Vlákno názorů k článku
Vývojová verze Firefoxu chce HTTPS na stránkách s přihlášením
od ttt - Je šance, že prohlížeče v dohledné začnou uznávat...
-
ttt (neregistrovaný)
Je šance, že prohlížeče v dohledné začnou uznávat (=nezobrazí varování) TLSA/DANE certifikáty? Je zádrhel jen v tom, že to prohlížeče ještě neimplementovaly nebo někde jinde?
Irituje mě, že si DV certifikát on Let's encrypt bude v pořádku, ale TLSA certifikát, který se mi zdá ekvivalentní (prokazuje držení domény, nic víc, nic míň). Pokud mě prohlížeče "nutí" do HTTPS, radši bych si hrál na vlastním písečku než používal třetí stranu.
-
Filip JirsákStříbrný podporovatelTo by mne zajímalo, zda opravdu validace DNSSEC trvá dýl, než ověření, zda certifikát nebyl odvolán, přes OCSP.
-
Filip JirsákStříbrný podporovatel
Myslíte, že ta volba „Aktuální platnost certifikátů ověřovat na serverech OCSP“ ve Firefoxu 40, která je ve výchozím nastavení zapnutá, nic nedělá?
-
Lol Phirae (neregistrovaný)
Vzhledem k tomu, že asi 10 let v kuse tvrdili, že to nemůžou zapnout, protože to hrozně zpomaluje a je to rozbité, tak do každé nové verze opravdu nečumím... Ostatně, trosky skupiny uživatelů, co ještě FF používají, přešly dávno na LTS verze, protože na věci permanentně rozbíjející experimenty vyšinutých jedinců v Mozille, jejichž cílem je zjevně už pouze naklonovat Chrome a vytřískat nějaké peníze, než lidi definitivně zdrhnou, jaksi už neměli náladu.
A jinak ano - v podstatě to nic nedělá. Viz about:config - security.ocsp.require - false (default)
-
j (neregistrovaný)
Neco jako ze jeden DNS dotaz zpomali celej web .... a resi se to uz 16 let https://bugzilla.mozilla.org/show_bug.cgi?id=14328
-
ttt (neregistrovaný)
Nedalo mi to a hledal jsem, podle https://www.imperialviolet.org/ (chrome) je problém v RSA 1024 a Certificate transparency (Jan 2015). U mozilly jsem nějaké vyjádření nenašel, leží to tam ladem https://bugzilla.mozilla.org/show_bug.cgi?id=672239.
[quote]
Indeed, Chrome even supported something very like DANE for a while. In that case the DNSSEC records were contained in the certificate to avoid the latency and complexity of looking them up in the client. (DNSSEC records contains signatures so need not be transported over the DNS protocol.)But support for that was removed because it was a bunch of parsing code outside of the sandbox, wasn't really being used and it conflicted with two long-term plans for the health of the HTTPS ecosystem: eliminating 1024-bit RSA and Certificate Transparency. The conflicts are probably the most important reasons for not wanting to renew the experiment.
[/quote]
