Vlákno názorů k článku
Od 1. září se zkracuje platnost HTTPS certifikátů na jeden rok od Smazaný profil - A má vůbec smysl, aby v certifikátech nějaká...

Za prvé, bez té změny v prohlížečích by se k tomu autority rozhoupávaly ještě několik let. Za druhé, říká se „důvěřuj, ale prověřuj“. Když prohlížeč může zkontrolovat platnost certifikátu, proč by to neudělal?

Za prvé, bez té změny v prohlížečích by se k tomu autority rozhoupávaly ještě několik let. Za druhé, říká se „důvěřuj, ale prověřuj“. Když prohlížeč může zkontrolovat platnost certifikátu, proč by to neudělal?

Ano, ano. Certifikační autority a jejich zákazníci jsou prostě nuly, které neumějí zvážit situaci. Takže to zachrání moudrý vendor prohlížeče. :)

Prohlížeč má kontrolovat platnost certifikátu, ale nemá kafrat do toho, že se dva subjekty (držitel certifikátu a CA) dohodli na nějaké platnosti. Technicky vzato, platnost certifikátu nemá být delší, než je předpokládaná životnost bezpečnosti použitého algoritmu. Zbytek už jsou jen obchodní čachry.

Miroslav Šilhavý: Mýlíte se. Uživatel rozhoduje, kterým certifikátům důvěřuje a kterým ne – a prohlížeč je nástroj, který k tomu uživatel používá. Držitel certifikátu ať se klidně dohodne s certifikační autoritou KLDR a nechá si vystavit certifikát používající MD2 s platností na tisíc let, ale to ještě neznamená, že já musím takovému certifikátu důvěřovat.

Platnost certifikátu rovná předpokládané životnosti algoritmu by mohla být v případě, kdy by bylo zaručeno, že údaje podepsané v certifikátu budou platné trvale (nebo alespoň po dobu životnosti toho algoritmu). Nevím ale o žádném typu certifikátu, kde by tahle podmínka byla splněna. Vlastník domény se může změnit, zástupce právnické osoby se může změnit, dokonce i jméno a příjmení se může změnit, případně může být člověk zbaven svéprávnosti.

@Filip Jirsák

Tyto extrémní situace (MD2 a tisíciletá platnost) se už řeší tím, které CA jsou přijaty do "klubu" výchozích důvěryhodných. Ale jako u všeho, restrikce mají zajišťovat nutné minimum, zabraňovat excesům. Optimum se má dosahovat přirozeným vývojem, konsensem nad vůlí zúčastněných stran. Ty mohou nejlépe posoudit konkrétní situaci. Jakkoliv dobře míněný (a v tomto případě dokonce pochybuji o tom, že dobré úmysly jsou na prvním místě) diktát z pozice síly, vždy z dlouhodobého hlediska vede k průšvihu.

Platnost certifikátu rovná předpokládané životnosti algoritmu by mohla být v případě, kdy by bylo zaručeno, že údaje podepsané v certifikátu budou platné trvale (nebo alespoň po dobu životnosti toho algoritmu).

Ne, to není vůbec podstatné. Certifikát říká, že údaje k datu vystavení platily a byly ověřeny. Obecně Vás zajímá pouze to, že víte, s kým komunikujete, kdo nese odpovědnost. To DV certifikáty značně oslabily a následné kroky vedou k úplné devastaci toho, že by certifikát ve skutečnosti něco certifikoval.

Daleko smysluplnější by bylo provádět kvalitnější ověřování a zachovat delší platnost. Dovedu si i představit, že DV certifikáty budou mít životnost měsíc, ale lépe ověřené certifikáty naopak delší. Jenže to se těžko provede, když do toho hodí vidle vendor prohlížeče.

Vlastník domény se může změnit, zástupce právnické osoby se může změnit, dokonce i jméno a příjmení se může změnit, případně může být člověk zbaven svéprávnosti.

Právní nástupce je vázán závazky předchůdce. Člověk zbavený svéprávnosti má v peněžence kreditní kartu do doby, než se banka dozví, že mu novou nemá vydávat. Je na odpovědnosti opatrovníka, aby to dal do pořádku. Ale my nechceme, aby vendor prohlížeče, nota bene, zároveň podstatný technologický hráč, nám dělal opatrovníka a tím si tvořil internet k obrazu svému; je to lehce zneužitelné. Je špatná praxe upozaďovat a vytlačovat občanskoprávní vztahy a přímou odpovědnost. Mimo jiné to vede k bezmyšlenkovitému, stádnímu chování (a hádejte, komu se hodí, když se publikum chová jako stádečko).

