Názory k článku AlwaysOnSSL: bezplatná autorita s certifikáty na jeden rok

Netušil jsem, že autorita je zahrnuta mezi důvěryhodné, resp. může se zařadit do řetězce důvěryhodných, aniž by měla implementovanou revokační proceduru. Je to další krok k devalvaci TLS (SSL) certifikátů a jejich systému vůbec. Až se skoro zamýšlím, jestli se to celé nesnaží někdo poslat do kytek záměrně. Aneb: když nedokážeme lousknout komunikaci těch, kteří se opravdu zabezpečili, uděláme v tom takový babylon, aby se v budoucnu nedomluvil nikdo s nikým a na ničem.

Revokace stejně prakticky nefunguje .... minimálně pokud se podíváte na svět webových browserů, je to hodně smutný příběh. Proto také LE vydává certifikáty na 90 dní a mluví se o zkrácení až na 30.

Podle článku revokaci vyřešenou má, jen není automatická.

A snaha poslat do kytek – to zní dost konspiračně. I kdyby revokace zcela chyběla nebo byla reálně sabotována, je to sice problém, ale týká se především těch, kteří se rozhodli u této CA si pořídit certifikát. Není to ohrožení potenciálně jakékoli TLS komunikace, kde se věří této autoritě.

Revokace je v systému certifikačních autorit klíčovým prvkem, a musí být rychlá a snadná. Pokud to tak není, bude docházet k tomu, že někdo revokaci neprovede, protože si řekne, že mu to za ty komplikace nestojí – a bude spoléhat na to, že sice existuje riziko, že někdo certifikát zneužije, ale dotyčný to riziko považuje za nízké. To ale nabourává důvěru v celý systém certifikačních autorit.

Netýká se to jenom těch, kteří se rozhodli u této CA pořídit certifikát. Právě naopak, když se někomu podaří získat certifikát podvodem, bude pro oprávněného vlastníka domény problém, jak takový certifikát revokovat.

Nemíchejme u revokace dvě různé věci:

a. Legitimní držitel certifikátu se rozhodne jej revokovat. Revokace skrze manuální zásah podpory sice není fajn, ale nejsou tu colateral damages. Je čistě věc admina serveru, zda se rozhodne takové riziko podstoupit.
b. Certifikační autorita vydala certifikát do špatných rukou. Má vůbec nějaká CA automatizované řešení takovéto situace? Teoreticky by šlo udělat DV revokaci (tedy prokážu vlastnictví domény, podobně jako kdybych chtěl získat certifikát), ale má to tak nějaká CA reálně implementované?

To nejsou dvě různé věci, ale celá škála možností. Žádné nebezpečí neplyne ze situace, kdy se mi zničí např. čipová karta s jedinou kopií privátního klíče. Pokud příslušný certifikát nerevokuju, neplyne z toho prakticky žádné riziko – na druhou stranu, proč nechávat platný certifikát, který se už nikdy nemá použít. Komplikace s revokací v tomto případě budou znamenat, že certifikát nechám aktivní, ale není to žádné bezpečnostní riziko.

Další na škále jsou případy, kdy kompromitaci nelze zcela vyloučit, ale je považována za nepravděpodobnou. Například odchází zaměstnanec, který měl k privátnímu klíči přístup; nebo se ukáže, že se s privátním klíčem nezacházelo vždy dostatečně bezpečně, a teoreticky někdy mohl uniknout; nebo z rizikovějších věcí třeba Heartbleed. V těchto případech už komplikace při revokaci mohou vést k tomu, že certifikát nakonec ponechám v platnosti – a to už je oslabení bezpečnosti. Ostatně pro příklad nemusíme chodit daleko, koncem února se řešil případ DigiCert vs. Trustico, kde šlo přesně o tohle – a nakonec si DigiCert nechal poslat privátní klíče e-mailem, čímž to posunuli do extrému popisovaného v následujícím odstavci, a pak už museli jednat.

Na opačném konci škály pak je situace, kdy ke kompromitaci privátního klíče došlo, s absolutní jistotou nebo takřka s jistotou. Zde mohou komplikace při revokaci revokaci oddálit, nebo v krajním případě jí dokonce zamezit. Což je rozhodně bezpečnostní problém a oslabení celého systému důvěryhodných certifikačních autorit.

To, že je certifikát vydán do špatných rukou (ať už chybou certifikační autority nebo chybou vlastníka domény), se bude na škále pohybovat spíš někde u té jisté kompromitace. Jak správně píšete, odvolat takový certifikát asi nebude snadné u žádné autority – což je podle mne problém, protože se dost energie věnuje tomu, aby se takové certifikáty odhalily (např. Certificate Transparency), ale už se moc neřeší, co s těmi odhalenými certifikáty dělat. Mělo by platit, že kdo dokáže projít validací, aby mohl nějaký certifikát získat,měl by mít automaticky možnost kterýkoli certifikát vystavený na základě ekvivalentní validace revokovat.

To, že nějaký stát podporuje CA, ještě neznamená, že je ta důvěryhodnost zajištěna. Navíc je rozdíl mezi státně posvěcenou a vlastněnou. U podpory je pouze jen ta podpora. Veškerá režie je stále na CA a stát do toho nekecá. Pokud CA selže, tak stát okamžitě ukončí spolupráci.
Krásným příkladem je PostSignum. Tehdy byl státem podporovaný, a přesto systém i prohlížeče ho neměly ještě mezi důvěryhodné. Já na to narážel v době, kdy se poprvé zprovoznily datové schránky. Web tehdy měl certifikát od PostSignum a přesto při načtení stránky datovek se vždy objevovala hláška o neznámé CA.

