Názory k článku Čínský WoSign vydal certifikáty pro GitHub běžnému uživateli
-
Filip JirsákStříbrný podporovatelAutorita je tedy nyní (alespoň technicky) důvěryhodná ze dvou stran – od kořene WoSign a kořene StartSSL. Museli byste tedy ve skutečnosti vyřadit obě autority.
Právě proto se v prohlížečích autority nevyřazují, ale označují za nedůvěryhodné. Pak vůbec nezáleží na tom, jaká autorita ten nedůvěryhodný certifikát vydala, prostě je nedůvěryhodný.Ten cross-signed certifikát má sériové číslo
19:C2:85:30:E9:3B:36a nejsnáze ho získáte ze seznamu certifikátů, které posílá přímo https://www.wosign.com/.Řešení je tedy přesně opačné – ten mezilehlý certifikát neimportovat a označit jako nedůvěryhodný. Ve Windows jej naimportovat do „Untrusted Certificates“ a v jeho vlastnostech na záložce „Obecné“ v panelu „Užití certifikátu“ (? – anglicky Certificate purposes) zvolit „Zakázat všechny způsoby použití certifikátu“ (Disable all purposes for this certificate).
Ve Firefoxu je ten cross-signed certifikát pod certifikáty StartCom. I když jsme mu ve FF 47 odebral důvěru pro podepisování serverových certifikátů, na web www.wosign.com mne Firefox bez řečí pustí. Zřejmě nefunguje to odebrání důvěry cross-signovanému certifikátu, když nad ním je důvěryhodný certifikát, což je podle mne závažná chyba Firefoxu.
-
Filip JirsákStříbrný podporovatel
Ta chyba ve Firefoxu je dlouho známá, je to 585352 a nedávno oslavila hezkých 6 let…
-
ebik (neregistrovaný)
A na tuhle pitominu jsi prisel prosimte kde. Jirsak popisuje reseni, kdy jsou ve stavajicim systemu pridany 'banned' certifikaty - je to vyjimka stejne jako kdyz pridavate pozitivni vyjimky na domeny se spatnym certifikatem, nebo s certifikacnim chainem mimo bezne certifikacni autority. To ma byt soucasti kazdeho ssl klienta. Jedna se o docasne reseni, ale na druhou stranu nemusite cekat az nekdo (treba startssl) revokuje diskreditovany certifikat (tedy certifikat agentury wosign).
Nesnazime se tu o idealni zabezpeceni proti vsemu. Snazime se tu predevsim zlepsit zavedeny system, aby byl pouzitelny hned, a ne ze budem vymyslet novy standard, ktery se vyhledove prosadi za patnact let a bude mit novou sadu problemu, ktere ted ani nedohledneme.
-
hugochavez (neregistrovaný)
@ebik
"...Nesnazime se tu o idealni zabezpeceni proti vsemu. Snazime se tu predevsim zlepsit zavedeny system, aby byl pouzitelny hned, a ne ze budem vymyslet novy standard....."
Tenhle pruser s certifikatama ktere vubec nemely byt vydany neni ani prvni a 100%ne ani posledni - je zabavne sledovat zatvrzelost s jakou nekteri uzivatele doufaji ze lze z hovna uplest bic.
NELZE! i kdyz je tech hoven hodne (podivejte se kolik se vam CA vali na kompu) a zuby nehty tvrdi ze vubec ale vubec nepachnou............=vydavame preci DUVERYHODNE certifikaty! Pomineme-li fakt ze pulka tech "duveryhodnych" CA jsou tajny sluzby samy jetu porad druha pulka coz jsou akciovky vznikle za ucelem zisku (nee proto aby nejaky ebik moh' bezpecne brouzdat po netu) a ktere krome toho ze samy prodavaji teply vzduch joudum tak bez skrupuli podepisuji dalsim prekupnikum certy tak aby si i oni mohli ukousnout z toho velkeho kolace, pripadne delat jeste neco horsiho.....
Coz samozrejme casto dopadne oproti ocekavani:
http://www.computerworld.com/article/2901852/microsoft-blacklists-latest-rogue-ssl-certificates.html
eventuelne
http://blogs.esign.in/2015/12/how-digital-certificates-are-used-and-misused/
https://en.wikipedia.org/wiki/Intermediate_Certificate_Authority
je kouzelne ze se tomuto cirkusu rika "chain of trust" pricemz vystiznejsi nazev by asi byl "chain of scamers".
