K tem "zakonem vynucenym duveryhodnym CA" bych vypichnul, ze i kolem takoveho CZNICu se dnes bohuzel najdou lide, kterym to prijde jako skvely napad.
Aneb spouste lidi bohuzel unika, v cem je problem. PKI ma spoustu problemu, kterym se snazi prohlizece nejak celit - a zakonem zakotvena povinnost nekomu "proste duverovat" za kazdou cenu je proste v principu spatne - a to Jara bohuzel nechape a nebo proste veri tomu, ze stat to prece dela skvele... Aneb nic prece nebrani i tem "statnim" CA splnit stanovena kriteria (vesmes cilici na transparentnost procesu vystavovani certifikatu) a na onom seznamu duveryhodnych autorit byt zarazen. I nase PostSignum tam jeden cas bylo, ze? ;-) Ale ono s tim je "moc prace", prinasi to jiste nepohodli na strane provozovatele CA... a jednodussi, nez resit tohle je proste snazit se "vynutit duveru" befelem, protoze prece regulatori z uradu nejlepe vedi, co je pro jeho lid dobre.
Podobne "regulace" ale dlouhodobe povedou k tomu, ze Evropa bude spise skanzenem. A ti schopni a sikovni budou utikat... no treba do Kalifornie, kde je prijmou s otevrenou naruci, zatimco tady se budeme topit ve zdanlive dokonale. A na regulaci kolem AI je to skvele videt - tady sice mame skvele regulatorni ramce, ale vyvoj... ehm... probiha jinde.
Ve skutečnosti jsou certifikační autority, které splňují podmínky EU, důvěryhodnější, než spousta (řekl bych, že většina) autorit na seznamu důvěryhodných autorit v prohlížečích a systémech.
I.CA je na Microsoftím seznamu dlouhodobě, PostSignum je tam také dlouho s krátkou přestávkou, kdy je doběhla byrokracie, ne bezpečnost.
Že by se eIDAS certifikáty měly dostat do prohlížečů a ty že by měly zobrazovat, že příslušný certifikát má právní platnost v EU, jsem psal už před nějakou dobou – a je dobře, že se to hýbe dopředu. Třeba Adobe Reader už kvalifikované podpisy v dokumentech pozná a uživatele informuje.
Když už jsme u toho: k čemu vlastně je zkoumání certifikátů v prohlížečích ("hele, tenhle má právní váhu v EU" "a tenhle je EV!" "a tenhle má ten fingerprint, který jsem si minule dokonce osobně ověřil!")? To ukazuje certifikát "té hlavní zobrazené stránky", ale pokud se javascripty, obrázky atd. tahají v separátních požadavcích, tak tam může být certifikát klidně jiný, i když je to ze stejné domény (javascripty alespoň umožňují dát do hlavního dokumentu očekávaný hash).
Nebo ještě líp: přijdu na nějakou takovou stránku, certifikát mají fakt dobrý ("prohlížeč mi zobrazuje, že příslušný certifikát má právní platnost v EU"), a já tam vyplním do formuláře nějaké soukromé údaje a zmáčknu odeslat -- kdo mi zaručí, že ten následující požadavek (který vznikl až po vyplnění formuláře -- je to opravdu nové spojení, už to není keepalive předchozího, a útočník ho může snadno identifikovat a přesměrovat) půjde taky přes spojení s tímhle dobrým certifikátem?
Jinak co se týče původního diskutovaného problému, tak lidem asi vadí, že taková autorita prý nepůjde vyřadit (já to nařízení nezkoumal).
A tak ono uz i nase soudy defacto k tomu rikaji, ze "spravna" vydavajici certifikacni autorita neni podminka dostacujici k tomu, aby to melo vahu overeneho podpisu.
Uzivatelsky vyradit (ci naopak doplnit) jde libovolna CA, do toho narizeni nestoura. Ani nemusi, tady se staci oprit o predpoklad, ze 99% lidi se v tom beztak hrabat nebude.
A tak hlavne, ze vy se tou zasadou ridite... akorat ze vubec :-) Ano, to ze digitalizujeme procesy pamatujici c.k. cisarepana a i v digitalni podobe se krecovite snazime rozlisovat mezi beznym a uredne overenym podpisem - v situaci, kdy by i ten bezny v elektronicke podobe mohl byt vyreseny proste lepe je samo o sobe navrhova chyba, ktera ma bohuzel politicke pozadi - holt to je i u politiku bezne, ze kecaji do veci, kterym vubec nerozumi. A ten soud jen reflektuje onu realitu fakticky legislativne zpackaneho navrhu.
Způsobů, jak povýšit kvalifikovaný elektronický podpis na úroveň ověřeného podpisu, zná naše legislativa několik. To, že to není řešeno rovnou na úrovni eIDASu, je dané tím, že zatím neexistuje jednotná identita osoby napříč celou EU, takže by nebylo co do certifikátů osoby uznávaných v celé EU dávat. Rozhodně je lepší, když máme kvalifikované certifikáty napříč EU alespoň v současné podobě, než aby se spoustu let čekalo na jednotnou identitu. Ostatně vlastnoruční podpisy také s žádnou identitou spojené nejsou, takže použití kvalifikovaných certifikátů bez identity není oproti vlastnoručním podpisům zhoršení stavu. A přidat nad kvalifikované certifikáty nadstavbu pro ověřené podpisy jde, jak ukazuje třeba příklad ČR.
Mame ISO 3166 a mame ICAO 9303, takze i tenhle unikatni a v celku jednotny identifikator uz davno mame a primo pred ocima, mate ho na kazdem dokladu v souladu s usnesenim 15356/06... a je i s pevnou delkou - aneb sjednocene to je v ramci cele EU uz od roku 2006. Jenze to by se nesmely vymyslet pseudoproblemy okolo a kvuli nim vymyslet nejaky identifikator novy a samozrejme u toho po spoustu dalsich let vykazovat cinnost ;-)
A zrovna tomuhle nezabranite ani v analogovem svete. Aneb zrovna nase legislativa dnes uz nijak nebrani mit dvoji obcanstvi - a tedy i dva pasy vydanymi ruznymi staty. Pricemz ten druhy stat (a pas) vubec nemusi spadat pod regulatorni ramce v ramci EU, ze? To jsem zvedav, jak si spojite to, ze clovek s ceskym a treba iranskym pasem je porad jeden a ten samy :-) A samozrejme na zaklade toho iranskeho pasu si muzu nejen pujcti penize, ale treba tu i vlastnit majetek. A v realu budete rad, kdyz aspon podle xichtu dojdete k tomu, ze jde stale o jednu a tutez osobu - a zkomplikovat to muze uz jen takovy detail, jestli se dotycny zrovna oholi.
Oproti tomu overit, ze doklad A vydany v case X nalezi stejne osobe jako doklad B vydany v case Y v ramci jedne jurisdikce zas tak slozite technicky fakt neni. Vymyslet takovy dotaz do databaze byste mohl zvladnout i vy ;-) Nebo se na to necitite? :D
Já jsem ale nikde netvrdil, že v „analogovém“ světě je identita osoby daná pasem. Mimochodem, kdybyste četl můj komentář pozorně, zjistil byste, že vůbec nepotřebujete druhý stát, protože více pasů vám může vydat i ČR.
Když útočíte na ostatní pokaždé, když si začnete vymýšlet hlouposti, začne to být časem docela nápadné. Ostatní se pak ani nemusí orientovat v dané problematice, aby pochopili, že plácáte nesmysly.
Placate tu o neunikatnosti cisla dokladu, respektive udajne nemoznosti na zaklade ruznych cisel dokladu vydanych v ramci jedne jurisdikce overit skutecnost, ze jde stale o jednu a tutez osobu. Takze ano, placate nesmysly - zjistit, ze doklad cislo 353535312 i 241124312 patri temuz Frantikovi fakt technicky tezky neni. Ale chapu, vy byste to sam zda se nedokazal a z toho tak dovozujete, ze to nejde.. no, mel byste se mene vykecavat na internetu a radsi se venovat sebevzdelavani ;-)
1. To, že jeden člověk má za život více dokladů, je fakt, i když se vám to nelíbí. 2. Vydaných v rámci jedné jurisdikce jste si tam přidal vy. Ve spoustě případů potřebujete vědět, že jde o téhož člověka, i když bude mít doklad z jiného státu. 3. Nikdo netvrdil, že je technicky složité najít v databázi všech dokladů to, že různé doklady patří témuž člověku. 4. Jenže vy tu databázi všech dokladů nemáte. Takže jste zase skončil jenom se sbírkou argumentačních faulů.
A jak ze teda sparujete treba ten iracky a cesky pas? :-) Ono prekvapive tech vice dokladu nemusi byt nutne vydano v ramci "jednotne" unijni jurisdikce a tam se svou pseudo-teorii pohorite. Takze vase pseudo-argumentace uz v bode dva proste pada - pominu-li to, ze uz bod jedna jste si vyfabuloval, ja nikde nic o tom, ze se mi to nelibi nenapsal, rec byla pouze o tom, ze to jde pouzit jako parujici identifikator do vydaneho certifikatu; co muze poslouzit stejne jako kdyz si nekde to cislo obcanky/pasu opisou do papiru, rozhodne to bude uzitecnejsi a mnohem vic vypovidajici, nez jen nejake jmeno a prijmeni vlepene do certifikatu. Mozna to neni 100% dokonaly, ale to nebude nikdy nic - ani ten jednotny evropsky identifikator - kde budete slozite meditovat uz jen nad tim, jak zabezpecit, aby osoba s dvojim obcanstvim po EU mela fakt jen jeden v ramci cele EU. Ale treba to ted tady magicky vymyslite, i kdyz to zatim v EU jaksi nezvladli... ale vy jste tu ten nejchytrejsi, tak to jiste date ;-)
A jak ze teda sparujete treba ten iracky a cesky pas?
Já nijak. Já jsem netvrdil, že něco takového budu dělat.
Ono prekvapive tech vice dokladu nemusi byt nutne vydano v ramci "jednotne" unijni jurisdikce
Když vás překvapují věci, které jsem napsal dříve v této diskusi, znamená to, že čtete nepozorně.
rec byla pouze o tom, ze to jde pouzit jako parujici identifikator do vydaneho certifikatu; co muze poslouzit stejne jako kdyz si nekde to cislo obcanky/pasu opisou do papiru
Takhle to také funguje a některé certifikační autority vám umožní do certifikátu číslo dokladu vložit.