Tyto extrémní situace (MD2 a tisíciletá platnost) se už řeší tím, které CA jsou přijaty do "klubu" výchozích důvěryhodných.
Jendou z podmínek přijetí do „klubu“ je roční platnost vydávaných certifikátů.

Optimum se má dosahovat přirozeným vývojem, konsensem nad vůlí zúčastněných stran.
To je pořád ta vaše obsese, že vám někdo něco diktuje. Se zkrácením platnosti přišel Apple, který nepochybně zastupuje podstatně víc zákazníků, než všechny certifikační autority.

Certifikát říká, že údaje k datu vystavení platily a byly ověřeny.
Ne, na certifikátu jsou dvě data – datum, před kterým ty údaje nelze považovat za platné, a datum, po kterém ty údaje nelze považovat za platné. Certifikační autorita údaje samozřejmě ověří k nějakému okamžiku, ale po skončení platnosti certifikátu od toho dává ruce pryč úplně.

To DV certifikáty značně oslabily
Dnes na webu v drtivé většině případů komunikujete s doménou, ne s firmou nebo osobou.

následné kroky vedou k úplné devastaci toho, že by certifikát ve skutečnosti něco certifikoval
Které následné kroky? Jenom bych vám připomněl věc, na kterou rád zapomínáte – že ten, kdo ovládá DNS pro danou doménu, ovládá celou doménu. Bez ohledu na nějaké certifikáty.

Dovedu si i představit, že DV certifikáty budou mít životnost měsíc, ale lépe ověřené certifikáty naopak delší.
Způsob ověření a doba platnosti jsou nezávislé věci. Např. to, že se změní statutární orgán firmy, je zcela nezávislé na tom, jak podrobně budete firmu prověřovat.

Právní nástupce je vázán závazky předchůdce.
To je pravdivé tvrzení, ale nijak to nesouvisí s certifikáty. Trochu jste se v tom zamotal.

Člověk zbavený svéprávnosti má v peněžence kreditní kartu do doby, než se banka dozví, že mu novou nemá vydávat.
Světe div se, platnost platebních karet je také omezena. A to je platební karta čistě soukromý vztah mezi bankou a jejím klientem.

Ale my nechceme, aby vendor prohlížeče, nota bene, zároveň podstatný technologický hráč, nám dělal opatrovníka a tím si tvořil internet k obrazu svému; je to lehce zneužitelné. Je špatná praxe upozaďovat a vytlačovat občanskoprávní vztahy a přímou odpovědnost.
Ono se také nic takového v reálném světě neděje, to je jenom vaše utkvělá představa.

Se zkrácením platnosti přišel Apple, který nepochybně zastupuje podstatně víc zákazníků, než všechny certifikační autority.

Jádro pudla. Já bych nikdy neřekl, že Apple své zákazníky zastupuje. Nijak neskrývaným zájmem Applu je svoje zákazníky vytěžit (i skrze online služby).

Dnes na webu v drtivé většině případů komunikujete s doménou, ne s firmou nebo osobou.

Právní vztahy uzavíráte s osobou, ne s doménou. Osoba ručí za obsah (např. dezinformace, šíření poplašných zpráv, ...), je odpovědná za uskutečnění obchodu (e-shopy a další on-line nákupy, ... Ověřená doména je možná přivádí k extázi ajťáka, ale běžný člověk v běžném životě potřebuje znát s kým jedná.

Světe div se, platnost platebních karet je také omezena. A to je platební karta čistě soukromý vztah mezi bankou a jejím klientem.

Světe div se, pokud bance nedáte vědět, že jste pozbyl svéprávnosti, pošlou Vám novou kartu automaticky. Nechají Vás odesílat příkazy z účtu (a tam už žádné omezení není vůbec.

Ono se také nic takového v reálném světě neděje, to je jenom vaše utkvělá představa.

Děje, jen buďto nevnímáte salámovou metodu, nebo ji vnímat nechcete.

Já bych nikdy neřekl, že Apple své zákazníky zastupuje. Nijak neskrývaným zájmem Applu je svoje zákazníky vytěžit (i skrze online služby).
Říkat si o tom můžete co chcete, ale zákazníci si Apple volí dobrovolně.

Právní vztahy uzavíráte s osobou, ne s doménou.
Jenže těch právních vztahů je na webu menšina. A i tam, kde vznikají právní vztahy, je často důležitejší doména – nakupuju na CZC.cz, bez ohledu na to, že se ta firma přejmenovala.

Ověřená doména je možná přivádí k extázi ajťáka, ale běžný člověk v běžném životě potřebuje znát s kým jedná.
Nikoli. Běžný člověk jde na Google.com, Seznam.cz, Mapy.cz, CZC.cz, a je mu úplně jedno, jak se jmenuje firma, která za tím stojí. On jde za tou doménou. Ta firma ho zajímá v případě, kdy znal nejdřív tu firmu z reálného světa – třeba banka.