Myslim ze udelas dobrou sluzbu sam sobe kdyz opustis iluzi o "zlepseni zavedeneho systemu" a prijmes krutou pravdu ze soucasny stav PKI je vice nez pouzitelnemu systemu podobny novodobemu nabozenstvi kde par (set) chytraku prodava tupym ovcim iluzi o lepsim (bezpecnejsim) svete.....Na zaver trochu klasiky :o)))
https://en.wikipedia.org/wiki/DigiNotar
http://www.esecurityplanet.com/network-security/symantec-issues-fraudulent-google-ssl-cert.html
jinak tenhle je muj oblibenej-nevim jestli to uz Google opravil ale jestli jo urcite se najde nejaka podobna dira :o))) DEFCON 17: More Tricks For Defeating SSL
https://www.youtube.com/watch?v=ibF36Yyeehw -
ebik (neregistrovaný)
Ano soucasny system je vadny, ale vetsinu zminenych problemu DANE + DNSSEC resi, alespon pro narodni domeny. Na narodni domene totiz bude pak muset byt hacknut i DNS, coz musi udelat nekdo uvnitr statu, a to uz je cin ktery se da posuzovat a trestat podle pravidel toho statu. A tim se vracim k tomu, ze pokud neverite vlastni vlade, tak byste se ji mel pokusit zmenit.
Ostatne pro bezneho uzivatele (vcetne mne), je bezny web pevne spjat se svym domenovym nazvem, a overujeme jen jestli certifikat je vydany opravdu pro danou domenu. Vsechny OV a EV certifikaty se v klientu stejne nezobrazi tak, aby uzivatele neco varovalo, kdyz tam bude jen DV.
U nebezne komunikace standardni "chain of trust" nepouzivam. -
hugochavez (neregistrovaný)
@ebik
"pokud neverite vlastni vlade, tak byste se ji mel pokusit zmenit"
:o)))
nevim kolik ti je let ale zkus se rozhlidnout kolem sebe. Nespokojenost s vladama a PREDEVSIM s tou sbirkou sasku zvana EU je napric Evropou uz spousty let...........a stale se stupnuje.
V USA je to jeste markantnejsi........ vzhledem k etablovanemu volebnimu systemu je ale zmena vice nez obtizna- navic mozna uz jsi zjistil ze SLUSNI LIDI S MORALKOU do politiky nechteji jit, protoze mezi tou verbezi nedokazou prezit.
A pokud vlade ci tem co ji ridi zacnes lizt na nervy vic nez je zdravo nemusi to dobre skoncit.
Tenhle film je pro tebe jak delanej
https://www.youtube.com/watch?v=RvsxnOg0bJY"vetsinu zminenych problemu DANE + DNSSEC resi"
:o))) zasadni problemy neresi, jen z velke tragedie delaji mensi.
Osobne si myslim ze se "s pribyvajicimi prusery" nevyhneme re-designu a tvorbe jinych systemu.
Rozhodne DECENTRALIZOVANYCH, mozna zalozenych na myslence blockchainu (treba neco na zpusob https://en.wikipedia.org/wiki/Namecoin https://en.wikipedia.org/wiki/.bit)
mozna pro zobrazovani webu tohle https://en.wikipedia.org/wiki/InterPlanetary_File_System
mzona neco takoveho https://en.wikipedia.org/wiki/GNUnet tezko rict ale soucasny stav je neudrzitelny.
