Názory k článku
Kernel.org opět změnil design

* je sice prázdný řetězec, ale pořád ještě je tam ta tečka. To, že autoři prohlížečů soutěží o nejblbější implementaci, ještě neznamená, že je špatně celé PKI. Každopádně, nic lepšího než PKI zatím nemáme.

Ta tečka vadí tomu, že kernel.org nevyhovuje masce *.kernel.org. Není to špatně implementováno v prohlížečích, špatně je to, že ten certifikát není vydaný na *.kernel.org + kernel.org. Není důvod, proč by na to ve standardu měla být speciální odbočka, když se to dá snadno vyřešit pomocí alternativního jména v certifikátu. Navíc takhle můžete mít jiný certifikát pro kernel.org a jiný pro *.kernel.org, to by s tou odbočkou ve standardu nešlo.

Ano, je to ohromna vyhoda, lebo na kernel.org a napriklad www.kernel.org mozete chciet mat uplne iny obsah a mat to na inych serveroch. To matchovanie je normalne exaktne popisane uz dlhe roky, nechapem, co sa teraz niektori cuduju, ako keby objavili teplu vodu.

Ved to vykrikovanie je len o tom, ze proste web server posiela certifikat, ktory pre danu domenu neplati. Nechapem, co od neho vlastne chcete. Aby akceptoval akykolvek certifikat na akejkolvek domene?

Tak to je mi skutocne luto.

Já bych chtěl, aby mne prohlížeč upozornil nějakým ukazatelem stavu (ideálně ta část adresního řádku, která je u validního certifikátu zelená, může být u nevalidního červená), ale aby neotravoval nějakými dialogy a už vůbec ne aby mi zabránil v přístupu na web. A abych si případně mohl někde nakonfigurovat seznam webů, na které mne nemá bez platného certifikátu pustit.

Když mne nějaký odkaz zavede třeba na web univerzity, odkaz vede na HTTPS a univerzita má propadlý certifikát nebo self-signed certifikát, je mi to úplně jedno, šel bych tam klidně přes HTTP a to spojení přes HTTPS s neověřeným certifikátem určitě nebude míň zabezpečené, než HTTP. Tím, že prohlížeč dává uživatelům do cesty zbytečné a otravné dialogy je akorát naučí odklikat cokoli, jenom aby se na ten web dostali.

Mimochodem, v počátcích Mozilly a později Firefoxu vedly tyhle prohlížeče nad MSIE v bezpečnosti používání mimo jiné proto, že se MSIE ptal na kdejakou hloupost a uživatelé to tím pádem ignorovali. Mozilla/Firefox se ptaly jen na důležité věci, takže když už na uživatele vyskočilo nějaké okno, věděl, že jde do tuhého. Dneska když se chce uživatel dostat na nějaký web přes HTTPS, Firefox ho nutí neznámý certifikát webu si nainstalovat. To je zabezpečení naruby.

Podla mna je zobrazenie formulara v poriadku. Dolezite je, aby bolo mozne tento formular potvrdit po jedinom kliknuti a aby mal pouzivatel moznost ihned si zvolit spravanie aj do buducna, teda by to videl len pri prvej navsteve a potom az pri nejakej zmene.

Skryvanie celeho problemu len do malej casti URL nie je podla mna stastne riesenie, kedze clovek by mal byt explicitne upozorneny na problem. Kazdy obcas prehliadne inu farbu v zahlavi, hlavne farboslepi ludia ako ja. Preto formular, v ktorom rovno bude vypisany certifikat, jasne napisane, co sa konkretne nepaci prehliadacu a dole tri tlacidla, ktore su hned aktivne a umoznuju akceptovat s chybami jednorazovo, akceptovat natrvalo (do zmeny) alebo zrusit nacitavanie stranky.

K čemu mi jako uživateli ten zobrazený formulář je? Proč se prohlížeč chová nekonzistentně a nezobrazuje jej také při navštívení libovolné stránky přes HTTP? Píšete o skrývání problému, ale on tam žádný problém není, ten z toho dělá až prohlížeč. Nanejvýš je problém v tom, že někdo někde na webu použil odkaz na HTTPS, ale tenhle problém já opravdu nijak nevyřeším.

V současných prohlížečích stejně musíte (pokud chcete zabezpečení přes HTTPS) adresní řádek pořád kontrolovat, protože prohlížeč vás nijak neupozorní, pokud byste z jednoho webu s HTTPS přešel na jiný s HTTPS nebo na HTTP. Pokud by to mělo být bezpečné, muselo by to fungovat tak, že si otevřu nějakou stránku přes HTTPS, zkontroluju certifikát a následně záložku pro daný certifikát uzamknu. Pokud bych pak chtěl zobrazit stránku, která není zabezpečená tím uzamčeným certifikátem, prohlížeč by mne varoval. Bez takovéhleho chování nemají vyskakovací žádný bezpečnostní smysl, akorát otravují uživatele.