Názory k článku Chrome končí s certifikáty Symantec, Verisign, Thawte, RapidSSL a dalšími
-
Na tomhle je zajímavý to, že jak security málokdo rozumí, vč. zaměstnanců Symantecu, tak zmíněné operace, za které je ta CA utopena, nemusely být vůbec záměrnou obchodní politikou manažera blízkého vedení. Teoreticky mohlo jít o nepozornost/zlovůli/nekompetenci relativně nízko postaveného zaměstnance.
Pokud to není případ Symantecu, zajisté se to bude dít jinde. Pěkná ukázka toho, jak toho hodně závisí na úzkých skupinkách lidí či jednotlivcích a shodách okolností...
-
Symantec není utopen za to, že se to stalo, ale za to, že to sám nepřiznal a pak se to snažil ještě utajovat. A to už je rozhodnutí někoho z vedení.
Alibismus vládne, to tak bohužel je.
Když se reálně zamyslíme nad současným systémem vydávání certifikátů, tak podstatnou roli hraje Let's Encrypt. To ověřuje DV certifikáty buďto http ověřením, nebo dns ověřením. Když se ale zamyslíme, tak i tento přísutp je silně alibistický. Kdyby LE udělali seriozní rešerši, zjistili by, jak obrovské procento webů běží na doménách, u nichž majitelé svěřují jak přístupové údaje, tak údaje k administraci DNS prakticky komukoliv. Password recovery jak k webhostingu, tak k mailhostingu je skoro ve 100 % přes e-mai, který je nezabezpečený (resp. přenos je jen opurtunisticky šifrován a to nepředstavuje překážku).
Dnešní útočník už nepotřebuje padělat svoji identitu a dokumenty prokazující vztah k doméně. Dnešní útočník získá přístup k administraci DNS a může si certifikátů vystavit kolik chce. Asi mi namítnete možnost sledování Certificate Transparency. Ale sakryš, jak velký je překryv osob a firem, které mají webhostingy s DNS webadministrací, a zároveň vědí co je CT a umějí to sledovat?
Z práce s certifikáty se stala celkově fraška a hry s odvoláváním důvěryhodnosti kořenových CA podle mě nenapravují ty hlavní současné slabiny.
-
Filip JirsákStříbrný podporovatelTo nijak nesouvisí s Let's Encrypt, přes DNS, HTTP nebo e-mail se ověřují všechny DV certifikáty, odjakživa. Podle mne je v pořádku jenom to ověřování přes DNS, ale DV certifikáty jsou jenom DV, tak co bychom chtěli…
Pokud útočník získá přístup k administraci DNS, může si celou doménu přesměrovat na svůj server, zprovoznit na ní vlastní web, vlastní e-mailový server, a pokud bude mít přístup i do nadřazené zóny, přidá si i vlastní klíče pro DNSSEC. To, že si může nechat vystavit i DV certifikáty, je jenom třešnička na dortu – a je to tak správně, vždyť on tu doménu ovládá.
-
Pokud útočník získá přístup k administraci DNS, (...), že si může nechat vystavit i DV certifikáty, je jenom třešnička na dortu – a je to tak správně, vždyť on tu doménu ovládá.
Ano, souhlasím s Vámi.
Jen mi pak přijde pokrytecké dělat haló kolem důvěryhodnosti CA Symantecu (i jiných), když slabina celého systému je úplně někde jinde. Přijde mi to jako pokutovat řidiče za to, že jede 200 km/h a k tomu mu vyčítat, že nemá připnutý pás. Ten je mu v té rychlosti stejně k ničemu. -
Filip JirsákStříbrný podporovatel
To, že jeden vlastník domény má něco nastavené špatně, není slabina systému. To byste pak za slabinu systému taky mohl označovat to, že ředitel firmy může dát uklízečce veškerá podpisová práva. Vlastník domény si ji může zabezpečit, pokud chce. Problém s nefungující certifikační autoritou je ten, že i když bude mít vlastník doménu zabezpečenou sebevíc, certifikační autorita klidně vydá DV certifikát někomu úplně jinému.