BTW nechapu to bazirovani na narodnich domenach? K cemu? Me zajima jestli se mi zobrazi obsah a jak rychle, KDE ten obsah na zemekouli lezi je podruzne. Ovsem jako vsechno centralizovane TLD system dava urcite entite moc manipulovat s pristupem k urcitemu obsahu. Viz DNS bloking anebo domain name seizing (casto provedeny ex-parte)
napr historie TPB je toho ukazkou
http://www.lupa.cz/clanky/trinact-let-the-pirate-bay-navzdory-vsem-snaham-hollywoodu/#utm_medium=kolotoc&utm_source=root-cz&utm_campaign=trinact-let-the-pirate-bay-navzdory-vsem-snaham-hollywoodu -
hugochavez (neregistrovaný)
zda se ze ten film je na YT komplet https://www.youtube.com/watch?v=QL182y-5iIY
-
hugochavez (neregistrovaný)
tahle kopie je lepsi
https://archive.org/details/TheInternetsOwnBoyTheStoryOfAaronSwartz -
Filip JirsákStříbrný podporovatel
Chromium se na Linuxu (Manjaro Linux) chová stejně jako Firefox - intermediate certifikát, který má zrušené všechny položky o důvěryhodnosti, je nadále považován za důvěryhodný podle nadřazeného certifikátu. Jediný rozdíl je v tom, že Chromium v GUI v seznamu certifikátů viditelně označuje nedůvěryhodné certifikáty, a ten intermediate certifikát takto označený není. A vlastně ještě jeden rozdíl, Chromium ten certifikát zobrazuje v seznamu pod WoSign, ne pod StartComem.
-
dem (neregistrovaný)
Mohl by někdo prosím podrobněji popsat tento certifikát (19:C2:85:30:E9:3B:36) ve Firefoxu získat (pro https://www.wosign.com/ mi Certificate Viewer ukazuje tři jiné 5e:.., 3e:... a 28:...)?
Jestli to dobře chápu, tak se ve FF musí znedůvěryhodnit WoSign (19:...) i StartSSL CA, což je ale příliš široké nebo zkusit experimentální alternativu https://addons.mozilla.org/en-US/firefox/addon/red-jacket/ jen pro WoSign, ano?
-
Filip JirsákStříbrný podporovatel
Navštívíte ve Firefoxu web https://www.wosign.com/, kliknete pravým tlačítkem kamkoli na stránce a z pop-up menu vyberete „Informace o stránce“. Zvolíte záložku „Bezpečnost“, tlačítko „Zobrazit certifikát“, záložka „Detaily“. Tam vidíte hierarchii jednotlivých certifikátů, na vrcholu kořenový certifikát „StartCom Certification Authority“, pod ním inkriminovaný cross-signed intermediate certifikát „Certification Authority of WoSign“, kterému nejspíš nechcete důvěřovat.
Pokud byste znedůvěryhodnil StartSSL CA, omezíte si nejspíš přístup na spoustu webů – před příchodem Let's Encrypt to byl nejpoužívanější způsob, jak získat certifikát zdarma nebo levně.
Ten add-on chápu tak, že znedůvěryhodnění intermediate certifikátu považují autoři Firefoxu za tak okrajovou záležitost, že nemá smysl tím zaplevelovat standardní GUI a proto preferují mít to v samostatném rozšíření. (Osobně si myslím, že je to nesmysl, protože Firefox v GUI nerozlišuje kořenové a intermediate certifikáty, takže by prostě stačilo, kdyby to GUI dělalo to, co má.) Zda ten add-on funguje zjistíte snadno, zkusíte znedůvěryhodnit ten intermediate certifikát WoSign (a všechny jejich kořenové certifikáty) a znovu půjdete na web https://www.wosign.com/. Firefox by vás měl nově varovat, že web používá nedůvěryhodný certifikát.
-
dem (neregistrovaný)
No, já tam právě mám hierarchii:
CA of WoSign -- 5E:68:D6:11:71:94:63:50:56:00:68:F3:3E:C9:C5:91
WoSign Class 4 EV Server CA G2 -- 3E:7C:DE:2C:5C:8F:6C:E9:20:45:11:BB:C8:78:63:6A
www.wosign.com -- 28:A6:D3:2C:2B:97:1B:89:6C:D0:DE:94:77:FD:2A:06Tj, nic se sériovým číslem 19:C2:85:30:E9:3B:36 a ani od StartSSL a to mě mate.
-
Filip JirsákStříbrný podporovatel
Protože máte ten CA of WoSign mezi důvěryhodnými autoritami. Když důvěryhodnost tohoto certifikátu zrušíte, nebude se „WoSign Class 4 EV Server CA G2“ ověřovat vůči tomuhle certifikátu, ale místo něj se použije právě ten mezilehlý podepsaný StartComem.
