Certifikační autority budou povinně validovat CAA záznam

Zdravime dementy...

tak to jo - kdyz to odhlasovali tak to urcite bude fungovat :o)))))

BTW neodhlasovali si taky uz drive ze se nebudou vydavat certs za zady majitelu domen tretim stranam??

OMG

Ale tentokrát to už určitě budou dodržovat... čestný pionýrský. :-P

Hele, naši volení zákonosráči zákonem ustanovili, že vůle chodce trumfuje fyziku, že geodeti jsou "zeměměřicové" (ano, úřad zeměměřičský byl zákonem přejmenován na zeměměřický), předseda Ústavního soudu Rychetský rozhodl, že překlep trumfuje dokumentovanou anamnézu (legalizoval nezákonný převod nemovitosti rozhodnutím, že lze být v terminálním stadiu rakoviny víc než 8 LET, přestože v lékařské kartě bylo dokumentováno necelých 10 týdnů), a rozhodli že ve státní svátek si nesmíš koupit chleba v prodejně o ploše podlahy nad 200m2, přestože hamburgr ze separátu jo.
Takže čemu se proboha divíš?

zda se ze Cesko predhonilo Ameriku......­.....proste "zeme neomezenych moznosti" :o)))))

Model PKI právě naopak počítá s tím, že si vyberete, kterým certifikačním autoritám a v čem budete důvěřovat. To, že máte spoustu řečí o tom, jak jsou které certifikační autority nedůvěryhodné, ale důvěryhodnost jejich certifikátů si v prohlížeči nevypnete, je váš problém. Ano, vím, pro vás je to moc složité, musel byste pětkrát kliknout.

Ano, vyberu si tak, že si hodím korunou a pak se na ty stránky nedostanu. Notorický blb Jirsák opět nezklamal.

@Jirsak
"...Vám to bude k ničemu, protože vy očekáváte 100% zabezpečení..."

Veci se maji tak mily Jirsaku ze nejde bejt "jen tak trochu tehotnej" .....
Budto JE neco bezpecny anebo to NENI bezpecny.
"Tak trochu" bezpecny ja neznam.

"ale pro lidi, kteří žijí v reálném světe, to úroveň zabezpečení zvyšuje."

A ze sem tak smelej CIM??
At na to koukam zleva zprava, pro lidi v realnym svete to nezvysuje vubec nic.
Mozna tak pro lidi z tvyho paralelniho vesmiru.

"Problém je v tom, že nevíte, co je model PKI..........Model PKI právě naopak počítá s tím, že si vyberete, kterým certifikačním autoritám a v čem budete důvěřovat."

Rekl bych ze (na rozdil od tebe) pomerne presne vim jak model PKI funguje v praxi.
JAKAKOLIV CA bez skrupuli muze vydat cert pro JAKOUKOLIV domenu (snad jen s vyjimkou kombinace Google fake cert+Google Chrome browser kde to Google objevi velmi rychle) aniz by to tvuj browser nejak zjistil, staci kdyz se pak napr. s Widlema projdes nekde po warezech anebo si nainstalujes nejakou cool hru a nezkontrolujes si co se stalo s tvoji hosts file........ a pak se jednoho dne prihlasis do banky, budes tam mit zamecek a celou tu paradu a presto se zacnou dit roztodivny veci...... :o))))

Pokud jde o blabol typu
".... že si vyberete, kterým certifikačním autoritám a v čem budete důvěřovat."
rekl bych ze se to tady uz resilo do bezvedomi --> https://www.root.cz/zpravicky/korenovy-certifikat-let-s-encrypt-bude-duveryhodny-ve-firefoxu-50/vlakno/1/ a vysledkem diskuze bylo, ze si uzivatel vybrat NEMUZE.

Takze asi tak.

Ty seš fakt tatar. Zaměňuješ implementaci a standard. To je jako tvrdit, že návrh TCP stacku je blbej, protože na Widlích je TCp stack zabuggovanej.

Nic lepšího než PKI jsi nevymyslel, jen tu blbě pindáš.

2Kate: "že nemají smysl?"

Mno pokud mas na dverich fotku zamku, o ktery prodejce tvrdi, ze je zcela bezpecna (a ty tomu veris) ... co hur, ty tomu ani verit nemusis, protoze ti takovy dvere proste vnutil tvuj najemce a i kdybys je vymenila, tak s pristi revizi dveri ti tam vrati ty s tou fotkou ...

tak to naprosto presne odpovida tomu, jak fungujou CA.

