Hlavní navigace

Názor ke zprávičce Chrome postupně odstraní zámeček pro HTTPS v adrese od Miroslav Šilhavý - Prohlížeče by měly jen svým uživatelům komunikovat, že...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 18. 5. 2018 15:04

    Miroslav Šilhavý

    Prohlížeče by měly jen svým uživatelům komunikovat, že je tím ověřena komunikace s doménou XY a nikdo neposlouchá cestou. Žádné další záruky.

    Toto má dvě hluboké trhliny, resp. tři.

    1. Ověřena komunikace s doménou XY: lidé berou, že doména = firma, osoba či nějaké uskupení. Myslím, že lidi moc nezajímá, že firma "Masokombinát Vepřovice, s. r. o." je držitelem domény "zijme-vege.cz". DV certifikáty, z hlediska ověření s kým komunikuji neříkají ve skutečnosti vůbec nic. Podle mě je to špatně.

    2. Díky ACME je možné získat DV certifikát i podloudně, stačí mít přístup k síti blízko cílovému serveru a využít reverzní MITM útok. V tu ránu máte certifikát a můžete dělat, co chcete.

    3. Celá slabina systému (řetězce) se dnes přesunula na to, jak dobře je zabezpečený přístup ke správě DNS. Velké firmy to možná mají dobře, ale malé a střední firmy využívají registrátory, kteří umožňují správu DNS přes Web. Na Webu bývá většinou možnost zaslat zapomenuté heslo, což probíhá pomocí SMTP, které je nešifrované (opurtunisticky šifrované). Takže postup hackera: postavím se do cesty mailserveru. Vyžádám recovery hesla k DNS správě přes web. Odchytím poštu. Využiju DNS autorizaci protokolu ACME, abych získal certifikát.

    Ve skutečnosti HTTP a HTTPS s DV certifkátem jsou stejně bezpečné. Označovat HTTP za nebezpečnější než HTTPS s DV certifikátem je chybné, nikam nás to neposouvá a jen to zvyšuje náklady.