A navíc DV certifikáty nemají být to hlavní, co dělají certifikační autority – právě naopak, DV certifikáty by měly být úplně zrušeny a nahrazeny DANE. Certifikační autority jsou klíčové pro vydávání OV a EV cerifikátů a osobních certifikátů.
-
To, že jeden vlastník domény má něco nastavené špatně, není slabina systému.
Jenže on to není jeden, jedná se o tak masový jev, že je potřeba se jím zabývat.
A navíc DV certifikáty nemají být to hlavní, co dělají certifikační autority – právě naopak, DV certifikáty by měly být úplně zrušeny a nahrazeny DANE. Certifikační autority jsou klíčové pro vydávání OV a EV cerifikátů a osobních certifikátů.
Naprosto souhlasím, jen si kladu dvě otázky:
1. Zůstane vůbec nějaký trh z OV a EV certifikáty? Vyjma bank, které ze zákona musejí dělat hodně věcí preventivně a na vysoké úrovny, tak pro ostatní organizace (soukromé firmy) jsou OV a EV certifikáty cenné jen ve chvíli, kdy to ocení jejich zákazník. Obávám se, že zákazník si moc nevšímá a ani nechce všímat kvality certifikátu - a tím pádem to nemá hodnotu ani pro ty organizace - a tím pádem bude zájem malý. Kontroverzní krok v tomto směru dělá Apple Safari, které se snaží hodnotu EV certifikátu zvýšit tím, že nahradí zobrazení domény v adresním řádku - ano, to může být cesta, jak uživatele přinutit přemýšlet o tom S KÝM komunikuje podle certifikátu, nikoliv podle zobrazené domény.
2. Pokud zájemců o OV / EV certifikáty ubyde, tak zejména v Evropě, kde máme poměrně vyspělý e-goverment, je na snadě provádět ověření identity vlastníka pomocí nástrojů veřejné správy. Co může být jednoduššího a bezpečnějšího pro ověření EV certifikátu, než ověření identity při vystavování certifikátu pomocí kvalifikovaného elektronického podpisu (firmy, jednatele firmy, ...), nebo malou oklikou v ČR i přes Datové schránky? V ten moment mi přijde, že certifikační autority budou patřit hlavně do USA a dalších zemí, kde není technicky ani kulturně možné zaručit identitu samotným státem.
-
Lol Phirae (neregistrovaný)
Co může být jednoduššího a bezpečnějšího pro ověření EV certifikátu, než ověření identity při vystavování certifikátu pomocí kvalifikovaného elektronického podpisu (firmy, jednatele firmy, ...), nebo malou oklikou v ČR i přes Datové schránky?
To jste si asi nestihl všimnout, že mezitím nám soudruzi z Brusele stihli ty kvalifikované certifikáty harmonizovaně dojebat tak, že ve skutečnosti konkrétní osobu neidentifikují.
-
null null (neregistrovaný)
@Lol Phirae
Špatně jsi sdělení @Milan Keršláger pochopil. On ti jenom svými slovy napsal, že absolutně netuší, jak to v Bruseli a mezinárodní politice funguje ...
Ono to rčení "Není to Brusel a my, ale dohromady a máme tam svoje lidi ..." platí do té doby, dokud posloucháš - dnes se tomu říká být členem Tvrdého jádra. Posloucháš, implementuješ jinak mazáš ... Jediná otázka je, za kolik dotací to kdo vymění .... -
Filip JirsákStříbrný podporovatel
Jenže on to není jeden, jedná se o tak masový jev, že je potřeba se jím zabývat.
Tak se jím klidně zabývejte, nikdo vám nebrání.Zůstane vůbec nějaký trh z OV a EV certifikáty?
Ano, zůstane. Já nechci o občanku žádat jakésimvcr.cz, ale Ministerstvo vnitra České republiky. Podání k soudu nechci dávat na nějakéjustice.cz, ale na nějaký soud nebo nanejvýš prostřednictvím Ministerstva spravedlnosti ČR. Banky jste jmenoval, a dále jsou to všechny instituce, které existují primárně v neinternetovém světě a na internetu mají jen nějaké nástroje. Vlastně jsou to všechny subjekty s výjimkou internetových firem typu Seznam.cz, Google nebo Aktuálně.cz.Pokud zájemců o OV / EV certifikáty ubyde, tak zejména v Evropě, kde máme poměrně vyspělý e-goverment, je na snadě provádět ověření identity vlastníka pomocí nástrojů veřejné správy. Co může být jednoduššího a bezpečnějšího pro ověření EV certifikátu, než ověření identity při vystavování certifikátu pomocí kvalifikovaného elektronického podpisu (firmy, jednatele firmy, ...), nebo malou oklikou v ČR i přes Datové schránky?
