Ono se snadno mluví o tom, že by teď měly všechny prohlížeče ihned přestat podporovat StartSSL certifikáty a z bezpečnostního hlediska je to vcelku logické a rozumné řešení ale provést něco takového není jen tak.
Pokud prohlížeč přestane podporovat certifikáty umístěné na velkém množství webů, řekl bych že dost uživatelů (běžných, ne návštěvníků Rootu) bude házet vinu právě na prohlížeč. Ne na pochybnou autoritu a potažmo majitele webu který její certifikáty používá. A těžko bude někdo vysvětlovat běžnému člověku, který o internetu neví skoro nic, že je to vlastně v jeho zájmu. Toho bude spíše zajímat to, že v jiném prohlížeči (např. třeba v té Opeře, když už o ní byla v článku řeč) web s takovým certifikátem funguje bez problému.
A pro ty, kteří StartSSL certifikáty používají to také nebude nic příjemného. Např. třeba z finanční stránky - neomezené množství různých certifikátů (různé kombinace domén, wildcard, ..) vyjdou u StartSSL na zhruba $100 za +- 3 roky za placené validace osoby a firmy. U jiných autorit mohou stejné certifikáty stát třeba i víc než 100x tolik. A to už není úplně málo.
Let's encrypt je sice hezký nápad ale zdaleka se nehodí pro všechno, např. třeba kvůli absenci wildcard nebo kvůli krátké platnosti LE certifikátů.
Všichni bychom si hlavně měli uvědomit, že systém certifikačních autorit je úplně postavený na hlavu a jediný kdo z něj něco má jsou certifikační autority. A přitom tu už takovou dobu máme DANE, který spolu s DNSSEC zajistí velice smysluplnou ochranu. Je škoda že to ještě nikdo pořádně nepodporuje.
Nikoli, ukazuje se jen to, ze celej system CA vzdycky byl a je naprosto khovnu. Viz vejs, browser by mel proste akceptovat bez kecu cokoli, a tam kde chces resit bezpecnost ti to umoznit. V soucasnym stavu, pokud by sis chtel jakous takous bezpecnost zajistit, tak musis (libovolnej) browser zcela zasadne prekopat ... a pak predevsim vypnout veskery aktualizace jak browseru tak systemu.
Mozna te to prekvapi. Ale nekdy je lepsi fungovat se znamymi chybami, nez si nechat instalovat nove, z nichz o nekterych vis, ze jsou pro tebe showstopper.
Nově objevené chyby se většinou týkají i starých verzí. Pokud máte neaktualizovaný browser, po roce bude mít nejspíš stovky známých zranitelností. Naproti tomu aktuální verze bude mít známých zranitelností nula (plus ty které se právě opravují a typicky nejsou veřejně známé).