Ale rikal - u toho vaseho (ne)pujcovani. Jenom si moc nevidite do vlastnich ust (klavesnice) ;-)
Já už jsem to na pravou míru uvedl. Každý si ten komentář může rozkliknout a podívat se, že tam není napsáno to, co vy tvrdíte. Vy spoléháte na to, že si spousta lidí řekne „přece nebude tak drzý, že by lhal o věci, kterou si každý může ověřit tak, že klikne na odkaz a přečte si jeden komentář“. No, a vy tak drzý jste.
S lháři nelze diskutovat tak, že se jim vyvrací každá jednotlivá lež. Vygenerovat další a další lži je totiž strašně jednoduché, dokazovat pravdu je pracné. A na to přesně spoléháte. Takže pokud je lhář usvědčen z několika lží, je potřeba to brát tak, že se z diskuse sám diskvalifikoval. Vyvracet další vaše lži nikomu nic nepřinese.
Certifikát se v HTTPS komunikaci používá proto, abyste věděl, že komunikujete s protistranou, které patří doména, se kterou komunikujete. To, jestli je ta protistrana důvěryhodná nebo ne, certifikáty neřeší – ani to řešit nejde, pro někoho může být důvěryhodný nějaký dark net web, pro většinu důvěryhodný nebude.
No a když důvěřujete nějaké webové stránce, tak jí důvěřujete i v tom, jak zachází s daty, která jí poskytnete. Je to na autorech té stránky, jak to zařídí a zda k tomu použijí skripty na své doméně nebo na jiné doméně.
Jinak co se týče původního diskutovaného problému, tak lidem asi vadí, že taková autorita prý nepůjde vyřadit (já to nařízení nezkoumal).
Autority se dostanou na seznam důvěryhodných autorit dle eIDASu tak, že získají akreditaci. Stejně, jako mohou akreditaci získat, mohou o i také přijít, pokud přestanou splňovat příslušná pravidla. Přičemž certifikáty vydávané těmito autoritami mají v EU (jako jediné) právní váhu, můžete jimi podepisovat smlouvy a jednat se státem. Používání těchto certifikátů je podstatně závažnější, než používání certifikátů ve webových prohlížečích.
Na seznamu autorit v prohlížečích jsou např. i čínské certifikační autority spojené se státem, takže laťka v prohlížečích fakt není nijak vysoká.
Jak skvele tyhle akreditacni procesy funguji nam predvedlo ne az tak davno tomu treba RSD, ze? :-) Certifikovane rizeni bezpecnosti ala ISO 27001 sice meli, ale ouha... data byly najednou fuc a zpusobene rany si tam lizali nekolik mesicu.
Cinske CA jsou tam proto, ze nejaka kriteria proste naplnuji - a samozrejme pokud zhresi, tak ze seznamu vypadnou. Ty evropske tam nejsou proto, ze vse potrebne z pohledu (nezavislych) tvurcu onech duveryhodnych seznamu nesplnili. A urednici se tu povinnost neco splnit snazi obejit tim, ze si proste neco vynuti befelem, z moci uredni to tam bude a basta. Tak, aby to meli oni bez prace... a samozrejme se tim obejde i ten ochranny mechanismus, ktery se i na ty cinske autority aplikuje.
Nikoliv, ten sporny clanek 45 nove chystaneho narizeni mimo jine rika, ze prohlizece nesmi stanovit nejaka dalsi kriteria pro zarazeni CA na seznam duveryhodnych autorit. A sem patri napriklad i dnesni Certificate Transparency - ktera se dnes vyzaduje, kterou eIDAS-certifikace vubec nijak neresi. Jinymi slovy ze tady odeviraji zadni vratka pro to vydat certifikat tak, ze o nem nebudete vedet.
Ono cely ten sporny clanek 45 je samo o sobe brzda dalsiho posilovani bezpecnosti - v duchu hesla, ze na nejakem urade prece nejlepe vedi, co je pro jeho lid dobre. Jenze ve skutecnosti nas ale ta udajna "vetsi prisnost" eIDAS vraci zpet - stylem "nam duverujte a basta". A hlavne nam nekoukejte pod ruce... :-)
> To, jestli je ta protistrana důvěryhodná nebo ne, certifikáty neřeší
Netvrdil jsem opak a vaše „ty že by měly zobrazovat, že příslušný certifikát má právní platnost v EU“ jsem si vyložil jako že tam bude něco zeleného jako dřív bylo EV.
> No a když důvěřujete nějaké webové stránce, tak jí důvěřujete i v tom, jak zachází s daty, která jí poskytnete. Je to na autorech té stránky, jak to zařídí a zda k tomu použijí skripty na své doméně nebo na jiné doméně.
Jak může autor stránky ovlivnit tu situaci s odesíláním formuláře?
> Přičemž certifikáty vydávané těmito autoritami mají v EU (jako jediné) právní váhu, můžete jimi podepisovat smlouvy a jednat se státem. Používání těchto certifikátů je podstatně závažnější, než používání certifikátů ve webových prohlížečích.
Jo, ale tady se nebavíme o situaci kdy řešíte platnost nějakého dokumentu (můžete to pak analyzovat, dohadovat se před soudem…), ale o situaci že jste zadal do prohlížeče https:///www.root.cz.
> Na seznamu autorit v prohlížečích jsou např. i čínské certifikační autority spojené se státem, takže laťka v prohlížečích fakt není nijak vysoká.
Ale můžou je vyhodit. A nepochopil jsem, jestli nařízení dokonce vyžaduje, aby si je nemohl vyhodit uživatel.
Jak může autor stránky ovlivnit tu situaci s odesíláním formuláře?
Tím, jak tu stránku odesílající formulář udělá.
Jo, ale tady se nebavíme o situaci kdy řešíte platnost nějakého dokumentu (můžete to pak analyzovat, dohadovat se před soudem…), ale o situaci že jste zadal do prohlížeče https:///www.root.cz.
Jenže i ty weby jsou už dnes důležité. Když chcete poslat něco datovou schránkou, přihlásit se do výběrového řízení, požádat o důchod – ve všech případech chcete vědět, že to děláte na oficiálním webu a ne u nějakého podvodníka. Ostatně i když si chcete koupit něco na eshopu, je dobré vědět, že identita provozovatele eshopu je v Evropě známá a že když zaplatíte a eshop vám nedoručí zboží, aspoň víte, koho můžete žalovat.
Ale můžou je vyhodit.
Stejně tak by příslušná certifikační autorita přišla o akreditaci podle eIDASu, pokud by přestala splňovat podmínky akreditace. A ty podmínky jsou přísnější, než co požadují prohlížeče – přeci jen nejde jen o nějaké webové stránky, jde o závazná právní jednání. Takže ta autorita by pravděpodobně přišla o akreditaci daleko dřív, než by to začaly řešit prohlížeče.
A nepochopil jsem, jestli nařízení dokonce vyžaduje, aby si je nemohl vyhodit uživatel.
Nevyžaduje.
Tak znovu k tomu vasemu blaboleni - zmeny ve zneni clanku 45 u sporneho navrhu zmeny narizeni mimo jine rika, ze prohlizece mimo jine vlastne nesmeji zavadet dalsi bezpecnostni prvky (treba s ohledem na state-of-art v dane oblasti), pokud na to neda oficialne palec standardizacni urad (ETSI).
Toto napada cela rada organizaci - ISOC, EDRi, Linux Foundation, Mozilla, OpenSFF... a cela rada dalsich. Ale ti vsichni tomu podle vas zjevne rozumi hure... zato Jirsak, ten je nejchytrejsi na svete :-)
Mimochodem, ta stejna ETSI je zodpovedna za security through obscurity kolem systemu TETRA ;-) Akorat ze ani ta jejich obscurity jim nepomohla a vysledkem je deravy system... a jejich oprava spociva v tom, ze pokracuji v obscurity. Ale ano, reseni je to akreditovany... :D Odkud se bere vase presvedceni, ze to najednou "magicky" zacnou delat lepe netusim.
Danny: Fajn, takže tu máme vaši reakci. Teď by ještě bylo potřeba, jestli byste mohl sepsat komentář, na který reagujete. Protože ten, u kterého jste stiskl tlačítko „Reagovat“ to zjevně není. Já jsem totiž nic o tom, jestli prohlížeče smějí či nesmějí přidávat další podmínka, nepsal.
Můj názor je, že CT ve webových eIDAS certifikátech má být zavedeno. Zároveň to nemá být přímo v nařízení, protože nařízení má být technologicky neutrální a má umožňovat technický rozvoj. Takže stejně, jako nemáme v nařízení definované konkrétní algoritmy, nemá tam být ani CT. Nevím ale, zda se nepočítá s tím, že CT bude rovnou od začátku standardem posvěceným ETSI. Vy to také nevíte, ale to, že vy něco nevíte, vám nebrání dělat z toho dalekosáhlé závěry.
Mimochodem, i jako člověk, který nerozumí ničemu jinému, než technice, byste mohl vědět, že zákaz přidávání dalších podmínek je nutný pro vytvoření interoperabilního standardu. Kdyby si nějaké zařízení, třeba router, usmyslelo, že bude povinně vyžadovat nějakou jinak nepovinnou hlavičku v IP datagramu, tak nebude moci komunikovat se zbytkem světa, který tu hlavičku neplní. Standard, který by takovou možnost připouštěl, by tedy nezaručoval, že bude moci každý komunikovat s každým, že?
Tak vy jste predevsim vubec necetl ten navrh narizeni, ktere text eIDAS meni. Protoze jinak byste tu ten blabol o tom, ze CT by mela byt, ale ve standardu ETSI by to byt nemelo nenapsal. Ono totiz prave to v tom spornem clanku mate napsane, ze prohlizece nemaji vynucovat kriteria, ktera nejaka ETSI norma nestanovi.
