Vlákno názorů k článku Cert Spotter: jednoduché sledování vydaných HTTPS certifikátů od Kkt1 - “Technologie Certificate Transparency nijak nezabrání neoprávněnému vydání certifikátu,...
-
Kkt1 (neregistrovaný)
“Technologie Certificate Transparency nijak nezabrání neoprávněnému vydání certifikátu, dává ale jistotu, že všechny platné certifikáty jsou zveřejněny.”- takze kdyz vyda nejaka CA dalsi certifikat treba pro google ale ve skutecnosti bude treba pro vladu, ocekaval bych ze ho neda do logu, tudiz ho cert spotter neuvidi. Jak je tohle technicky osetreno v prohlizecich?
-
Je to popsáno v předchozím článku, klient musí dostat potvrzení (SCT) o tom, že byl certifikát do logů vložen.
-
Filip JirsákStříbrný podporovatelAno, nezajistí to světový mír, nevyčerpatelný zdroj energie a jídlo pro všechny. Taky to nepomůže při celosvětovém spiknutí všech proti vám. Ale v případech, kdy CA kvůli nějaké chybě (ať už na straně držitele domény nebo CA) vystaví certifikát, který držitel domény vystavit nechtěl, to pomáhá docela dobře. A k takovým případům už v minulosti došlo, takže to řeší reálné problémy.
-
Kkt1 (neregistrovaný)
Petre, zeptam se tedy na 2 mozne scenare utoku: certifikat pro vladu bude vystaven s datem pred 30.4.2018, tudiz nemusi byt v databazich, spravne? Moznost 2 - v pripade nedostupnosti tech databazi (treba blokace na firewallu), co udela klient? Oznaci kazdy web za neduveryhodny, nebo proste vyfailuje overeni a pojede se dal? Treti vec - podporuje to zatim jenom chrome, tudiz staci udelat proxy a dle user agenta menit traffic tak aby chrome zdanlive nefungoval. Predpokladam, ze vetsina uzivatelu zkusi jiny prohlizec, ktery ale uz neoveruje... jsou tyhle 3 scenare mozne?
-
První scénář je možný: starší certifikáty nemusí být v CT. Za dva roky ale nebude takový certifikát existovat.
Druhý scénář možný není: klienti CT nekontrolují, dostanou od serveru potvrzení (SCT), které lze ověřit offline.
Třetí scénář je možný: pokud uživatel přepne na prohlížeč, který SCT neověřuje, pak samozřejmě chráněn není. -
Ondřej CaletkaZlatý podporovatelTen třetí scénář úplně takhle fungovat nemůže, hlavička
User-Agentse přenáší až po navázání šifrovaného spojení, které u Chrome selže. Ale dá se předpokládat, že když Chrome selže, uživatel třeba sám aktivně zkusí jiný prohlížeč, jen ho možná trochu nahlodá pocit nejistoty.
ČLÁNKY DO MAILU