Vlákno názorů k článku
Apple podal návrh na postupné zkracování platnosti certifikátů pro HTTPS
od František Ryšánek - Jestli tohle projde, tak ACME 2 vypadá jako...
-
Jestli tohle projde, tak ACME 2 vypadá jako cesta kupředu / perspektivní způsob přežití.
A v takové situaci mi bude připadat bizardní, proč není nějaký kanonický ACME klient součástí např. OpenSSL a serverových vindózů (ať už IIS nebo přímo samotného OS). Proč se k tomu musí používat tvorba třetích stran. I když... sice se na jednu stranu mohu ošklíbat nad Pythonem (CertBot) nebo .NET (win-acme), na druhou stranu si nejsem vůbec jistej, jestli bych radši řešil budoucí bugy v 3rd-party projektu co má repo na GitHubu, vs. v nějaké standardní součástce Windows :-D vs. v nově vyvstalém problému 3rd-party softwaru po aktualizaci Windows... pick your poison. Možná je pozadu především můj mindset = provozovat si svůj vlastní server jakéhokoli druhu. Tzn. operátoři cloudových služeb se taky usmívají.
-
DannyStříbrný podporovatelA proc by mel byt ACME soucasti OpenSSL? Jednak je to tak trosku proti unixove (KISS) filosofii, druhak OpenSSL neni zdaleka jedinou implementaci SSL/TLS. K tomu prvnimu staci uz jen dodat, ze je lepsi delat jednu vec a delat ji poradne... nez spoustu veci v ramci jedne binarky, kdy se pak dost zvetsuje prostor pro chyby.
-
Filip JirsákStříbrný podporovatelKanonický ACME klient je Certbot. Nevidím důvod, proč by měl být součástí knihovny OpenSSL, ani součástí Windows – vždyť je to aplikace jako každá jiná. No a pokud používáte rozumný software, žádný software třetích stran pro ACME nepotřebujete. Takový Caddy server má podporu ACME vestavěnou, funguje perfektně a v základní variantě bez jakékoli konfigurace. Prostě jenom nastartujete server. Nějaká kanonická implementace přibalená k něčemu by pro mne byla úplně zbytečná.
-
Ohledně Caddyho - to je masakr. Už to animované intro na homepagi projektu. Nenapadá mě netrollí komentář :-)
Moje zarezlé šedé závity dumají, kam se nám posouvá celý ten příběh o delegaci důvěry, o autenticitě a odpovědnosti. Co bude dál - indikační ikonka se zámečkem vedle adresního řádku bude mít barvu pozadí ze spojitého intervalu červená-zelená, a při přejetí myší sdělí vyskakovací bublina, kolik provozovatel webu utratí ročně za certifikát? :-) -
Především si vážím Vašich reakcí - jsou vždycky technicky precizní a informačně hodnotné.
Z mé strany... narážím na obecný koncept "chain of trust", a jak se postupně rozpíjí. Pozoruji zvenčí z povzdálí ten vývoj PKI ekosystému:
- jenom důvěryhodné velké CA
- no dobře, tak přijmeme do klubu i pár levnějších hráčů
- ale ne aby si každý mohl zřídit veřejnou CA sám pro sebe a automaticky byl důvěryhodný a všeobecně uznávaný (v prohlížečích i jinde) - to zas ne
- pak vznikne software a "organizační mechanismus", který velkému provozovateli (hostingů apod.) dá možnost, objednávat certifikáty automatizovaně, téměř samotížně. Takový provozovatel uzavře rámcovou smlouvu s uznávanou CA. Takže následně CA vystavuje důvěryhodné certy všem požadavkům od daného velko-provozovatele hostingů.
- a pak tu automatizaci ve velkém přijme prostý lid (jako já), protože bez automatizace by člověk nedělal nic jiného než ručně aktualizoval certy.Podle mého vzniká spektrum různě důvěryhodných certů - odstupňované podle toho, kolik peněz a úsilí držitel certu vynaložil na pořízení certu. Automatizace povede k "úsporám z rozsahu". Certy budou levnější. Přitom celý boj proti spamu a příbuzným činnostem je založený na tom, že se drží jakási nákladová bariéra, kterou se šmejdům nevyplatí překonávat.
-
Filip JirsákStříbrný podporovatel
Certifikáty nejsou rozlišené podle toho, kolik peněz nebo úsilí vynaložíte na jejich získání.
Certifikační autority byly založené na tom, že delegujete ověřování na někoho, komu důvěřujete. Pak se ukázalo, že CA je čím dá víc a není možné, aby si každý člověk udržoval svůj vlastní seznam důvěryhodných certifikačních autorit – například proto, že typicky nemá jak by důvěryhodnost CA posoudil. Takže ten výběr důvěryhodných CA delegoval na někoho, komu stejně důvěřuje – autora operačního systému nebo prohlížeče. No a ti zase potřebovali nějaká jasná pravidla, co musí CA splnit, aby jí důvěřovali – jednak aby nezklamali důvěru uživatelů, kteří na ně spoléhají, jednak aby to bylo nějak věrohodné a predikovatelné a nezáleželo to na tom, koho z firmy se zrovna podaří nějaké CA ukecat. Takže třeba Microsoft nebo Mozilla mají svá pravidla pro to, kdy zařadí certifikát CA mezi důvěryhodné autority, a kdy ho naopak vyřadí. Pokud nějaká CA o zařazení požádá a pravidla splní, na seznam se dostane.
Kdyby si každý mohl zřídit svou vlastní důvěryhodnou autoritu, nefungovalo by to, protože ne každému můžete důvěřovat. Ostatně kdybyste každému mohl důvěřovat, nejsou potřeba žádné certifikační autority, žádné certifikáty, žádná šifrovaná komunikace.
Mechanismus pro automatizované vydávání certifikátů ACME nevznikl kvůli velkým provozovatelům. Ti největší si vydávali svoje certifikáty už předtím sami. (Měli svou autoritu, jejíž certifikát podepsala nějaká uznávaná autorita.) AUtomatizované vydávání certifikátů vzniklo proto, aby certifikáty mohly být co nejlevnější (ideálně zadarmo), aby si je mohl dovolit každý a bylo možné celý web dostat na HTTPS. Když chcete certifikáty vydávat levně, musíte je vydávat automaticky, protože lidská síla je to nejdražší.
Důvěryhodnost certifikátů není přímo úměrná ceně a nákladům na vystavení certifikátu. Pro mne je Let's Encrypt určitě důvěryhodnější, než čínská autorita. Ale když kterákoli z nich vydá certifikát pro portal.gov.cz, prohlížeč protestovat nebude.
Se spamem to nijak nesouvisí. Účelem TLS certifikátů je zajistit jenom to, že komunikuju s tím, s kým si myslím, že komunikuju. Jestli je to padouch nebo hrdina, to certifikáty neřeší.
