Hlavní navigace

Vlákno názorů ke zprávičce Let's Encrypt nebezpečnou validaci už nezprovozní od Filip Jirsák - Je dobře, že se tak stalo. Akorát mne...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 12. 1. 2018 10:45

    Filip Jirsák

    Je dobře, že se tak stalo. Akorát mne poněkud znervózňuje to vyjádření, že postižených webhosterů je příliš mnoho – děsí mne představa, že se vůbec uvažovalo o tom, že by tato metoda byla zakazována na základě blacklistu, místo aby byla povolena na základě whitelistu.
    Pokud v bezpečnosti spoléhám na to, že něco plní třetí strana, která navíc vůbec nemá takovou povinnost, nemůžu automaticky spoléhat na to, že to plní každý, a dát na blacklist ty, u kterých náhodou zjistím, že moje představy neplní. Aspoň trochu bezpečné je to jedině tehdy, když ověřím, že konkrétní třetí strana ty požadavky plní a domluvím se s ní, že to je záměrné, a že o splnění těch požadavků se postará i v budoucnosti. Pak dotyčný subjekt můžu dát na whitelist.

  • 12. 1. 2018 11:58

    MasoxCZ (neregistrovaný) ---.eurotel.cz

    Ještě je ke zvážení, zda ti co neplní, tak činí z neznalosti nebo úmyslně. A nejsem si úplně jistý, která z těch možností mě děsí víc. Protože obecně vzato, když o někom vím, že je sice lump, ale uvažuje racionálně, je šance se s ním dohodnout. S volem dohoda možná není.

  • 12. 1. 2018 13:11

    Filip Jirsák

    Já bych na té neznalosti v tomto případě neviděl nic špatného. Nevidím jediný důvod, proč bych měl jako provozovatel webového serveru neustále zkoumat, zda si nějaká další certifikační autorita nevymyslela další způsob, jak bude ověřovat vlastníky domén, a řešit, aby tento nový způsob ověřování u mne nebyl zneužitelný. Ověřování vlastníků je úloha certifikačních autorit, a je od nich drzost, že si diktují neustále další a další požadavky, co mají ISP chránit, aby si autority ušetřili práci. „Musíte chránit tyhle e-mailové adresy, tyhle cesty na webovém serveru, tyhle SNI názvy…“