"Takže tvrdíte, že odstraněním zastaralých šifrovacích technik, pro které existují známé exploity, nemůže dojít ke zvýšení bezpečnosti?"
To netvrdíme. A vy tvrdíte, že tým úplným odstránením na strane browsera nemôže dôjsť k zníženiu bezpečnosti? :-D
Ale seriózne, k zvýšeniu bezpečnosti dôjsť môže, ale nemusí:
Keď na užívateľa browser vystrčí prostredník, že cez https teda nie, lebo certifikát má len SHA-1 podpis, tak to naozaj nemusí skončiť len zvýšenou bezpečnosťou, ale aj naopak zníženou:
- Užívateľ skúsi http. Keď zafunguje, bezpečnosť je evidentne horšia.
- Užívateľ použije iný browser, kde SHA-1 podpisy stále fungujú. Zastaralý browser, vysoké riziko exploitov naň. Bezpečnosť sa pravdepodobne zhoršila.
K zvýšeniu bezpečnosti by prišlo v týchto prípadoch:
- Užívateľ kontaktuje správcu servera, ten zjedná nápravu. Má to isté úskalia: jednak to nebude na počkanie, a okrem toho môže byť pre užívateľa problém zistiť, koho má kontaktovať...
- Užívateľ sa na to vyserie, pretože sa na stránku nedá dostať. Hm... no áno, bezpečnosť sa mierne zlepšila...
- Administrátor servera zistí problém sám, ešte predtým ako to začne robiť problém užívateľom. Je to riešiteľné, správca vymení certifikáty a ide sa ďalej. Toto pravdepodobne tvorcovia FF sledujú. Akurát na to netreba úplne vyhodiť podporu SHA-1 z browsera. Stačí, aby to bolo štandardne vypnuté tak, aby sa k zapnutiu BFU nepreklikal - to by bola dostatočná motivácia pre správcu, aby to vyriešil na strane servera. Takže toto je síce príklad evidentného zlepšenia, ale nie argument na úplné odstránenie z browsera!
Netuším, čo nakoniec v praxi tí užívatelia urobia a čoho bude viac, takže neviem objektívne usúdiť, či to bezpečnosť zvýši, alebo naopak zníži. A ani si nemyslím, že by to tvorcovia FF vedeli...
To je nakoniec ich vec, že niečo vyhadzujú z kódu, proti tomu nenamietam. Iba mám silné podozrenie, že bezpečnosť je iba taká zástierka a skutočný dôvod je iný. A taký prístup sa mi nepáči...