Vlákno názorů k článku SSL není bezpečné, ukazuje případ Comodo od kubik - Velmi rád bych měl možnost relativně jednoduše globálně...
-
kubik (neregistrovaný)
Velmi rád bych měl možnost relativně jednoduše globálně změnit seznam důvěryhodných CA ve Firefoxu (přidat vlastní CA a vyházet některé jiné). Pokud jde o Firefox 3 tak jsem na to nepřišel jak to globálně (pro všechny) uživatele nastavit (je to tam až příliš zadrátované). Je na tom Firefox 4 jinak? Také mi schází možnost dát důvěru nějaké CA jen omezeně - tedy jen na nějaký seznam "domén" (CN).
Hodně trpím na Androidu. Tam při přístupu ve vestavěném prohlížeči na stránky podepsané vlastní CA musím neustále odklepávat, že certifikátu důvěřuji (a jsem tak vlastně nucen neustále kontrolovat jeho otisk). Nevím jak tam přidat vlastní CA - jde to vůbec?
-
Spíš by nebylo od věci, kdyby prohlížeče umožňovaly nějaký "user-managed security mode", ve kterém by fungovaly třeba takhle nějak (určitě by odborníci vymysleli vychytanější postupy):
1. CAs by byly roztříděné podle důvěryhodnosti do nějakých stupňů, přičemž si můžu zvolit stupeň, nad který automaticky důvěřuju. Paranoici zvolí "nevěřit nikomu".
2. když uvidím nový certifikát, je mi oznámeno, jaký stupeň má CA, která ho podepsala, a můžu si zvolit, jestli certifikátu chci věřit nebo ne
3. když půjdu na tu stránku podruhé, tak jestliže se certifikát nezměnil, nic mě neotravuje a postupuje se podle předchozí volby
4. jestliže se certifikát změnil, pak jsem na to upozorněn, zvlášť když se tak stalo podezřele brzo před expirací předchozího.
5. když poprvé uvidím nějaký certifikát vydaný nějakou CA, které už důvěřuji u jiného certifikátu, tak jsem na to upozorněn (+ existuje volba "automaticky důvěřovat", která se mě potom už na nic neptá a důvěřuje všem certifikátům vydaným touhle CA)Implementováno by to nutně nemuselo být jako otravující vyskakovací okýnko. Mohlo by se použít třeba to, co je teď - non-trusted přenos by byl označenej zčervenáním adresního řádku a teprve když bych na to kliknul (dám najevo, že mi jde o bezpečnost), tak by proběhla procedura popsaná výš a potom by řádek zezelenal :) Nebo by třeba mohl být adresní řádek oranžový u certifikátů, kterým sice explicitně nevěřím, ale jsou platně podepsané.
-
Zvýší se (potencionálně) bezpečnost tím, že se rozliší zelený stav (explicitně trusted certifikáty), oranžový (dnešní trusted) a červený (něco je špatně).
Kdo chce vysokou bezpečnost, dá třeba do zelených jenom ty, u kterých si ověří fingerprint. Tím má poměrně slušnou jistotu, že zelené jsou opravdu důvěryhodné, zatímco dneska ví jenom tolik, že zeleným má ochotu důvěřovat vydavatel browseru/OS.
-
janek (neregistrovaný)
Ale to je řešení pro pár lidí. Většina lidí neumí ověřovat certifikáty a z těch co to umí s tím většina lidí nebude chtít ztrácet čas. Navíc přibude problém s bezpečným kanálem pro ověření fingerprintu (pokud nevěřím CA, tak těžko budu věřit fingerprintu vystavenému někde na webu).
-
>> Ale to je řešení pro pár lidí.
No tak zaprvé by bylo fajn i to, kdyby takovou bezpečnost mohl mít někdo, kdo ji mít chce, zatímco dneska ji mít v podstatě nemůže (nebo alespoň ne tak komfortně).
Ale stejně si myslím, že na tom není nic tak nepochopitelného pro kohokoli. Příklad:
Mám tři kritické aplikace (bankovnictví, školní administrativa, nějaký e-government a stránky, odkud stahuju updaty prohlížeče a OS). Jsem si vědom, že nabourání přístupu do těchto aplikací by mě silně poškodilo, takže jsem ochoten si ověřit fingerprint -- např. datovky pokud si pamatuju posílají fingerprint v dopise, stejně tak to může udělat škola a banka mi fingerprint dá při zakládání účtu. Trochu horší je to s vydavatelem OS a browseru. Tam bych nejspíš musel věřit fingerprintu z webu. Naštěstí mi to ale stačí jednou a pravděpodobnost kompromitace webu zrovna v době, kdy si tam jednou za život přečtu fingerprint, je přijatelně nízká.
U ostatních aplikací mi bude stačit "oranžová" úroveň důvěryhodnosti.
Taky je potřeba si uvědomit, že při tomhle principu je u úrovně "zelená" podstatný hlavně fingerprint. Dneska lidi neumí posoudit důvěryhodnost certifikátu, protože na ně prohlížeč vyblafne tisíce informací o fp klíče, vydavateli, fp klíče vydavatele, různý doplňující informace...
-
limit_false (neregistrovaný)
Firefox: jednou se to naklika v Preferences->Advanced->View certificates, pak staci ostatnim uzivatelum skopirovat cert8.db (~/.mozilla/firefox/_profilename_.default/cert8.db) do jejich profilu. Globalne to AFAIK nejde. Skopirovanim/prepsanim uzivatelova cert8.db se taky ztrati certifikaty a cert autority, kterym uzivatel veril (nebo rucne doinstaloval).
Android: telefon musi byt rootnutej (mozna na novsich to jde i jinak): http://www.root.cz/clanky/verite-opravdu-jen-duveryhodnym-certifikacnim-autoritam/nazory/359445/
(je tam ukazano deletovani, proste misto deletovani se udela keytool -importcert)
