Vlákno názorů k článku Únik dat hotelů Marriott je vážný, špatná reakce situaci ještě zhoršuje od Meh - A proc by mel byt v Google Transparency...
-
Meh (neregistrovaný)
A proc by mel byt v Google Transparency vystaven TLS certifikat pro domenu, ktera krom toho, ze na ni neni obsah, TLS vubec nepouziva?
To ani nemluvim o tom, ze falesna domena email-marriot.com ma, nevim jestli vystaveny, ale kazdopadne validni certifikat, na cemz je videt zasadni problem celeho systemu certifikatu a autorit: to, ze je certifikat neplatny, nebo vubec neni, nic neznamena, a to, ze je a je platny, take ne. -
oss (neregistrovaný)
Problem je skor v tom, ze SSL certifikaty sa vydavaju kadekomu bez overovania identity alebo spolocnosti, ktorej patri.
Do tejto situacie nas dotlacil Google (s politikou SEO a svojim Chrome) na co zaregoval LetSEncrypt a vyuzil to...
A tiez ceresnicka na torte, voci tomuto ti CT nepomoze, a Chrome nezobrazuje ani EV certifikaty... -
Filip JirsákStříbrný podporovatelAle pokud vím, chystají se to zrušit, uživatelé to prý nechápou. Přitom je to jediná rozumná vlastnost EV certifikátů a jediný opravdový důvod, proč vydávat certifikáty pro TLS certifikačními autoritami. Na všechno ostatní stačí veřejný klíč v DNS (věcně – že to dnes prohlížeče neimplementují je jiná věc).
-
Petr M (neregistrovaný)
Tohle vidím stejně. Pokud chce někdo potvrdit, že je to opravdu on, ať si zaplatí ověřený certifikát a ať je to vidět. Pokud někomu ta investice přijde zbytečná, ať si vydá certifikát sám, podepíše mu ho registrátor domény a připíchne do DNS bez těch opičáren okolo. Řetězec důvery bude root server - správce TLD - registrátor - majitel webu. Takže dost velká jistota, že komunikuješ s tím, kdo má doménu registrovanou. Ochrana navíc (před únosem v DNS) je právě EV - další kanál autentizace, nezávislý na DNS.
Otázka, proč se to tak jednoduše nedělá. Že by si G a Mozilla nechali platit od CA desátek z toho, že bez CA se nikdo nikam nedostane?
-
Ondro (neregistrovaný)
+++++
Mam podobny nazor.
Pripada mi to ako hura system, pri ktorom sa kompetentny nezamysleli nad vsetkymi aspektami(nemali cas sa zamysliet). Rychlo vyriesit problem, o ktorom sa dlho vedelo ale nechalo sa to dojst az do takeho stavu, kde bolo potrebne najst rychlo riesenie. Vybralo sa technokraticke riesenie, ktore ma v praxi svoje neduhy. Najhorsie na tom je, ze sa s tym zacalo od konca(u internetovych prehliadacov). Spustila sa vlna, ktorej jednym z vysledkov bol vznik Let's Encrypt.
Nieje to ani prva a bohuzial ani posledna vec, ktora sa tak riesila. -
Filip JirsákStříbrný podporovatel
To ale vycházíte z úplně špatných informací. Certifikáty se používají spoustu let, to nebyla žádná hurá akce. Akorát se to za tu spoustu let vyvíjelo evolučním způsobem – vždy se z aktuálního stavu udělal ten nejmenší možný krůček někam dál, tak, aby už ten jeden krůček byl přínosem. Nikdo neměl sílu udělat revoluci s tím, že DV certifikáty jsou přece nesmysl, protože jediné zaručené místo, kde získat informace z DNS, je přece DNS server.
-
Ondro (neregistrovaný)
Pouzivalo sa to a vyvijalo x rokov ale ako? Az to doslo do stadia, ze to zacalo byt dolezitou temou. Ked sa nic rozhodne neurobilo zo strany kompetentnych, tak to zobrali do ruk prehliadace a oni to cele rozbehli. Z mojho pohladu to bolo hura riesenie, nestastne riesenie a nie najlepsie ale co uz. LetsEncrypt bol toho nasledkom aby aj bezne weby mali jednoduchy sposob ako svietit na zeleno v prehliadaci.
