Vlákno názorů k článku
Sigstore: služba od Linux Foundation pro podepisování a ověřování kódu od oss - Len to nie, ved tento problem je uz...

Len to nie, ved tento problem je uz davno vyrieseny klasickymi code signing cesrtifikatmi.

"Lets Encrypt pre codesigning" spravi len to, ze sice bude vsteko podpisane, ale vypovedna hodnota toho podpisu bude nulova (ako keby tam ziaden nebol) a tym stiahnu aj tych slusnych vyvjarov co podpisovali. (aj phishingove aj podvodne stranky maju taky isty certifikat od Lets Encryptu ako tie prave)

Nekonecny pribeh. Existence samotneho certifikatu nerika, ze dany SW/Web je ok. Rika, ze, to co pouzivas je neco, co podepsal drzitel certifikatu a ze po ceste k tobe nedoslo k jeho uprave. Snadny, ne?

Zalezi ako sa overuje drzitel certifikatu, co je pri Lents Encrypt - nijako.
Len hovorim, ze ak to bude rovnake, tak si realne nepomozeme v bezpecnosti.

Pomuzeme, doslo navyseni podilu prenosu souboru po HTTPS, cili prichazime o man-in-the-middle (v te nejtrivialnejsi forme). Jste o krok napred :)

A samozrejme, ze se overuje, budto tim, ze vystavi HTML soubor, nebo zada zaznam do DNS. Takze overujete, ze certifikat vystavujete vlastnikovi domeny, webu, samozrejme at uz je to kdokoliv.

12. 3. 2021, 14:04 editováno autorem komentáře

> A samozrejme, ze se overuje, budto tim, ze vystavi HTML soubor, nebo zada zaznam do
> DNS. Takze overujete, ze certifikat vystavujete vlastnikovi domeny, webu, samozrejme
> at uz je to kdokoliv.

Samozřejmě, ale proti OV/EV je to zkrátka nic, minimálně co se týče snahy svázat certifikát s konkrétní osobou/firmou. Při pořizování domény ani hostingu jsem žádné ověřování podstoupit nemusel.

Pokud budou mít ověřování rozumně vyřešení (a ty certy budou mít důvěru operačních systémů), může to být zajímavé.

U standardního code signing certifikátu navíc jeho držitel prošel určitým ověřovacím procesem (obvykle CA viděla jeho ID/občanku a dokázal jí platnost adresy tam uvedené, někteří požadují i notářsky ověřené prohlášení, které s příslušným dokladem držitele spojuje). Samozřejmě je otázka, jak moc je tento ověřovací proces kvalitní.

A fakt, že takový certifikát něco stojí, také hraje svoji roli (v reálném světě, ne v tom ideálním).