Vlákno názorů k článku Revokace certifikátů je rozbitá. Opravit ji mají redukované CRL od Mmmartan - Z principu je špatně, že si Firefox sám...

Z principu je špatně, že si Firefox sám ověřuje certifikáty, IE i Chrome využívaly služeb OS.
Teď je z toho kočkopes, kdy prohlížeč řeší spoustu věcí, které vůbec řešit nemá (kromě certifikátů např. DoH) a spousta dalších aplikací podobné bezpečnostní mechanizmy nepoužívá. Mělo by se tlačit na tvůrce OS, který se má o tohle starat.

Ale ved OS to ma davno vyriesne (DNS a OCSP). Lenze tvorcovia prehliadacov vramci akoze boja za sukromie si vsteky tieto prvky tlacia k sebe (vsak kto sa o vase sukromie postara lepsie ako firma predavajuca data svojich pouzivatelov?), toto je len dlasia snaha gigantov z decntralizovaneho internetu si spravit svoj monopol, kde maju pod kontrolou vsteko od serverov, cez prenosovy kanal az po browser, ktory obcas aj zobrazi HTML.

Nehovoriac o tom, ze dany mechanizmus rozbija trust v PKI infrastrukture a tvoriovia browsrov si na svoje CRL mozu zaradit aj nerevokovane certifikaty popripade sdo toho nezaradit kompromitovane (rovnako ako v CT)

Na druhou stranu, pokud máš OS, který něco nemá dobře vyřešeno, je samostatný přístup na straně aplikace výhodou.

13. 9. 2022, 09:12 editováno autorem komentáře

Je trochu blbe pouzivat OS, ktoremu neverim a nasledne vymslat ohybak na rovnak, ktory je kryvy.

Vtip je v tom, že si kolikrát nemůžeš vybrat. V ideálním světě nemusíš rovnat ohýbáky, v reálném pracuješ s tím, co je.

Jako že Mozilla nemá dělat prohlížeč na OS, který to podle nich nemá vyřešeno dobře?

Nedělají, podporu WinXP už zrušili :-)

Naprosto souhlasim, ale kdy ten komentar ctu, rikam si, ze je to vlastne akorat potvrzeni aktualniho trendu, kdy uzivatel v ramci sveho operacniho systemu vyuziva vlastne jen jedinou aplikaci - webovy prohlizec.
A pak to docela funguje.

Rozhodne jsem toho nazoru, ze tyhle veci ma resit OS...

> Rozhodne jsem toho nazoru, ze tyhle veci ma resit OS...

Ano, ale dokud to OS nemá vyřešeno, tak mají autoři aplikací co by to rádi využili dělat co? Sedět a říkat „to nejde“?

Těžko efektivně tlačit na výrobce OS, dokud to žádný prohlížeč nepodporuje. Těžko propagovat něco vázaného jen na určité kombinace prohlížeče a OS. Těžko získávat čerstvý seznam certifikátů přes OS, pokud by to tvůrci OS řešili přes systém stahování aktualizací, kdy aktualizace může nepříjemně překvapit, třetina aktualizací může vyžadovat restart a rozhodně není žádoucí to podstupovat několikrát denně. Z principu je to v tuto chvíli dobře.

Tato funkce prohlížeče by na rozdíl od DoH neměla nijak zasahovat do soukromí, takže není důvod tvůrce podezřívat z postranních úmyslů.

Lenze takto to nefunguje. Ziaden restart ani nic take.

Proste Browser by sa mal OS opytat ci je dany certifikat platny. Nic viac, ziadne vlastne zoznamy ani CRL ani OCSP, browser by mal byt browser a nrobit si vsteko po svojom.

A OS nějakou takovou službu poskytuje? Ten můj bohužel ne, můžeš používat systémové openssl, ale to žádné takovéhle kontroly nedělá.

No a stejný problém je s DNSSECem. Tam je navíc problém že API operačního systému (takové ty funkce rodiny gethostbyname) neposkytují informace "ověřeno DNSSEC", "ověření selhalo" (nelze odlišit od jiné chyby) atd., ne?

Moj to poskytuje hadam od dob Windows 95.