@kate
"...dá se z toho usuzovat že situace, i když není zdaleka ideální, není ani tak špatná .."
to zalezi kdo ma jakej prah bolesti :o))) to, ze o malerech neslysis neznamena ze se nedeji....

https://www.youtube.com/watch?v=Z7Wl2FW2TcA#t=5m2s
(koukam ze Comodo ty prusery dela uspesne uz od roku 2011)

https://www.youtube.com/watch?v=ibF36Yyeehw
moje oblibeny video aneb jak si nechat vydat cert podle vlastni chuti kazdeho soudruha :o)))

Uživatel si samozřejmě vybere kulový, nemá žádné prostředky, čas ani znalosti k tomu, aby se mohl rozhodnout, obecně jde o úplně nesmyslný požadavek. O tom, jaký certifikát má být správně použit a kým má být vystaven, ví vlastník domény. Ten by nám to sice mohl sdělit pomocí DANE/TLSA, resp. CAA záznamu, ale první jmenované nikdo v prohlížečích neimplementuje, protože by agenti s teplou vodou přišli o byznys, a druhé jmenované pro jistotu uživatelům použít rovnou zakážeme.

Tak takovouhle "bezpečnost" si rač, Jirsáku, narvat do análu i se svejma telecíma radama.

@jirsak
"Já tu mám na disku pár privátních klíčů od certifikačních autorit. Každý si totiž může vyrobit tolik certifikačních autorit, kolik chce. Model PKI není založen na tom, kdo smí vytvořit CA.."

Predne bysme si meli ujasnit 1 vec:
Ja tady nevedu akademickou debatu o tom zda papirovej standard PKI je spatnej nebo dobrej. Ja tu resim jak hodne deravy je pouzivani soucasnyho PKI v praxi.
To aby duo Lojzak&Jirsak vedelo o cem je rec.

Obecne proti PKI jako modelu nic nemam, notabene ho sam vyuzivam= na FreeNASu provozuju Emby server kterej streamuje do browseru na internetu videa z dovoleny tomu, kdo ode me dostane login+PW a protoze jsem presvedcenej ze ani ISP ani nikomu jinymu po ceste neni nic do toho co si s kym posilam tak chci aby si zajemce sosnul taky CERT KTEREJ JSEM ALE JA SAM VYGENEROVAL, aby trafik moh jet pres https.

Sedi-li fingerprint neni co resit, cili funkcni PKI v plny parade.
To co predvadej tzv. "duveryhodny" CA ma ale k tomuto hodne daleko.

"Model PKI není založen na tom, kdo smí vytvořit CA, jak se chybně domníváte, ale je založen na tom, že záleží na koncovém uživateli, kterým CA bude důvěřovat"

super- a ted by me zajimalo jak tohle chces vysvetlit/pozadovat od beznyho BFU !? :o)))
OMG
PS: ja skutecne vim Jirsaku jak PKI model funguje-nemusis mi podsouvat tvoje vlastni domnenky.

"To, že vám prohlížeč nutí nějaké certifikační autority a vy si je vnutit necháte, není chyba modelu PKI – je to mimo jiné vaše chyba, související s tím, že nevíte, jak model PKI funguje"

super- tak tohle rekni uzivatelum, mily BFU je to cely tvoje chyba protoz ejsi nedokazal vyhodnotit zda CA je duveryhodna ci nikoliv :o))))
OMG
Za sebe muzu rict jediny a budu se opakovat, uz sem to tu psal Xkrat: kdyby bylo po mym vyhazel bych CA vsechny.

"To jste tu diskusi ovšem špatně pochopil. Zrovna ten váš případ, kdy chcete důvěřovat pěti vybraným autoritám, bude fungovat perfektně."

Kdyz uz me chces citovat, tak to aspon delej poradne =muj vyrok znel: "Casem se pak dostaneme zpatky na tech 10-11 jako to bylo kdysi a ty uz si daj setsakra pozor aby neslaply vedle"

Jinak koukam ze Herr Krcmar uz se na tu nasi debatu tady asi nemoh' koukat tak sepsal novej clanek kde to vysvetlil POLOPATICKY - rekl bych ze je to jak delany pro Jirsaka &spol
https://www.root.cz/clanky/zaznam-caa-sparuje-domenu-a-autoritu-kontrolovan-bude-od-zari/

Prosimtě, ty génie, mohl bys mi představit, jak si představuješ, že bude průměrnej Franta Vomáčka v prohlížeči nastavovat, kterým CA důvěřuje, a podle čeho se bude rozhodovat? Doma všichni zdrávi?