Názor k článku Co dál s WoSign? Odebrat důvěru už nestačí od Heron - Tak on je spíš problém v tom jak...

Tak on je spíš problém v tom jak ty CA vlastně fungují. Nejlepší ověření mé identity jsem zažil u CACert.org (což je autorita, která se nikdy nedostala do prohlížečů). Dva doklady totožnosti, face to face ověření člověkem, který o tom (technologii) dost věděl. Jak jsem psal, nikdy nebyla v prohlížečích, takže celkem naprd.

Druhé ještě relativně dobré ověření bylo u Postsignum, od které mám kvalifikovaný osobní crt. Na pobočce to dělala úřednice, co absolutně nevěděla která bije, ale tak alespoň ověřila občanku (snad). Relativně ok. Má to jen tu chybu, že CA není v prohlížečích, resp. už se to distribuuje ve Windows. Takže taky skoro k ničemu.

Potom tu jsou DV certifikáty, které dostanete od libovolné CA, pokud alespoň na chvíli máte pod kontrolou: email nebo dns záznamy nebo web na dané doméně. Ověření zcela nulové.

Do této kategorie vstoupila LE, kde stačí mít přístup k webu v době ověřování a crt je váš. Opět ověření nulové, ale na rozdíl od jiných CA za to nechtějí peníze.

No a asi největší šarádu jsem zažil u renew (po heartbleedu) jednoho drahého OV certifikátu, kdy "ověření" proběhlo tak, že na uvedené telefonní číslo zavolala operátorka možná z Indie, které jsem vůbec nerozuměl a ona vůbec nerozuměla mě. Nakonec stačilo říct jen město sídla firmy a certifikát byl můj. Nejdražší CRT, co jsem kdy měl v ruce, ověření zcela nulové (to, že vám někdo zavolá na telefonní číslo, které vy sami uvedete v dané žádosti, není ověření, to je parodie).

Problém je, že z hlediska uživatele není mezi DV a OV žádný rozdíl. EV má v adresním řádku uvedenou firmu, ale upřímně řečeno, jak dopředu víte, jestli dané stránky mají mít zelený adresní řádek nebo nemají? Nevíte. Takže mezi DV, OV a EV není žádný rozdíl. K DV se dostane kdokoliv. K OV ve správnou chvíli taky. EV jsem zatím nedělal.

Takže teoreticky PKI funguje skvěle. Důvěřujete CA, která vydává crt jen těm komu má. V praxi to funguje tak, že crt dostane po zaplacení kdokoliv. Takže CA v praxi jsou jen o tom, že od vás vybírají peníze za to, že máte jejich root crt v prohlížeči.

A to jsem se vůbec nedotkl pochybení ca. Prostě už jen to, jak to funguje v praxi (ca dá tomu, kdo zaplatí), je kompletně rozbité. A všem je to asi jedno.

Čím to nahradit, no ono by v první řadě stačilo, kdyby CA dělaly svou práci (tedy ověřování komu to vlastně dávají) a kdyby za každé pochybení byl někdo skutečně postihován včetně zneplatnění všech jejich root a inter crt. Jinými slovy tak, jak to má fungovat už teď.

Vždy je nutné nějakým způsobem si ověřit, zda se skutečně připojuji na server, kam chci. Tedy musím si jiným kanálem ověřit minimálně fingerprint crt (nebo ho rovnou získat celý a naimportovat si jej do klienta). V tomto mi PKI nijak nepomáhá, tam jen vím, že tento crt vydala tato autorita. Víc nevím. Server si tak jako tak musím ověřit nějak bokem. Pokud to bokem bude pomocí DANE z DNS (zabezpečeného přes DNSSEC), tak asi dobrý, jestli to stačí já nevím.