A to vystavení kvalifikovaného certifikátu nebo serverového certifikátu dělají právě certifikační autority. -
Jirka (neregistrovaný)
Matně si vzpomínám, že už dříve bylo pomazanými hlavami kryptografie řečeno, že DV certifikát slouží tak maximálně k zabezpečení end-to-end komunikace a nemožnosti odposlouchávat ji. Nic neověřuje. A proto, pokud vím, prohlížeče mainstreamu tyto certifikáty začnou zobrazovat v adresním řádku shodně jako běžné http doposud, a http budou dříve či později ostrakizovat jako úplné fuj...
-
Ja. (neregistrovaný)
Keď niekto predstavuje "autoritu", musí mať mechanizmy, ako zabrániť zlým zamestnancom, aby robili zlé veci. Na 100% sa to nepodarí asi nikomu, ale toto bolo totálne systémové zlyhanie. Dostali sa na úroveň brazílskej civilnej polície. Tú by podľa mňa mali tiež zrušiť a všetky kompetencie prenechať policii militar.
-
Ondra Satai NekolaZlatý podporovatel...a proto je lepší mít systém, kde může CA kontrolovat úplně každý. Takže transparency.
-
j (neregistrovaný)
Ty uz tady jsou, za 5-10let pevne doufam uz PKI nebude vubec v soucasny podobe existovat.
Tady mas dalsi priklad toho, jak je strejda guugl "duveryhodnej" https://www.root.cz/clanky/google-blokuje-domain-fronting-ztizil-tim-situaci-cenzurovanym-sluzbam/
-
Certifikáty vystavené po 1. 12. 2017 jsou již podepisované DigiCertem. Takže můžete být v klidu.
V certifikátu byste měl mít něco takového:
CN = RapidSSL RSA CA 2018
OU = www.digicert.com
O = DigiCert Inc
C = US -
Trošku bulvární nadpis...
Chrome samozřejmě nekončí s certifikáty Symantec, Thawte, RapidSSL nebo Geotrust, ale jen nedůvěřuje těm co byly vydané před 1. 6. 2016. Týká se tedy převážně certifikátů s platností 3 roky. A i ty nekončí nebo nepropadají, bylo je potřeba přegenerovat pod novou PKI DigiCert a vše funguje jak má.
Datum je sice v textu napsané, ale nadpis působí hodně poplašně :)Také vydání těch 30k špatných certifikátů nebylo dílem jednoho zaměstnance, ale chyba byla v jejich systému, kdy se vystavily přes partnera. Ale těch chyb bylo více a tady je pěkná tabulka jak to šlo časově:
https://searchsecurity.techtarget.com/feature/Timeline-Symantec-certificate-authority-improprietiesPK
-
Zkuste vyvrátit myšlenku, že se jedná o cílené koncentrování moci na několik firem, které je potom možné jednoduše ovládat tím, kdo má víc peněz.
Něco podobného se děje v automobilovém průmyslu. Před dávnými lety začaly být automobilky tlačeny, aby řešily bezpečnost aut. Dnes se automobilky předhánějí v podpoře bezpečnostních autosedaček pro děti. Proč to dělají a neprodávají je samy? Protože oni svým "pozitivním a bohulibým" lobbingem dosáhly toho, že autosedačka je tak velká, že se rodina nevejde ani do auta vyšší střední třídy. Rodiny jsou pak nuceny kupovat auta větší a větší. Dítě má 20 vlastních airbagů i ve městě když jede s rodinou autem, zatímco v MHD maminky s kočárky jezdí, aniž by musely být připoutané vůbec. Těmto kvazisnahám o bezpečnost se dnes tleská stejně, jako googlu a ostatním při vynuceném zavádění https. Rozum se vytrácí a velké firmy mají vymakané, na jaké tlakové body mají přiložit prst.