A prave ona podminka z noveho eIDASu "nejdriv to musi byt v norme" bude znacnou brzdou rozvoje (na coz spousta tech vyse zminenych organizaci upozornuje). A je jedno, zda-li je rec o CT... nebo o necem, s cim se prijde v budoucnu. To narizeni je proste napsane tak, ze i dnesni ulohu IETF ci CA/B fora si snazi ETSI urvat do sve vylucne kompetence a prave zmeny kolem clanku 45 tomu maji nepochybne napomoci (coz je politika, a ano kolem norem se resi politika casto, treba i kvuli tendenci jejich texty zpoplatnovat - z cehoz zije mj. i nas CNI/CAS). Ne, v dnesnim globalnim svete nestaci "byt kompatibilni" jen na uzemi Evropy - a ono ETSI nikam dal proste dosah nema.
A rozhodne vic interoperabilni standardy budou vznikat prave na pude IETF (a nebo i toho CA/B), nikoliv na pude ETSI - ktere ma na americke pude "konkurenta" v podobe FCC a ty zajmy se tam proste obcas uplne nepotkavaji. Takze samozrejme ne vsechny standardy dle ETSI funguji na uzemi v "jurisdikci" FCC (a samozrejme to plati i opacne). A samozrejme muzeme pokracovat u ACMA, IMDA, CCC/SRRC, KCC, MIC... Zatimco standardy vznikajici zrovna na pude IETF jsou uznavane vicemene po celem svete... ze?
Nehlede na to, ze technicka norma samozrejme nemuze z principu byt "neutralni", technicka norma ten mechanismus popsat. Podle tehle vasi "teorie neutrality" by nemohlo existovat zadne RFC - v pripade CT konkretne RFC 6962, pozdeji nahrazene RFC 9162. To skoro i vypada, ze jste nevidel zadnou normu ani z dilny ETSI, tam tech technickych detailu je naopak spousta. Uz neblabolte ;-)
Protoze jinak byste tu ten blabol o tom, ze CT by mela byt, ale ve standardu ETSI by to byt nemelo nenapsal.
Však já jsem to také nenapsal. Já jsem napsal, že by to ve standardu ETSI být mělo.
Ono totiz prave to v tom spornem clanku mate napsane, ze prohlizece nemaji vynucovat kriteria, ktera nejaka ETSI norma nestanovi.
Také jsem vám vysvětlil, proč to tak má být.
A prave ona podminka z noveho eIDASu "nejdriv to musi byt v norme" bude znacnou brzdou rozvoje
Jasně. Protože kdybychom neměli standardizováno třeba IPv6, tak už se IPv4 dávno opustilo a dávno tu máme všemi používaný nový protokol. Protože standardy jsou v komunikaci k ničemu a nejlepší je, když každý mluví jinak.
Ne, v dnesnim globalnim svete nestaci "byt kompatibilni" jen na uzemi Evropy - a ono ETSI nikam dal proste dosah nema.
Jasně. Takže třeba kvalifikované certifikáty vůbec nefungují. Protože pro ně máme vlastní evropské normy nekompatibilní se zbytkem světa.
A rozhodne vic interoperabilni standardy budou vznikat prave na pude IETF (a nebo i toho CA/B), nikoliv na pude ETSI
Zbývá vyřešit už jenom jednu záhadu. Proč si myslíte, že ty standardy musí vznikat na půdě ETSI? Nenapadlo vás, že může ETSI jenom posvětit standard, který vznikl jinde? Nenapadlo, co?
Nehlede na to, ze technicka norma samozrejme nemuze z principu byt "neutralni"
Také se nebavíme o technické normě, ale o nařízení EU, tedy něčem jako zákon. A zákon ani nařízení EU samozřejmě nemohou být absolutně technologicky neutrální, ale je dobré, když jsou technologicky neutrální alespoň do míry, která se dá v době vzniku odhadnout. Protože legislativa má vždy určité zpoždění za reálným světem. V minulosti naštěstí nemuseli poslanci hlasovat o tom, že se má přejít z SHA-1 na SHA-256 nebo z TLS 1.0 na TLS 1.2, a bylo by dobré, aby to tak bylo i v dalších podobných případech.
Podle tehle vasi "teorie neutrality" by nemohlo existovat zadne RFC
Zkuste si zjistit, jaký je rozdíl mezi RFC a nařízením EU.
Vy fakt mate problem porozumet psanemu textu. Novy eIDAS je psany tak, ze to nejdriv musi byt v ETSI norme a az pote to muze byt implementovane v tech prohlizecich. Nikoliv naopak. A ano, spousta veci v praxi je implementovana drive, nez vznikne oficialni finalni standard (norma) - prakticke implementace draft RFC jsou dnes vcelku bezne. Ono i na nich se ten finalni text normy odladi. Jakpak asi vznikal treba takovy QUIC... ze? ;-)
Ono nejdriv vymyslet "finalni" normu a pak se ji snazit zoufale implementovat muze byt problem. A pro priklad nemusime behat daleko - o takovem DFS a detekci radaru v ramci ETSI normy by wifinari mohli vypravet dlouhe romany ;-) Fungovalo to skvele, to nelze rict. Ale na papire to vypadalo samozrejme hezky :D Papir toho snese...
A ano, ETSI muze posvetit standard odjinud - jenze to jsme zpet u prvniho odstavce, mnohe standardy nevznikaji tak, ze se nejdrive napise "finalni papir" a az pak se vymysli, jak to implementovat. Ta formalni standardizace casto probehne az dodatecne. Tak jak vam muze ETSI neco vydat, kdyz "jinde" ta norma vlastne jeste ani neexistuje? ;-) No, ale dokud to formalne nevydaji... ne, to vubec nebude brzdit rozvoj. I na to ty zminovane organizace kritizujici novou podobu eIDAS upozornuji.
Kvalifikovane certifikaty jsou jen urednicky buzzword opreny o jinak vcelku bezne veci okolo RFC 5280. Ano, v pravni rovine to ma i jiny/sirsi vyznam - ale v te technicke rovine se fakt nevynalezlo zadne specialni "evropske kolo".
A samozrejme nemuzete oddelovat technologicky neutralni narizeni od samotne ETSI normy, pokud vam to narizeni primo vyslovne uklada se tou ETSI normou ridit. Stejne jako v nasi legislative nemuzete odtrhovat text zakona a nezabyvat se u toho textem provadecich vyhlasek. Ty veci spolu proste primo souvisi a nejde je oddelovat - to se hodi mozna pro vase chronicke slovickareni, ale merit veci vam unika.
A vyborne jste se obloukem vratil k podstate problemu - to, co je ci neni spravne vam musi posvetit konkretni urad. A ten muze - ale taky nemusi respektovat state-of-art okolo. Protoze i cely proces tvorby technickych norem je ovlivnovan politickym zadanim (a samozrejme i penezi, protoze i ETSI zije z toho, ze "sve" normy prodava a volne se k nim ani nedostanete).
Danny: Škoda, že nevíte, že kromě eIDAS certifikátů existují i jiné certifikáty. Třeba Root.cz má certifikát, který není vydaný podle eIDASu – a přesto jej prohlížeče považují za důvěryhodný. Takže nová technologie se klidně může testovat na ne-eIDAS certifikátech, a když se osvědčí, nařídí se i pro eIDAS certifikáty.
Škoda, že nevíte, jak vznikají technické standardy. Třeba takové CT. Vznikl návrh, vznikly CT listy, některé autority začaly certifikáty na CT listy přidávat, některé prohlížeče začaly CT ověřovat ale certifikát bez CT nepovažovaly za vadný. Teprve když to všechno běželo, zavedla se CT jako povinná pro certifikáty vydávané autoritami předinstalovanými v prohlížečích/systémech.
Kdyby tehdy existovalo to ustanovení eIDASu, probíhalo by to stejně až do posledního kroku, evropské autority by dobrovolně začaly přidávat do CT. A teprve v posledním kroku by se buď připojila k dohodnutému termínu (ve skutečnosti by byla součástí toho dohadování termínu) zapnutí povinného CT. Nebo by (což je méně pravděpodobné, ale je to možnost) ETSI řekla „pro EU zatím ne“, takže by prohlížeče vyžadovaly CT pro certifikáty vystavené autoritou důvěryhodnou z vůle prohlížeče a nevyžadovaly by CT pro certifikáty vystavené autoritou důvěryhodnou z vůle EU nebo uživatele. Přičemž některé eIDAS autority by byly na seznamu prohlížečů a tudíž by povinně zveřejňovaly certifikáty na CT.
Vašim komentářům by také velmi prospělo, kdybyste nevymýšlel na papíře finální komentář, ale kdybyste si nejprve tvrzení, která chcete napsat, zvalidoval proti reálnému světu.
Kvalifikovane certifikaty jsou jen urednicky buzzword opreny o jinak vcelku bezne veci okolo RFC 5280. Ano, v pravni rovine to ma i jiny/sirsi vyznam - ale v te technicke rovine se fakt nevynalezlo zadne specialni "evropske kolo".
Přesně tak. Přičemž to, o čem se celou dobu bavíme, jsou také kvalifikované certifikáty. A jsou konstruované úplně stejně, jako jiné kvalifikované certifikáty – vezměme současné standardy, vytvořme z nich pomocí právních konstrukcí něco, co bude mít právní validitu, a ponechme v rukou odborných institucí, ať mohou tu právní validitu přilepit k technickým standardům, které jsou zrovna aktuální. Když je to správně v případě kvalifikovaných osobních a systémových certifikátů, proč je to podle vás špatně v případě kvalifikovaných webových certifikátů?
Prectete si ten novy eIDAS a specialne zmeny u clanku 45, nebo si prectete komentare od lidi, co to udelali pred vami a narozdil od vas zjevne zvladaji pracovat s pravnickym textem evropskych narizeni. Ani jedno jste prokazatelne neudelal. Novy text fakticky zakazuje implementovat cokoliv nad ramec toho, co je odklepnute v norme - a na tom se shoduje cela rada odbornych organizaci i jednotlivcu, ktera na tento problem poukazuje.
