Vlákno názorů k článku
Platnost HTTPS certifikátů uživatelem přidaných CA je prakticky omezena na 2 roky od RRŠ - Tohle zkrácení není úplně dobrý nápad... Nastavil jsem v...

Opět: řeč je o uživatelem přidaných CA, nikoliv o těch zadrátovaných.

Prectete si znovu a lepe ten dokument. Je tam explicitne rec o all TLS server certificates. A to opravdu neni totez, co CA.

Odkazovaný dokument řeší TLS certifikáty (koncové), ale zprávička je o přidaných CA. Asi je v tom trošku zmatek...

Ano, korekci titulku v tom duchu, ze pred "uzivatelem" pridat "z" by to asi sneslo :-) Ale ve vlastnim textu zpravicky je to popsane po vecne strance stejne jako v tom originale od Apple.

samozrejme, ze to je falosny poplach. Je hlupost oznacit situaciu "idem na spravnu stranku a tam je certifikat ktory nesplna formalne nalezitosti" za "som v ohrozeni".

Ked sa na to clovek pozrie z nadhladu, tak certifikaty vobec neplnia ucel "mam istotu, ze idem na spravnu stranku". To co plnia je "spojenie bude sifrovane".

"certifikaty vobec neplnia ucel "mam istotu, ze idem na spravnu stranku""

Ani nemuzou. Ale to spouste lidem nebrani v tom tuto lez neustale opakovat. Jakoz takoz s velkym ALE by se to dalo mozna rict o DANE.

Sorry, ale neplatný certifikát způsobený tím že někdo něco podělal a ne útokem? Nejaký certifikát jehož odklepnutí toho uživatele nijak neohrozí, protože leze přesně tam, kam chce? To prostě je z praktického pohledu falešný poplach.

Žádná hrozba se neděje, je to jen bug v zabezpečení. Chybí důvod, kvůli kterému jsme to zabezpečení vůbec zaváděli. Jestli tomu budete říkat falešný poplach nebo po novu otravný poplach je úplně jedno. Důležité je, že z pohledu uživatele tomu chybí pádný důvod a učí ho to tyhle poplachy ignorovat.

Je například úplně jedno, jestli požární alarm spustí upadlý drát nebo kuřák na záchodě. Stačí pár takových poplachů a celý alarm je k ničemu, protože ho všichni budou ignorovat.

A jak se dozvite, ze pod utokem nejste? :-) Jak se dozvite, ze nekdo neukradl vase privatni klice a nevydava se za neco, co neni?

Nedozvíte, respektive dozvíte se to až zpětně. O tom to právě je. Párkrát něco takového řešíte, zjistíte že to byl falešný poplach a za chvíli vás to přestane bavit a vykašlete se na to. Proto jsou falešné poplachy tak nebezpečné. Obzvlášť pokud jsou skutečné hrozby velmi vzácné.

Jasne, to se vubec nestava. A nejaka krabice, kde dva roky nevymenite ani certifikat bude mit v principu asi i dost jinejch problemu, ze?

Jasně že stává. Jen se to nestává často. Takže to uživatelé řeší jako jeden další falešný poplach.
Nediskutoval jste nedávno o falešném pocitu bezpečí u ".gov.cz"? Vždyť je za tím dost podobný princip. Uživatel na nedostatky v systému reaguje způsobem, který to komplet rozbije.

A to nestava casto mate na zaklade jake statistiky? ;-) O tom, ze klice utikaji mate popsane stohy papiru, obcas treba utecou v dusledku neopatrnosti a pokud tu popisuji nekteri to, jaky "problem" je vymenit jednou za dva roky klice, tak tam jiste bezi software, ze ktereho ty klice muzou utikat tak nejak by design, protoze zadny diry tam X let nikdo nezaplatuje.

"A to nestava casto"

Vymena klicu je PRESNE totez, jako opakovane zmeny hesel. NIC to neresi. Pokud klic utece, je treba to zjistit a pak ho vymenit, pokud neutece, muze tam byt klidne 100 let.

Vy ukladate hesla v plaintextu? ;-) Ne, neni to totez. Pri pouziti rozumne funkce ty hesla budete i pri uniku databaze lamat sakra dlouho, zatimco klic mate typicky nezaheslovany naservirovany k primemu okamzitemu uziti.

