Názory k článku
Let's Encrypt nebezpečnou validaci už nezprovozní
-
0x1 (neregistrovaný)
Me se libi na teto situaci hned nekolik veci:
- Vime naprosto transparentne co se stalo
- Vime jaky bude dalsi postup (do 48hodin)
- Po teto dobe vime co se bude dit
- Sluzba je zadarmo, presto informuji o bezpenostnich chybach hned a hned jednaji
- Sluzba je zadarmo, presto pomahaji s aktualizacemi clientu
- je zadarmo a presto na velke "zakazniky" nekaslou a povoli je na whitelistuZa me klobouk dolu Let's encrypt!
-
Filip JirsákStříbrný podporovatelJe dobře, že se tak stalo. Akorát mne poněkud znervózňuje to vyjádření, že postižených webhosterů je příliš mnoho – děsí mne představa, že se vůbec uvažovalo o tom, že by tato metoda byla zakazována na základě blacklistu, místo aby byla povolena na základě whitelistu.
Pokud v bezpečnosti spoléhám na to, že něco plní třetí strana, která navíc vůbec nemá takovou povinnost, nemůžu automaticky spoléhat na to, že to plní každý, a dát na blacklist ty, u kterých náhodou zjistím, že moje představy neplní. Aspoň trochu bezpečné je to jedině tehdy, když ověřím, že konkrétní třetí strana ty požadavky plní a domluvím se s ní, že to je záměrné, a že o splnění těch požadavků se postará i v budoucnosti. Pak dotyčný subjekt můžu dát na whitelist. -
Filip JirsákStříbrný podporovatel
Já bych na té neznalosti v tomto případě neviděl nic špatného. Nevidím jediný důvod, proč bych měl jako provozovatel webového serveru neustále zkoumat, zda si nějaká další certifikační autorita nevymyslela další způsob, jak bude ověřovat vlastníky domén, a řešit, aby tento nový způsob ověřování u mne nebyl zneužitelný. Ověřování vlastníků je úloha certifikačních autorit, a je od nich drzost, že si diktují neustále další a další požadavky, co mají ISP chránit, aby si autority ušetřili práci. „Musíte chránit tyhle e-mailové adresy, tyhle cesty na webovém serveru, tyhle SNI názvy…“