-
Filip JirsákStříbrný podporovatel
SSH se používá úplně jiným způsobem, než HTTPS. TOFU tam dává nějaký smysl, u HTTPS nedává smysl vůbec. Další rozdíl je v tom, že u SSH důvěřujete veřejnému klíči (který se mění jen výjimečně), zatímco u HTTPS se používají certifikáty, které se mění často jednou ročně, s LE dokonce minimálně jednou za tři měsíce, a doporučeno je rotovat je už po dvou měsících.
-
Vario (neregistrovaný)
Nesouhlasím, u HTTPS dává TOFU úplně stejný smysl jako u SSH.
Pomocí HPKP můžete pinnovat přímo otisk klíče, nikoliv certifikát. To že se vám pak mění certifikáty vás nemusí zajímat, pokud jsou podepsané stejným soukromým klíčem. HPKP funguje výborně, příště si o tom něco zjistěte, než budete psát nesmysly.
-
Filip JirsákStříbrný podporovatel
Opravdu se během jednoho roku připojujete k tisícům různých SSH serverů? Připojíte se k jednomu serveru na pět minut a pak už nikdy?
pokud jsou podepsané stejným soukromým klíčem
Ano, pokud jsou podepsané stejným soukromým klíčem. Což zdaleka není pravidlo, spíš výjimka. -
Vario (neregistrovaný)
Ne, ale kupodivu k některým webům (jako právě zmiňovaný GitHub!) se připojuji pravidelně. A přesně tam by HPKP zabránilo potenciálnímu MITM útoku s certifikátem vydaným evil CA.
A pokud někdo střídá certifikáty podepsané různými soukromými klíči jak ponožky, je to chyba. Nicméně pokud je těch soukromých klíčů omezená množina, ani to nevadí, protože HPKP samozřejmě umožňuje pinnovat otisky vícero klíčů najednou (dokonce je to dle specifikace "překvapivě" povinnost mít pinnovaný alespoň jeden záložní klíč, který by měl člověk držet offline a použít jen v případě kompromitace hlavního klíče).
To že někdo něco dělá špatně není důvodem k tomu koncept zavrhovat. Naopak je to důvodem k tomu dělat osvětu.
-
Filip JirsákStříbrný podporovatel
Takže TOFU obecně u HTTPS smysl nedává, dává smysl pouze u několika webů, které navštěvujete pravidelně. Což není na škodu, ale stejně pořád nějak potřebujete vyřešit ten „zbytek“. A možná se ukáže, že to řešení zbytku učiní TOFU zbytečnou.
A pokud někdo střídá certifikáty podepsané různými soukromými klíči jak ponožky, je to chyba.
Proč? -
ebik (neregistrovaný)
Aby TOFU spravne fungovalo, musi vas to varovat ze pristupujete poprve a dat vam moznost overeni/zamitnuti prislusneho certifikatu. A tim se dostavame k hlavnimu problemu:
Kolik ssh spojeni na nove ci preinstalovane servery jste mel za posledni rok? A kolik "prvnich" spojeni na https weby za posledni mesic? Myslim, ze TOFU se hodi pro vasi banku, ale pak tu mate weby jako https://www.litacka.cz/[*] , kam se prihlasite trikrat za zivot, abyste si zaridil tramvajenku. Takovych webu je hodne. Dulezitych serveru, na ktere se pres ssh hlasite jen parkrat mate malo.
Takze "uplne stejny" smysl to rozhodne nema. Daleko vetsi smysl (alespon pro domain-validation) ma naprikad DANE, to vam alespon zajisti, ze ten s kym mluvite musi ovladat prislusnou domenu (nebo nadrazenou). To zadna cinska certifikacni autorita nedokaze.
[*] Sice jiz mate prihlaseni k eshopu dpp a tedy jste byl na https://eshop.dpp.cz, ale tramvajenka s dopravnim podnikem preci nesouvisi, takze novy web, novy login, nove heslo..., ale to sem nepatri.
