Názory k článku
Let's Encrypt je na více než 50 % domén s HTTPS
-
Víme, že komunikujeme s danou doménou. To je přesně to, co říká DV certifikát. Neříká nic o tom, kdo službu provozuje, jaké má úmysly, ani že na něj zítra někdo nezaútočí a nezmění obsah jeho stránek. Zajišťuje jen bezpečný a autentizovaný přenos dat mezi uživatelem a serverem na dané doméně.
Kdyby se zavedlo DANE (což bych já osobně rád), tak to nebude lepší. Taky nebudeme vědět nic víc o druhé straně, jen jaký veřejný klíč používá.
-
Víme, že komunikujeme s danou doménou. To je přesně to, co říká DV certifikát. Neříká nic o tom, kdo službu provozuje, jaké má úmysly, ani že na něj zítra někdo nezaútočí a nezmění obsah jeho stránek.
Jenže takto to vnímáme my, kteří situaci známe. Laik si dělá zkratku a rozlišuje jen mezi "klikám na dobré stránky" a "klikám na špatné stránky". Nebezpečné to je právě díky tomu, že dáváme masám falešný pocit bezpečí.
(Se zbytkem souhlas).
-
Lyco (neregistrovaný)
To by se myslím mělo řešit osvětou. Většina lidí myslím rozumí tomu, že když se jim někdo prokáže průkazem, na kterém je napsáno "Mžestský úůřad Praha 7", tak to není důvěryhodná osoba, i kdyby ten průkaz byl zaručeně platný a taková organizace existovala. Podobně lidi chápou, že když je na průkazu napsáno "Neznámá banka, Banánová Republika" tak je rizikové dávat organizaci s tím průkazem peníze.
Pokud někdo dělá zkratku mezi "ukázal mi pravý průkaz totožnosti" a "je to důvěryhodná osoba", je to jeho chyba - a myslím že to tak chápou i obyčejní lidé.
S certifikáty je to stejné, tak proč to lidem nevysvětlit taky?
-
Karel (neregistrovaný)
Certifikáty nevysvětlíte, protože nemají v reálném světě obdobu.
Lidé vidí logo své banky, tak tam jdou, počkají až se rozsvítí jejich čísílko a baví se s jakýmkoliv bankéřem. Obdobně na úřadě: najdu v kterém patře je odbor občanských průkazů, najdu správné dveře, zaklepu a řeším věc s kýmkoliv, kdo tam sedí. Ani v jednom případě nikomu nelustruji jmenovku, natož abych po nich chtěl průkaz.
Lidé se na internetu zkrátka musí chovat podobně, jako ve fyzickém světě: chodit jen tam kde to znám a řídit se adresou. Plnou pravdu máte ve vaší poslední větě: s certifikáty a zelenými zámečky je to stejné - také je nikdo nečte a číst nebude. Klidně jim vysvětlete, jak to správně číst, ale je to zbytečná informace pro někoho, kdo to nečte. Pojmy "průkaz totožnosti" a "důvěryhodná osoba" jsou zkrátka prázdné. Lidé je nezaměňují, lidé to první ignorují a to druhé považují za automaticky splněné tím, že vešli do správné budovy.
-
Filip JirsákStříbrný podporovatelCertifikáty nevysvětlíte, protože nemají v reálném světě obdobu.
Ale mají. A jmenuje se – překvapivě – certifikát. Certifikát pravosti, certifikát o absolvování kurzu, certifikát o složení zkoušky… -
Karel (neregistrovaný)
A teď ještě uveďte nějaký certifikát, který nějak souvisí s vaší návštěvou banky, návštěvou úřadu, návštěvou mobilního operátora apod. K tomu můj příspěvek směroval: když dáte lidem právě tyhle příměry, co jste uvedl vy, tak je to úplně v prčicích. Vy je totiž naučíte jak ten certifikát číst a ověřit. Ale oni pak tu znalost k ničemu nevyužijí, protože nejsou zvyklí při návštěvě banky chtít po tom člověku v bance nějaký certifikát o složení zkoušky apod. Umět ověřit certifikát je pro ně asi tak důležité jako umět počítat diferenciální rovnice. Oboje je fajn znalost, ale v očích obyčejného člověka nijak zjevně nesouvisí s tím, co hodlají udělat (banka, úřad apod.) Jediné certifikáty, které v bance vídáme, jsou typu "Nejpřívětivější banka roku 2015".