Říkat si o tom můžete co chcete, ale zákazníci si Apple volí dobrovolně.

Proto se tomu říká salámová metoda. Na jedné straně nabídnete něco lákavého, co Vás moc nestojí. Na druhé straně ukrojíte maličko z toho, co je důležité.

Jenže těch právních vztahů je na webu menšina. A i tam, kde vznikají právní vztahy, je často důležitejší doména – nakupuju na CZC.cz, bez ohledu na to, že se ta firma přejmenovala.

Právní vztahy vznikají vždy a všude. I zobrazením reklamy někdo nese odpovědnost za její obsah. Spor nepovedete s doménou, ale s konkrétní osobou (fyzickou nebo právnickou=firmou).

Běžný člověk jde na Google.com, Seznam.cz, Mapy.cz, CZC.cz, a je mu úplně jedno, jak se jmenuje firma, která za tím stojí. On jde za tou doménou. Ta firma ho zajímá v případě, kdy znal nejdřív tu firmu z reálného světa – třeba banka.

To pochopitelně, to je brand name. Jenže brand se spojuje s tím, komu patří. Pokud má k něčemu certifikát být, tak právě k tomu.

Mimochodem, opět, komu se asi hodí, že se do popředí dostává brand (doménové jméno) a do pozadí provozovatel? Kdo může lépe budovat značku? Malý, nebo velký?

Podle mě si prostě jen nechcete připustit, že tyto kroky vedou ke škodě nás všech. Šifrujeme 99% nehodnotných sraček na internetu, ale chrochtáme si v tom, že ani nevíme, s kým máme tu čest.

Já nepopírám, že šifrování všeho je nutně špatně. Jen se to dělá v nevhodném pořadí. Neřeší se důležitější problémy, ale řeší se jen ty, které slouží ke zvýšenému prospěchu menšiny gigantů. To si prostě chválu nezaslouží.

Jenže brand se spojuje s tím, komu patří. Pokud má k něčemu certifikát být, tak právě k tomu.
Mýlíte se. Lidé chodí na Google, Mapy.cz, Seznam, Alzu, CZC, Youtube, Instagram, a je jim úplně jedno, zda to provozuje Alphabet, Alzasoft, Facebook Inc. nebo Seznam a. s.

Mimochodem, opět, komu se asi hodí, že se do popředí dostává brand (doménové jméno) a do pozadí provozovatel? Kdo může lépe budovat značku? Malý, nebo velký?
Já pamatuju dobu, kdy Google vznikl. Pamatuju i dobu, kdy Seznam byl lokální český katalog. I tyhle malé projekty začínaly jako čistě internetové, takže budovaly svou značku na doméně, na na firmě.

Podle mě si prostě jen nechcete připustit, že tyto kroky vedou ke škodě nás všech.
Nikoli. Já pouze žiju v jiném světě, než vy.

Šifrujeme 99% nehodnotných sraček na internetu, ale chrochtáme si v tom, že ani nevíme, s kým máme tu čest.
Nikoli. Nešifrovat znamená usnadňovat útoky na ty, kteří šifrují. Rozhodovat o tom, co je a co není hodno šifrování, je plýtvání časem. Když se bude šifrovat vše, ušetříte si to zbytečné rozhodování, navíc odstraníte jeden podstatný vektor útoků. S kým máme tu čest víme – chci komunikovat s doménou a certifikát je určitá záruka, že komunikuju s tou doménou. Jsou výjimečné případy, třeba banky nebo státní správa, kdy chci vědět, s jakou institucí komunikuju. Ty by měly mít OV certifikáty (s validací na úrovni EV).

Jen se to dělá v nevhodném pořadí. Neřeší se důležitější problémy
Dělá se to v tom pořadí, v jakém se to dá realizovat. A upřímně řečeno, na dnešním internetu jsou dva vážné problémy – nešifrovaná komunikace, a nedostatek IPv4 adres. Ty se ale nijak neovlivňují, takže nemá smysl s řešením jednoho problému čekat na jiný.

řeší se jen ty, které slouží ke zvýšenému prospěchu menšiny gigantů
Šifrování je ku prospěchu všech. Firmy typu Google nebo Apple z toho nemají žádný prospěch, právě naopak. Dříve mohl Google jako své plus uvádět to, že nikdo nemůže odposlouchávat, co hledáte – protože nákup certifikátu pro něj byl pakatel, na rozdíl od nějakého začínajícího vyhledávače, který by běžel jen na HTTP. Jenže dnes bude mít i ten začínající vyhledávač HTTPS zadarmo díky Let's Encrypt, takže Google o svou konkurenční výhodu přišel.