Hlavní navigace

Názor ke zprávičce Čínská autorita WoSign prošla auditem, chce být znovu důvěryhodná od j - CA je nahovno, je to axiom tisickrat potvrzenej...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 7. 7. 2017 12:52

    j (neregistrovaný)

    CA je nahovno, je to axiom tisickrat potvrzenej praxi (tvle. jako by tohle nebylo prave pod wosign, coz je zarnej priklad). Co na tom nechapes? Duveryhodnosti libovolny CA je zcela zaporna ... protoze pouziti "duvery" v CA naopak bezpecnost rapidne snizuje. Libovolnej selfsing je o rady bezpecnejsi.

    Prvni kontakt pokud ti jde o bezpecnost aktualne udelat nejde vubec nijak, ale uplne stejne ses na tom s druhym tretim a dalsim ... protoze jedinej zpusob jak bys to moh delat, je pokazdy rucne a po kazdym kliku znova, overovat fingerprint toho certifikatu. ZADNOU jinou moznost aktualne NEMAS. Protoze kazdej dalsi klik muze bej podepsane libovolnou z tech desitek "duveryhodnych" CA ... a ty se to vubec nedovis. Co hur, on se to nedovi ani provozovatel toho webu, nema jak.

    To se samo tyce i DANE, ale narozdil od nepouzitelnyho PKI tam mas aspon vyhodu v tom, ze drzitel domeny muze zjistit, ze mu to nekdo naboural. Pokud nekdo slohne domenu ... ses na tom uplne stejne. Ale bezpecnost je o pravdepodobnosti ... pricemz s dane ses na tom o dost lip - terminoval si jeden z prukazne naprosto neduveryhodnych meziclanku, a spolehas se na dns, bez kteryho se stejne nikam nepripojis.

    Samo i v pripade DANE by bylo fajn, kdyby ti browser umoznil ulozit cert a varovat v pripade zmeny ...