Názory k článku Google: zveřejnění TLS certifikátů bude za rok povinné
-
Filip JirsákStříbrný podporovatelPokud je certifikát self-signed, není podepsán žádnou autoritou, je podepsán svým vlastním privátním klíčem.
Jak je v článku napsáno, certifikát do CT může vložit kdokoli, takže tam podle mne můžete vložit i certifikáty vystavené svou vlastní autoritou. Akorát jsem zvědav, zda to nepovede k DDoS útokům na CT.
-
Filip JirsákStříbrný podporovatel
Máte pravdu, každý provozovatel CT stromu si sám definuje, jaké autority bude akceptovat. Tím pádem bude muset existovat možnost pro některé certifikáty autorit CT vypnout, protože zrušení firemních a antivirových CA neprosadí ani Google.
Se self-signed certifikáty bych si starost nedělal, u nich je jasné, že v CT nebudou, takže u nich bude snadné aplikovat tu výjimku. -
coRp (neregistrovaný)
Pekne, pro internet urcite dobre, ale jak to bude fungovat napriklad v podnikove siti, ktera je oddelena od internetu a pouziva interni Certificate Authority?
Pokud validace takovych certifikatu nebude treba tak OK, ale neumim si predstavit, ze bych musel do teto site povolit access na net(pro overovani certifikatu) a jeste k tomu nahravat interni certifikaty(obshahujici citlive info jako jsou hostnames, IP, ...) na internet kde je kazdy muze videt...
-
Sten (neregistrovaný)
Certificace Transparency je vyžadována jen u předinstalovaných CA. U vašich CA ji buď používat nemusíte, nebo můžete definovat svůj log a certifikáty ověřovat přes něj. Certifikáty podepsané vaší CA stejně žádný veřejný log nevezme, protože před vložením do logu je vyžadováno ověření řetězu důvěry.
-
Ondra Satai NekolaZlatý podporovatelJinak tady to mas vysvetleno dost srozumitelne: https://www.root.cz/clanky/certificate-transparency-vydavani-certifikatu-pod-kontrolou/
(bylo to odkazovane i z clanku, stacilo by, kdybys ho precetl)
-
Ondra Satai NekolaZlatý podporovatel
@j
Nemůžeš ten koláč mít a sníst.
To skladování certifikátů nebo růst blockchainu není tvůj problém. Pokud nechceš, tak ho řešit nemusíš.
Zrovna to skladování certifikátů mi přijde jako dost malá cena za to, že si certifikát ke githubu nevystaví každá autorita, které se zachce.
-
Sten (neregistrovaný)
Všechny platné certifikáty, na které narazil Google Bot (který buduje jeden z logů), mají s celým stromem okolo 50 GiB. I kdyby se vydávaly každý měsíc nové, tak je to naprosto zanedbatelné ve srovnání třeba s YouTube, kde jde měsíčně o stovky terabajtů nových videí.
Pro ověření navíc nepotřebuješ celou kopii. Stačí ti znát hash v určitou dobu (který jsi vypočítal třeba při předchozím ověřování), z toho pak můžeš snadno dopočítat (a ověřit) novější hashe. Všechny nové certifikáty musí být novější než poslední ověřený certifikát (a seřazené od nejstaršího po nejnovější), čímž ověříš i to, že nedošlo k antedatování.
Mimochodem používal jsi někdy Git? Ten také používá Merklův strom.
-
sartori (neregistrovaný)
Nemyslim si, ze mate pravdu. Mam na siti (privatni dedikovany segment pouze pro management) par takových zarizeni, které delaji co mají a vim, ze výrobce k nim novy firmware proste nedoda.
Pro ty zarizeni je web jen konfiguracni prostředek, nikdo neuvazuje ze by kdy byly dostupne na internetu.
Takze jsem rad, ze diky Edge nemusim mit 5 verzi jednoho browseru, jak to ted mam s Javou. -
Ondřej CaletkaZlatý podporovatelPostup ručního odeslání certifikátu do CT je třeba zde:
https://ritter.vg/blog-require_certificate_transparency.html -
Ono to bude typicky schované pod nějakým vágním tvrzením typu „činnost zaměstnance na výpočetní technice zaměstnavatele může být monitorována“ v pracovní smlouvě a většina lidí si neuvědomí závažnost tohoto problému (což je striktně vzato jejich chyba – ale je dobré o tom mluvit a upozorňovat na to).
Většina lidí si asi uvědomuje, že jim zaměstnavatel může lézt do jejich pracovního e-mailu, ale už jim asi nedojde, že jim může lézt i do soukromého e-mailu, do kterého chodí přes prohlížeč nebo do internetového bankovnictví. Většina si nezkontroluje, kdo vydal certifikát daného serveru, jestli skutečná veřejná CA nebo interní CA šmírovací MITM krabice nainstalované v dané firmě. Nemluvě o tom, že i ten prohlížeč na firemním (školním, vládním…) počítači může být „cinknutý“ aby zobrazoval jinou CA než jaká to ve skutečnosti podepsala.
Základem je nepoužívat nedůvěryhodnou techniku (v tomto případě počítač zaměstnavatele) k nepracovním důvěrným činnostem – raději si nosit vlastní notebook/mobil/tablet.
ČLÁNKY DO MAILU