Názory k článku
Mozilla navrhuje řešení problému WoSign a StartCom
-
Mozilla nebude důvěřovat certifikátům vydaným po ještě neupřesněném datu po dobu jednoho roku.
Mohl by tohle nekdo upresnit? Nemam pristup do google docs a z tehle vety neni reseni mozilly naprosto jasne. O jake certifikaty se bude jednat o vsechny, nebo jenom WoSignu nebo StartSSL? Co se stane po roce bude se opet autorite duverovat? Budou nyni moc vydavat certifikaty, ktere budou duverihodne?Podle me tady melo byt podminkou na zachovani autority dukladny audit a podminka, ze jakekoliv i minimalni poruseni pravidel bude znamenat okamzite vyrazeni a vsech certifikatu WoSignu.
-
Filip JirsákStříbrný podporovatelMohl by tohle nekdo upresnit? Nemam pristup do google docs a z tehle vety neni reseni mozilly naprosto jasne. O jake certifikaty se bude jednat o vsechny, nebo jenom WoSignu nebo StartSSL?
To řešení jasné je, nedůvěřovat všem certifikátům by byl totální nesmysl, tím by ve Firefoxu přestalo fungovat veškeré HTTPS.Co se stane po roce bude se opet autorite duverovat?
Po roce může WoSign znovu požádat o zařazení mezi důvěryhodné autority, pokud splní potřebné podmínky.Budou nyni moc vydavat certifikaty, ktere budou duverihodne?
Záleží na tom, čemu říkáte důvěryhodný certifikát. V prohlížečích jsou důvěryhodné certifikáty autorit. Certifikát WoSign/StartCom nebude považován za důvěryhodný pro certifikáty vydané po určitém datu. -
Filip JirsákStříbrný podporovatel
Týká se to certifikátů autorit WoSign a StartCom. Stále jsem nepochopil, jaká jiná varianta by ze zprávičky měla plynout – všech certifikátů ne, to už jste vyvrátil. Teď navrhujete všech certifikátů WoSign a StartCom – v češtině se pro dva nepoužívá „všech“ nýbrž „obou“, takže nevím, jestli jste se jen spletl, nebo zase myslíte něco jiného.
Ze zprávičky to jasné je, větu „WoSign a StartCom tedy nebudou moci po dobu jednoho roku vydávat certifikáty“ opravdu nejde interpretovat jinak, než že se to týká právě dvou certifikačních autorit, a to WoSign a StartCom.
-
Petr StehlíkZlatý podporovatelNa Twitteru v jednom tweetu Mozilla píše to, co je tu ve zprávičce (tj. že zkušební doba a pokud bude jediné porušení antedatováním, tak okamžitá SMRT) a v dalším tweetu ta samá Mozilla píše, že už našli antedatovaný certifikát od StartSSL. Z toho mi logika říká, že už měla nastat ta okamžitá smrt, že by ani nemělo být to přechodné zkušební období...
-
Filip JirsákStříbrný podporovatel
Antedatované certifikáty WoSign byly nalezeny dříve, byl to první objevený průšvih WoSign. To zkušební období se samozřejmě nemůže uplatňovat zpětně, pak by nedávalo žádný smysl.
-
Petr StehlíkZlatý podporovatel
Záleží na časové souslednosti a časové vzdálenosti těch událostí, což z těch tweetů nebylo zřejmé. Kdyby to antedatování proběhlo třeba tento týden, tedy v době, kdy už bylo známé, jaký plán Mozilla chystá, považoval bych to za jasně vztyčený prostředník od WoSignu a být Mozillou, tak reaguju rovnou bez přechodného období.
-
lol (neregistrovaný)
Sudca na pojednavani: Vsetci vieme ze ste to spravili, aj prokurator dodal dostatok hodnovernych dokazov... ale do basy pojdete az ked sa od teraz najde este jeden dokaz o vasej vine.
S tym nech si ide Mozilla vytriet zadok. Mohli rovno napisat ze su pokadeni a nemuseli okolo toho robit taketo tanceky.