-
Ondřej CaletkaZlatý podporovatelOT:
Sice jiz mate prihlaseni k eshopu dpp a tedy jste byl na https://eshop.dpp.cz, ale tramvajenka s dopravnim podnikem preci nesouvisi, takze novy web, novy login, nove heslo…
Pěkný postřeh a bohužel zcela pravdivý. Poděkujte horoleznému primátorovi, že nechal vybudovat dle svých slov „základy pro mrakodrap“, kde je jízdné MHD pouze „jednou z mnoha aplikací“. Lítačka je pak klonem červené karty, která musí být dostatečně stejná, aby bylo možné použít stejný proprietární systém DOS, který má DPP pouze licencovaný a na který jsou navázány validátory a revizorské krabičky.
-
ebik (neregistrovaný)
Nedochazi mi proc tento system nemuze sdilet webove prihlaseni s dopravnim podnikem... Podle mne je "litacka" usita velmi horkou jehlou. Ja nez jsem si ji objednal, tak jsem na te jejich recaptche potrvrzoval ze nejsem robot uz asi po patnacte, takze jsem musel resit slozite testy. Takhle me aplikace trestala za nedostatecnou validaci vstupu na strane prohlizece. Navic validace na strane serveru uz nerekne co je spatne, takze nezbyva nez opakovat a hledat kde by mohla byt chyba. Pokud bych chtel byt hodne offtopic, tak ten system kdy platim 50Kc, za to, ze provozovatel nenacpe penize ceske poste, ale prijdu si to vyzvednout na pobocku sam, je taky dost ulet.
-
Filip JirsákStříbrný podporovatel
Nepřesouvá se ta důvěra jinam. Dnes musíte u DV certifikátů důvěřovat zároveň správci domény i certifikační autoritě. S DANE musíte důvěřovat jen správci domény (přičemž pokud vás zajímá doména, musíte správci domény důvěřovat z principu).
-
Jax (neregistrovaný)
Ale s DNSSEC / DANE se opravdu jen přesouvá důvěra jinam, a to do nejhorších možných rukou.
Doporučuji přečíst si výborný článek Against DNSSEC a k němu navazující Questions and Answers from "Against DNSSEC".
Relevantní část z článku:
TLS CAs do need to be replaced. But it's hard to imagine a worse replacement than DANE.
For something as harebrained as the CA system, remarkably few criminal breaches trace back to it. The real threat to CAs is "the global adversary" i.e., NSA. Whichever system replaces CAs needs to make TLS more resilient to government attacks. And governments control the DNS.Even in a future where the USG decisively cedes control of the DNS roots, it will retain control of the most important TLDs. Amusing fact: the biggest player among TLS CAs? Also the most important DNSSEC player. And governments with even fewer scruples will control other important TLDs. In a world where users rely on DANE, those governments have much of the same cryptographic authority as the CAs do now. Had DNSSEC been deployed 5 years ago, Muammar Gaddafi would have controlled BIT.LY's TLS keys.
-
Filip JirsákStříbrný podporovatel
Asi vám seberu iluzi, ale současné DV certifikáty jsou založené na důvěře v DNS registry. A jakékoli jiné řešení, ve kterém bude vystupovat doménové jméno, bude také založeno v důvěře v DNS registry – protože ty to jméno definují.
Na DNS nejsou závislé OV a EV certifikáty. Akorát že ty zase nejsou pro každého, protože u spousty webů (pokud se omezíme jen na web) je vlastně jedno, kdo je provozuje – identifikátorem, podle kterého web rozlišuju, je samotné doménové jméno. A to jsme zpět u závislosti na DNS registru.
-
Vario (neregistrovaný)
Jenže s DANE do toho nebude moct mluvit jen ta vláda USA, jak tvrdíte, ale i libovolná vláda pod jejíž jurisdikci by se vztahovala daná doména prvního řádu.
Viz třeba ten ilustrační prikad s bit.ly - s DANE by pak byla "mocipánem" Lybie (evil CA by předpokládejme už měli, DANE pak pro ně neznamená de facto žádný problém navíc).
-
Ondřej CaletkaZlatý podporovatel
Jenže s DANE do toho nebude moct mluvit jen ta vláda USA, jak tvrdíte, ale i libovolná vláda pod jejíž jurisdikci by se vztahovala daná doména prvního řádu.
Což může už teď, jednoduše doménu na okamžik předeleguje a vyžádá DV certifikát od libovolné autority.
