Vlákno názorů k článku
Mozilla navrhuje řešení problému WoSign a StartCom
od Petr Stehlík - Na Twitteru v jednom tweetu Mozilla píše to,...
-
Petr StehlíkZlatý podporovatelNa Twitteru v jednom tweetu Mozilla píše to, co je tu ve zprávičce (tj. že zkušební doba a pokud bude jediné porušení antedatováním, tak okamžitá SMRT) a v dalším tweetu ta samá Mozilla píše, že už našli antedatovaný certifikát od StartSSL. Z toho mi logika říká, že už měla nastat ta okamžitá smrt, že by ani nemělo být to přechodné zkušební období...
-
Filip JirsákStříbrný podporovatelAntedatované certifikáty WoSign byly nalezeny dříve, byl to první objevený průšvih WoSign. To zkušební období se samozřejmě nemůže uplatňovat zpětně, pak by nedávalo žádný smysl.
-
Petr StehlíkZlatý podporovatel
Záleží na časové souslednosti a časové vzdálenosti těch událostí, což z těch tweetů nebylo zřejmé. Kdyby to antedatování proběhlo třeba tento týden, tedy v době, kdy už bylo známé, jaký plán Mozilla chystá, považoval bych to za jasně vztyčený prostředník od WoSignu a být Mozillou, tak reaguju rovnou bez přechodného období.
-
lol (neregistrovaný)
Sudca na pojednavani: Vsetci vieme ze ste to spravili, aj prokurator dodal dostatok hodnovernych dokazov... ale do basy pojdete az ked sa od teraz najde este jeden dokaz o vasej vine.
S tym nech si ide Mozilla vytriet zadok. Mohli rovno napisat ze su pokadeni a nemuseli okolo toho robit taketo tanceky.
-
Filip JirsákStříbrný podporovatel
Nějaké tresty jsou to méně podstatné, důležité je zachování důvěryhodnosti systému důvěryhodných certifikačních autorit. A jinak to, že minimálně rok se budou jimi vydávané certifikáty v prohlížečích chovat, jako by je vydala kterákoli nedůvěryhodná autorita, je pro ně velmi tvrdý trest, zvlášť v těchhle měsících, kdy Let's Encrypt dokázal, že zvládá provoz a je možné jej bez problémů použít. Pro WoSign to pravděpodobně znamená, že se stane lokální čínskou autoritou nezajímavou pro zbytek světa, a StartSSL reálně hrozí, že zanikne – a nebo bude za rok začínat od začátku. Protože kdo měl certifikát zdarma od StartSSL, nemusel mít důvod přejít pod LE – teď už mu nic jiného nezbývá. Kdo měl levné DV certifikáty a je pro něj rozhodující cena, opět přejde k LE. Ostatní a držitelé OV a EV certifikátů přejdou k jiným autoritám, a nebudou mít důvod se k StartSSL vracet, zvlášť při vědomí toho, že jakýkoli další průšvih StartSSL nejspíš bude znamenat zneplatnění certifikátů autority bez ohledu na datum vydání certifikátu. Takže ze současného byznysu zbydou StartSSL za rok jenom osobní certifikáty, a pochybuju, že ty je uživí. Zvlášť když do toho začal platit eIDAS a celá EU tedy bude řešit osobní certifikáty kompatibilní s eIDASem. Z pohledu vnějších okolností si asi StartSSL nemohl vybrat horší období pro roční distanc.
