Názory k článku
Připravovaný Chrome 70 odřízne Symantec a s ním řadu certifikačních autorit
-
Tak to ale není. Certifikátům vydaným před 1. červnem 2016 přestal důvěřovat už Chrome 66. Navíc u těch novějších vynutil zveřejnění v Certificate Transparency. To byl první krok. Druhým krokem bude úplné odebrání důvěryhodnosti. Píše o tom například o Scott Helme, který to na jaře podrobně vysvětloval a teď zveřejnil seznam domén, kterým přestanou certifikáty za týden fungovat. Jsou mezi nimi i české domény a můžete se přesvědčit, že mají mladší certifikáty.
-
Přezdívka: * (neregistrovaný)
Aha. Už jsem to četl jinde. Navíc jsem vycházel z článku odkazovaného ve zpravicce. Což tedy znamená že i tam to mají špatně?
Chrome 70 is expected to be released on or around October 16, when the browser will start blocking sites that run older Symantec certificates issued before June 2016, including legacy branded Thawte, VeriSign, Equifax, GeoTrust and RapidSSL certificates.
-
To není přesně. SSL vydané před červnem 2016 již byly vyřazeny z řetězce důvěry.
Od verze Chrome 70 a hned také následuje FireFox 63 (23. říjen 2018), budou nedůvěryhodné VŠECHNY certifikáty podepsané PKI Symantec. Což znamená, že všechny vystavené před 1. 12. 2017. Poté již byly podepisované DigiCertem a ty jsou OK. -
No, taky jsem si to myslel, ale ve světě MS to tak úplně nebude.
Podle tohoto MS dokumentu může někdo ještě vydávat certifikáty s rootem do dubna 2019. Ne přímo koncovým zákazníkům, ale přes různé enterprise PKI, kde ty certifikáty budou funkční do expirace.
https://cloudblogs.microsoft.com/microsoftsecure/2018/10/04/microsoft-partners-with-digicert-to-begin-deprecating-symantec-tls-certificates/
Microsoft Edge and Internet Explorer running on Windows 10/Windows Server 2016 will no longer trust certificates signed by the associated root certificate if issued after the TLS NotBefore Date. Any certificates issued prior to this date will continue to be trusted until the certificate’s natural expiration. Internet Explorer running on legacy Windows versions will not be impacted. -
Filip JirsákStříbrný podporovatelU těch podřízených certifikačních autorit se to ale týká jen starých mezilehlých certifikátů. Ty autority mají nové certifikáty vydané v listopadu 2017, které už jsou podepsané DigiCertem, se kterým se Symantec sloučil, a ty budou fungovat dál.
-
j (neregistrovaný)
Tak vzhledem k tomu ze guugl defakto vlastni chrozillu a tudiz i chrofox tak to vazne je vseobecna dohoda ...
"vyšlo se vstříc" ... takze na nejaky bezpecnosti vlastne vubec nesejde.
2Kokos99: Neboj, v ramci tvoji bezpecnosti budou vyjimky zruseny. Platny budou jen ty certifikaty, na ktery se (pekne pri kazdy anvsteve webu) zepta tvuj browser ... guuglu. To aby se vedelo, ze ses v bezpeci a co v tom bezpeci delas.
-
Petr (neregistrovaný)
Ještě pár let se bude takhle pomalu vařit žába a přecházet na nucené šifrování a pár "správných" certifikačních autorit a pak google tyhle autority koupí a defacto bude rozhodovat o tom, zda se bude stránka zobrazovat, nebo ne. A kruh bude uzavřen - faktický monopol nad vyhledávání, prohlížeč, certifikát, vše v rukou jednoho subjektu. Což se bude rovnat přetvoření internetu v googlenet.
-
A.S. Pergill (neregistrovaný)
Obávám se, že 90 procent a něco webů, které sedí na https, by šifrovat nemusela.
Tohle by mělo být vyhrazeno jen na IT bankovnictví a pár dalších podobných oblastí. V podstatě ani stahování linuxových programů nemusí být na https, protože balíčky jsou nezávisle autorizované podpisy organizátorů distribuce. -
Ondra Satai NekolaZlatý podporovatelProč lidé opakují tuhle hloupost pořád dokola? Https není jen o utajení, brání nodům na cestě data měnit.
Do stránek nad http ti může provider dávat reklamy (tracking, malware..). Seznam balíčků na http může být změněn a neobsahovat nejnovější verze se security updaty....
-
A.S. Pergill (neregistrovaný)
Jenže opravdu platí to, co jsem uvedl, v naprosté většině případů je taková činnost, jakou popisujete, nesmyslná. Tj. pánové s černými klobouky by si tím nevydělali ani na slanou vodu.