-
Vario (neregistrovaný)
A vubec, přečtěte si ten FAQ, tam je to vysvětleno naprosto jasně.
How can governments be in control of the DNSSEC PKI if an NGO controls the roots?
Governments control the most important TLDs. And the argument that security-conscious sites could flee to safer TLDs is specious. Google can’t opt out of .COM. Shouldn’t security and privacy be the default, not a pitfall that savvy sites avoid by selecting oddball TLDs? And how do site owners gauge the trustworthiness of any given TLD? The popular .IO TLD, for instance, is the British Indian Ocean Territory; one can reasonably assume it’s the property of GCHQ, the world’s most aggressive signals intelligence agency.Libya already controls BIT.LY; the USG already controls all the .COM names. How can DNSSEC make things any worse?
By adding TLS certificates to the DNS. Libya controls BIT.LY’s name to IP address mapping through their control of .LY. But Libya has no authority over BIT.LY’s TLS certificates. Until we adopt DNSSEC and DANE. -
Filip JirsákStříbrný podporovatel
Vario: Zdá se, že stále nechápete, že ten, kdo může manipulovat s DNSSEC, může manipulovat i s libovolným jiným DNS záznamem. Tudíž si může teď hned nechat vystavit DV certifikát na libovolnou doménu, která je ve stromu pod ním. Certifikační autorita s tím neudělá vůbec nic – může to ověřovat kolikrát chce, může to ověřovat u správce registru telefonicky, může dojít ředitel CA za ředitelem registru osobně, aby se přeptal, jak to tedy je s danou doménou, a vždycky dostane potvrzení, že ty údaje o doméně jsou správné. Protože registrátor ty domény definuje, on určuje co je správně a co špatně, on rozhoduje.
But Libya has no authority over BIT.LY’s TLS certificates.
Ale nic jí nebrání vložit do DNS takové záznamy, že libovolné certifikační autoritě nezbyde nic jiného, než Libyi TLS certifikáty na jménobit.lyvydat.Until we adopt DNSSEC and DANE.
To je zavádějící tvrzení, a to je ještě mírně řečeno. Zavedením DNSSEC a DANE Libye nezíská žádnou kontrolu nad nad privátními klíči k certifikátům bit.ly. Bude mít pořád stejnou možnost, jako má dnes, tedy zfalšovat DNS záznamy a nechat si vydat od libovolné autority nový certifikát ke svému privátnímu klíči. A nově bude mít možnost zfalšovat DNS záznamy jiným způsobem a vložit svůj (třeba self-signed) certifikát do DANE. To ale není nic principiálně nového, akorát to půjde Libyi o něco rychleji, protože při tom falšování může vynechat chudáka certifikační autoritu, která teď ručí za něco, co nemůže nijak ovlivnit. A nikdo neříká, že certifikát v DANE musím považovat za zjevené slovo boží, pořád ho můžu kontrolovat přes HPKP, klidně můžu dál důvěřovat jenom certifikátům důvěryhodných certifikačních autorit a DANE používat jako další stupeň zabezpečení.Ostatně taková je doufejme budoucnost HTTPS – nesmyslné DV certifikáty zaniknou, místo toho budou certifikáty v DANE, a u důležitých webů budou ty certifikáty vystavené na jméno organizace certifikační autoritou. Tím, že nebudou existovat DV certifikáty, se zároveň podstatně zredukuje množství certifikačních autorit.
-
Ondřej CaletkaZlatý podporovatel
Doporučuji přečíst ještě výbornější článek for DNSSEC:
Relevantní část:
The "government controlled PKI" criticism ignores the fact that traditional TLDs are a government controlled naming system. This is much worse than a government controlled PKI because Gaddafi could have just taken over Bit.ly directly.
The only way to escape governmental control is to use overlay networks, like Tor, and non-traditional TLDs, such as .bit and .p2p. But even if you choose a domain with a TLD that isn't controlled by a government, you still need DNSSEC to securely delegate to a nameserver and to communicate application level cryptographic information.
