Vlákno názorů k článku Postřehy z bezpečnosti: vždyť tam byla ta zelená ikonka od Petr M - Jestli on není problém s tím, že se...
-
Petr M (neregistrovaný)
Jestli on není problém s tím, že se míchá šifrování, autentizace a garance obsahu. CA na webu totiž nedávají smysl. Klíče a identifikace vlastníka webu a ochrana před fake serverem by se měla primárně řešit na úrovni DNS.
Obsah nemůže nikdy nikdo garantovat, ale technologicky není problém zajistit, aby
- zařízení nekomunikovalo s falešným serverem
- aby registrátor věděl, kdo je za danou doménu (trestně) zodpovědný a v případě problému se o tuto informaci podělil
- aby DNS při hledání serveru dostalo informaci, že je doména v nepořádku
- aby se TLD, kde registrátor neví, komu prodává domény, nebo nerespektuje pravidla, dostaly na black list a browser preventivně varoval uživatele
- aby registrátor automaticky generoval šifrovací klíče pro každou doménu a připnul je k DNS
- aby skončili příživníci, co jenom vydávají šifrovací klíče a za nic neručí -
j (neregistrovaný)
ehm ....
1) japa zarizeni pozna falesny server?
2) jj, takze zablokujem vsechny TLD ... pripadne si domenu budes chodit kupovat osobne ... a von ti ji vubec nekoupi nejakej bezdomac kterymu koupis pivo.
3) jo, to bude jiste bezpecny, kdyz bude klice generovat nejakej registrator ... lol a to nemluvim o tom, ze jaksi algoritmu mame stovky, a protokolu tisice ... -
Petr M (neregistrovaný)
1) Falešný server nezná soukromý klíč toho pravýho -> komunikace nedává smysl -> spojení nefunguje.
2) U nás když chceš doménu, tak musíš použít MojeID. Když to umí cz.nic, proč to neumí/nedokážou použít ostatní? A proč browser místo CA nemůže mít seznam "anonymních" domén?
3) Generování klíče, to je jeden řádek ve skriptu. Vygenerovat nebo zneplatnit klíč se dá i online na webu registrátora. Proti přihlášení ověřeným ID, samozřejmě. Pak si soukromý klíč schováš, veřejný klíč připneš k DNS a hotovo.A bylo by zaručeno, že tohle je opravdu server Božky Blažkové, na kterou je registrovaná doména. Když bude dělat lumpárny, dá se Božka dohledat .
-
lojzak (neregistrovaný)
@Petr M
1) Nějakým způsobem musíš dát vědět uživateli (resp. jeho browseru), že určitý klíč je pro danou doménu "správny". A to lze udělat třemi způsoby: Pomocí garance CA, pomocí DNS (nepoužívá se, DNSSEC se navaliduje na koncových stanicích) nebo ručně (dokáźeš si představit, že si půjdeš do sídla Google nechat potvrdit správnost jejich veřejného klíče?).
2) Ne nemusíš mít MojeID a i když bys ho musel mít, tak nikde není dáno, že si musíš nechat potvrdit totožnost.
Naproti tomu, když CA vystavuje OV nebo EV certifikát tak musí ověřit tvoji totožnost (bohužel se to tak často neděje).3) Kdyby to bylo tak jednoduché, jak říkáš, dávno by se to používalo. K tomu, aby to fungovalo, jak píšeš, je potřeba DNSSEC. No a jsme u problému. I kdyby DNSSEC fungovalo u všech ISP perfektně, jako že nefunguje, tak stejně budeš řešit problémy s důvěrou v předanou opověď. DNSSEC je totiž validováno na rekurzivním DNS serveru, který sis nastavil. Potud v pořádku. Jenomže komunikace mezi rekurzivním DNS a tvým počítačem už nijak zabezpečena není, kdokoli na lince může odpovědi podvrhnout.
Možná řešení jsou dvě: Zabezpečit linku mezi rekurzivním DNS a tvým počítačem (IPSec, DNS over TLS) s tím, že danému rekurzivnímu DNS budeš bezmezně důvěřovat a nebo ideálně validovat DNSSEC přímo na tvém počítači.
Víme, jak se to má s IPSec a navíc tam jsou stejně potřeba certifikáty. DNS over TLS snad není nikde implementované a také jsou tam nutné certifikáty.
Validace DNSSEC na lokálním počítači operační systémy neumí, je potřeba extra aplikaci a má to nezanedbatelný dopad na výkon.
ČLÁNKY DO MAILU