Na blogu Mozilla Security se objevila informace o připravované aktualizaci internetového prohlížeče Firefox. Hlavním důvodem je výskyt nejméně jednoho podvodného certifikátu pro *.google.com od DigiNotar.
V rámci této aktualizace bude certifikační autorita DigiNotar odstraněna z důvěryhodných. Pokud se vám na ni nechce čekat, můžete certifikační autoritu odstranit pomocí českého návodu.
(Zdroj: Mozilla.cz)
Nevím, co jsi svým komentářem chtěl říci, ale v případě Mozilly jsou pro přidání CA jasná pravidla. Viz http://www.mozilla.org/projects/security/certs/policy/
A dalsi => Narazka na nedavne problemy agentury COMODO
Pridavani kohokoliv? Tim jsem narazel na tu obrovskou spoustu CA ve firefoxu. (je jich tam zhruba 60!)
Je sice hezke, ze maji nejaka pravidla, ale certifikacnim agenturam se da verit jen pokud v tom toci prilis velke penize, nez aby riskovali, ze to budou muset zavrit....
60?
Podívejte se na přednášku Petera Eckersleyho na IT11, druhý den: http://www.nic.cz/it11/
O.
P.S.: Na TLSA záznamech se v DANE WG na IETF pracuje, ale jako každý standardizační proces to bohužel trvá. Každopádně by to pak mělo vyřešit spoustu problémů tohoto druhu...
No... Internet Explorer, je nema a bere je z centralniho uloziste ve Windows. Ted jsem kontroloval Chrome - Windows verzi a ten taky nema "svoje Certifikaty", ale prebira je od operacniho systemu. Takze j to zalezitost Mozilly.
Jak je na tom Opera a Safari nevim, nemam je ted na instalovany.
Tak jsem to jeste kontroloval, protoze me to zajimalo a trojka: Explorer, Chrome a Safari pouziva centrali uloziste certifikatu ve Windows. Firefox a Opera maji svoje vlastni.
Jak to beha v Linuxu nevim, nema tu ted po ruce stroj s Ubuntu, kterej obvykle pouzivam, ale cekam ze Firefox a Opera budou mit identicky svoji vlastni spravu certifikatu. Jak Chrome na linux ted nevim.
Minimálně na debianu je /etc/ca-certificates.conf (seznam použitelných certifikátů) a samotné certifikáty (resp. jejich symlinky) jsou v /etc/ssl/certs. "Fyzicky" jsou uloženy někde v /usr/share/....
Pokud vím, tak Chrome používá právě tyto certifikáty - když jsem chtěl přidat nějaký nový, nebylo to na pár kliknutí, jako ve firefoxu, musel jsem certifikát konvertovat do správného formátu, nakopírovat do příslušných míst, přidat záznam v .conf a pak udělat nějakou chrome magii, ..., a pak to fungovalo.
Nevím, zda firefox respektuje systémové certifikáty, každopádně když přidám nějaký ručně, tak se mě zeptá, z čím mu má věřit (web / email / "software developers"), což by se u systémových certifikátů nastavovalo obtížněji.
