Vlákno názorů k článku Protokoly chránící proti nedůsledným a nebezpečným CA od Jarda_P - Odkaz na crossbear doplnek vede nekam do ztracena:...
-
Odkaz na crossbear doplnek vede nekam do ztracena: "We're sorry, but we can't find what you're looking for."
"„všechny certifikáty vydané od CA budou ve veřejně přístupném logu“. Tento log musí mít také vlastnost append-only, nesmí být možné falšovat minulost."
Zajimalo by mne, jak tohle zajistit. Snad leda tesat do zuly na nejakem frekventovanem namesti, kde by si pokusu o zfalsovani snad nekdo vsiml.
-
Ondrej Mikle (neregistrovaný)
Casti Merklovho stromu budou podepsany klicem spravce logu (v zasade by stacilo podepsat koren). Je uz i nejaka alpha implementace:
https://code.google.com/p/certificate-transparency/
Navic je v repozitari draft RFC dokumentu popisujici strukuru a algoritmy, vygenerovany text z xml2rfc: http://pastie.org/3393836
-
Filip JirsákStříbrný podporovatelNapříklad důvěryhodná třetí strana, která bude log pravidelně časově razítkovat. Každý, koho ten log bude zajímat, si jeho otisk může v pravidelném ukládat sám. Vše okolo CA se netočí kolem toho, jak podvodu zabránit, ale jak podvod odhalit.
-
Filip JirsákStříbrný podporovatel
Nemusíte mít jedinou autoritu, klidně jich může být víc a můžete vyžadovat podpis třeba alespoň od třech. Stejně vždycky musíte důvěřovat spoustě různých institucí a lidí, takže je potřeba řešit, komu důvěřovat a komu ne.
Na CA se nic neprovalilo, ten koncept byl odjakživa postaven tak, že určitým CA primárně důvěřujete, ale pořád je můžete kontrolovat a pokud udělají něco špatně, můžete chybně vydané certifikáty kdykoli řešit, aniž byste tím omezil důvěru v ostatní certifikáty. Pokud si někdo myslel, že CA jsou absolutně bezpečné, je to jeho problém, ne problém koncepce.
-
k nefunkcnim odkazum ma Crossbear:
"Mozilla gave us a valuable review, even though it means the add-on will be disabled for a few days. We'll address the issues and re-submit."
"Mozilla wants us to get a CA-issued cert for our server. We can comply with that but it will take a week to get the cert from DFN"
oba tweety z 8. února
zdroj: https://twitter.com/#!/crossbearteam -
Ondrej Mikle (neregistrovaný)
Pridavani na addons.mozilla.org funguje trocha jinak:
1. clovek tam neco da
2. je to v stavu "warning, muzete si to stahnout po odklikani nekolika warningu, ale Mozilla to jeste neprohledla" (plus zavisi od dalsich faktoru, jako napr. nastaveni nejakych specialnich promennych v about:config)
3. Mozilla udela review
4. pak se addon se bud povoli nebo se stahne, nasleduje diskuse s developerem && goto 3Treba kolega mel onehda problem s reviewem DNSSEC Validatoru, protoze se Mozille nelibilo, ze ma binarni komponentu. I kdyz se nejprve ptal, jak to ma teda udelat (bez binarni komponenty by to nefungovalo), nakodil to podle doporuceni z mozilliho mailing listu. Na jedne strane je to dobre, aby se tam nedostaval jen tak jednoduse malware, na druhe strane holt politika :-)
V Chrome store to bylo jednodussi (pro Chrome verzi), stacilo zaplatit uvodni poplatek ($5), podepsat smlouvu a review byl celkem rychly (cca. tyden). Ale je tezke rici, zda to bylo treba kvuli tomu, ze uz DNSSEC Validator byl schvalen predtim Mozillou, nebo tim, ze CZ.NIC znaji z predchozi spoluprace.