Nebo nam chcete rict, ze v ISOC, EDRi, Linux Foundation, Mozilla, OpenSFF, EFF, ale treba i u Cisca, Cloudflare, Akamai, CC, deSEC, ci vice jak 400 vedcu z univerzit vc. treba brnenske Masarykovy univerzity se pletou a jediny, kdo ma pravdu je genialni Jirsak? ;-) Jste klaun na urovni takoveho Rajchla ci Hamplove, co se snazi poprit stanovisko desitek skutecnych odborniku, kteri narozdil od vas maji nejake renome. To vubec neni o tom, jak to interpretuji jen ja sam. Novou podobu eIDASu kritizuje kdekdo... ale jaka nahodicka, ze zrovna ti, co maji docineni s praci pro erar ty dopady bagatelizuji ;-) No, v politice by vam to slo. Podat byste si mohl ruce se Zapotockym, kdyby zil - ten take tvrdil, ze zadna menova reforma nebude. Stejne jako vy tu - vcelku osamocene, jak kul v plote - tvrdite, ze nove pripravovane zneni eIDAS zadny problem neni. Fakt jste tak hloupy, ze chcete popirat teze desitek lidi, kteri narozdil od vas opravdu neco dokazali? ;-) Pokud jste az takovy pomatenec, je diskuze s vami tady jen ztrata casu.
Není mi znám způsob jak by tohoto šlo docílit.
Triviálně. HTML formulář má atribut action
, kde je uvedena URL, na kterou se data formuláře odesílají. Takže stačí, aby tam autor webu uvedl adresu důvěryhodného webu – ideálně přímo toho, na kterém ten formulář je. A je to vyřešeno.
Když se formulář neodesílá přímo prostředky prohlížeče, ale data z něj se přečtou a odesílají se JavaScriptem, je to to samé – akorát adresu, kam se mají data odeslat, neurčuje autor stránky v HTML, ale v JavaScriptu.
Aha, asi jsme si nerozuměli. Já myslel, že vám jde o to ("prohlížeče by měly zobrazovat, že příslušný certifikát má právní platnost v EU"), že nějaké informace chcete posílat jen webu s takovým dobrým certifikátem, a bojíte se, že Let's Encrypt pro něj vystaví falešný certifikát (ne nutně svojí chybou, ale třeba nedávno byl případ, kdy někdo provedl MITM na požadavek na acme-challenge). A tady jde udělat celkem jednoduše útok:
- otevřete urad.gov.cz, ověříte si, že certifikát je nějaký dobrý (je od eIDAS CA nebo tak něco)
- vyplníte tam formulář a kliknete na Odeslat
- v ten okamžik útočník udělá MITM se svým podvodně získaným certifikátem od LE, ale prohlížeč navazuje nové TLS spojení (během vyplňování formuláře předchozí spojení vypršelo) a bez problému akceptuje tento LE certifikát, protože LE obecně věří
Vám tedy jde o to, že vám stačí vědět, že někde existuje eIDAS certifikát pro urad.gov.cz (nebo eshop.cz, atd.), ale samotné spojení stačí zabezpečit libovolnou CA?
Šlo mi o to, aby prohlížeče s „EU certifikáty“ zacházely podobně, jako kdysi zacházely s EV certifikáty – tedy zobrazily uživateli, že ten certifikát má nějakou speciální vlastnost. Určitě v detailu certifikátu, zda i přímo v adresním řádku si nejsem jistý.
Ano, není to absolutně neprůstřelné, ale myslím, že vektor útoku je velmi malý.
Ten váš příklad závisí na tom, že útočník dokáže získat falešný certifikát, tedy nejčastěji že dokáže zaútočit na proces ověření vlastnictví domény (jako je ten vámi uváděný případ). Aby se na takové případy přišlo, máme tu CT. Navíc v případě „EU certifikátů“ by vlastník domény mohl (a měl) v DNS nastavit zámek na svou CA, tj. pak nepůjde vystavit certifikát s méně bezpečnou validací od Let's Encrypt, ale bude vynucena pečlivější validace dle eIDASu.
Ale s EV certifikaty se uz davno nezachazi nejak jinak. Tu specialni vlastnost (EV) prestaly prohlizece zvyraznovat uz hodne mesicu nazpet. Zaspal jste v dobe kamenne, Jirsaku ;-) Historie uz davno prokazala, ze tahle metoda "zvyraznovani" v praxi moc funkcni neni.
Ja minuly cas ovladam. Ale vy byste rad chyby z minulosti zopakoval v budoucnu znova. Touha po zvyraznovani "eIDAS" certifikatu je kardinalni bekovina. Nefungovalo to ani s EV, stejne jako moc nefunguji "zamecky" u https (ty uz se taky davno prestaly zvyraznovat) a stejne by to nedokazalo fungovat ani u eIDAS certifikatu - po cemz tady vy nove volate - v poslednim odkazu mate i oduvodneni, proc je to blbost.
A ta vase veta Šlo mi o to, aby prohlížeče s „EU certifikáty“ zacházely podobně, jako kdysi zacházely s EV certifikáty ma teda jaky jiny vyznam? Protoze to jine zachazeni v prohlizecich bylo jen o tom, ze se vedle zamecku objevilo prave to zvyrazneni. Vy musite nejspis neco snupat, kdyz ani nevite, co sem pisete :D A nebo jen nevite, jak to s EV fungovalo na strane browseru.
Danny: Chápu, váš limit je stěží jedna věta. V té větě je totiž slovo „podobně“ a za pomlčkou následuje vysvětlení, v čem by to mělo být podobné. Ale to už je druhá věta, takže přes limit toho, co dokážete pochopit. Na všechny připomínky, které jste k mému komentáři zatím napsal, jsou totiž odpovědi už v tom původním komentáři. Akorát byste ho musel pochopit celý.
Vsak si muzeme rozebrat jeste vetsi blbost, kterou tam pokracujete: Tedy zobrazily uživateli, že ten certifikát má nějakou speciální vlastnost. Určitě v detailu certifikátu. To je presne misto, kam se drtiva majorita uzivatelu fakt nediva. Krasna ukazka, kdyz UI vymysli pomateny socialne izolovany ajtak ;-)
A rovnou teda muzeme vzit i ten vas posledni odstavec, protoze z nej je patrne ze vubec ani netusite ani realitu u statni spravy dnes. Certifikaty od LE se pouzivaji i na mnoha mistech v ramci statni spravy a zadne specialni "EU" certifikaty tam fakt nejsou. A v ramci statni spravy je takovy bordel, ze dnes ani nevedi co vse maji vlastne za domeny... natoz aby se vedelo, jake vsechny certifikacni autority dnes statni sprava vyuziva. A pokud to bude dane befelem obdobne, jako je dane befelem nasazovani IPv6 a DNSSEC, tak se mozna... za dvacet let dockate.
Samozrejme nicim nepodlozeny je i ten vas blabol o "mensi bezpecnosti" LE certifikatu obsazeny v tomtez odstavci . Ostatne, pouziva je i NUKIB, armada, vnitro. Troufam si rict, ze tam - pres veskerou moji kritiku - rozumi bezpecnosti porad vic, nez vy ;-)
8. 11. 2023, 12:20 editováno autorem komentáře
Danny: Oceňuji vaši flexibilitu. Když si (bůhvíproč) myslíte, že to chci zobrazovat v adresním řádku, kritizujete, že to je informace, které běžní uživatelé nerozumí. Když si myslíte, že to chci jen do detailu certifikátu, kritizujete, že tam to uživatelé nenajdou, že to musí mít přímo v adresním řádku. Klidně ze sebe uděláte hlupáka, že nevíte, co chcete, jenom když můžete kritizovat.
A rovnou teda muzeme vzit i ten vas posledni odstavec, protoze z nej je patrne ze vubec ani netusite ani realitu u statni spravy dnes.
Z vašeho komentáře je patrné, že jste zase nepochopil, o čem můj text je. Chápu, mělo to víc než jednu větu.
Samozrejme nicim nepodlozeny je i ten vas blabol o "mensi bezpecnosti" LE certifikatu obsazeny v tomtez odstavci.
Podložený je tím, co je napsané v mém komentáři. Ale mělo to víc než jednu větu, takže mimo vaši schopnost chápání.
Ostatne, pouziva je i NUKIB, armada, vnitro.
To ovšem není důkaz, že je to nějak extra bezpečné. Ani nemáte žádný důkaz, že by zrovna tyhle weby měly být víc zabezpečené.
> Ano, není to absolutně neprůstřelné, ale myslím, že vektor útoku je velmi malý.
Napadlo mě, že by to šlo vyřešit tak, že by se pak během session zákazal downgrade na „horší“ certifikát. Vlastně takové mírné HPKP.
> Navíc v případě „EU certifikátů“ by vlastník domény mohl (a měl) v DNS nastavit zámek na svou CA
Jo, to je dobrý postřeh.
HPKP se opustilo v roce 2018, protoze to taky moc nefungovalo. Tohle jsou v minulosti davno proslapnute slepe cesty.
Serverovy certifikat se v prubehu existujici uzivatelske session muze vymenit zcela legitimne a byla to prave jedna z veci, na kterou HPKP trpelo. Ty problemy v obecne rovine vznikaly mj. prave diky tomu, ze se informace o certifikatu sirili v te session (a samozrejme slo v HPKP hlavicce mit nizky max-age, ale to by pak zase melo v praxi stejny efekt jako neposilat nikam nic)... zopakuju se, tohle je slepa cesta :-)
Napadlo mě, že by to šlo vyřešit tak, že by se pak během session zákazal downgrade na „horší“ certifikát. Vlastně takové mírné HPKP.
Tam je trochu problém, co je to vlastně session. Navíc to odeslání formuláře může jít na jinou doménu.
Myslím, že je potřeba bránit se obecně vytvoření „falešných“ doménových certifikátů – nejen u eIDAS certifikátů, ale u všech. Tj. používat CAA, kontrolovat CT. Kontrola CT by se měla stát součástí nástrojů pro údržbu certifikátů (tj. ACME klientů, ale nejen jich).
eIDAS OV certifikáty mají mít tu vlastnost navíc, že s tou doménou máte spojený konkrétní subjekt s identitou v rámci EU. Nemělo by to být „DV certifikáty jsou špatně zabezpečené, zabezpečme lépe alespoň eIDAS OV certifikáty“.
eIDAS OV certifikáty mají mít tu vlastnost navíc, že s tou doménou máte spojený konkrétní subjekt s identitou v rámci EU. Nemělo by to být „DV certifikáty jsou špatně zabezpečené, zabezpečme lépe alespoň eIDAS OV certifikáty“
Stejna ptakovina tu byla s EV certifikaty. Nefungovalo to s EV, nebude to fungovat ani u tech vasich eIDAS certifikatu, je to stejna blbost jen prevlecena do jineho kabatu. A ze to nefungovalo u EV je zaver sirsi odborne komunity mj. v ramci CA/B, ne nejakeho kibice, co bastli java aplikace pro stat :-)
Danny: Srovnáváte jablka s hruškama. Jedinou „přidanou hodnotou“ EV certifikátů bylo to, že si někdo připlatil za jejich vystavení. To pro uživatele byla nezajímavá informace.
