Vlákno názorů k článku
Po úniku klíčů bude dnes zneplatněno 23 000 TLS certifikátů od j - Aaano... dalsi !!duveryhodna!! CA .... ale jo, ten...

Aaano... dalsi !!duveryhodna!! CA .... ale jo, ten system funguje naprosto paradne ... lol.

CA zareagovala, jak podle pravidel měla. Zneplatnila certifikáty, u kterých byl vyzrazen soukromý klíč.

Průšvih je na straně přeprodejce, protože:
1) Neměl vůbec mít soukromý klíče a držel je neoprávněně.
2) I kdyby je mít směl, v žádným případě by je nesměl komukoliv předat.

Doufám, že se vlastníci certifikátů spojí a budou na přeprodejci požadovat odškodný + náhradu ušlých zisků + poplatky za vystavení nových klíčů. A CA je zažaluje o náklady spojený s touhle akcí a tučný odškodný. Kopanec do peněženky totiž bolí nejvíc.

Ano, zareagovala, ako podla pravidiel mala. A co sa tym vyriesi? Akurat sa tu v clanku rozobera efektivita zneplatnovania certifikatov. Mozilla ich zaradi do svojho dalsieho Firefoxu, my co bezime na ESR, mame smolu, mozme si akurat rucne zablokovat digicert a symantec. Cely ten system sa dost rozpadava...

Ten system je naprosto nefunkcni odjakziva, jen to holt sype $$$, tak se to snazi vsichni zucastneni udrzet pri zivote. Na bezpecnost pritom serou zvysoka, protoze to s bezpecnostni nema spolecnyho zhola nic.

Kdyby chtel nekdo bezpecnost na webu zlepsit, tak implementuje dane.

Není součástí toho systému ověření revokace certifikátu prohlížečem? A on to FF nedělá? jak pak FF řeší revokaci certifikátu Máni Čičmrndové, když někdo jeho certifikát zneužívá a Máňa ho nechá zneplatnit? Vykopnutím jedné CA a 20% internetu kvůli jednomu blogu s koťátkama?

Prostě standardní postup:
1) Symantec nekončí, netřeba ho vyhazovat.
2) Pokud cert k doméně není v cache, ověří se kdo ho vydal a jestli je platný. pokud je z téhle dávky, ověřením neprojde.
3) Když je v cache, za pár hodin expiruje a z cache vypadne sám. Dál viz bod 2.

Ty můžeš maximálně zneplatnit jejich certifikáty v cache, zbytek se zařídí sám. A pokud to FF nepodporuje, změň prohlížeč.