Podle jediné statistiky, co je relevantní pro uživatelovo rozhodování - jeho vlastní zkušenosti. Vím, na co s kolegy nadáváme.
Pokud v kanclu všichni svorně nadávají na nějaké otravné poplachy, tak víte s jistotou, jak budou reagovat na jakýkoliv další. Můžete je školit o možných útocích, můžete jim posílat varovné maily, je to úplně jedno. Oni chtějí dělat svou práci (s minimální námahou a opruzem) a budou sabotovat cokoliv, co jim stojí v cestě. Dělají to jeden každý den, takže zatraceně dobře ví že to funguje.
Pokud tohle bezpečák nevezme v potaz, tak nedělá bezpečnost, ale kargo kult.

Ano, popisujete zakladni prusvih IOT a bezpecnosti tam. Jasne, kazdeho to obtezuje, ale vysledkem je, ze kdejaka ta vase zarovka ci kotel muze byt a taky byva zdrojem utoku. A podobna bagatelizace rizika tomu fakt nenapomaha, ze? Jasne, kazdej to zacne resit, az kdyz pruser nastane... treba kdyz tu vasi chytrou domacnost ISP odrizne od sveta prave proto, ze utoci, ze? A to neni zadne sci-fi, to mate mj. typicky i napsane i ve vseobecnych podminkach.

"Nedozvíte, ...."

Problem (na webu) je predevsim v tom, ze ja (a 100% normalnich lidi) nechci resit "bepecnost" na 99,9999999% stranek. Je mi to uplne jedno. Mozna a hypoteticky me zajima, jestli se komunikace sifruje.

Pricemz tam, kde bych to potencielne resit chtel, nemam jak. Takze kdyz otevru web banky, tak maximalne vim, ze ma nejakej cert vydanej nejakou pochybout CA ... (vi buh jestli aspon stejnou jako vcera ...), o ktere tvurce browseru/systemu prohlasuje, ze je duveryhodna (coz vim se 100% jistotou ze neni).

A je to o to legracnejsi, ze kdyz na webu ten banky maji ten cert expirovany (zazil sem opakovane - kb napr), tak na supportu vesele reknou "no tak to odkliknete" ...

Proc to to pak mel kdokoli neodklikavat kdekoli jinde, kde na tom prd zalezi?

Presne tohle pak vede ktomu, ze bfu odklikne cokoli kdekoli, protoze neni a ani nemuze byt schopen zhodnotit, jestli tady muze a tamhle ne. A muzou za to prave vyvojari browseru.

Kdyby se tyhle hlasky daly omezit na vybrany seznam webu, kde dotycny o nejakou bezpecnost stoji, tak by se to nedelo, ale nedaji.

Divim se, ze s vasimi nazory se neodstehujete do jeskyne a nesvite si tam louci :-) BFU samozrejme bezpecnost neresi - jen obcas je pak rozcarovan a breci, kdyz se stane obeti nejakeho utoku. A hlavne pak hleda vinika, na ktereho by ten svuj problem hodil.

Myslím, že nechápete jádro problému. BFU ten problém neřeší, protože vůbec nedostane prostor ho řešit. Protože bez ignorování těch falešných poplachů se browsery používají fakt blbě.
Já bych řekl, že autor protipožárního alarmu, co pravidelně spouští zbytečne je vinen za nějakou případnou oběť skutečného požáru - aspoň částečně (spolu s těmi, co ten krám mohli zrušit a neudělali to). A rozhodně víc než oběti v tom baráku, co na ten alarm mohli dlouho jen nadávat.

Ale ten problem zpusobuje vyrobce - tim, ze pusti ven neco, co nefunguje jak by melo. A i u toho protipozarniho alarmu je treba pravidelne resit servis a kontrola, neni to tak, ze to namontujete a pak na to v zivote nesahnete. Jako ajtak nadavate zjevne na to, ze se vam nechce vase prace delat poradne :-)

Á, takže už rozumíte kde je problém? Že "výrobci" browserů pustili ven něco co nefunguje jak by mělo? Navrhli alarm, co i při pravidelné údržbě občas generuje poplachy a bez té údržby je úplně k ničemu.