Jinak je hezké, že vůbec nevíte, jaká je moje představa o zobrazování eIDAS certifikátů, ale víte, že by to nefungovalo. Vy byste tvrdil, že to nebude fungovat, i kdybych tu napsal Pythagorovu větu.
Mimochodem, Adobe Reader u eIDAS certifikátů zobrazuje informace, že jsou validní podle eIDASu. Takže někde to funguje.
Nikoliv, vy blabolniku. U EV certifikatu se overovala existence legalni entity, mate to vcelku exaktne popsane od CA/B. To nebylo jen o tom, ze si nekdo jenom zaplati vic, jak se tu pomylene snazite dezinterpretovat.
A nikde jsem nerekl, ze to zobrazit nejde. Ale spolehat se na to? Technicky je to zobrazeni u eIDAS certifikatu v Acrobatu oprene o QcStatements
primo v certifikatu... proste se jenom spolehate na nejake jine pole (OID), jen s tim ze certifikat nadrazene CA samozrejme musi byt v na trust listu. Takze se vracime k tomu, co se vytykalo i EV certifikatum - ono i u EV bylo krom jmena organizace treba take subject:jurisdictionLocalityName
(povinne), ale ani s tim se poradne nepracovalo, a dochazelo k tem kritizovanym zamenam, kdy stacilo mit stejnou legal entity z jine zeme.
Pokud je to pro vas neuchopitelne takto - napisu to jeste jinak - on Acrobat s eIDAS certifikaty pracuje stejne hloupe, jako v minulosti pracovaly prohlizece s EV certifikaty. A to, ze k tomu jen pouzije jen jine policko neznamena, ze to pak je jako celek vyresene lepe :-) Ty problemy kolem toho toho budou ve vysledku podobne, ten Acrobat vam zobrazi tu stejnou fajfku pro Filipa Jirsaka z Ceska jako pro jineho Filipa Jirsaka ze Slovenska.
Je nesmysl opakovat stejne chyby. No ale nastesti vy nejste v pozici, ze by se svet tocil podle toho, jaky nesmysl vy zrovna vymyslite :D
U EV certifikatu se overovala existence legalni entity
Což je velký rozdíl oproti OV certifikátům, kde se ověřovala existence legální entity.
A nikde jsem nerekl, ze to zobrazit nejde.
Já jsem neřekl, že vy jste něco takového řekl.
Ale spolehat se na to?
Já jsem nepsal o žádném spoléhání.
kdy stacilo mit stejnou legal entity z jine zeme.
Což se dá snadno vyřešit tím, že se zobrazí i stát.
Pokud je to pro vas neuchopitelne takto
Pro mne je to uchopitelné. To jenom vy jste nepostřehl, v čem je rozdíl. Zkusím vám to napsat ještě jednou. Rozdíl je v tom, jakou informaci ten atribut poskytuje. OV i EV certifikáty jsou vystavené nějakému právnímu subjektu, jenom v případě EV je ten subjekt o něco lépe ověřen – pořád ale to ověření mohlo proběhnout podle legislativy Zimbabwe a kdybyste subjekt, kterému byl vystaven certifikát, chtěl žalovat u soudu v EU, budete mít smůlu. Naproti tomu kvalifikovaný certifikát dle eIDASu je vystaven entitě, která je subjektem evropského práva (speciálně pro vás – to nutně neznamená, že musí mít sídlo v EU). Tudíž pro orgány veřejné moci v EU jde o právní entitu, která z jejich pohledu nepochybně existuje a může být např. v EU žalována.
Pokud je to pro vás neuchopitelné takto – představte si to třeba jako předání diplomu. Vy řešíte, jestli by diplom předaný srulovaný v tubusu nebo v deskách. Já řeším, jestli je to diplom z plavání ze třetí třídy, který vám udělala maminka, nebo zda je to diplom o získání vysokoškolského titulu na státem akreditované univerzitě.
No a copak je legal entity v duchu prava EU? :-) Kazda zeme si to resi tak nejak po svem, tedy jste tam kde jste byl i s EV - pouze jste o trosku zmensil mnozinu zemi, ale to overeni pravni existence probehne podle legislativy toho konkretniho statu. Jestli je to podle legislativy z Ceska, Zimbabwe nebo treba Madarska ci Recka nebo Polska je pomerne podstatne - protoze ani tu svou pripadnou zalobu nebudete podavat k nejakemu evropskemu soudu, ale zacit budete muset u soudu mistne prislusneho a ridit se mistnimi zakony. A legislativa se v kazde zemi dost lisi - i v ramci EU a to plati nejen pro registraci pravnich entit. Ono evropska legislativa horko tezko zvlada stanovit nejaka jednotici kriteria (protoze jednotlive evropske zeme se moc svych mistnich specifik vzdavat nechteji), vysledna nadnarodni (evropska) regulace je ve vysledku tedy dost vagni a je tam dost manevrovaciho prostoru pro mistni specifika, a ze jich v praxi je. Coz je ostatne mimo jine videt i na transpozici evropskych pravnich norem do ceskeho prava.
Takze mezi EV a eIDAS certifikatem prakticky rozdil neni, jste porad tam kde jste byl. Ono jurisdictionOfIncorporationCountryName
jste mel i v EV, takze jste vedel jakym pravnim radem se vznik te entity ridi. A v tech "evropskych" standardech to prozmenu budete lovit treba z id-etsi-qcs-SemanticsId-Legal
- ale co presne za entitu to vlastne je si porad budete vylovit v narodni legislative toho konkretniho statu. No to jste si pomohl... preju hodne stesti se studiem treba madarskeho prava... v originale :D
Právní subjekty v EU jsou si dost podobné, zejména když to budete porovnávat třeba se Zimbabwe nebo s Nigérií. I legislativa je velmi podobná a ve spoustě případů je sjednocená EU. To je ostatně účel EU. Obchod, zaměstnávání, ochrana spotřebitelů, ochrana osobních údajů – to všechno EU sjednocuje a „náhodou“ jsou to zrovna věci, které budou většinu lidí zajímat i při komunikaci přes internet. I nad soustavou soudů v jednotlivých státech je Evropský soudní dvůr. Ten nemá žádné pravomoci v Zimbabwe, ale má je v ČR, Polsku, Maďarsku i Řecku.
Mimochodem, jako spotřebiteli vám je úplně jedno, kde v EU je daná entita registrovaná – podstatné je, že je registrovaná někde v EU, tím pádem se vztah se spotřebitelem řídí právem vaší země. Pokud ta entita bude registrovaná jinde, záleží to na mezinárodních dohodách a je to dost nejisté.
Když si vezmete takový e-shop, opravdu vás nemusí zajímat, zda je provozovatel registrován v Polsku, Maďarsku nebo ČR. A nepotřebujete studovat maďarské zákony. Pokud ale bude registrován mimo EU, je potřeba být podstatně obezřetnější. A v takovém případě hodně štěstí, až budete zkoumat, zda je registrován v USA, nebo zda se tváří, že je to americká společnost, a ve skutečnosti bude registrována někde v Africe.
Je videt, ze v odkazu vyse jste pozorne nestudoval treba pasaz venujici se treba Polsku. No nejspis te tech nekolik stranek textu necetl vubec. Jen ta pasaz o Polsku je tak obsahla, ze i vase zdejsi grafomanie to predci. Ale chapu, vy umite jen psat, cteni vase silna stranka holt nebude - kdyz nam tu tvrdite, jak je to dost podobne, co se registraci pravnich entit tyce.
Sjednocena legislativa? A proto si i v ramci EU firmy bedlive vybiraji, kam sve sidlo upichnou :-) Ano, staci zacit uz jen u dani, ty odlisnosti jsou fakt velky. Procpak asi firmy i z Ceska rady sidli na Kypru? :D Procpak spousta korporaci ma sidlo radeji v Irsku nez v Cesku? ;-)
A kdyz mluvite o SDEU (vami uzite ESD je stare oznaceni), jeho kompetence jsou jasne dane a vcelku omezene. A znovu jsme u toho, ze samotne akty - podle kterych muze SDEU rozhodovat - jsou casto velmi vagni a jednotlivym clenskym statum poskytuji znacny manevrovaci prostor (viz treba ty dane o odstavec vyse).
A neni to jen o spotrebitelskych pravech. Velke rozdily najdete v ruznych dalsich oblastech. Pocinaje tim, za jakych okolnosti muzete ziskat kde obcanstvi. Samozrejme i osobnostni prava se dost lisi - a co muzete v CR je hned vedle v Nemecku zapovezeno. Odlisnosti se daji najit i v dopravnim znaceni a vubec pravidlech pro provoz na silnicia nebo i povinne vybave, kterou musite mit ve voze. O rozdilech v zeleznicni legislative se radsi nerozepisovat :-) A muzeme takto pokracovat donekonecna. Ve skutecnosti je sjednocenost jen na velmi male mnozine veci, kde se doopravdy nasel konsensus napric jednotlivymi clenskymi staty. A ne, zivot neni jen o tom, ze nakoupite na madarskem eshopu... jak si jej zda se zjednodusujete.
A zminovanou absenci konsensu u nekterych temat mate nazorne cerstve videt o diskuzi vedle, kdy takove zruseni stridani letniho a zimniho casu si ted mezi sebou prehazuje rada s komisi. A pritom to uz davno melo fungovat, ze? :D A zatim to zkomira na unijni byrokracii...
A ta pasaz o zkoumani toho, kde eshop sidli? :-) Jasne, ono si sem lidi bezne neobjednavaji veci z Ciny... ano, s uvalenim DPH i na "drobne" transakce to asi trosku uvadlo, ale rozhodne neplati vase teze, ze by lidi resili to, zda jejich eshop je zrovinka na uzemi EU (to je asi tak stejne, jako uzivatele bezne nezkoumaji ani obsah certifikatu). A jeste lepe je to videt u leciv ci hazardu, kde urednici primo "musi" vytvaret seznamy k zablokovani nepovoleneho obsahu :D Co na tom, ze to reseni v praxi taky moc nefunguje.