-
null null (neregistrovaný)
Nedělal bych z toho kovbojku. Korporace nemají jiný účel než zisk. Podle toho mají taky nastavený management a kritéria. Jsou schopny vyrábet i dobré věci za nízkou cenu ale díky své výkonnosti okamžitě strčí ten "prstíček do dvěří" jakmile se jenom napůl dvířka pootevřou.
Pak se na to můžeš podívat z pohledu toho, že všechno někomu patří a jestli je jeho zájmemm vidělat, nebo dopřát co nejvíce nejlevněji - s tím vydělat právě souvisí jak moc je nutno a možno celé existenční prostředí měřit a řídit, resp. ovládat.
A pak se na to můžeš podívat z pohledu občana, obyvatele této planety tak, že je nejlepší využít výhod takových konglomerátů a zbytek zarazit a klepat je neustále přes prsty. Ta míra a místo se liší v závislosti na oboru, místu a artiklech .... -
Souhlas... pokud Vás neuráží, peklovat se s francouzským vozem, tak Berlingo je na tom s prostorem dost dobře, na objem i na šířku. Ale jako rodinný vůz je už mírně nekonvenční. A s levnou výbavou je to trochu žebřiňák, protože se nešetří ani tak na elektrických kurvítkách, jako spíš na estetice (tapecírungu a úložných přihrádkách). Takové auto je spíš známka punku. Pro lepší pocit se svého času dalo pořídit o půlku dražší C4 Picasso, na prakticky shodné podvozkové platformě.
Römer z roku 2007 se do Berly vejde prakticky 3x vedle sebe. Ovšem novější sedačky s "přídavnými bočními nárazníky v úrovni ramen" už mají problém vejít se na ISOFIX vedle zavřených dveří. A na prostřední sedačce "izák" není.
-
pokud Vás neuráží, peklovat se s francouzským vozem, tak Berlingo je na tom s prostorem dost dobře, na objem i na šířku.
To by mě zas až tak neuráželo. Po letech ježdění potřebuju mít pohodlnou sedačku, autorádio a klimatizaci. Zbytek jsem schopný oželet.
Co mi ale vadí je to, že někdo sedící na židli placené z našich daní rozhoduje o tom, jaké mají být nároky na bezpečnost. Ten člověk (lidé) rozhoduje o tom, že automobilky vynakládají miliardy, které zaplatíme my přímo v ceně auta. Před dvaceti lety byl Passat považovaný za velké auto a všichni se do něj luxusně vešli. Nový Passat je o dost větší, ale už se nevejdeme - něco je špatně.
Ráno se mořím s autosedačkami na tom abych zácpami s dětmi dokodrcal do školy. Přitom ale bez problémů můžu děti pustit do školy autobusem MHD, který pojede delší trasu, na které budou stát u tyče nebo sedět nepřipoutané. Trochu nepoměr, na to, co mě stojíé nové auto, ne?
Abyste rozuměl, já chápu, že na automobilky určitý tlak musí být vyvíjený, protože v otázkách ekologie nebo bezpečnosti by nebyla dostatečná poptávka zákazníků. Ale nepřešvihli jsme to už? Nebyly by ty miliardy účelněji vynaložené do lepšího (čitelnějšího) dopravního značení, osvětlení přechodů pro chodce, ...?
-
Tohle není ani bulvár, tohle je rovnou "fake news":
Změna se nedotýká jen samotné autority Symantec, ale také dalších značek, které pod ní patří: Thawte, VeriSign, Equifax, GeoTrust a RapidSSL. Pokud patříte mezi správce webů používajících TLS certifikát od některé z těchto autorit, měli byste se začít poohlížet po jiné. Pokud jste uživateli takového webu, můžete už teď narazit na následující chybovou hlášku.
Jako správce webu s Thawte certifikátem jsem musel udělat jedinou věc - nechat zdarma přegenerovat certifikát s podpisem od DigiCertu a nasadit ho na web. Zabralo to nějakých 15 minut a určitě jsem kvůli tomu nemusel hledat jinou autoritu.
