Hlavní navigace

Názor ke zprávičce Chrome bude od verze 83 blokovat některá stahování po HTTP od Filip Jirsák - Ono to není zvyšování bezpečnosti za každou cenu....

  • Aktualita je stará, nové názory již nelze přidávat.
  • 8. 2. 2020 11:04

    Filip Jirsák

    Ono to není zvyšování bezpečnosti za každou cenu. HTTPS zvyšuje bezpečnost velmi podstatným způsobem, a cena je naopak velice nízká. Vlastně mne nenapadá jiný případ v dnešním světě, kde by poměr zvýšení bezpečnosti a ceny byl tak výhodný, jako u zavedení HTTPS.

    Nemyslíte, že je trošku rozdíl v tom, jak snadné je unést spojení na poslední míli a jak snadné je unést spojení k poštovnímu serveru? Když pak budete moci přesměrovat DNS na svůj server, budete tam nejprve potřebovat zreplikovat celou původní DNS zónu – ne všechny DNS servery mají povolený přenos celé zóny kamkoli. A když nějaký záznam vynecháte, je dost možné, že váš únos DNS vzbudí pozornost už v okamžiku, kdy bude probíhat. Samozřejmě můžete namítnout, že někdo má DNS hostované přímo u registrátora a heslo bude stačit pro přidání validačního záznamu, aniž by došlo k jiné změně. Ano, někdo to tak má.

    No a pak jste zapomněl na takovou drobnost, že ten vydaný certifikát bude navěky zaznamenaný v CT logu, takže ten svůj útok neutajíte.

    Ale určitě jste si ten příklad nevymyslel, takže buďte prosím konkrétní a popište, jak přesně a u které domény takhle došlo k neoprávněnému vystavení DV certifikátu.

    Ale on je drobný problémek především v tom, že jste vůbec nepochopil, jak funguje bezpečnost. Když si pořídíte a namontujete na dveře bezpečnostní zámek, neznamená to, že by vás ten zámek ochránil před tím, že zloděj do bytu vnikne přes okno nebo otevřené balkonové dveře. Ne, nikdy neexistuje jedno univerzální řešení, které by vás chránilo před jakoukoli hrozbou – vždy musíte každou hrozbu řešit zvlášť. Takže úplně stejně, jako bezpečnostní zámek na dveřích nezabrání vniknutí zloděje oknem nebo otevřenými balkonovými dveřmi, nezabrání HTTPS ani únosu DNS, ani útoku na nezáplatovaný WordPress, ani uhodnutí přihlašovacích údajů admin:admin. Je potřeba řešit každou hrozbu zvlášť.

    SMTP se dávno řeší – nebude se vám to líbit, ale řeší se to šifrováním. Přičemž k největšímu posunu došlo právě v souvislosti s HTTPS. Díky Let's Encrypt je snadné získat certifikát pro poštovní server zdarma, což vedlo k největšímu růstu v nasazování TLS na SMTP servery. Navíc „celý SMTP“ je už bezpečně vyřešený – certifikát zveřejníte v TLSA záznamu, podepsané to bude přes DNSSEC, SMTP klient přes DANE získá informaci, že má povinně použít STARTTLS a konkrétní certifikát. Celé už to funguje, SMTP klienti na rozdíl od prohlížečů DANE nebojkotují. Takže jediný reálný problém je rozšíření. No a předpokládám, že vy budete velmi silně proti tomu, aby někdo na větší rozšíření bezpečného šifrovaného spojení při SMTP tlačil. Takže v SMTP je stav přesně takový, jaký ho vy chcete mít – technologie jsou připravené, stačí je nasadit, a nasazení je na zodpovědnosti konkrétních provozovatelů poštovních serverů.