Pardon, měl jsem hned na začátku uvést, že řeším to, jak žijí normální lidi. Normální lidi, když se dostanou třeba na webovou stránku nějakého e-shopu, chtějí vědět, zda ten e-shop spadá do jurisdikce EU, takže budou moci uplatnit dvouletou záruku, nebo pokud by e-shop něco nedodal, mohou uplatňovat svá práva. Většina lidí neobjednává nic z Číny a bojí se, že objednají na nějakém podvodném e-shopu, který jim vysaje účet, zveřejní jejich fotky z dovolené a sežere psa.
Vy, když přijdete na stránku e-shopu, nezajímá vás, zda poskytuje dvouletou záruku; zato řešíte jeho právní formu; řešíte, jaké občanství mají jeho zaměstnanci; a řešíte, jaké daně ten e-shop platí. Vaše starosti opravdu nevyřeší certifikáty, ale recepty.
Co delaji normalni lidi vam rozebiraj i v televizi :-) A s tou dvouletou zarukou se samozrejme nebavime o zarukach poskytnute spolecnostmi, ktere v mezicase jaksi zcela zaniknou. Coz samozrejme kuprikladu v te polske jurisdikci muze byt taky ponekud zabavnejsi resit. Obcas byste se mel od svych teorii odpoutat a podivat se do realneho sveta tam venku, ten je vyrazne slozitejsi nez vase teoreticke poucky fungujici jen za idealni konstelace hvezd ;-)
Všichni složitě řeší likvidaci právnických osob, aby se vypořádaly nebo převedly všechny závazky. Přitom stačilo, aby se vás někdo zeptal, a bylo by vyřešeno. Právnická osoba prostě zanikne, spolu s ní zaniknou i závazky, a je vše vyřešeno. Víte jak by to uvítaly třeba banky? Takových složitých procesů, co by jim odpadlo. Teď když si nějaká firma od banky půjčí a pak nemůže splácet, složitě se to řeší, insolvence, banka řeší, jakou část půjčky se podaří zachránit… Podle vás by firma prostě zanikla, závazky spolu s ní, banka by nic složitě neřešila a půjčku by jednoduše odepsala, a bylo by vyřízeno. Teda asi by těm bankám brzo došli peníze… Ale vlastně ne, protože když jsem teď napsal, že banka, která by jen půjčovala a nikdo by jí nesplácel, zkrachovala by, vy mi v příštím komentáři vysvětlíte, že jsem úplný pitomec, že si můžu něco takového myslet, a vymyslíte úplně nový způsob fungování bank.
Ještě že mi dáváte nahlédnout do vašeho reálného světa, ve kterém Češi nakupují v drtivé většině na čínských e-shopech, které během pár měsíců zanikají. Budete se mi smát, ale já jsem si doteď vážně myslel, že Češi nakupují třeba na Alze. A některým nákupům tam už uběhla záruční doba, a Alza to to normálně přežila.
Jasne, a vy mate zmaknute procesy likvidace spolecnosti napric EU. Jenze ono to bude i v ceskem pravnim radu jine u banky a jine u es-er-ocka, ze? ;-) Treba uz jen proto, ze zpusob regulace je odlisny. A nevim, proc vubec do debat o nakupech na eshopech tahate banky... ktere obvykle esbop prodavajici nejake zbozi vubec neresi, ze? ;-)
Ano, vas komentar dava dokonale vhlednout do vaseho zpusobu mysleni. Kdyz se vam i na praktickem prikladu demonstruji mozne problemy s eshopy, vytahnete z rukavu s problematikou zcela nesouvisejici banky :D Mozna byste si mel obcas pustit zpravy, zrovna nakupy v Polsku jsou mezi Cechy docela popularni (a nejen potravin) a pusobi zde dost aktivne takove Allegro, co jen zprostredkovava mimo jine i prodej od desitek polskych prodejcu. Nehlede na to, ze spousta polskych eshopu je v cestine, ono to dnes se strojovym prekladem neni vubec zadna cerna magie. Vsechno na Alze kupujete mozna vy... ale to fakt neimplikuje, ze se tak chova cely narod :D
Zase jste se absolutně minul s podstatou mého komentáře. Navíc celou dobu proti návrhu na zlepšení současné situace argumentujete marginálními případy (často navíc chybnými), ve kterých se situace podle vás nezlepší. I kdyby to tak bylo, není to argument proti zlepšení.
Vaše snaha naučit se diskutovat tím, že jste za každou cenu v opozici, je překvapivá – nicméně už by to chtělo věnovat se také tomu, aby vaše argumenty začaly dávat nějaký smysl, byly ukotvené v reálném světě a abyste se oprostil od argumentačních faulů.
Ne, my se predevsim bavime o tom, ze kvuli registrovane pravni entite registrovane v EU je nesmysl nejak specialne zvyraznovat certifikaky ji vydane a konformni s eIDAS (po cemz vy tu dle vseho touzite), protoze je to stejny nesmysl, jako historicke snahy o zvyraznovani informace v EV certifikatech - ktere zrovnatak byly vydavany na zaklade nejake overene pravni existence. Jednoduse proto, ze pravnich forem napric EU je spousta, jurisdikce jednotlivych clenskych statu se mezi clenskymi zememi dost lisi, kazda ma svoje mistni specifika v dobrem i zlem - takze ve vysledku vam to neco ala "zvyrazneny zamecek" u eIDAS certifikatu o moc vic nerekne. Protoze nic jako skutecne jednotne evropske pravo i co se vzniku pravnich entit napric unii proste neexistuje. Ve finale je fuk, jestli se bavime o Zimbabwe a nebo o Polsku, kde registrace pravnich entit je take tak trosku dzungle - coz ostatne mate obsirne popsane i na te wikipedii.
Je videt, ze vy akorat chodite diskutovat za kazdou cenu, ale s realiemi jste se doposud seznamit nezvladl navzdory tomu, ze vam byly predlozene podkladove informace a publikum obstastnujete jen svymi dojmy :-) A ke vsemu neudrzite myslenku. Snad jste na tom jste lepe alespon s telesnymi tekutinami... kdyz uz z toho, ze jste si to poradne neprecetl jde dovodit i to, ze mate problem se ctenim ;-)
Ne, my se predevsim bavime o tom, ze kvuli registrovane pravni entite registrovane v EU je nesmysl nejak specialne zvyraznovat certifikaky ji vydane a konformni s eIDAS
Ano, o tomto vašem tvrzení se bavíme už dlouho, ale vy jste ho zatím nijak nedokázal. Zatím jste tu napsal akorát spoustu věcí, které to nijak neodkazují. V lepším případě píšete o margináliích, které ovšem nedokazují neužitečnost. V horším případě píšete o věcech, které s problémem vůbec nesouvisí. A v nejhorších případech jsou to od vás argumentační fauly.
Tak to mate rozebrane treba i na wikipedii a obsahle se to rozebiralo v casech, kdy se od zvyraznovani EV upoustelo. Specificky prvni bod jde stejne uplatnit i na eIDAS certifikaty. Jedinou informaci, kterou vam to spolehlive ukotvi je fakt, ze jde o entitu nejak ukotvenou v nekterem z clenskych statu EU, ale tim taky koncite...
Cely problem s EV byl primo demonstrovan na dvou statech z USA - a to k EU klidne pripodobnovat muzeme, statu neni mnoho, kde nejaka obecna nadrazena (federalni) jurisdikce existuje, ale kazdy stat ma dost svych lokalnich specifik - zatimco vy ste zde nesmyslne a zmatene argumentoval se Zimbabwe, i kdyz podstata problemu byla demonstrovana na Kentucky a Delaware (a nebo krom jineho mate take problemy se zemepisem).
A ta legislativni specifika v kazdem state spolu s nadrazenou jurisdikci existuji jak v USA, tak i v EU. Vy byste proste rad v nejake forme zopakoval chyby z minulosti, u toho se ohanite domele jednotnym evropskym pravem a u toho zcela ignorujete argument, ze i v ramci EU si to kazdy clensky stat placa tak nejak po svem. Coz jsem se vam snazil vysvetlit na prikladu Polska (kde to je opravdu dzungle), ale zjevne je to nad vase chapani :-)
Danny: Pokud chcete vyvrátit moje tvrzení, musíte sám použít nějaká tvrzení, která se k těm mým vztahují. Nelze to nahradit tvrzeními, která s tím nijak nesouvisí – ani když těch nesouvisejících tvrzení napíšete hodně.
Uváděl jsem příklad nákupu na e-shopu. Když nakupujete na e-shopu, zajímá vás, jestli má sídlo v EU a pak se nákup řídí zákony ČR, nebo nemá sídlo v ČR a nákup se řídí bůhvíčím. Z toho pak plynou další věci, jako dvouletá záruka nebo 14denní lhůta na odstoupení od smlouvy, což jsou asi ty nejdůležitější věci. Je úplně jedno, jak je to v Kentucky, Delaware nebo jak vznikají firmy v Polsku.
Problém není v tom, že bych vaše příklady nechápal. Problém je v tom, že jsou ty příklady naprosto irelevantní. Pokud chcete něco ukazovat na příkladu Polska, ukazujte tu dvouletou záruku a čtrnáctidenní lhůtu na odstoupené od smlouvy, nebo ochranu osobních údajů. To jsou věci, které lidi reálně řeší při nákupu z e-shopu. Právní formu e-shopu nakupující fakt neřeší – a netvařte se pořád, že to nechápete.
Nemusel jste psat takovy sloh na dukaz meho tvrzeni o tom, ze neumite cist. Cele diskusni vlakno je primarne o certifikatech.
Zbytek je balast. Ale kdyz jjnak nedate - i nakupy v ramci EU se ridi nejen nadrazenou jurisdikci, ale rovnez zakony platnymi v miste provozovny. A i tam rozdily proste jsou - ono to neni jen o dvoulete zaruce, jak si to tu zjednodusujete. A zcela pomijite ten detail, ze tu zaruku uz nemusite mit po kom vymahat, ze? A kdyz, tak samozrejme primarne u polskeho soudu, ktery bude brat v potaz nejen vcelku obecnou unijni legislativu, ale prave i vsechny ty mistni pravni specifika. A na pravni entite, co v mezicase zanikne v souladu s polskym pravem proste nic nevysoudite. Bez ohledu na ty vase idealisticky teorie...
