Názor k článku Let's Encrypt začíná validovat žádosti o certifikáty z různých míst od Miroslav Šilhavý - To je sice pravda, ale v praxi pokulhává....

  • Článek je starý, nové názory již nelze přidávat.
  • 19. 2. 2020 11:42

    Miroslav Šilhavý

    To je sice pravda, ale v praxi pokulhává. Jednotlivci i malé firmy nemají správu DNS pevně v rukou. Velká část (možná i početně převážná) to má tak: "Kde máte DNS?", "Já nevím.", "Kdo vám zařizoval doménu?", "Předpředminulý ajťák, musím se podívat, jak se jmenoval. Nebo to zařizovala ta firma, co nám dodávala stránky?".

    Hrnout ověření víc a víc k DNS smysl dává, ale samo o sobě to nepřinese velkou změnu ve faktickém stavu. V první fázi to vyvolá zděšení a tlak na držitele domén, aby si to dali do pořádku. A tak budou dávat "do pořádku" něco, co léta funguje a neměli a nemají žádnou přirozenou potřebu to dělat. Další slabinou, kterou nikdo neřeší, je zabezpečení samotných služeb zajišťujících registraci domén a správu DNS. Přitom na zabezpečení a auditování těchto služeb by se dal vyvinout tlak nejjednodušeji: chceš být registrátorem, podrob se pravidlům bezpečnosti. To se ale zatím neděje, nebo ne dostatečně.

    Celá filozofie DV certifikátů je pochybná. Na místo OV certifikátů, které sice něco stály, ale probíhalo aspoň nějaké opravdové ověření, máme tu certifikáty ověřené sice dokonale, ale v řetězci úkonů, na jehož počátku je díra velká jak vrata.

    Zahušťovat validační body proto dává smysl - nepřinese to moc komplikací a výsledek bude o něco lepší. Přechod výhradně na dns-01 by bezpečnost nezvýšil nijak výrazně v praxi. Naopak by způsobil problémy při ověřování certifikátů pro delegované systémy. V tu chvíli by musel držitel domény nejen delegovat systém (FQDN) na jiného provozovatele, ale ještě vyřešit delegování mechanismu ověření dns-01.