Hlavní navigace

Názor k článku Postřehy z bezpečnosti: vždyť tam byla ta zelená ikonka od lojzak - @Petr M 1) Nějakým způsobem musíš dát vědět uživateli...

  • Článek je starý, nové názory již nelze přidávat.
  • 13. 3. 2017 14:15

    lojzak (neregistrovaný)

    @Petr M

    1) Nějakým způsobem musíš dát vědět uživateli (resp. jeho browseru), že určitý klíč je pro danou doménu "správny". A to lze udělat třemi způsoby: Pomocí garance CA, pomocí DNS (nepoužívá se, DNSSEC se navaliduje na koncových stanicích) nebo ručně (dokáźeš si představit, že si půjdeš do sídla Google nechat potvrdit správnost jejich veřejného klíče?).

    2) Ne nemusíš mít MojeID a i když bys ho musel mít, tak nikde není dáno, že si musíš nechat potvrdit totožnost.
    Naproti tomu, když CA vystavuje OV nebo EV certifikát tak musí ověřit tvoji totožnost (bohužel se to tak často neděje).

    3) Kdyby to bylo tak jednoduché, jak říkáš, dávno by se to používalo. K tomu, aby to fungovalo, jak píšeš, je potřeba DNSSEC. No a jsme u problému. I kdyby DNSSEC fungovalo u všech ISP perfektně, jako že nefunguje, tak stejně budeš řešit problémy s důvěrou v předanou opověď. DNSSEC je totiž validováno na rekurzivním DNS serveru, který sis nastavil. Potud v pořádku. Jenomže komunikace mezi rekurzivním DNS a tvým počítačem už nijak zabezpečena není, kdokoli na lince může odpovědi podvrhnout.
    Možná řešení jsou dvě: Zabezpečit linku mezi rekurzivním DNS a tvým počítačem (IPSec, DNS over TLS) s tím, že danému rekurzivnímu DNS budeš bezmezně důvěřovat a nebo ideálně validovat DNSSEC přímo na tvém počítači.
    Víme, jak se to má s IPSec a navíc tam jsou stejně potřeba certifikáty. DNS over TLS snad není nikde implementované a také jsou tam nutné certifikáty.
    Validace DNSSEC na lokálním počítači operační systémy neumí, je potřeba extra aplikaci a má to nezanedbatelný dopad na výkon.