Mal som pocit, ze to bolo podobne ako pri IPv6. Ten protokol sa vyvijal x rokov ale, ked to bolo potrebne nasadit, tak sa zisitilo, ze to v praxi nieje ziadna vyhra. Cakal som, ze to bude vyladeny protokol. Z mojoh pohladu sa malo vvijat nieco nove, na IPv6 postavene. -
Filip JirsákStříbrný podporovatel
To, že jste vy něco zaznamenal až v nějakém okamžiku, neznamená, že to před tím neexistovalo. Zrovna HTTPS se na webu rozšiřovalo postupně a plynule. Nebyl tam žádný zlom, o kterém píšete. Křivka podílu HTTPS bude mít klasický tvar S křivky přijetí inovace, Let'S Encrypt akorát umožnil nasadit HTTPS na spoustu menších webů.
Navíc jediná chyba, kterou bych dnes vytýkal situaci kolem HTTPS, jsou DV certifikáty. Ale je přirozené, jak to vzniklo – v době zavádění DV certifikátů nebylo po DNSSEC ani památky, takže načítat certifikáty z DNS by bylo pošetilé. Trochu problém je, že se to dnes neřeší, i když už na to technické prostředky jsou. Ale tady by mohl sehrát pozitivní úlohu Let's Encrypt, který do velké míry sebere kšefty s DV certifikáty tradičním certifikačním autoritám, a ty jednak budou muset přesvědčit, že OV a EV certifikáty mají smysl (což mají a jejich upozadění by bylo špatně), jednak přestanou mít zájem na DV certifikátech. Takže DV certifikáty přestanou být něco, na čem lze vydělávat, naopak bude nutné financovat provoz Let's Encrypt, takže snad bude tlak na zrušení DV certifikátů a používání něčeho založeného na DNS (ať už to bude DANE nebo něco jiného).
-
Adam KaliszStříbrný podporovatelNe nutně. Zrovna Troy Hunt upozorňuje, že Chrome od zobrazování EV certifikátu speciálním způsobem ustupuje. Hodně velkých společností (Facebook např.), včetně bank EV certifikát nemá.
-
Gggdd (neregistrovaný)
EV poskytne akurat nazov firmy a ten nemusi byt vzdy znamy a ani unikatny.
Ked je na inde nepouzitej stranke Marriottu certifikat pre Starwood, je to dobre alebo nie? Kolko ludi bude Googlit a dohlada si to?
V zaklade sa zobrazuje len nazov firmy a nic mi technicky nebrani zaregistrovat si docasne firmu XYZ Mariott alebo nieco s hotelmi v nazve a zo zeleneho pruhu nikto nic nepozna. Verit bezvyhradne zelenej farbe, to len pomoze k tomu, aby viac ludi naletelo na phishing. -
Petr M (neregistrovaný)
V průměru 1x za měsíc dostávám z banky info (přímo v bankovnictví), že z domény té a té se něco chystá a nebo že probíhá phishingová kampaň. Při téhle frekvenci to absolutně není problém.
Navíc ne u každé služby je informace o podobné doméně zajímavá. U e-shopu to zákazníka nepálí vůbec, u mailu, banky, paywallu, přihlašovacích služeb typu OpenID a státní správy by mělo být info ověřitelným kanálem samozřejmost.
-
Ggjfdjd (neregistrovaný)
A ako automaticky z EV cert najdete, ze je niekto parazit? Meno firmy sa bezne nezhoduje s domenou a naopak, domena moze byt vseobecna. U root.cz mozno tusite, kto to vlastni, ale je registracia firmy "Root", "U Krcmare" "Info Internet", "Iinfo", "Internet Information" v poriadku? Ak to nie je registrovana znamka, tak revokaciu nezariadite.
