Názor k článku Protokoly chránící proti nedůsledným a nebezpečným CA od Ondrej Mikle - V Certificate Patrol lze zaskrtnout, aby se pro...

  • Článek je starý, nové názory již nelze přidávat.
  • 16. 2. 2012 16:13

    Ondrej Mikle (neregistrovaný)

    V Certificate Patrol lze zaskrtnout, aby se pro site x.y.z hlasily zmeny jen kdyz se zmeni CA.

    CDN sluzby s mnoha certifikaty jsou realitou. Ale je nutne si uvedomit, ze je lepsi pro vicero stroju mit vicero certifikatu s ruznymi klici, protoze napadeni jednoho stroje pak "nezbori" celou CDN. Proste sdileni klicu az na nejake vzacne pripady neni dobry napad.

    Google treba pouziva snad uz jen jednu stejnou sadu certifikatu pro *.gstatic.com, *.google.com, *.youtube.com, meni se jenom klice a doba platnosti.

    BTW udelat zmenu do Certificate Patrol, aby se choval vice jako Convergence (tj. nehlasil uz odsouhlasene certifikaty) by nemelo byt az tak tezky. Ale nenasel jsem zatim cas to prepsat (a k javascriptu vzdy pristupuji jenom v HAZMAT obleku :-))

    Nebo by slo do Certificate Patrol doimplementovat "pinning" podle klicu (to by bylo mirne narocnejsi, ale porad to jde nakodit bez zasadnich problemu).