Hlavní navigace

Názor ke zprávičce Kořenový certifikát Let's Encrypt bude důvěryhodný ve Firefoxu 50 od Žito - Zkusil jsem ve FF 48 v Debianu Sid...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 7. 8. 2016 14:10

    Žito

    Zkusil jsem ve FF 48 v Debianu Sid a Vas postup s hromadnum odebranim me bohuzel nefunguje.

    Ale i kdyby - to je jedno. Zkusil jsem si dat praci a vsechno smazat i z GUI i s pomoci certutil z radky. I kdyz jsem skoncil s tim, ze to bylo prazdne, tak pri pristim otevreni jsou certy zpet - ano nemaji asi nastaven atribut duvery. Ale co je to platne, kdyz se tohle neda rozume auditovat?

    Jestlize chci mit v ulozisti jednu jedinou svoji CA, tak tam proste nemuzu mit jako vatu 100 dalsich CA, ktere nemaji nastavenou duveru. Jak pak muzu treba zkontrolovat, ze FF nepridal jednu ktere duveru nastavil?

    Ale to je proste cele PKI pochybne. Podobny problem je s ca-certificates v Debianu. Tak lze bez problemu nastavit, ze se nove certy nebudou do uloziste linkovat samy (nebo se to muze prepnout do stavu, ze se to pta). Bohuzel casti softwaru jaksi pocitaji s tim, ze vsem tem CA duverujete a kdyz ne, tak to proste nefunguje. (Nekde neco treba stahujou curlem pres https a to pochopitelne pak neklapne.)

    Tedy vysledek je, ze moznost volby nastavit si duveru pouze k nekterym CA je pouze spise teoreticka. Naopak vsichni tusime, ze CA zrejme ruznym sluzbam vydaji co budou chtit, takze proste bohuzel - PKI neni vselek na soukromi. Ano - bezpecnost to zvysi, ale soukromi to zcela neochrani.