdo je vlastníkem.Otočí se na podpadku a jde o dveře vedle, kde nějaký klávesář umí do Active24 vše odborně naťukat.
Takovým ovšem DANE zprovozní Active24 v rámci své služby webhostingu (v rámci které hostuje i DNS). A je otázka, proč by měl web nebo DNS spravovat někdo, kdo to neumí. Jaká z toho plyne výhoda?Přál bych Vám ale vidět, když se Vám ozve velký zákazník (nebudu jmenovat, ale byla to jedna z firem Velké čtyřky), že zítra musí projekt běžet.
Jenže to je právě důsledek toho, že se do toho vrtá každý amatér. Ty firmy pečlivě řeší marketing, ochranné známky, jazykové mutace, texty, loga, grafický manuál, obsah i vzhled webu, tiskové zprávy – to všechno řeší profíci týdny a měsíce. Tak proč zrovna doménu a provoz webu má dělat nějaký šmudla, který tomu nerozumí, a za pět minut dvanáct? Tyhle firmy si na to bez problém umí nastavit proces, aby jim to fungovalo – akorát musí zjistit, že je to potřeba a že je to důležité. Že když cpou desítky tisíc dolarů do reklamy na nějaký web, jehož tvorba stála tisíce dolarů, vyplatí se jim do správy té domény vrazit víc, než deset dolarů za cenu domény.Holt si firmy budou muset uvědomit, že i když je pořizovací cena domény velmi nízká, často je to pro firmu velice cenná věc a podle toho se k ní musí chovat.
-
Ty firmy pečlivě řeší marketing, ochranné známky, jazykové mutace, texty, loga, grafický manuál, obsah i vzhled webu, tiskové zprávy – to všechno řeší profíci týdny a měsíce. Tak proč zrovna doménu a provoz webu má dělat nějaký šmudla, který tomu nerozumí, a za pět minut dvanáct?
Přál bych Vám vidět, jak "pečlivě" řeší marketing. Většinou je dílem přemíry peněz, ne efektivity. Logomanuály mají cenu jen když se za ně platí agentuře, při prvním, druhém použití jdou vniveč. Můžu Vám ukázat opravdu hodně velkých firem, jak v celé Evropě (USA nesleduji) porušují pravidla.
Doménu a provoz má řešit ten, koho si firma určí a na úrovni, jakou si určí. Pokud jim stačí služby šmudly, není důvod jim to brát.
Holt si firmy budou muset uvědomit, že i když je pořizovací cena domény velmi nízká, často je to pro firmu velice cenná věc a podle toho se k ní musí chovat.
Nechal bych to na nich, oni musí vědět, co je pro ně cenné.
-
Filip JirsákStříbrný podporovatel
Proč ho nikdy podporovat nebudou? Nemyslím si, že by odpor prohlížečů k DANE byl principiální. Webové technologie se mění. Objevují se problémy s OCSP, to by DANE umožnilo obejít. Prohlížeče začínají podporovat DoH, nebyl by problém ho rozšířit tak, aby bylo možné vyžádat si A/AAAA záznam rovnou s příslušným TLSA záznamem.
