Vlákno názorů k článku
Vyzkoušejte si podporu nových certifikátů od Let’s Encrypt na test.vpsfree.cz
od kamui - Celá tahle certifikátová mašinerie mi přijde zbytečná. Proč...
-
Dovolím si nesouhlasit. HTTPS by mělo být úplně všude, kde to jen trochu jde. DNSSEC sice vyřeší tu DNS část problému, ale samotné HTTP spojení může být kýmkoli na trase odposloucháváno a měněno. A taky že bude měněno. Na některých veřejných hotspotech v hotelech a restauracích vám do nešifrované komunikace automaticky (!) hodí reklamy, aby nemuseli provoz WiFi platit ze svého. Do HTTP se dá snáze vložit exploit nějaké zranitelnosti v JS nebo vykreslovacím enginu prohlížeče. Krom toho, nešifrované HTTP je snazší pro sledování, protože všichni na trase vidí veškerý provoz - HTTP GET požadavky - tedy část za lomítkem v URI; stahované skripty a obrázky, samotnou stránku, prostě všechno. Implementace HTTPS (pokud se vyvarujete nějakých základních blbých chyb, které dovolí použití triviálních útoků) tohle všechno vyřeší v podstatě automaticky.
https://web.dev/why-https-matters/
https://www.cloudflare.com/learning/ssl/why-use-https/
https://catcoent.com.au/why-https-matters-for-all-websites/
https://www.michalspacek.cz/zabezpeceni-prenosu-dat-na-webu-pianko
https://www.michalspacek.cz/potrebujete-mit-web-na-https
https://scotthelme.co.uk/still-think-you-dont-need-https/ -
Tak on měl pán asi předvším na mysli celý ten vo**r se vším okolo certifikátů - distribuce kořenových certů do softwaru koncových zařízení, nutnost důvěry v nějaké společnosti "stopro nevydáme certifikát tomu, komu nemáme", s tím spojené jejich hlídání tvůrci prohlížečů fcemi jako Certificate Transparency a CAA, hlídání platností leaf certů a u ACME nějaka občasná kontrola, že vše funguje jak má... No, je to děs. DANE je všestranně lepší, bohužel se skoro nepoužívá a tak nemá nikdo důvod upouštět od tohoto molochu jménem "řetěz důvěry" a prohlížeče se na nějaký (i podepsaný) záznam v DNS můžou vyprdnout. No, třeba se to někdy změní, kéž by.
24. 11. 2020, 22:42 editováno autorem komentáře
-
Já bych byl taky rád, kdyby se DANE prosadilo. Bohužel to není tak jednoduché, jak se může zdát. Jednak je s tím spojená validace DNSSEC přímo v prohlížeči a to je věc, která zdržuje. Při počtu domén, které prohlížeč denně navštěvuje se to dost nasčítá.
Další problém je, že ani nasazení toho DNSSEC není jednoduchá věc. Doporučuji se podívat, kolik RFC kolem toho už vyšlo a co se kolem toho pořád řeší. Vývojáři Google třeba argumentovali tím, že v DNSSEC jsou povolené klíče RSA 1024 a tímhle oni odmítají oslabovat současný stav.
Další věc je udržování DNSSEC, spousta poskytovatelů s tím má neustále problémy. Zrovna před pár dny jsme řešili, že půlka autoritativních serverů našeho vydavatelství dávala neplatné podpisy. Přičtěte k tomu rotace klíčů, výměnu kořenových klíčů (to se taky dost intenzivně řešilo), nedostupnost DNSSEC ve všech doménách, problémy s nasazením u některých registrátorů (ani v .CZ to není bez problémů) a hlavně nedostupnost ve všech koncových sítích. Někde se prostě k těm podpisům nedostanete, protože vám je místní resolver nedá.
DNSSEC vypadá na první pohled jako fajn řešení, které je po ruce, ale není to zadarmo. Jakmile se do toho ponoříte hlouběji nebo to zkusíte skutečně na infrastruktuře provozovat, tak zjistíte, že to je velmi složitá věc, ve které se pořád něco řeší. Kryptografické věci prostě bývají složité, nikdy to není A+B=C a jedeme.
-
DannyStříbrný podporovatelNa drouhou stranu minimalne v .CZ se dela hodne proto, aby to az takovy bolehlav nebyl. Mame tu funkcni AKM, KNOT DNS se take snazi, aby DNSSEC nebyl az takovy bolehlav, automatizace pokrocila - a to dost, v porovnani s 'magickymi' scripty, ktere jsme si v minulosti psali na stareho Binda...
