Vlákno názorů k článku Stále mám přístup k dalším CA, tvrdí útočník na DigiNotar od Petr - Mám jiné rady: 1.) Smažte všechny CA v prohlížeči....

Mám jiné rady:

1.) Smažte všechny CA v prohlížeči. U Mozilly/Firefoxu je to docela problém, protože jsou zadrátované natvrdo. Ačkoli všechny smažete, objeví se zpátky. Sice jsou jako nedůvěryhodné, ale to není na první pohled vidět. S každou aktualizací prohlížeče mazání opakujte, protože v rámci aktualizace nejspíš získáte další balík "důvěryhodných" CA.

2.) Stáhněte si certifikáty CA, kterým opravdu důvěřujete (já např. Postsignum). Zkontrolujte si hash někde jinde (MVČR). Použijte Tor, stáhněte si certifikáty z různých exit nodů a porovnejte je. Opakujte za týden znovu a porovnejte. Pokud vše sedí, nainstalujte si je do prohlížeče.

3.) Pokud se v adresním řádku na stránce vaší banky objeví zelená barva, zbystřete pozornost na maximum a prozkoumejte důkladně certifikát. Znamená to totiž, že byl vydán některou z "důveryhodných" CA, které vám vnucuje výrobce prohlížeče. V pohodě jste tehdy, pokud se v adresním řádku objeví MODRÁ, nikoli ZELENÁ barva (Firefox).

4.) Mobily vůbec neřešte a nepoužívejte na kritické operace. Z mnohých se nedají certifikáty smazat ani revokovat jinak než úpravou firmware.

Někdo mě doplní ?

Petr

A neznamena nahodou zelena barva EV certifikat a modra certifikat "obycejny" bez ohledu na to, zda je podepsat autoritou dodanou tvurcem prohlizece ci uzivatelem ?

Aha, díky, s tou EV jsem to nevěděl. Tak jsem teď vyzkoušel - zatímco Comodo hezky v zelené barvě a tedy "důvěryhodný", všechny české QCA nejenže ve Firefoxu vůbec nejsou, ale ani nenabízí EV certifikáty. Firefox 6.0.2

Mně tedy tato informace říká, že EV je prakticky k ničemu. Alespoň v českých podmínkách.

České poště bych nedůvěřoval už z principu :-). Když vidím, jak se chovají k zákazníkům, hovada... Navíc nechápu, jak si „bezpečně“ stáhnete ten certifikát :-)