Já tenhle bordel neudržuju, moje specializace je jinde. Takže tady píšu z pozice toho uživatele, co si jen vyžírá ty falešné poplachy. Kolik koleček "Zas to nefunguje" - "Tak to odklikni" by měl průměrný uživatel minimálně absolvovat, než se na to vybodne?

Ne, mluvime o vyrobcich tech zarizeni - co odflaknou vyvoj, neudelaji tu vec poradne a poslou to do sveta s tim, ze pro ne to konci v momente, kdy maji prachy pripsane na ucte. A reseni na strane browseru je technicky vlastne docela jednoduche - to tlacitko, kterym to odkliknete proste zmizi. Jen vam asi pak rupne cevka... :-)

Přidat k propadlým certifikátům i neaktualizované browsery je fakt "řešení" jak noha. To je fakt jak v korporátu - je úplně jedno jestli to dohromady funguje, hlavně že to není můj problém.

Připomíná to mít na všechno aplikaci od výrobce, která technicky je zabalená webová aplikace. Jakoby se vracíme do dob, kdy si uživatel musel nainstaloval custom plugin do prohlížeče (lokálně běžící neomezený kód, např. pro hraní myslím Quake Wars Online se tehdy instaloval plugin do prohlížeče).

22. 8. 2023, 14:17 editováno autorem komentáře

Myslím, že nechápete jádro problému. BFU ten problém neřeší, protože vůbec nedostane prostor ho řešit. Protože bez ignorování těch falešných poplachů se browsery používají fakt blbě.
Fakt by mne zajímalo, kam lezete, že se tam setkáváte s falešnými poplachy certifikátů. Na veřejném webu jsem se s tím nesetkal hodně dlouho – resp. náhodou jsem na špatný certifikát narazil nedávno na jedné překlepové doméně, kde to ale nebyl falešný poplach. A pak jsou s tím tradičně problémy, když někdo funkční systém „vylepšuje“ interními autoritami nebo inspekcí TLS provozu.

Řešení je jednoduché – prostě uživatele neučte, jak tu ochranu v prohlížeči obejít. Prostě je na tom webu chyba, a buď je ten web důležitý, tak to jeho provozovatel spraví, nebo ten web nikdo nepotřebuje, pak ani není potřeba tam lézt.

Už teď je to v prohlížečích udělané tak, že expirovaný certifikát není tak snadné obejít, a některé chyby certifikátů nejdou obejít vůbec. Pokud budou uživatelé nadále to důrazné varování obcházet, autorům prohlížečů nezbyde nic jiného, než obcházení znemožnit.

Já bych řekl, že autor protipožárního alarmu, co pravidelně spouští zbytečne
To je ale špatné přirovnání. Tady není řeč o protipožárním alarmu, který pravidelně spouští zbytečně. Tady je řeč o protipožárním alarmu, pod kterým pravidelně někdo rozdělává oheň, a protipožární alarm to zachytí. Řešením není omezovat alarm, řešením je nerozdělávat oheň tam, kde se to nemá.

Jenže pokud máte protipožární alarm v kuchyňce nad varnou deskou...

> resp. náhodou jsem na špatný certifikát narazil nedávno na jedné překlepové doméně, kde to ale nebyl falešný poplach.

Takže falešný poplach od padoucha, takže vlastně ok díky dvojité negaci? :D Co brání vystavit si pro překlepovou doménu i "překlepový" certifikát? Vždyť už je to kompletně automatizovaný proces.

> A pak jsou s tím tradičně problémy, když někdo funkční systém „vylepšuje“ interními autoritami nebo inspekcí TLS provozu.

Výborně, správně jste odhadl častý zdroj těchhle poplachů. Teď mi ještě řekněte, co má řadový zaměstnanec dělat, když ze stejného zdroje jako tyhle poplachy chodí i příkaz dělat svou práci. ;)

Jiný příklad v diskuzi, kdy to podělala třeba Komerčka jste zaznamenal?

> Prostě je na tom webu chyba, a buď je ten web důležitý, tak to jeho provozovatel spraví, nebo ten web nikdo nepotřebuje, pak ani není potřeba tam lézt.

