Vlákno názorů k článku StartSSL byl potichu koupen WoSign a přestěhován do Číny od hnusfialovej - Btw, https://bugzilla.mozilla.org/show_bug.cgi?id=1293366 A jenom žvanit o tom budou ještě...
-
hnusfialovej (neregistrovaný)
Btw, https://bugzilla.mozilla.org/show_bug.cgi?id=1293366
A jenom žvanit o tom budou ještě asi sto let, než něco udělají - jestli vůbec (ostatně, jak je jejich dobrým zvykem).
Odebral jsem z autorit WoSign i StartCom. Případný problémy při vstupu na nějakej web ať si vyžere hloupej admin, co StartCom použil, nezajímá mě to.
-
peci1Stříbrný podporovatelNapadlo vas, ze treba lidi delaji neziskovy projekty, u nichz zaplatit/nezaplatit 500 za certifikat je celkem podstatnej rozdil? Soukromy blogy atd? Chapu, ted prisel Let's Encrypt, ale ten tady pred rokem jeste nebyl. A ani ted ho nepodporuji vsechny webhostingy.
Navic admin si nic nevyzere - on se jaksi nedozvi, ze jste kvuli vasemu rozhodnuti mel problem s pristupem na jeho web.
-
tetris (neregistrovaný)
Autor patrně myslel, že půjde pryč, server nenavštíví, a bude mu to jedno. Že se to admin možná nedozví, je mu jaksi taky jedno (logicky).
Že admin nesleduje ani občas dění ohledně IT (a nebo je mu bezpečnost uživatelů a návštěvníků i třeba u zadele), opravdu není problém uživatele/návštěvníka...
A konkurence (i v neziskovkách) je mraky... -
Palo M. (neregistrovaný)
Ale tu predsa ide o doveru. Majitel dvoch certifikacnych autorit na relevantne otazky odpoveda stylom "Vas do toho nic, su to moje sukromne veci". Zmysluplna odpoved browserov (celej verejnosti) by mala byt "Nech sa paci, uzivaj si svoj sukromny majetok, ale kvoli netransparentnosti sa tie tvoje autority stali absolutne nedoveryhodne, boli vyhodene zo zoznamov doveryhodnych, a v buducnosti akekolvek autority, o ktorych sa dozvieme ze su na teba akokolvek napojene, budu okamzite vyhodene zo zoznamu tiez. Ty si skratka v CA oblasti skoncil. A zelame ti pekny den".
Ked ma byt system naozaj zalozeny na dovere, tak akonahle niekto tu doveru strati, tak musi skoncit okamzite a nadobro. Inak ten system nebude nikdy funkcny.
-
hnusfialovej (neregistrovaný)
Přesně tak. A uvidíme, jestli na to má Mozilla koule.
https://wiki.mozilla.org/CA:WoSign_Issues
(mno, wiki o tom zakládat uměj, teď ještě to zásadní a základní: činy)Třeba takovej MSIE tam WoSign nemá (nechce se mi hledat, jestli ji tam nikdy neměl, nebo kdy ji odstranil), ale StartCom ano.
A protože MSIE i Chrome (narozdíl od Firefoxu) používají úložiště OS, tak především pokud je na PC více uživatelů, nejlepší je jako admin jít do mmc konzole, add-in Certifikáty, a tam je zakázat pro jakýkoliv účel.
Ve Firefoxu navíc pozor na zvláštnost jeho chování, kdy po odebrání daných CA se tam po restartu objeví znovu, nicméně právě se zakázanými všemi účely (což je trochu chování na hlavu - když chci nějakou CA smazat, znamená to, že ji chci smazat).
-
hnusfialovej (neregistrovaný)
Ano, v Mozille jsou "vtipálci". Udělaj tlačítko, a dělaj, jako že dělá něco jinýho, než dělá (a "vtipně" text na tlačítku dají jako "Delete or..."). Funkci ve zdrojáku pojmenujou "vtipně" "deleteCerts()", a ta dělá to, že z GUI stromu danou položku (do restartu Firefoxu) smaže, aby uživatel získal pocit, že je s CA v úložišti nadobro konec.
Pro MSIE a Chrome (a budoucí shnilý CA) je řešení i vypnout update certifikátů:
http://technet.microsoft.com/en-us/library/cc734054(WS.10).aspx -
lol (neregistrovaný)
zmaze, po restarte je spat, ale v trust setting su vypnute vsetky 3 moznosti (websites, mail users a software makers). Dava to zmysel - ak by ich zmazal, tak po update firefoxu by sa ti tam nasrali spat. Takto su vypnute. Preto mi na FF https://www.root.cz hlasi:
Your connection is not secure
The owner of www.root.cz has configured their website improperly. To protect your information from being stolen, Firefox has not connected to this website.