-
Gaddafi (neregistrovaný)
To lze ovsem kontrovat jinym prikladem z puvodniho Against-DNSSEC-FAQu, ktery ukazuje proc je key pinning (HPKP) mnohem lepsi napad:
If over the next 5 years nothing more is done to shore up Internet security than is already being done, targeted CA-based attacks will become much riskier for NSA and GCHQ because of key pinning. To man-in-the-middle an HTTPS connection, NSA will need to know that the browser they’re targeting hasn’t already cached the correct key fingerprint for the server. If it has, the browser will scream bloody murder and, hopefully, report back to Google or the EFF about the discrepancy. People watching those logs will quickly discover which CAs are signing bogus certificates, and compromised CAs will be evicted from browsers. NSA and GCHQ will have to risk burning an entire CA every time they launch this attack. If we do nothing new at a protocol level, every Chrome and Firefox installation on the Internet will become part of a global anti-surveillance surveillance system.
What happens when the same story is repeated in a DNSSEC/DANE world? .COM is discovered to have signed bogus material for Facebook. Now what? Browsers can’t talk to .COM anymore?
-
j (neregistrovaný)
Jasne, on si cznic muze podepsa domenu v tld com ... trebas zejo ...
DANE problem neresi, ale redukuje. Z tisicu CA kterym "duveruje" nejakej kreten kterej netusi co dela (plati pro vsechny co nekam vkladaj nejaky CA) se redukuje na jedinou, ktery se musi verit tak jako tak, protoze bez DNS se stejne nikam nepodivas.
-
ebik (neregistrovaný)
Apropo - bit.ly...
Hmm provozovatel sluzbty bit.ly, urcite nevedel, ze si kupuje domenu, ktera podleha libijskym zakonum. Tedy je (neprimo) ovladana libijskou vladou, a teoreticky muze byt vyvlastnena pro uskutecneni projektu pro obecne blaho libijskych obcanu. (Stejne jako mohou byt v cechach vyvlastneny pozemky pro stavbu dalnice.)
-
pacman (neregistrovaný)
Jeden případ za všechny: Policie dala zajistit doménu "growshopu", užitou ke "spáchání trestného činu"
Pokud by byl CZ.NIC co proto, měl poslat Policii do hajzlu a počkat až na případné rozhodnutí soudu. Tohle je jinak cenzura jak vyšitá.
-
To je předběžné opatření, které schvaluje státní zástupce. Takže to není svévolné rozhodnutí CZ.NIC. Tohle nařizuje zákon. Viz článek Policie vám může vypnout doménu. Co říká zákon?
-
j (neregistrovaný)
2PK: Policie ani zadnej statni zastupce nemuze prijimat zadne opateni vuci tretim osobam, a NIC neni vubec povinen dokud to nema od soudu cokoli delat. To co odkazujes je naprostej blabol, protoze domena jednak neni zadnej majetek, druhak ji nejde ukras/premistit/odnyst ...
NIC tak maximalne muze znemoznit prevody domeny, ale rozhodne NESMI a to sem psal i driv, s tou domenou jakkoli manipulovat. Je to presne totez, jako kdybys mel barak. Muzou ti znemoznit jeho prodej, ale ne ti ho sebrat. Takze celej ten clanek je jeden velkej blabol a lez.
-
ebik (neregistrovaný)
2j: "Mladý pane, viděl jste někdy důl? To je díra v zemi, chodby tak a tak. Prosím, důl se může zatopit, zasypat, ale nikdo vám ho nemůže vzít."
Ted vazne: "ukrast" domenu lze "jednoduse", staci ji na sebe nechat prepsat podvodem. Zrovna vcera se na mne nekdo obracel, abych zjistil co se stalo s freemailovou schrankou, na kterou byla puvodne zaregistrovana. (Byla pro nepouzivanost smazana, takze podvodnik si ji uplne normalne zalozil znovu.)
K tem tretim osobam, blalolis ty, predbezne opatreni lze naridit i tretim osobam. Prvni google odkaz: http://www.epravo.cz/top/clanky/ochrana-dotcene-osoby-pri-narizeni-predbezneho-opatreni-97518.html
-
ebik (neregistrovaný)
2j: Jak jiz psal Petr Krcmar: neni to z jeho vlastni vule. Narizuje mu to zakon. Pokud se ti zakon nelibi, muzes se ho pokusit ovlivnit u pristich voleb, nebo tim, ze se do politiky aktivne zapojis. Pokud s nim mas naprosto zasadni problem, tak zmen "poskytovatele zakonu" a emigruj.