Když je ten web _důležitý_ tak právě nemusí být čas a prostor čekat na to, až to někdo milostivě spraví. To si můžete dovolit spíš u webů na které lézt nepotřebujete a nějakou dobu se bez nich teda obejdete.

Pokud je ten web opravdu dulezity, tak je dost o drzku tam vkladat jakekoliv citlive udaje (heslem pocinaje) v momente, kdy to vraci jakoukoliv chybu. Protoze nikdy bez hlubsi analyzy nevite, jestli jde skutecne jen o nejake opomentuti spravce a nebo o skutecny utok. Argumentace stylem to nepocka naopak muze napachat skody jeste vetsi, ze? Nebo vy byste se snazil prihlasit do banky v situaci, kdy to hlasi jakykoliv problem s certifikatem, protoze ted honem potrebujete poslat nejake prachy...? :D

On je rozdíl, pro koho je ten web důležitý. Jestli tam lezete soukromě, nebo v práci.

A co myslíte, že udělá BFU, když mu na helplině banky řeknou, ať to odklepne (jak už to tu zaznělo u zmíněné Komerčky). A co myslíte, že udělá příště? Opravdu čekáte, že bude zase volat?

A co myslíte, že udělá BFU, když mu na helplině banky řeknou, ať to odklepne (jak už to tu zaznělo u zmíněné Komerčky).
To, že něco radí helpline Komerčky, neznamená, že je to správně.

A řekne mu to někdo pak?

A z jaké křišťálové koule má teda BFU vyvěštit tu správnou odpověď? Věštit z drobů nějakého toho managera mi bohužel nikdo nedovolí.

Takže falešný poplach od padoucha, takže vlastně ok díky dvojité negaci?
Ne, byl to poplach od vlastníka té správné domény (vlastnil i tu překlepovou), akorát měl tu překlepovou doménu nasměrovanou na server, který nepočítal s tím, že ji bude obsluhovat. Každopádně to ale zafungovalo správně, protože to upozornilo na to, že s názvem je něco špatně.

Co brání vystavit si pro překlepovou doménu i "překlepový" certifikát?
Úkolem certifikátů není vyřešit všechny problémy světa. Je to jako kdybyste se ptal, jak požární alarm zastaví zloděje – nu, nezastaví, není to jeho úkol.

Teď mi ještě řekněte, co má řadový zaměstnanec dělat, když ze stejného zdroje jako tyhle poplachy chodí i příkaz dělat svou práci. ;)
To ale není chyba prohlížečů, nýbrž těch, kdo takové „zabezpečení“ nabízí a těch, kdo ho vyžadují.

Jiný příklad v diskuzi, kdy to podělala třeba Komerčka jste zaznamenal?
To jako chcete učit uživatele, aby do banky lezli přes nevěrohodný certifikát? A co dál? Když jim někdo pošle e-mailem exe, mají ho spustit? Když po nich někdo bude chtít heslo, mají mu ho říct?

Když je ten web _důležitý_ tak právě nemusí být čas a prostor čekat na to, až to někdo milostivě spraví.
Každý web může mít výpadek. Vaše internetové připojení také může mít výpadek. Žádný web není tak důležitý, aby se kvůli němu porušovala základní pravidla bezpečnosti. Přesně o tomhle – že je to důležité, je potřeba spěchat a kašlat na bezpečnost – se vás bude pokoušet přesvědčit každý útočník.

"Žádný web není tak důležitý, aby se kvůli němu porušovala základní pravidla bezpečnosti."

To jiste ... statni byrokrat bude mit jiste pochopeni pro to, ze prislusne lejstro nebylo vyplneno a odeslano v terminu ... protoze web mel expirovany certifikat (coz vubec netusi co je).

A takovy bfu, v souladu s pisemnym pokynem, zvedne telefon, zavola do banky, nadiktuje jim, co mu to hlasa ... a dozvi se, ze to ma odkliknout ...

Mimochodem, z presne tohoto duvodu jsem si zavedl nahravani veskerych hovoru s podobnymi ourady.

