To je právě ten paradox, v defaultních instalacích začínaj uživatelé s bambilionem předinstalovaných CA u kterých ani netuší kdo je vydal a jaké jsou politiky a automaticky akceptují veškerý provoz na jimi vydaných certifikátech aniž by si ověřili druhou stranu, ale jakmile se tam objeví zřejmě jediná kořenová CA u které vědí o co konkrétně jde, tak je problém...
Nesleduje to vubec nikdo ... spousta tech "duveryhodnych" CA ti vyda certifikat na co si reknes, a je jim to naprosto putna. Pokud se nekdo spolejha na to, ze ma nekde v prohlizeci zeleny cosi ... tak je to naivni blb.
Problem skol/firem ... proste neexistuje, oni by si klidne mohli poridit certifikat libovolny autority, ktera v tom prohlizeci uz je ... ale to by prevazne stalo penize/papirovani ... a pro ucely pro jake se to pouzije je to zcela nanic.
Naopak, pokud uz chci nejakymu certifikatu duverovat, tak vyhradne takovymu, kterej si sam naimportuju.
Rekl bych ze jakakoliv organizace ma pravo instalovat si na sve pocitace korenove certifikaty jake chce. Problem je kdyz je nekdo nachyta ze je skutecne zneuzivaji pro SSL MITM.
Jak zde nekdo poznamenal, korenovych certificatu mame v prohlizecich defaultne vic nez malo. Jsou mezi nimi certifikaty organizaci u kterych si NSA na neochotu ke spolupraci jiste stezovat nemuze. Ze by zrovna skolnik byl to nejvetsi riziko...
Toto je standardni postup ve velkych firmach, pouzivaji vlastni CA a root certifikat, pomoci teto CA se pak podepisuji certifikaty zamestnancu, ktere se pak pouziji pro atentizaci na ruzne firemni systemy jako portal, wifi, vpn atd. A jak jinak by to meli udelat? Kupovat a slozite vyrizovat certifikaty na verejne CA pro kazdeho zamestnance? Nerealne a drahe.
Není, ale pokud tam chce používat školní síť, tak musí souhlasit s pravidly provozu - minimálně lze čekat, že škola bude chtít identifikovat, kdo měl v konkrétním okamžiku přidělenou konkrétní adresu - to v okamžiku, kdy přijde stížnost na porušování autorských práv a škole budou hrozit sankce za nepovolenou činnost studenta.
Pokud ovšem škole natolik nedůvěřuje, tak by měl používat vlastní připojení a vůbec uvažovat o tom, jestli nebude raději studovat jinde. Vždyť přece škola má jeho kompletní osobní záznamy...
Slouží prakticky výhradně na certifikáty serverů, bez toho nelze dělat třeba změny v AD přes LDAP - a bez toho nevím, jak ve škole spravovat uživatelské účty. Kdo nemá nainstalovaný certifikát CA, má problémy s přístupem k e-mailu (IMAPS, SMTPS), připojení notebooku (802.1x/Radius - to ve Windows bez důvěryhodné CA nefunguje úplně snadno). Uživatelské certifikáty se nevyžadují, ale kdo chce, může si ho nechat vystavit.
Standardní počítače s Windows mají CA mezi důvěryhodnými přes skupinovou politiku. Na ostatních zařízeních je to věc uživatele, ale instalace naší CA je doporučená.
Některé státní instituce nutí obcím vlastní CA. Jko příklad mohu uvést např.Ministerstvo financí ČR a jejich modul pro odesílání ročních zpráv o výsledcích finančních kontrol. U některých státních organizací bývá občas i zajímavý způsob generování a doručování přihlašovacích certifikátů, který s bezpečností nemá nic společného. Nebo funkčnost pouze v určitých prohlížečích... ale to už je jiné téma...
Ne, pro přihlašování k HTTPS s klientským certifikátem se hodně často používá vlastní CA. Důvěřovat jí pak ale musí hlavně server, na straně klienta by mělo stačit nastavit jako důvěryhodný certifikát samotného serveru. (Ovšem kdo by se s tím konfiguroval - radši všichni naimportují CA certifikát a je hotovo...)
Problém vidím zejména v tom, že uživatel si nemůže v prohlížeči (a dalším software) definovat, že této CA důvěřuje pro definované domény (například: skola.cz).
Považuji za velký nedostatek, že tohle není možné. Osobně bych nejraději všechny CA z prohlížeče vyházel a nechal tam jen ty, kterým důvěřuji a pro jaké domény.
vlastnu CA treba doplnit do browserov ludom tam, kde sa vyzaduje, aby webova brana (napr. Websense a ine) vedeli priamo cmuchat aj HTTPS traffic. cize vo vacsine vacsich firiem atd. s tym, ze samozrejme v konfiguracii sa robia vynimky na internetbaking atd...
pokial je toto tu jedine spojenie pre decka na internate s rodinami, je to uz dost na hrane (resp. za nou)
pre autora: secondary school je v podstate stredna skola, pripadne 8 (ci 6) rocny gympel.
Zdravim, clanek mne zaujal a ja si uvedomil jak malo toho vim o certifikatech, autoritach a vazbach mezi nimi. Rad bych se o tomto dozvedel vice. Nemate nekdo nejaky dobry zdroj (osvedceny, googlovat umim sam:) k tomuto tematu? Kde se doctu zaklady, prakticke veci, jak ziskat seznamy duveryhodnych, mene duveryhodnych autorit, jak je spravovat, proste logika v pozadi. Neco jako 'certifikaty po lopate'. Tahle cast z IT mi v podstate unikla. Dekuji