Ty pozemky jsem totiz uvadel zamerne. Osobni vlastnictvi jedno ze zakladnich prav, a pokud maji obcane svemu statu duverovat, nesmi byt tato prava porusovana bezduvodne. Takze musime doufat, ze nase vlada bude schopna na nasem uzemi (i tom internetovem), pomoci zakonu regulovat internet tak, aby byl civilizovany (ku prospechu nas vsech). (V opacnem pripade by totiz nas internet take mohl vypadat podobne, jako americka spolecnost pred dvema sty lety na divokem zapade. Tam vladnul jen ten kdo mel hodne penez nebo umel hodne dobre strilet. A nebylo to ku prospechu vsech, tak jak to chapeme dnes.) -
ebik (neregistrovaný)
> Takze musime doufat ...
Pardon, tady jsem byl vyrusen, takze jsem dopsal souveti jinou myslenkou nez jsem nacal:
Musime doufat, ze nase vlada si je schopna opatrit/udrzet odborne tymy, tak aby byla schopna ...
To jestli to bude s tim odbornym tymem pak smerovat spravnym smerem je politika a mame to moznost ovlivnit stejne jako ostatni zakony. Jde jen o to, aby to nebylo jak s ekonomikou za ministra financi Klause, kdy ekonomove predbehli pravniky o takovy kus, ze se pak kde kdo celkem beztrestne obohatil ochcanim dobre minenych pravidel (zakonu a vyhlasek).
-
Stát se to může a banka v tom nemusí mít prsty. Uživatel může mít třeba starší nebo zvláštní operační systém, neobvyklý prohlížeč, vyházené některé autority, možností je spousta. Pak se dozví, že certifikát není možné ověřit a nastupuje ruční varianta, na kterou by měla být alespoň banka připravená.
-
Budiz. Nicmene co jsem videl, tak zrovna banky overuji verzi prohlizece a pokud mate starou hajtru, tak vam to reknou a vy aspon vite, ze mate hledat chybu u sebe a zavolat banku a ziskat fingerpint. Nicmene predpokladam, ze se nejednalo o pripad, ktery jste popsal. Zrovna vas si spatne predstavuju se silne zastaralym prohlizecem.
-
Mám úplně stejnou zkušenost. Když jsem si tam před 11 lety zakládal účet včetně ibankingu (na počátku jediného fungujícího i v linuxu), tak jsem (při prvním přístupu na https ib) volal do banky a bez problémů mi nadiktovali fingerprint. Tehdy měli crt podepsaný tuším I.CA, root ca nebyl v prohlížečích (určitě ne v Opeře), tak s tím zřejmě počítali.
-
j (neregistrovaný)
Moje zkusenosi (opakovane) pochazeji z ruznych obdobi, nejcerstvejsi je lonska, takze to mam jeste celkem v pameti. Slo o java appku firemniho bankovnicvi ktera koncila s tim, ze cert je revokovanej. Na (firemnim) hotline byla jejich reakce "mno, vime to, lidi volaj, nevime proc ... WTF? ... opraveny to mude mozna ... za 14 dnu ... lol ... vypnete si v jave kontrolu revokace ... megalol"
Mno ona firma nejak ty faktury zaplatit musi, takze nic jinyho nezbylo, nez to vypnout. Dovolim si tvrdit, ze 99,9% klientu tu kontrolu uz nikdy nezapne.
K dalsim zazitku pak patri to, ze ta java appka (dle vyjadreni teze hotline) vlastne oficielne podporuje java 6 (rikal i konkretni verzi) ... ale ze prej to "vetsinou" s tou nejnovsi funguje ... at zije bezpecnost.
Jo, to ze to nefunguje se resi tak, ze se smaze ta appka (java si to udrzuje v cache), za dalsich cca 20 minut si tech par MB stahne ... projde jedna "platici" session ... a pak znova dokola. Mno hlavne ze maj ucetni ctecky a karticky pro autorizaci ... a hlavne ze je to po kazdy jedny platbe nuti tu karticku ze ctecky vytahovat ...
ČLÁNKY DO MAILU