Vlákno názorů k článku Cert Spotter: jednoduché sledování vydaných HTTPS certifikátů od harrison314 - Proble CT Logu je v tom, ze to...
-
harrison314 (neregistrovaný)
Proble CT Logu je v tom, ze to ci a aky certifikat sa donho zaradi je plne pod konttrolov danych serverov (viac menej googlu), takze ked sa google rozhodne donho zaradit vladne certifikaty, alebo dokonca svoje moze, ked sa rozhodne ze don nezaradi certifikaty z nejakej krajiny tak tiez moze.
To naozaj nezvysuje transparenost, skor si mylsim, ze to viac ohrozuje slobodu na internete ako doterajsi stav.
-
Ondřej CaletkaZlatý podporovatelJe to složitější. Pro certifikáty s dobou života menší než 15 měsíců, nebo pokud jsou SCT doručovány jinak než v certifikátu, stačí dva logy – jeden Googlí a jeden ne-Googlí, pro certifikáty s delší platností, kde je SCT uvnitř certifikátu jsou potřeba 3 logy, z toho aspoň jeden Googlí a aspoň jeden ne-Googlí.
https://github.com/chromium/ct-policy/blob/master/ct_policy.md
-
Ondřej CaletkaZlatý podporovatel
Pokud se do logů zahrnou vládní certifikáty, pak o nich budou všichni vědět, což je přesně cíl CT, takže v tomto ohledu není problém.
Pokud se Google rozhodne nějaké certifikáty do svých logů nezařazovat, pak by to skutečně způsobilo výpadek daných služeb, ale zase to není nic, co by Google nemohl udělat už teď. Klidně může vydat aktualizaci Chrome, která zablokuje třeba všechny adresy s TLD .cz.
Problém by tedy nastal až v případě, kdy by přítomnost v Googlích CT lozích vynucoval i nějaký jiný software, než Chrome.