-
Filip JirsákStříbrný podporovatel
Kdy jdu do banky, bankéř tam má vystavené různé osobní certifikáty (jaká absolvoval školení nebo v čem byl vyhodnocen jako nejlepší), případně tam mívá certifikáty banky (takové ty různé nejlepší banky roku). Mobilní operátor mi prodá telefon, který má certifikát o tom, že splňuje normy na elektrotechnická zařízení, a také certifikát, že splňuje normy bezdrátových sítí. Spotřebitelé ty certifikáty běžně nezkoumají, protože spoléhají na to, že velký telekomunikační operátor jim nebude prodávat mobil, který by to nesplňoval. A stejně tak uživatel očekává, že certifikáty webových serverů za něj bude kontrolovat webový prohlížeč.
-
Anti Demagog (neregistrovaný)
Přeložím: Karel se pídí po příměru certifikát k prokazatelnému ověření identity. FJ uvádí příklady, u nichž to absolutně prokázat nejde.
Závěr: Jmenovka na stole a obrázek na zdi prokazatelně neověřují nic. Elektrocertifikátová nálepka rovněž neověřuje nic, asijští obchodníci by nám mohli vyprávět.
-
j (neregistrovaný)
"Víme, že komunikujeme s danou doménou."
Jo, tak to urcite ...naprosty blabol. Jediny co tahle hovadina dela je, ze dotycny komunikuje s nekym, kdo si umi obstarat pro danou domenu "duveryhodny" certifikat. To je vse.
Jo aha co, prekvapko, ony trebas antiviraky naimportujou svoji "duverhodnou" CA ... a podvrhnout svuj cert na kazdym webu ... zazrak, to prece nejde ...
-
BobTheBuilderStříbrný podporovatelUž zase.
Samozřejmě, že víte s kým komunikujete: s tím, kdo reálně spravuje DNS dané domény. A se serverem, jehož FQDN odpovídá tomu, pro které byl certifikát vystaven. To zase není tak špatné. -
Samozřejmě, že víte s kým komunikujete: s tím, kdo reálně spravuje DNS dané domény.
Myslím, že laik chce vědět, že komunikuje s tím, kdo doménu vlastní. Ne s jeho správcem. Laik ani neví, že tyto dvě osoby mohou být (a bývají) odtržené. Je to asi jako kdybych nosil podání namísto na podatelnu do dveří uklízečky. Je to v té samé budově, je to také zaměstnankyně. Ale tam aspoň na první pohled vidím, že dávat jí do ruky písemnost je bláhové. Tady nevím a nevidím nic. Vím jen to, že přenáším šifrovaně.
-
BobTheBuilderStříbrný podporovatel
Úplně vedle. Naopak, je to přesně, jako když to na úřadu dáte na podatelnu - to je taky osoba, pověřená k dané činnosti. A vy dostanete úřední razítko na potvrzení, že dokument převzali.
Nebo si myslíte, že firma zabývající se opravami ledniček si bude sama lépe spravovat DNS, servery a certifikáty, než IT firma, kterou tím pověří? Vždyť taková firma ani nemá vlastního ajťáka a na řešení problémů s počítači mají někoho, komu zavolají podle potřeby. -
To je úplně špatná představa. Když navštívím web hospody, chci komunikovat s hospodským? Samozřejmě komunikuji se serverem a o ten se stará jeho správce. A ten má vždycky přístup k obsahu, privátnímu klíči a může se serverem dělat cokoliv. Ať je tam DV certifikát nebo certifikát podepsaný samotným Linusem Torvaldsem. Jde jen o to, že se bezpečně dostanu k veřejné části klíče, k tomu slouží certifikát.
-
Přezdívka: * (neregistrovaný)
Omlouvam se ale vy jste opravdu ma*or. Co si teda predstavujete? Zruseni IT oddeleni ve vsech firmach a kdyz napisete www.*.cz tak se vam automaticky otevre skype s videohovorem, kde bude majitel firmy a osobne Vam rekne ze vidi jak vase pakety prisli k nim na server a on zajisti ze dostanete odpoved? Nebo ze snad bude zakonna povinnost kazdeho majitele webu, ktery je treba prezentaci firmy aby si ten web kompletne cely spravoval sam vcetne vyrizeni certifikatu apod.
Nebo nam tu konecne reknete jak si to predstavujete? Zatim jste jen fnukal, ale v podstate nerekl co by byl podle Vas ideal ...
-
Ondra Satai NekolaZlatý podporovatelKolikrat je potreba rikat, ze nejde o utajeni, ale i o to, aby do tech stranek nevkladal cestou kdo-chce co-chce?
-
Ondra Satai NekolaZlatý podporovatel
Mozna chapes, ale nedbas a argumentujes jako bys to nevedel...