Druhou věcí je to, co už tu napsali jiní:
Nemohu se dostat na web protože obskurní hlášení o systémové chybě = přidám výjimku nebo použiji prohlížeč, který tu bezpečnost tolik neprožívá. Např. populárně vědecký web www.osel.cz je na http, takže mi Mozilla pokaždé, když se přihlašuji do diskuse blekotá cosi o nezabezpečené komunikaci, ale protože to v praxi nic neznamená, tak to ignoruji. A pokud by mi přístup odepřela, sáhnu po jiném prohlížeči. Pro praxi zcela bezcenné šifrování v tomto případě (a mnoha dalších) neřeším. -
null null (neregistrovaný)
@A.S. Pergill
Nejprve bys ale měl stanovit pojmy na kterých stavíš své tvrzení:
"pánové s černými klobouky" - Velmi úzká skupina s velmi malou četnotí kterou vezmu jako průměrný vzorek
"v naprosté většině případů" - osobní zkušenost oproti miliardám uživatelů
"v praxi to nic neznamená" - ještě se mi nic takového nestalo -
Filip JirsákStříbrný podporovatel
Vycházíte z mylného předpokladu, že HTTPS slouží jen k utajení přenášených dat, jenže ono slouží i pro zachování jejich integrity. Chcete číst články, které publikovali autoři na Osel.cz, a nebo chcete číst něco, co tam podvrhne někdo jiný? Pokud to první, potřebujete HTTPS. Případně vám do těch článků může někdo přidávat reklamu, JavaScriptový kód, který se bude pokoušet útočit na váš domácí router atd.
Nepoužívat HTTPS má v jediném případě – kdy vám je úplně jedno, jaký obsah dostanete. A v takovém případě vůbec nepotřebujete komunikovat se vzdáleným serverem, můžete se začíst do
/dev/random. -
A.S. Pergill (neregistrovaný)
Vycházím z jednoduché úvahy, že totiž na podvržení / změnění článku na osel.cz se nedá trhnout tolik peněz, aby se do toho vyplatilo jít. Reklamu, javascript a podobné věci lze řešit (a také se řeší) jinak, např. nastaveném bezpečnosti prohlížeče a OS.
Druhou věcí je, že to není tak dlouho, co se stal těžký průšvih s bankovním malware, které bylo v oficiálním úložišti balíčků pro Android, pochopitelně patřičně vybavené autentizačními podpisy a šířené přes https. Z čehož plyne, že https (ale i třeba používání autentických balíčků na instalaci a upgrade) je v principu neschopné zajistit bezpečnost, jen ukolébá uživatele jejím předstíráním.
Mimochodem, pokud se s tím Oslem spojím z různých strojů a přes různé připojení, pak by mě mělo varovat i to, že na něm budou zobrazovat různý obsah.
-
Ondra Satai NekolaZlatý podporovatel
Připojovat se z různých strojů... to je fakt systematické řešení. To bys měl publikovat jako RFC.
-
Ondra Satai NekolaZlatý podporovatel
...a kontrolují si, zda přibyly nějaké JavaScripty nebo sledovací pixely...
-
j (neregistrovaný)
Uz se stalo ... nebo ty si zaspal. Guggl si prosadil nesmysl na tema seznam vsech vydanych certifikatu. Jen otazka casu, kdy stranku ktera nebude v seznamu neotevres. A zabije tim hnedle hejno much. Jednak mas pekne pokupe seznam vsech webu (casem i tech verejne nedostupnych), druhak mas pekne na jednom miste informaci o kazdym jednom uzivateli libovolnyho browseru kterej tuhle pitomost implementuje (chrofox zcela jiste). A zatreti, muzes (za prislusnej obulus) pekne prodavat moznost certifikat kdykoli komukoli podvrhnout.
A osladej si to tim, ze budes povine pouzivat kokotinu na tema dns over http. Takze ti s tim certifikatem budou moct naservirovat i prislunny IP subjektu kterej si zaplati.
Proc myslis, ze neimplementujou DANE. Protoze to by slo vse zcela mimo ne... a predevsim by to bylo realne bezpecny.
-
Guest (neregistrovaný)
Pěkné pohádky a katastrofa možná tak jen pro bfu vašeho typu. Kdo bude chtít, dostane se i na "nedostupné" stránky, ono existuje více prohlížečů než firefox, chrome a edge. Takže se jen u https stránek schválí nedůvěryhodný certifikát, a nebo by vznikla nezávislá certifikační autorita.
-
Petr (neregistrovaný)
A kdo ti asi takhle odstřihnutej web bude provozovat? Nad tím si se asi nezamyslel. Já se bavím o tom, že si ještě nedávno někdo mohl založit nějakou stránku třeba o šití ponožek dal jednorázově peníze a jel. Nepotřeboval žádné platformy, periodické platby apod..
Až bude vše zcertifikované, ochromované a nevyhledatelné tj. nebude to splňovat standardy googlu tak ten web bude prostě pro svou cílovku neviditelnej. Ostatně co se týče vyhledávání tak tam už jsme, ale ještě pořád spíš kvůli konkurenci. To co se děje teď je zvětšování technologických bariér.
-
Filip JirsákStříbrný podporovatel
Stačí přidat certifikát vlastní autority do systémového úložiště certifikátů.
-
Pěkný souhrn od začátku je zde v tabulce:
https://searchsecurity.techtarget.com/feature/Timeline-Symantec-certificate-authority-improprieties
