Vlákno názorů k článku
Chrome přestane důvěřovat dvěma certifikačním autoritám kvůli porušování pravidel
od redhawk - hm no je to dost kontroverzne.
za mna by...
-
Uzivatel VI jestli jeze do banky nebo na prdlej root. Uzivatel naprosto netusi, proc mu browser nadava kvuli nejakymu certifikatu, a stejne mu i v bance reknou at klikne na OK pokracovat. Umim ziskat (za penize) "duveryhodnej" cert pro libovolnou domenu na ktery umim kliknout do mailu (krome par proflaknutych).
Duveryhodnost vsech certifikatu ktery si nevydam sam je presna nula.
-
Ty ve skutecnosti ale nechces duverovat zadny CA. Mozna ze chci duverovat XYZ pro domenu KLM. Ale nikde jinde.
Na 100% anonymnich webech chci aby browser drzel pysk. Mozna chci, aby me upozornil, ze se nesifruje (to tem uzasne bezpecnym browserum nevadi vubec). Nejspis chci aby browser umel dane a kdyz nebude sedet, tak at odporuje. Jenze pres dane me guugl smirovat nebude zejo. 100% chci aby drzel hubu u selfsingn certifikatu. Mozna si ten konkretni cert chci pridat mezi duveryhodny, a pak chci aby rval, kdyz tam bude jinej (a nechci resit nejakou prdlou expiraci).
Nejpis taky chci aby umel vsechny historicky algoritmy, vcetne xorovani, protoze je to porad lepsi nez dratem do oka, ale moh by me treba upozornit, ze dotycna sifra neni uplne OK. A ne ze me vyfuckuje s tim, ze halzik nelze splachnout, protoze se neda pripojit anzto ta vec pouziva md4.
A samozrejme to vse chci konfigurovatelny, abych si to nastavil jak JA chci. Jenze presne tyhle (realne bezpecny) veci zadnej browser neumi. A je to umysl.
-
> Mozna chci, aby me upozornil, ze se nesifruje (to tem uzasne bezpecnym browserum nevadi vubec).
Ale vadi. Niektore HTML5 API nefunguju mimo https (a localhost). Inde pyskuje, napr. odosielanie formularov. Vo firefoxe zabudovany https everywhere pyskuje, ze stranka je nezabezpecena a ci pokracovat.
> Nejspis chci aby browser umel dane a kdyz nebude sedet, tak at odporuje.
Naco DANE? Staci CAA.
> 100% chci aby drzel hubu u selfsingn certifikatu.
Na self-signed nech pyskuje; inak by bolo vsade self-signed. Pokial to myslis seriozne, kludne si urob vlastnu CA a pridaj si ju do browsera.
> Jenze presne tyhle (realne bezpecny) veci zadnej browser neumi. A je to umysl.
Pretoze 99,9% userov to neda. Tak ako ty nedas tu vlastnu CA spomenutu vyssie. Ono bezny user ma problem rozlisit URL od vyhladavania.
-
Ehm ... CAA je urceny k uplne necemu jinymu a ani to nefunguje. Teoreticky by ti jina autorita nemela vydat cert, prakticky ji to je uplne jedno. Opakovane overeno.
S userama to nema zhola nic spolecnyho, umim ti nastavit vychozi politiku, ktera bude o 10 radu bezpecnejsi nez soucasny stav, a 99% useru nebude mit potrebu to menit.
Userum je totiz uplne jedno jestli ma root certifikat "duveryhodnej" nebo ne, nebo jestli je expirovanej ... Usera (ne)zajima jestli se ta komunikace nejak sifruje.
Mimochodem, uz sis ze systemu vyhodil SHA1? Tak to si treba diablo nezahrajes (zadny) protoze se neprihlasis na battlenet. Ze prej bezpecnost, lol.
-
Jiste, stejne jako splitdns ze? To ovsem pouzivaji uplne vsichni.
A muzeme pokracovat ... co treba takovy xfr ... jo aha, to ma kazdej svepravnej provozovatel dns vypnuty s vyjimkou svych sekundaru. Ti hloupejsi si mysli, ze je to kvuli bezpecnosti, ti chytrejsi vedi, ze je to primarne kvuli zbytecnymu zatezovani dns frikulinama. Mno a pak prijde velefrikulin, s DNSSEC ... a vsichni cucaji o rad vic dat, zatezuji ty dns servery v nasobcich toho xfr ... takze to je mozna lepsi zapnout ze?
Rika ti neco CDNSKEY? jo to taky uzasne funguje ze? Podporuje to ...celkem JEDNA tld.
Funguje to az tak bozky, ze nektery tld podporu rovnou rusi uplne.
Osobne sem moooc zvedav, az prijde zasne nejakej frikuliln s tim, ze nejakej ze 150ti algoritmu uz neni dost bezpecnej a je treba ho zrusit. Pripadne s tim, ze ty (na vecny casy) klice je treba co hodinu menit ... uz to, ze soudruzi v bindu povazujou za OK max ttl na 24hodin je k smichu.
-
V ideálním světě možná, v praxi ani náhodou. Představa, že se uživatelé sami budou rozhodovat, kterým certifikačním autoritám chtějí důvěřovat, a kterým ne, je naprosto nereálná. Prohlížeč tudíž sám chtě nechtě musí vystupovat v roli jakési kvazi certifikační autority a rozhodovat, které CA důvěryhodné jsou, a které ne.
-
Filip JirsákStříbrný podporovatelPoslední slovo má uživatel. Ale drtivá většina uživatelů to řešit nechce, takže jim autoři operačních systémů a prohlížečů poskytují nějaké výchozí hodnoty. A to je to, o čem je zprávička.
-
Jenže proti podvrhům to současné podobě nechrání. To by se certifikáty musely zařadit do nějakého systému a příslušně kategorizovat, jako že "úřad", "banka", "škola" a podobně aby prohlížeč mohl informovat uživatele, že se asi nachází na nějaké oficiální stránce protože má "úřední" certifikát, že tohle nejenom vypadá jako banka, ale je to i podepsané certifikátem který může dostat jen subjekt který má bankovní licenci kdežto tady ten certifikát je "na IČO" a támhle ten vůbec na nic.