-
@lol (neregistrovaný) ---.jic.cz
zmaze, po restarte je spat, ale v trust setting su vypnute vsetky 3 moznosti...Ano, je to přesně tak, jak píše tady kolega.
Po tom "delete" to ze seznamu certifikátů zmizí, ale po restartu ff se to v tom seznamu objeví znova.
Ale s tím, že v tom "podrobnějším seznamu jednotivých vlastností" (u mne Edit trust settings) jsou všechny možnosti už NEpovoleny.Asi by se měli soudruzi z ff zamyslet nad tím, zda to GUI (minimálně popisy) v tom Certificate Manageru nepřekopat, ať to není tak zavádějící*.
Přeci jen, otázka "Are you sure you want to delete or distrust" bez toho, abych si někde skutečně vybíral, zda chci "delete", nebo jen "distrust" a na výběr jsou jen tlačítka OK a Cancel...
A jak už tu mnozí zmiňovali, ty vybrané certifikáty ze seznamu opravdu zmizí, aby se tam po restartu zase objevily, to opravdu jednoho vyděsí/nas.../... a začne si říkat OMG, OMG, ...*Eufeminismus. ;-).
-
Filip JirsákStříbrný podporovatelNad překopáním GUI certificate manageru už se přemýšlí a ještě dlouho se o tom přemýšlet bude. Přičemž to matoucí skrývání certifikátů a to, že se v seznamu nezobrazuje důvěryhodnost certifikátů, jsou jen „kosmetické“ vady, na funkci to nemá vliv. Horší je, že nedůvěryhodným intermediate certifikátům Firefox stejně důvěřuje, pokud jsou podepsané důvěryhodnou certifikační autoritou – což už na funkci vliv má. Ale prý to není bezpečnostní problém, protože to bylo několikrát vysvětleno v newsgroups.
-
Rhinox (neregistrovaný)
Tak to je peknej seznam! Se divim, ze po tom vsem jeste nebyl root-certifikat WoSign vyhozen alespon z Mozilly a Chrome!
Jenze jak tak koukam, problem s cross-signed certifikaty je vetsi. WoSign ma doted podepsan certifikat taky pres "Asseco Data Systems" (?) a Comodo (taky slusnej oddil)...
-
Karel (neregistrovaný)
"když chci nějakou CA smazat, znamená to, že ji chci smazat"
To je dáno tím, že potřebujete nějak uchovat informaci o tom, že jste ji smazal. Bez toho by program nedokázal rozpoznat, zda vám chybí proto, že ji nechcete, nebo proto, že se něco pokazilo, případně proto, že je to nová CA. Prostě pro program chcete nechat informaci typu "tahle CA je úmyslně smazaná, už mi ji nestahuj".
-
ebik (neregistrovaný)
Melo by tam byt prepinadlo. V poloze "spravovat automaticky", ktere se chova tak jak jste popsal. Ale je tu dost lidi (paranoiku), ktere by ho chtelo v poloze "spravovat rucne", tedy v principu neveri novym CA, a chteji aby jim browser/system pouze oznamil, ze ma nove CA, a zeptal se jich, zda si jim preji verit, nebo ne. A bylo by dobre aby dialog umel na pozadani skryt/odkryt CA, kterym neduverujeme vubec.
-
nobody (neregistrovaný)
myslils to vazne? :-D tak treba databaze seznamu certifikatu, po smazani by byl ponechan radek pro smazanej cert se stav=smazano_rucne... zaznam by mohl obsahovat i informaci jestli je mozne obnovit pri aktualizaci, nebo ponechat smazane, na coz by logicky byl uzovatel dotazan pri smazani "chcete v pripade aktualizovaneho certifikatu tento nainstalovat: ano/ne/dotazat_se"...
-
Filip JirsákStříbrný podporovatel
Jaký je rozdíl mezi ponecháním certifikátu v databázi se stavem „smazáno ručně“ a ponecháním certifikátu databázi se třemi příznaky „nedůvěřovat pro ověření webu, nedůvěřovat pro ověření software, nedůvěřovat pro ověření uživatele“? Tedy kromě toho, že to druhé má větší granularitu a umožňuje rozlišovat různé způsoby užití certifikátu.
-
Issued To
Common Name (CN): *.root.cz
Organization: Internet Info, s.r.o.
...
Issued By
Common Name (CN): StartCom Class 3 Primary Intermediate Server CA
Organization: StartCom Ltd.:-D :-D :-D
Což mimochodem znamené, že po delete certifikátů těch dvou se mi rozpadl web root-a.
S addonem "https everywhere".Tristní.
-
lol (neregistrovaný)
Presne :-D
Certificate Error on https://www.root.cz
There are issues with the site's certificate chain (net::ERR_CERT_REVOKED).
