Vlákno názorů k článku SSL divočina aneb jak se chovají „důvěryhodné“ CA od Petr - Není čas udělat nějaký skript, který by smazal...
-
Petr (neregistrovaný)
Není čas udělat nějaký skript, který by smazal skoro všechny certifikáty všech pochybných CA ze systému a všech aplikací, které si to tahají ssebou samy? Já nechci mít nějakou pochybnou kompromitovanou pouštní CA a stovky dalších předinstalovaných - mně stačí, když mi pojede gmail a to je tak vše...
-
Nevím, jestli by nějaká CA nakonec zbyla.
Pro výrobce browserů je celkem problém CA odstranit. CA musí udělat dost velkej průšvih. Jinak výrobci hrozí celkem drahý soudní spor.
Další "drobnost" se týká cross-certifikací (kde jedna CA podpíše certifikáty jiné CA): např. kdyby se vyhodil root certifikát Comodo, existují pořád cross-certifikace Comoda od Entrust, AddTrust a GTE.
Kompromitace CA je poměrně "běžná", CA jsou "vysokoprofilové" cíle. Podstatnější je, jak rychle je odhalena a jak se CA postaví k zveřejnění. Případ Comoda byl odhalen pouze náhodou - v zdrojácích Chrome a Firefoxu se záhadně objevil blacklist několika certifikátů.
-
Jedná se jenom o zisk. Pokud rozšířený browser zruší důvěru v CA, pro CA to značí pokles zákazníků (DigiNotar zbankrotoval).
CA musí splňovat požadavky vlastního Certification Practice Statement (CPS). Dodržování CPS hlídá nezávislý audit. Nicméně CA si může do CPS napsat cokoliv (třeba že bude vydávat MitM certifikáty pro kohokoliv, kdo přijde s albino medvědem s heterochromií; i když tato CA by se nejspíš nedostala do trust store) a audit projde.
CA/Browser forum (www.cabforum.org) vydalo nové striktnější požadavky na certifikáty vydávané od CA, začnou platit od 1.7.2012. Jedním z požadavků je např. minimální velikost RSA modulu 1024 bitů, 2048 pokud "not after" v certifikátě je v roku 2014 nebo později.