Porovnavam EV s DV a DV mozem rovnako skusit zneplatnit. -
j (neregistrovaný)
Ne, protblem je v tom, ze soudruzi (a tady je jich taky hromada) vsude vykladaji, jak strasne nutne potrebujes ten "duveryhodnej" certifikat, kdyz chces sifrovat spojeni mezi horni a dolni. A ve skutecnosti je uplne jedno jakej cetifikat chces, protoze jediny co po dobe bude pripadne nekdo chtit, je overena platba. Certifikatu (tech "overeny") jsem zarizoval desitky, napises domeny, podle toho posles Nkrat X penez ... a voiala, po pripsani penez na ucet ti podepisou co chces. Jediny na co bys moh hypoteticky narazit je pozadavejk na podpis domeny, kterou uz stejna CA nekomu podepsala.
Naprosto nikoho nikdy nezajimalo, jestli vubec s tou domenou mas neco spolecnyho. Tak maximalne chteli "cestny prohlaseni" ... prachy totiz nesmrdej.
Tenhle kseftik jim samo aktualne dost rozbyla LE, ale s bezpecnosti to nemelo nic spolecnyho nikdy. A na to sifrovani je ti uplne rit, jakej cert protistrana ma nebo nema. Ostatne, velka cast MTA sifruje a pouziva na to ... selfsign.
-
[Meh]
A proc je v tom problem? Pokud ma svuj vlastni, tak to technicky prece neni chyba certifikacni autority protoze marriott.com != marriot.com. Horsi by bylo, kdyby obe domeny mely stejny certifikat.
Ale v souvislosti s tim, me napada, ze by nebyl spatny jednoduchy algoritmus, ktery by upozornoval na uzivatele na moznou zamenu s jinou domenou, se kterou v minulosti komunikoval....
-
j (neregistrovaný)
Domena ale nikoho nezajima ... ostatne, najdi si 10 lidi, a vyzkousej to na nich. Kdyz jim predhodis web kterej vypada jako web jejich banky, tak i kdyz bude v adrese "https://dik.za.prachy.vas.zlodej.cz", tak je jim to uplne jedno. Mozna tak jednomu ze 100 to prijde divny, ale kdyz nadhodis, ze to prece ma zelenej zamecek, tak reknou OK, a "zaplatej". A to nezapomen na to, ze trebas i soudruzi z guuglu uz vymejslej, jak ten radek s adresou nejlip nezobrazovat vubec.
Jediny reseni problemu je to, co sem tu uz nejmin 100x popisoval.
1) je uplne sumafuk jakej cert nebo CA ma protistrana, je to NEBEZPECNY a NEZAPEZPECENY spojeni
2) user si SAM prida nejakou CA pro KONKRETNI WEB nebo konkretni certifikat
3) a teprve PAK mu muze browser sdelovat ze je to OK (trebas zelenym zamkem), pokud onen web JE podepsanej prave tou konrektni CA nebo pouziva prave ten konkretni certifikat.
4) a pokud ne, mel by pripojeni uplne znemoznit ... coz by mel i v pripade, ze se prave u tech ULOZENYCH stranek neda overit platnos/revokace.Coz se da mimo jiny cely nahradit DANE cimz se eliminuje naprosto zbytecnej a bezpecnost narusujici meziclanek.
-
Petr M (neregistrovaný)
Ona hlavně je pitomost DV. Proč má třetí strana ověřovat záznam mojí domény v DNS? Ať je cert v DNS, podepsaný registrátorem nebo správcem TLD a hotovo.
Pokud chce někdo EV, měl by to být nadstandard. S tím, že pokud browser v DNS zjistí záznam s EV, měl by jej ověřit, zkontrolovat revokaci a v případě platnosti upozornit uživatele (popup?), že se připojuje na web s ověřenou identitou firmy XY, adresa ... a ověřil to ten a ten. Pokud je problém, že ten někdo není ten, za koho se vydává, škoda jde na vrub toho, kdo to ověřoval.
A naučit uživatele, aby pro kritický stránky (minimálně banka, paywall, mail) tohle ověření vyžadovali.
