Názory k článku Let's Encrypt vyřešil problém s Androidem, starší verze poběží dál

Na celé této aféře kolem Androidu a Let's Encrypt mi přijde nejzajímavější / nejsmutnější: Android z prosince 2016 není schopen přijímat bezpečnostní aktualizace (nové kořeny důvěry) a proto aby se teď nerozbil se vymýšlejí narovnáky na vohejbáky.

Měli bychom jako společnost začít tlačit na výrobce mobilů, aby svým zařízením dávali delší support a opravovali bezpečnostní chyby.

Ked spravia nieco nestandardne bezne Ca-cky, tak ich treba zrusit, no ked to spravi LetsEncrypt su s tym vsetci v pohode.

Já nevím, kdo něco podobného vynucoval - za tu situaci může debilní politika Googlu, který certifikáty důvěryhodných CA neumožnil aktualizovat nezávisle na systému a dále výrobců androidích zařízení, kteří na své zákazníky naprosto a z vysoka s.... Není to rozhodně z iniciativy ani plánu ani lemplovství ze strany LE.
A zrovna tady probíhaly dvě vášnivé diskuse: jedna, jak zařízení se skončenou podporou musí z domu a druhá, jak všichni utečou od LE, protože těch dávno nepodporovaných Androidů je 30%.
Jenže nejde nakonec o ty certifikáty, to se vyřešilo takto skrčkou, ale ta zařízení jsou bezpečnostní malér.
A v pohodě všichni nejsou, já jsem spíš naprdnutej, co se musí dělat kvůli androidímu lemplovství.

22. 12. 2020, 07:52 editováno autorem komentáře

> Já nevím, kdo něco podobného vynucoval

Google

"certifikáty důvěryhodných CA neumožnil aktualizovat nezávisle na systému"

To dost dobre nejde, kedze na nich zavisi pripojenie aj k pripadnemu aktualizacnemu serveru. Zly update by sa teda musel opravit offline, co pri znalostiach beznej populacie znamena bricknutie zariadenia. Kvoli riziku to patri k systemu.

Bezpecnejsie updaty systemu aj bez podpory vyrobcov su uz na ceste.

Proč by to nešlo? Certifikáty se nemění stylem, že v 0:0:35 končí jeden a v 0:0:36 se přejde na druhý, ale je tam nějaký souběh. Takže není problém tam dát třeba tři měsíce, kdy bude v systému starý i nový certifikát a starý se okamžikem expirace nebo revokace zruší. A pokud bude půl roku bez připojení, tak stačí appka v PC, která nahraje certifikáty z komplu do mobilu po USB/BT.

A po pravdě, ono je lepší cokoliv, než jet podle revokovaných a expirovaných certifikátů...

> Takže není problém tam dát třeba tři měsíce, kdy bude v systému starý i nový certifikát a starý se okamžikem expirace nebo revokace zruší

To nie je o expiracii. S tymto mas komponentu, kde nepodarena aktualizacia kompletne rozbije system bezneho uzivatela. Rovnako aj nedostatok aktualizacii. To, ze root cert neexpiruje je jedno riesenie, ktore je aspon stabilne.

> A pokud bude půl roku bez připojení, tak stačí appka v PC, která nahraje certifikáty z komplu do mobilu po USB/BT.

Presne preto som pisal o obycajnom uzivatelovi. Neda sa cakat, ze si takto bezny clovek bude nieco nahravat. Ked uz sa s tym niekto chce hrat, tak si aj na Androide 4 vypyta zdrojaky od vyrobcu, nahradi root certifikaty, skompiluje a ma fungujuci system aj v dnesnej dobe.

Dávno nepodporovaného?
Prosinec 2016? Kolik asi lidí ten os měli fakt v roce 2016? Bude to něco blízké nule... Takže 2017 první vlaštovky, 2018 běžná dostupnost?
Hele to jsou reálně dva roky, v pesimistickém pohledu až 3. To snad není tak dlouho, aby se mi přestaly fungovat weby z důvodu, že je to "dávno nepodporované".
Tipuju, že stále existují zařízení s 7.1.1, které jsou dnes i v běžně platné záruce.

No, na web jich asi už moc nechodí, dle statistik méně než 10 %. https://gs.statcounter.com/android-version-market-share/mobile/worldwide/

Tak u nás je to reálně dle google analytics cca 34%. To jsou skuteční zákazníci, kteří nakupují.. takže za mě díky za tu úpravu, že to nemusím řešit. Z technicky teoretického pohledu je to jedna věc, ale v realitě nikdo 30+% tržeb nezahodí..

Taky s tím úplně nesouhlasím. Vidím tu jeden potenciální problém a to je ten, že třeba za půl rok řekne někdo z tvůrců prohlížečů, že se takovým konstruktům nemá věřit a rázem máme problém na desktopech místo starých androidů...