-
Mozna chapes, ale nedbas a argumentujes jako bys to nevedel...
Ne. Jen znám z praxe, že přístup k DNS rozdávají majitelé domén kdekomu, kdo si o něj řekne. Recovery procedura ke ztracenému heslu ke správě DNS jde nešifrovaným mailem. Každý řetěz je slabý tak, jako jeho nejslabší článek. Nutíme tu lidi k něčemu, čemu nerozumí, a co nepřináší skoro nic navíc, kromě megawatthodin energie a času správců.
-
Ondra Satai NekolaZlatý podporovatel
"nepřináší skoro nic navíc"
Tak jeste jedno, co nechapes na tom, ze to sifrovani brani pridat kazdemu hejhulovi cestou svuj obsah?
-
Tak jeste jedno, co nechapes na tom, ze to sifrovani brani pridat kazdemu hejhulovi cestou svuj obsah?
No a? Když pošlu pohlednici, prochází taky rukou několika pošťákům a mohou tam něco dopsat. Schránku mi může také kdekdo otevřít. To si laskavě posoudím já, jako odesilatel a příjemce, jestli mi stojí za to vynakládat peníze navíc za dopis, doporučené psaní, psaní s dodejkou, nebo kurýra. Nechci, aby mi moudrá pošta zakazovala posílat pohlednici nebo mi nakazovala ji balit do obálky. Rozumíte té myšlence svobody jedince a jeho vlastní odpovědnosti v tomto procesu?
-
Ondra Satai NekolaZlatý podporovatel
Rozumim. Na tom, ze vetsina lidi tu svobodu stejne kvalifikovane neuzije uz jsi tu psal... Kazdopadne nikdo ti nebrani servirovat po http cokoli. Cist po http cokoli. Jen nech na pokoji svobodu implementatorum browseru preferovat https a ostatnim lidem servirovat jen po https, ju? ;)
-
j (neregistrovaný)
A kolikrat sem nekola bude psat tyhle blaboly ktery nemaj s realitou naprosto nic spolecnyho? Https nezajistuje ani utajeni ani to aby si nevkladal cestou kdo chce a co cchce, a to presne do doby, dokud cetifikaty budou vydavat treti strany a jejich sprava bude zcela mimo kontrolu uzivatelu.
-
Anti Demagog (neregistrovaný)
a nepovazuji ho za neco vic, nez cim je.
A jsme na začátku diskuse:
Šifrujeme. Škoda jen, že certifikát dnes již nic necertifikuje. Nevíme, s kým komunikujeme, ale víme, že šifrovaně....tedy ještě jednou (ale už opravdu naposled):
HTTPS certifikát neslouží k certifikaci, pouze umožňuje uživateli šifrovaně komunikovat s dalším uzlem v síti. Jistotu, že certifikát pro banku vydala CA1 a nikoliv CA2 (které jsou obě jako důvěryhodné v daném operačním systému) nikdy uživatel nemá! Antivirovým SW podvržená CA také produkuje zelený zámeček, zelený text, má krásně vyplněná všechna políčka... -
certifikát neslouží k certifikaci
:) ano. Když k tomu přidáme, že server často neposkytuje žádný servis, jsme v koncích s rozumem.
možňuje uživateli šifrovaně komunikovat s dalším uzlem v síti. Jistotu, že certifikát pro banku vydala CA1 a nikoliv CA2 (které jsou obě jako důvěryhodné v daném operačním systému) nikdy uživatel nemá
Ono nejde jen o antiviry. S čím dál větší nutností používat HTTPS, uživatelé čím dál častěji dobrobolně akceptují další CA do systému. Víme moc dobře, že existují oblasti, kde lidé vypínají mozek. Např. při hledání porna, nebo nelegálního software. Tyto stránky odjakživa nabádaly uživatele udělat nebezpečné kroky - např. obrázkovým návodem, co má udělat, aby mohl stáhnout to, co potřebuje.
Není a nebude nic jednoduššího, než rozjet podobnou kampaň, která bude třeba i roky penetrovat počítače na celém světě jen tím, že navede uživatele na přijetí jejich CA. ... Využití se už určitě jednou najde... (Podobně, jako routery a jiná zařízení jsou dnes napadány "preventivně" a latentně čekají na povel, kdy budou útočit - např. DDoS).
Scénářů, kde jsou slabiny systému, kde certifikát nic necertikuje, a šifrování nic nešifruje, je spousta. Instalujeme klimatizaci a topení do objektu bez oken.
ČLÁNKY DO MAILU