CertCenter je jeden z největších německých resellerů SSL certifikátů a projekt AlwaysOnSSL je reakcí na Let's Encrypt. Přímo majitel CertCenteru se stará o vývoj API a automatizaci. Škoda že článek nevyšel minulý týden, mohl jsem se zeptat na podrobnosti v Rustu na CloudFest 2018, kde projekt prezentovali i v přednášce jako nutnost nabídnout free verzi a automatizaci. Docela mne překvapuje délka platnosti na 1 rok. Mimochodem Encryption Everywhere má na svém hostingu i Zoner.
Zajímavé bude co s tím vším udělá DigiCert. Mluví se o redukci značek CA Symantec a např. zrušení Thawte.

> Sice se to netyka uplne Linuxu, ale netusite, jestli se nekde da
> "zadarmo" poridit certifikat vhodny na podepisovani Win aplikaci ?
> Tedy aby Win nekvakaly, ze aplikace je z nepodepsana, nebezpecna,
> atd.

Nevím o tom, myslím si, že nic takového neexistuje a nedává moc smysl. Důvodem podepisování Windows aplikace (či ovladače) není šifrování, ale kontrola její integrity a (v podstatě) autora. Autority takové certifikáty vydávají jen po ověření osoby či společnosti (úroveň ověření závisí na tom, jak silný certifikát chcete, a co s ním chcete podepisovat). Tohle ověření se nedá úplně automatizovat, takže zde vždy budou extra náklady na straně CA.

U Let's Encrypt neověřujete, kdo certifikát pořizuje (a ten certifikát k tomu nelze použít).

Ale pokud chcete takový certifikát levně, myslím, že Certum dává pro použití s open source dobrou cenu (28 EUR). Je tam teda trochu zrada, jelikož ten certifikát dávají pouze na smartcard, takže pokud ji nemáte, musíte si nějakou kompatibilní sehnat. Ta od Certum je dost drahá (myslím, že cca 100 EUR + 50 EUR poštovné, ale to rozložení může být klidně jinak), ale obsahuje všechen potřebný software a dokumentaci (včetně návodu, jak s tím podepisovat). Smartcard půjde použít i opakovaně (budu zkoušet někdy v červenci, až mi vyprší můj standard code signing).

Co se týče ověření osoby, chtěli vidět naskenovaný OP a důkaz používání adresy (účet od operátora jim stačil). Vyřízení bylo velmi rychlé, dokonce v sobotu. U open source certifikátu budou chtít odkazy na projekty.
https://www.certum.eu/certum/cert,offer_cert_comparision_cs.xml

Jen pro korektnost, absence IPv6 vás trápí jen v případě, kdy chcete validovat IPv6-only službu. Pro dual-stack službu validace bez problému projde po IPv4.

> Let's Encrypt […] která neaplikuje nadbytečná omezení.

Jo, jasně. Let's Encrypt odmítá vydávat certifikáty na doménová jména, která jsou podle jejich pohledu nevhodná. Zaštiťují se zvýšením bezpečnosti, protože předcházejí phishingu. Mají nějaký neveřejný blacklist jmen velkých známých firem.

Nepochybujte o tom, že takhle autorita má nějaký velmi podobný blacklist. Nejspíš nenajdete žádnou, která by takový blacklist neměla.

"Omezení:
jedno doménové jméno plus samotná doména v certifikátu"

Zdravím, znamená to že si mohu požádat o více ceritifkátů xx.domena, xy.doména ?
Nebo to CA blokuje stejně jako u startssl ? Díky

Nejspíš ano, vyzkoušejte. Ani StartSSL to neblokovalo, dalo se získat neomezené množství certifikátů, každý s jedním jménem. Jen se nesmělo opakovat jméno už vydaného platného a nerevokovaného certifikátu.

Existuje i nějaké služba, která by vydávala zdarma osobní certifikáty, které by měly povolené kromě podepisování emailů také PODEPISOVÁNÍ DOKUMENTŮ?

Patrně ne. Aby měl takový podpis smysl, musela by certifikační autorita zajistit to, že zná / ověřila totožnost toho, kdo certifikát drží. Nedovedu si představit, jak by někdo ve velkém ověřoval totožnost lidí a zadarmo.

Další otázkou je, k čemu je podpis, když certifikační autoritě stejně příjemce dokumentu nemusí důvěřovat. Když mi od Vás přijde dokument podepsaný certifikátem vystaveným CA z Číny, proč bych měl takovému řetězu vztahů věřit?

Na to, na co se ptáte, slouží kvalifikovaný elektronický podpis. Za ověření totožnosti se pak zaručuje Česká republika, podobně jako u osobního dokladu. Stojí asi čtyři stovky na rok a důvěřovat mu musí celá EU (resp. její orgány, státy a samosprávy); soukromé subjekty se mohou rozhodnout, ale když se rozhodnou, tak mají jistotu autenticity podpisu.

Takže proč nějaký certifikát zadarmo?

Ale i takový malá síla ověření autora mi přijde mnohem více, než nic.

Taková síla ověření je NAPROSTO identická s tím, že máte zaznamenáno, že jste dostal e-mail z té samé adresy.

Za cenu 400 Kč / rok nemá smysl přemýšlet o ničem jiném, než o kvalifikovaném podpisu.

Na to jste přišel jak, že podepisování e-mailů a podepisování dokumentů je něco jiného?

Kvalifikovaný certifikát má nastavené následující parametry:
* Key usage: Digital Signature, Non-Repudiation
* Extended key usage: E-mail Protection

Kdyby v něm nebyl některý z těch příznaků Key usage, nepůjde s ním podle mne podepsat ani e-mail ani jiný dokument.