To jiste ... statni byrokrat bude mit jiste pochopeni pro to, ze prislusne lejstro nebylo vyplneno a odeslano v terminu ... protoze web mel expirovany certifikat (coz vubec netusi co je).
Kdyby něco takového nastalo, tak to samozřejmě bude muset úřad zohlednit. Stejně jako musí zohlednit třeba odstávku datových schránek.

Jenže expirovaný certifikát není odstávka. Vždyť to přece funguje, jen to má drobné kosmetické chyby. Ukažte mi právníka/managera, který bude provokovat úřady kvůli intelektuální onanii IT oddělení.

Zkuste si expirovanym kvalifikovanym certifikatem neco podepsat a ukazte mi pravnika, co rekne, ze s tim prece neni vubec zadny problem... :-)

Aha, takže nemáte nic, když musíte skákat k úplně jiným certifikátům než jsou ty o kterých se bavíme.

Ne, ty principy jsou stejne. A je fuk, zda se bavite o elektronickem podpisu nebo serverovem certifikatu. Platnost od-do tam neni pro srandu kralikum.

A bavíme s i o fyzickém podpisu rukou, když už vás tolik baví odbíhání?

Kdyz si chcete nekam nutne odbehnout, zkuste to treba na ITU v Zeneve, kde to pred 35 lety vymysleli... a muzete jim tam rict, jaci to jsou blbci :-)

A nebo si - kdyz uz jsme u toho psani rukou - muzeme odbehnout k Rukopisu kralovedvorskemu pry udajne ze 13.stoleti.... co byl vlastne napsany ponekud pozdeji, ze? :D

JSH: Ne, web s neplatným certifikátem nefunguje. Mne by zase zajímalo, jak byste vysvětloval, že jste t osice podal na falešný web, takže úřad podání nikdy nedostal, ale jak jste to mohl vědět, když tam byl jenom neplatný certifikát.

Třeba si zkontroloval, že je správná doména webu, kam to posílá. A pak mu přišel informační email, opět se správnou doménou ve From.

A jak muzete vedet, ze DNS take neni zmanipulovane? ;-) Zvlaste u domen, kde neni implementovan DNSSEC - ale vlastne i s nimi, protoze na strane koncovych klientu se validace prijatych odpovedi vesmes moc neresi, ze? ;-) (v tom tradicnim/his­torickem pojeti, ktere tu ma spousta zdejsich tak rado). A From: policko v SMTP taky podvrhnout nejde... tak jisteze... :D

Může se kouknout na zdroj a přečíst si ty servery. Prostě má možnosti si to zkontrolovat sám, nespoléhá jen na ikonku v prohlížeči.

Jasne, ono dnes a denne nejsme svedky phisingovych utoku, co i ten "spravny vzhled" vcelku uspesne imituji ;-) No koukam, ze teto problematice rozumite asi tak stejne jako kompletaci pocitacu, jak jste predvedl vedle... jakoze vubec :D

Má k tomuhle vůbec někdo nějaký "tvrdší" materiál? Máňa říkala, že to není směroplatný.

Může se kouknout na zdroj a přečíst si ty servery. Prostě má možnosti si to zkontrolovat sám, nespoléhá jen na ikonku v prohlížeči.
Víte vůbec, k čemu HTTPS certifikáty slouží? Co se děje, když v prohlížeči chcete zobrazit nějakou stránku?

Na jaký „zdroj“ se podívá a jaké servery si „přečte“? Na DNS servery té domény? Jak je věrohodně zjistí? Jak zjistí, zda komunikuje skutečně s nimi? Dobře, dejme tomu, že ta doména bude chráněná DNSSEC. Takže věrohodně zjistí IP adresy webového serveru. A jak pak zjistí, že komunikuje s tím skutečným serverem?

Třeba si zkontroloval, že je správná doména webu, kam to posílá.
Jo, a jak to zkontroloval bez certifikátu? K tomu totiž právě certifikáty slouží, abyste si mohl zkontrolovat doménu.

A pak mu přišel informační email, opět se správnou doménou ve From.
A pak ještě dvě hodiny zkoumal, zda ta doména ve From je pravá.

To by mě fakt zajímalo, kde se pohybujete protože to je věc relativně (pro mě cca jednou měsíčně?) častá jakmile odbočíte z velkých webů. Používáte vůbec (kromě root.cz) internet?