Cele diskusni vlakno je primarne o certifikatech.
Najednou jste si vzpomněl.
Spotřebitelská práva jsou v EU harmonizovaná směrnicí 2011/83/EU. To je pro kupujícího podstatné – nějaké nuance v oblastech, které mohou státy upravit dle svého, jsou nezajímavé v porovnání s tím, když budete nakupovat v USA nebo v Číně.
A zcela pomijite ten detail, ze tu zaruku uz nemusite mit po kom vymahat, ze?
Ano, správně jste napsal, že je to detail. Nepodstatný detail.
A na pravni entite, co v mezicase zanikne v souladu s polskym pravem proste nic nevysoudite.
Pochybuju o tom, že v Polsku může entita jen tak zaniknout a její závazky se prostě vypaří.
Každopádně neustále řešíte naprosto nepodstatné malichernosti a uniká vám podstata celé věci.
A kterypak clanek smernice 2011/83/EU nam rika, co se bude dit v situaci, kdy prodejce zanikne, aniz by mel pravniho nastupce? ;-) Nestydte se, uvedte konkretni paragraf. O tom tady celou dobu mluvime, mlho. Prodejce za sve zavazky odpovida jen dokud sam existuje. A zlikvidovat firmu ani v ceskem pravnim radu zas tak tezke neni, doporucuji lepe nastudovat treba takovy §2744 OZ :-) A zrovnatak si na takovem eserocku, co je v insolvecni si toho take moc nevezmete. Zeptejte se zakazniku z takoveho LevneELEKTRO.CZ :D A vcil mudrujte, jak takove veci probihaji v tom Polsku... ne, to jsou veci proti kterym vas zvyrazneni "evropskeho" certifikatu fakt nijak neochrani, pouze vyvola jakysi falesny pocit bezpeci - stejne jako to driv delaly EV certifikaty.
Pořád blábolíte hrozné nesmysly. eIDAS certifikáty nemají vyřešit všechny problémy světa, nezastaví globální změnu klimatu, neposílí vaši imunitu proti Covidu ani vám nepřipraví svačinu. To, že si něco koupíte, pak to potřebujete reklamovat a prodejna mezi tím zanikne, nastává i ve fyzickém světě u kamenných prodejen. Takže to zjevně nijak nesouvisí s internetem, tudíž ani s eIDAS certifikáty.
Zkuste se zamyslet nad důsledky toho, kdyby to fungovalo podle vaší představy, že právnická osoba, která má závazky, jednoduše zanikne a závazky zaniknou spolu s ní. Už jsem vám to výše naznačoval (dost explicitně), ale vám to zjevně stále nedošlo.
Nikoliv, na EV certifikatech jsme si jen dostatecne demonstrovali, ze nejake zvyraznovani jakekoliv specialni vlastnosti certifikatu je proste hloupost a nic opravdu uzitecneho to neprinese. A neni to zadny muj vymysl, k tomu dosla uz davno sirsi odborna komunita mj. kolem CA/B a nejaky hlupak a hispodsky kibic jako vy na tom nastesti nic nezmeni ;-) Jediny, kdo vola po nejakem zvyraznovani eIDAS certifikatu jste vy sam a v tom jste osamocen jako kul v plote. A navic si to ani nedokazete obhajit a zacinqte si vymyslet veci, co jsem nenapsal - kdyz uz kaztete o tech argumentacnich faulech, zamette si pred vlastnim pramem - a nekazte tu vodu, kdyz sam chlastate vino, blabolnicku :-)
Demonstrovali jsme si akorát to, že nechápete základy výrokové logiky. Konkrétně to, že tvrzení o existenci prvku s určitými vlastnostmi v množině nemůžete vyvrátit protipříkladem. Takže když tvrdím, že existují určité vlastnosti certifikátu, které by prohlížeč měl zobrazovat (já jsem nikde netvrdil, že je má zvýrazňovat), nemůžete to vyvrátit příkladem, kdy to smysl nedávalo. Stejně jako tvrzení, že existují lichá čísla, která nejsou prvočísla, nevyvrátíte příkladem čísla 13, které je liché a je prvočíslo.
Problém EV certifikátů byl v tom, že to byly jenom dražší OV certifikáty, bez nějaké přidané hodnoty. Pokud bylo ověřování OV certifikátů nedostatečné, měly se ověřovat tak, jako EV certifikáty. A pokud bylo dostatečné, nebyly EV certifikáty potřeba.
Nevymýšlím si žádné věci, které jste nenapsal. Není to potřeba, píšete takovou spoustu nesmyslů, že by bylo zhola zbytečné pokoušet se k nim přidat nějaké další.
Nikoliv, ta udajne pridana hodnota u EV certifikatu je ekvivalentni hodnote eIDAS certifikatu. V obou pripadech se jen overuje existence legalni entity. A ani vase xenofobni vyroky o Zimbabwe nevyvraci fakt, ze v ramci EU se jurisdikce co se vzniku a overovani existence legalnich entit dost lisi, takze i samotna mira zaruk zaruk je srovnatelna jak u eIDAS, tak i u EV certifikatu. Tu vasi xenofobii oprenou o to, ze subjekt registrovany v EU je udajne lepsiho nez organizace overena v Zimbabwe ci Nigerii spolehlive vyvraci treba i publicisticka tvorba verejnopravnich medii, ono prakticke vymahani tech vasich teoretickych prav velmi casto narazi, ze? :-) A ne, nejaka 3% rozlohy EU z pohledu celeho sveta z nas nedela nejake nadlidi, abyste tu prednasel o tom, jak jsou eIDAS certifikaty lepsejsi nez ty EV. Je to podobny paskvil, kdy si jen tvurci norem z ETSI jinak pojmenovali OID. Ale problemy popsane u EV tim, ze jinak pojmenujete OID fakt neodstranite.
Přidaná hodnota EV certifikátu oproti OV je v tom, že se ověřuje existence legální entity? Takže u OV certifikátů se neověřuje?
U eIDAS certifikátů se neověřuje jenom existence legální entity.
O tom, že je nějaký subjekt lepší, jsem já nenapsal ani čárku. Takže se zase ukázala vaše nedutost, kdy ostatní obviňujete na základě toho, že sám nerozumíte psanému textu.
Když argumentujete tím, že vymáhání spotřebitelských práv v EU často narazí, jistě máte srovnání s tím, jak se daří vymáhat spotřebitelská práva občanů EU třeba vůči čínským firmám. Nebo kolik příslibů z nigerijských dopisů bylo naplněno a jaký byl podíl případů, kdy se ukázalo, že šlo o podvod, a podvedený se úspěšně bránil u soudu.
eIDAS certifikáty jsou lepší než EV certifikáty. Ale ne proto, že by lidé žijící v EU byli nadlidi – to jste si opět vymyslel vy.
Co tady porad mumlate o OV certifikatech? ;-) Tady se bavime o tom, ze to vase prani nejak zvyraznovat eIDAS certifikaty je stejna blbost, jako kdyz se v minulosti zvyraznovaly EV certifikaty. Ale jako expert na teorie byste mohl vedet, ze u EV se tech atributu overovalo o par vice. A kdybyste u toho sveho mudrovani netrpel stareckou sklerozou, tak byste si mozna jeste vzpomel, ze prohlizece u tech EV certifikatu zobrazovali take zemi (aka prislusnou jurisdikci). I tak se od toho zvyraznovani z mnoha duvodu ustoupilo a vy to boharovne ignorujete, protoze si holt myslite, ze jste nejchytrejsi na svete a vsichni okolo jsou blbci :-)
Zbytek je vas balast, uz spotrebitele jste sem zatahnul vy sam ve snaze obhajit ten svuj periodicky opakovany nesmysl se zvyraznovanim eIDAS (EU) certifikatu. A rozhodne ten nesmysl neobhajite svymi xenofobnimi zvasty o nigerijcich nebo cinanech.
Vase snaha odvest debatu od podstaty tematu je sice dojemna, ale na to vam neskocim :-) A protoze jste zjevne take dyslektik, zkusim vam to zvyraznit... nejake zvyraznovani eIDAS (EU) certifikatu je nesmysl. Prosty a nerozvinuty nesmysl :-) Ale muzete zkusit vyrazit na CA/B forum a tam sve blaboly zkusit obhajit. I kdyz na to vy asi taky nemate... :D
11. 11. 2023, 20:15 editováno autorem komentáře
Ta starecka skleroza je obcas previt... :-) No jo, vek uz na to mate :D
Nepsal, rikate? Tak Vas odcituji...
Šlo mi o to, aby prohlížeče s „EU certifikáty“ zacházely podobně, jako kdysi zacházely s EV certifikáty – tedy zobrazily uživateli, že ten certifikát má nějakou speciální vlastnost. Určitě v detailu certifikátu, zda i přímo v adresním řádku si nejsem jistý.
Co tedy jineho je zobrazeni one pry "specialni" vlastnosti - tedy veci, co se drive delala i u EV? ;-) Vsimate si vubec, ze s OV jste se vytasil take az pozdeji? :D Dost se v tom placate, ale porad jste nedokazal obhajit, v cem ze jsou ty eIDAS v globalnim pohledu pry lepsi nez EV...
Ano, a kdeze jste to obhajil? ;-) Nevsimnul jsem si, ze by odborna sirsi komunita treba kolem CA/B vase blaboly prijala za sve, dokonce ani tady se nikdo za vas nepostavil. To, ze si vy ve sve virtualni realite myslite, ze jste neco obhajil ale neimplikuje, ze tomu tak skutecne je. Tak si dal zijte v tech svych bludech ;-)
Ja jim rozumim, ale virtualni jirsakova realita se dost lisi od stavu, ktery panuje v beznem svete :-) A v tom beznem svete dosla odborna komunita k tomu, ze co tu rikate je proste blbost... :D Vsimnete si, ze se tu bavime o tom, jak to vnima svet versus jak to vnimate jen vy sam, osamoceny jako kul v plote. Mozna bude problem v tom, ze pochopit delsi texty mate problem naopak vy a vystupy z CA/B fora jsou uz na vas opravdu slozita materie.
