Hlavní navigace

Názor ke zprávičce Certifikační autority budou povinně validovat CAA záznam od Filip Jirsák - Uživatel si samozřejmě vybere kulový, nemá žádné prostředky,...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 18. 4. 2017 10:26

    Filip Jirsák

    Uživatel si samozřejmě vybere kulový, nemá žádné prostředky, čas ani znalosti k tomu, aby se mohl rozhodnout, obecně jde o úplně nesmyslný požadavek. O tom, jaký certifikát má být správně použit a kým má být vystaven, ví vlastník domény.
    To je úplný nesmysl. Asi nechápete, co je to certifikát. Víte, jak by to vypadalo, kdyby o důvěryhodnosti certifikátu rozhodoval ten, kdo ho předkládá, místo ten, kdo mu má věřit?
    Třeba v bance:
    – „Předložte prosím doklad totožnosti. Můžete si vybrat, jaký chcete, důležité je, že mu důvěřujete vy.“
    – „Aha, dobře. Tak tady jsem namaloval obrázek, to je můj doklad totožnosti. Stačí to?“
    – „Ale jistě, je na vás, zda tomu dokladu totožnosti důvěřujete.“
    Nebo byste po někom požadoval doklad o absolvování vysoké školy:
    – „Tady je moje vysvědčení z první třídy. Já to považuji za doklad absolvování vysoké školy. Máte něco proti tomu?“
    – „Ale ne, jistě, tvrdíte, že je to doklad o absolvování vysoké školy, tak to tak musím přijmout.“
    K čemu by takové certifikáty byly?
    Vlastník domény vám může akorát dát možnost, jak ověříte, že komunikuje opravdu s někým, kdo od vlastníka domény nebo registrátora má ke komunikaci pověření. Certifikáty k tomu vůbec nejsou potřeba, stačí veřejný klíč. Kvůli použití stávajících implementací se ten klíč distribuuje spolu s certifikátem, ale ten certifikát je pro ověření domény nezajímavý. Certifikát začne být zajímavý teprve tehdy, když ověřuje něco jiného, než doménové jméno.

    první jmenované nikdo v prohlížečích neimplementuje, protože by agenti s teplou vodou přišli o byznys
    Můžete tohle své tvrzení nějak doložit? Pokud já vím, autoři prohlížečů to nechtějí implementovat proto, že by to zpomalovalo první načtení stránky, a také proto, že je nutná funkční podpora DNSSEC, pokud to má být alespoň stejně bezpečné, jako dnešní DV certifikáty (které moc bezpečné nejsou, takže snížit bezpečnost ještě pod jejich úroveň by bylo dost hloupé).

    druhé jmenované pro jistotu uživatelům použít rovnou zakážeme
    Protože použití koncovým klientem nedává žádný smysl. Pokud klient chce validovat certifikáty přes DNS, má k tomu DANE/TLSA, a neexistuje žádný důvod tuto funkcionalitu duplikovat. Naopak zákaz validace klientem umožňuje CAA záznamy rozumně používat a třeba změnit CA bez výpadků. Samozřejmě vám nic nebrání validovat na klientovi i CAA, ale pak si za problémy tím způsobené můžete sám.