Desktopy (prohlížeče na nich) budou tomu kořenovému certifikátu důvěřovat přímo.

Křížově podepsané certifikáty jsou naprosto běžná věc. A všude platí, že pokud je důvěryhodná alespoň jedna cesta, je důvěryhodný i koncový certifikát. Pokud by to někdo změnil a začal to posuzovat tak, že pokud je alespoň jedna cesta nedůvěryhodná, je nedůvěryhodný koncový certifikát, jednak tím úplně popře smysl křížového podepisování, jednak by tím zneplatnil velkou část certifikátů – vůbec by mne nepřekvapilo, kdyby dokonce všechny.

Mýlíte se. Za prvé, certifikační autority nejsou popotahované za to, že dělají něco nestandardního, ale za to, že porušují pravidla a za to, že to tají. Což se v tomto případě neděje. Za druhé, tu nestandardní operaci v tomhle případě nedělá Let's Encrypt, ale IdenTrust. V pohodě s tím nikdo není, ale nikdo v tom nevidí žádný bezpečnostní problém, takže je to nakonec to nejmenší zlo. Kryptograficky je to to samé, jako kdyby si IdenTrust pro tu dvojici klíčů ze svého kořenového certifikátu vydali nový kořenový certifikát s delší platností. Akorát ten nový certifikát by byl jen zbytečný krok navíc a je otázka, zda by nerozbil něco jiného.

Popotahované ne, ale ostře kritizované ano. I mně přijde zvláštní, že LE si to umí zařídit až se zvedne vlna nevole. Není žádný racionální důvod, že to neudělali (nedomluvili) rovnou, kromě toho, že se jim nechtělo. A proč se jim nechtělo, to je ve hvězdách.

Stará zařízení jsou bezpečnostní problém, ale nevyřeší se tím, že se budou tvořit překážky uměle.

Porušujete první zásadu a tím se dostáváte z analýzy na pole konspiračních teorií:
Vykládáte konsekvenci událostí jako jednoznačný plán a jiný důkaz než tu souslednost k tomu nemáte.

Analýza dává objektivní podklad. Hodnocení je subjektivní - a ne každé hodnocení je konspirační teorie.

Podobné myšlenkové dilema řešívají soudy. Chtějí od znalců rozlousknutí případů (viz veřejná kritika posudků po pádu mostu ve Studénce); ale znalci mohou pouze objektivně zpracovat skutečnosti. Záleží na soudu, co ze zjištění vyvodí.

Ano, já si dovoluji dělat vývody. Chcete-li ho jinak formulovat: LE je financována společnostmi, jejichž zisk závisí na obměně produktů na trhu, na nepřetržitém vývoji a konzumaci. Jen díky tomuto financování LE poskytuje nástroj, který zdarma dává veřejnosti to, za co jiní musejí přímo účtovat peníze - tím pochopitelně získali obrovskou část trhu. Pokud do (obchodního) řetězce vložíte takovýto subjekt, na který máte podstatný vliv, je nutné pečlivě sledovat, jestli nedochází ke zneužívání. (Chcete-li, ke střetu zájmů - ale to je dnes zprofanovaný pojem.) Pokud tento na trhu speciálně usazený subjekt udělá změnu, která má potenciál poškozovat veřejnost a přímo či nepřímo přinést zisky těm, kteří ho ovládají, je nutné se ptát PROČ?

Je to úplně stejná logika, že příjemcem nenárokových dotací nesmí být osoba, která se podílí na jejich přípravě, přidělování a kontrole. Jeden si koupil důchodce a další lidi koblihami, druhý využil naivitu techniků, kteří přivítali technicky kvalitní certifikační autoritu zdarma.

Na tom není ani kousek konspirační teorie, to jsou fakta a vývody z nich.

Uveďte nějaký příklad, kdy byla nějaká CA ostře kritizovaná za něco nestandardního, o čem průběžně informovala.

Racionální důvod je, je napsaný v článku. Jenže vás fakta nezajímají, že, vy raději konspirace. Důvod je velmi jednoduchý – ten nápad nepochází od nikoho z LE, ale z komunity. Takže logicky přišel až po té, co bylo zveřejněno to původní řešení.

Netuším, o jakých umělých překážkách zase mluvíte. Ale vlastně je to jedno, vzhledem k tomu, že slovo „přirozený“ používáte jako synonymum pro „souhlasím s tím“ a nepřirozené či umělé je všechno, co se vám nelíbí.

Me to pripada jasne. IdenTrustu se nechtelo dokud se to nezaclo resit verejne. Nema smysl z neceho obvinovat LE.

Přitom je to v článku napsané, jak to bylo. Ale koho zajímají nějaká fakta, když si může hezky vymýšlet.