Opakovaně jste tvrdil, že chci nějaké certifikáty zvýrazňovat. Vzhledem k tomu, že jsem to nikde netvrdil, znamená to, že textům nerozumíte. Kdyby to, že jsem to netvrdil, byla virtuální realita, snadno odkážete na komentář, kde jsem tvrdil, že chci nějaké certifikáty zvýrazňovat. Jaké tedy máte vysvětlení pro to, že žádný takový můj komentář neexistuje a tudíž ho nemůžete odkázat?
Tak si znovu proctete, co za nesmysl jste sem napsal :-) Tocite diskuzi v kruhu, to je asi jedina vec, kterou umite. Tak znovu pro vase hnidopisse slovickareni - podobne zachazeni jako EV certifikaty je u EU/eIDAS certifikatu nesmysl. CA/B od toho nesmyslu v pripade EV ustoupilo, zatimco jisty hnup Jirsak by podobne nesmysly znovu zavadel ;-)
Cist zjevne neumite, takze znovu, treba to uz ted i s tou vasi dyslexii date - podobne zachazeni, tak jak navrhujete je nesmysl.
S tou vasi dyslexii je to horsi, nez si pripoustite - tak to zkusime jeste vic polopaticky - to co jste vyse napsal v prvnim odstavci je nesmysl.
Jaké tedy máte vysvětlení pro to, že žádný takový můj komentář neexistuje a tudíž ho nemůžete odkázat?
Napadají mne dvě možnosti, proč jste na tu otázku stále neodpověděl. Buď tu jednoduchou otázku nechápete a proto pořád píšete něco jiného, než odpověď na ni. Nebo ji chápete a víte, že pravdivá odpověď by zněla: „Opravdu jste nikde nenapsal nic o zvýrazňování eIDAS certifikátů, vymyslel jsem si to.“ Ale vy odmítáte přiznat, že jste napsal něco špatně.
Ja vam ale uz opakovane napsal, ze ve sve podstate cely vas odkazany komentar je nesmyl. To, co si vy si pod tim predstavujete je irelevantni, je to proste broken by design. Proste je to nesmysl, slepa cesta, nic vic. A diskutovat s hlupakem, co si nedokaze priznat fakt, ze vymyslel kravinu je skutecne uz jen ztrata casu :-)
12. 11. 2023, 14:06 editováno autorem komentáře
Tak toto by teoreticky melo resit DANE aka RFC 6698 s aktualizaci v RFC 7671, kdy si pomoci DNS dotazu overite otisk certifikatu. Melo by - implementace se zasekly na nezajmu a fakticky se to krome overovani certifikatu u SMTP nikde moc neuchytilo. Ono na druhou stranu se asi nejde divit - zvlast s trimesicni rotaci certifikatu musite kazde tri mesice aktualizovat i prislusny DNS zaznam (coz jde samozrejme s nejakym API zautomatizovat, ale uz je to uz prace navic a lidi jsou lini). A samozrejme podminkou nutnou u TLSA je implementovany DNSSEC... kteremu se mnozi zrovnatak vyhybaji jak cert krizi :-)
Pojistit si to clovek muze i CAA zaznamem - ale ten by jen mela kontrolovat CA pri vystavovani certifikatu, ale ten rozhodne neslouzi k validaci na strane klienta (to primo zapovida prozmenu RFC 6844, pozdeji nahrazene RFC 8659). V odkazanem pripade by ale nepomohl - kdyz legitimni certifikaty jsou od stejne CA - a nejspis v dobe incidentu nemeli v DNS ani implementovane extenze dle RFC 8657 (ktere na strane LE implementovali v prosinci 2022, tedy asi tri roky od vydani standardu) a k certifikatu se prislo nejspis z pohledu ACME protokolu "legitimne" tak, ze se udelal MITM na HTTP-01 validacni metodu a pouzili u toho primo IP adresu, kam ukazovalo DNS (kdy se chvili presmeroval traffic nekam jinam)... a ano, ACME je v tomto smeru snadno v "koncove" siti zranitelne (a neni to vada specificky LE).
Zajimave ale kazdopadne je, ze i po tomto popsanem incidentu (pokud primeme tezi, ze mohlo jit o lawful interception, nemecke zakony to viditelne umoznuji) tam ty servery stale stale zustavaji.... kdyz uz tri tydny o tom vedi. Clovek by cekal, ze si po takovem incidentu obratem zbali fidlatka a odnesou to cele nekam jinam.
A cimpak to ze jsou duveryhodnejsi? ;-) A jakpak zabezpecuji, ze vam nevydaji certifikat treba pro root.cz
? ;-) A opravdu je ten proces vydavani natolik spolehlivy, transparentni a robusni, ze nemuze napriklad pri zmene politicke situace dojit k tomu, ze vam tam ten certifikat z moci uredni nevydaji, aby mohli nerusene provadet MITM? Jen same otazky. A ano, choutky prolamovat soukromi skrze oslabovani sifrovani tu samozrejme ve jmenu jakehosi vyssiho dobra jsou uz taky dlouho. A befelem vnucena CA je samozrejme cesta.
Aneb vy uz jste zapomel, jakym zdrojem politickych afer je uz jen to, kdyz si nekdo drze jen dovoli pouzit sifrovany telefon? ;-) Zrovna politici jsou krasna ukazka toho, ze ochrana soukromi se deklarativne resi, jen kdyz se to hodi do kramu (da se z toho vtriskat nejaky politicky kapital). Zrovnatak to soukromi ochotne prolomi ze stejnych duvodu. A davat jim dalsi moc skrze CA, kterou muzou ovladat a tedy nekudy vstupovat do sifrovane komunikace skrze nejaka zadni vratka je proste hloupost. A nestaci to hodnotit jen ve svetle dnesnich zakonu, ty se muzou dost rychle zmenit - vsak historie podobnych zmen v neprospech obcanskych prav a svobod pamatuje uz take spoustu.
Když se musíte ptát na úplně základní otázky, asi byste se neměl pouštět do diskuse k danému tématu. Studium můžete začít třeba tím, že si nastudujete, že všechny certifikační autority, které získaly akreditaci v ČR, jsou soukromé společnosti. Když vás tolik trápí, že by nějaká certifikační autorita v prohlížeči mohla být pod vlivem státu, obraťte svou pozornost například na čínské certifikační autority.
Mozna byste se mel naucit rozlisit mezi stavem, kdy je v prohlizecich CA obsazena pote, co splni nejake kriteria a muze byt kdykoliv vyrazena, pokud nekde neco nesplni a stavem, kdy je pritomnost CA vynucena befelem (zakonem) a formalne ji prohlizec vyradit nemuze, i kdyby se v te CA staveli na hlavu.
A urcite mate bedlive prostudovane treba francouzske, italske, rumunske nebo i slovenske zakony (dost pochybuji, ze o tamni legislative neco vite) - protoze ono to neni jen o EU regulaci. Ono v tech narodnich transpozicich toho muze byt obsazeno ponekud vic, nez jen to co uklada zhora EU - a nazorne to doklada i zpusob transpozice NIS2 do ceskeho pravniho radu, ze? ;-)
Ostatne na problem upozornuje sirsi odborna komunita... a bagatelizuje to nejaky tuctovy java programator realizujici informacni systemy pro stat ;-) No, hadejte, co asi bude duveryhodnejsi a verohodnejsi zdroj. Spravne, vy to nejste - i kdyz se snazite tvarit, jak vsemu nejlepe rozumite.
Plácáte nesmysly.
O legislativě týkající se služeb vytvářejících důvěru a elektronické identifikace toho zjevně vím víc, než vy. To, že vy nevíte, co v této oblasti platí ve Francii, Itálii, Rumunsku nebo Slovensku je váš problém, ne můj.
V odkazovaném článku jsou dost podstatné nepřesnosti v oblasti práva. To, že někdo rozumí bezpečnosti po technické stránce, ještě neznamená, že se vyzná i v evropském právu. Např. certifikáty dle eIDASu nevystavují vlády, jak se i vy mylně domníváte, ale akreditované certifikační autority. Nebo kvalifikované elektronické podpisy nemusí uznávat jenom vlády EU, ale musí je uznávat všechny subjekty v EU.
Opět jste zjistil, že nemáte žádné argumenty, takže si místo toho vymýšlíte a pokoušíte se hloupě urážet.
Mate to vyse, CA fungujici striktne jen podle eIDASu neresi veci jako certificate transparency, coz je samo o sobe dulezity nezavisly kontrolni mechanismus. A explicitne se chce uredni cestou branit prohlizecum, aby podobne kriteria vynucovaly. Stejne jako se z pohledu metrik eIDASu nebude moc libit to, ze se platnost certifikatu zkracuje.
Nikde jsem nenapsal, ze certifikaty vystavuji primo vlady.... ale ty vlady tvori regulatorni ramec, ktery se v case muze menit. A ona certifikace/akreditace jen doklada, ze je dodrzena v dany cas platna litera zakona. Navic ona uz historie opakovane prokazala, ze jen "verit nejake akreditaci" proste nestaci... a ze jsou potreba i dalsi kontrolni mechanismy a nikoliv jen takove, ze se spoleha na nejaky urad, ktery da palec na to, ze je vsechno v cajku.
Bezpecnost v technicke rovine nejde stavet jen na tom, ze se vyda nejake lejstro bez moznosti dalsi (nezavisle) kontroly, cimz bezpochyby slepa duvera v nejake akreditace proste je. A ano, ta pravni rovina hraje svou roli - ostatne ruzne snahy o prolomeni uzivatelskeho sifrovani ve jmenu vymahani prava tu jsou, ze? A ano, muze ve sbirce vyjit zakon, ktery vas bude nutit vydavat vase privatni klice... stejne jako muze (v budoucnu) vyjit zakon, co akreditovanou CA donuti vystavit certifikat umoznujici MITM. A o tom spousta tech uznavanych expertu - jejichz postuj tu vy zpochybnujete - hovori.
A samozrejme muzete napochodovat s nazorem, ze sve privatni klice ochotne komukoliv vydate, protoze prece pred statni spravou nemate co skryvat... :-)
Teda chalani, kajde na to berete čas?
Jestli byste si to efektivněji, a bez osobního urážení, nevyříkali spíš na živo.
Dnes od 18: máme v Plzni pětatřicáté Pyvo.