-
Filip JirsákStříbrný podporovatel
Nějaké tresty jsou to méně podstatné, důležité je zachování důvěryhodnosti systému důvěryhodných certifikačních autorit. A jinak to, že minimálně rok se budou jimi vydávané certifikáty v prohlížečích chovat, jako by je vydala kterákoli nedůvěryhodná autorita, je pro ně velmi tvrdý trest, zvlášť v těchhle měsících, kdy Let's Encrypt dokázal, že zvládá provoz a je možné jej bez problémů použít. Pro WoSign to pravděpodobně znamená, že se stane lokální čínskou autoritou nezajímavou pro zbytek světa, a StartSSL reálně hrozí, že zanikne – a nebo bude za rok začínat od začátku. Protože kdo měl certifikát zdarma od StartSSL, nemusel mít důvod přejít pod LE – teď už mu nic jiného nezbývá. Kdo měl levné DV certifikáty a je pro něj rozhodující cena, opět přejde k LE. Ostatní a držitelé OV a EV certifikátů přejdou k jiným autoritám, a nebudou mít důvod se k StartSSL vracet, zvlášť při vědomí toho, že jakýkoli další průšvih StartSSL nejspíš bude znamenat zneplatnění certifikátů autority bez ohledu na datum vydání certifikátu. Takže ze současného byznysu zbydou StartSSL za rok jenom osobní certifikáty, a pochybuju, že ty je uživí. Zvlášť když do toho začal platit eIDAS a celá EU tedy bude řešit osobní certifikáty kompatibilní s eIDASem. Z pohledu vnějších okolností si asi StartSSL nemohl vybrat horší období pro roční distanc.
-
TanyStříbrný podporovatelS tím lze souhlasit, je to přijatelný kompromis, který jim zlikviduje byznys a zároveň to neodnesou zákazníci.
-
Filip JirsákStříbrný podporovatel
Ty cross-signed certifikáty ničemu nevadí – postup ověření by měl být takový, že postupuju po stromu certifikátů, a když narazím na první, u kterého mám informaci „důvěřovat“ nebo „nedůvěřovat“, zařídím se podle ní. To že to má Mozilla implementované špatně na postupu nic nemění, holt tu chybu budou muset konečně opravit.
-
Ondřej CaletkaZlatý podporovatelOdkazovaný dokument mluví o použití technologie OneCRL, která už v Mozille nějakou dobu je a umožňuje právě snadnou revokaci mezilehlých certifikátů.
-
Filip JirsákStříbrný podporovatel
Aha. Na druhou stranu je to možná škoda, protože tím pádem zřejmě chyba znemožňující uživatelské znedůvěryhodnění certifikátu zůstane neopravena.
-
karlik (neregistrovaný)
A teď se těšte.
Znáte tu oblíbenou hru "On na mne, já na něho"?
Teď se začnou "objevovat" další "WoSign a StartCom".
Jsem zvědavý, jak se to nakonec rozsekne.
Možná je to dobře a přispěje to k nasazení a vyvinutí něčeho lepšího, než co se používá dnes. Vypadá to nadějně, byl proveden první krok s názvem "Tak tudy ne, přátelé...". :-) -
Filip JirsákStříbrný podporovatel
Další myslíte v čem? Že se objeví další „důvěryhodné“ certifikační autority, které během jednoho roku stihnou porušit pravidla několika různými způsoby? To, že se ukáže, že nějaká certifikační autorita nefunguje podle požadovaných pravidel, není nic zásadně nového a celý systém s tím počítá. Problém se StartSSL je v tom, že vydaly hodně certifikátů a okamžité zneplatnění autority by postihlo mnoho nevinných. Problém s WoSign je v tom, že to nebyla ojedinělá chyba nebo šlendrián, ale pravděpodobně přesvědčení, že ta pravidla jsou k ničemu a nic se nestane, když na ně budou kašlat. A pak samozřejmě to, že jak se ukázalo, StartSSL a WoSign je už jedno a totéž.
-
j (neregistrovaný)
Ne jirsaku, jedinej problem je v tom, ze tohle je zarna ukazka toho jak je ten system zcela nepouzitelnej a naprosto nefunkcni. A mozilla tomu tak leda jeste nasadila korunu.
"Budeme se tvarit, ze se nic nestalo" ... "a udelame na ne ty ty ty" ... to je tak vse, na co se Mozilla zmuze.
Tohle neni vubec problem nejaky jedny CA protoze presne totez delaji VSECHNY CA. Jen se to mozna na nektery jeste neprovalilo.
Je to presne stejny jako doping ... dopujou vsichni ... mno a nektery pritom chytej. A nejlepsi na tom je, ze pravidla vymejslej ti, kteri to provozujou ... coz je taky presne stejny.
ČLÁNKY DO MAILU