Názory k článku StartSSL byl potichu koupen WoSign a přestěhován do Číny
-
hnusfialovej (neregistrovaný)
Btw, https://bugzilla.mozilla.org/show_bug.cgi?id=1293366
A jenom žvanit o tom budou ještě asi sto let, než něco udělají - jestli vůbec (ostatně, jak je jejich dobrým zvykem).
Odebral jsem z autorit WoSign i StartCom. Případný problémy při vstupu na nějakej web ať si vyžere hloupej admin, co StartCom použil, nezajímá mě to.
-
peci1Stříbrný podporovatelNapadlo vas, ze treba lidi delaji neziskovy projekty, u nichz zaplatit/nezaplatit 500 za certifikat je celkem podstatnej rozdil? Soukromy blogy atd? Chapu, ted prisel Let's Encrypt, ale ten tady pred rokem jeste nebyl. A ani ted ho nepodporuji vsechny webhostingy.
Navic admin si nic nevyzere - on se jaksi nedozvi, ze jste kvuli vasemu rozhodnuti mel problem s pristupem na jeho web.
-
tetris (neregistrovaný)
Autor patrně myslel, že půjde pryč, server nenavštíví, a bude mu to jedno. Že se to admin možná nedozví, je mu jaksi taky jedno (logicky).
Že admin nesleduje ani občas dění ohledně IT (a nebo je mu bezpečnost uživatelů a návštěvníků i třeba u zadele), opravdu není problém uživatele/návštěvníka...
A konkurence (i v neziskovkách) je mraky... -
Palo M. (neregistrovaný)
Ale tu predsa ide o doveru. Majitel dvoch certifikacnych autorit na relevantne otazky odpoveda stylom "Vas do toho nic, su to moje sukromne veci". Zmysluplna odpoved browserov (celej verejnosti) by mala byt "Nech sa paci, uzivaj si svoj sukromny majetok, ale kvoli netransparentnosti sa tie tvoje autority stali absolutne nedoveryhodne, boli vyhodene zo zoznamov doveryhodnych, a v buducnosti akekolvek autority, o ktorych sa dozvieme ze su na teba akokolvek napojene, budu okamzite vyhodene zo zoznamu tiez. Ty si skratka v CA oblasti skoncil. A zelame ti pekny den".
Ked ma byt system naozaj zalozeny na dovere, tak akonahle niekto tu doveru strati, tak musi skoncit okamzite a nadobro. Inak ten system nebude nikdy funkcny.
-
hnusfialovej (neregistrovaný)
Přesně tak. A uvidíme, jestli na to má Mozilla koule.
https://wiki.mozilla.org/CA:WoSign_Issues
(mno, wiki o tom zakládat uměj, teď ještě to zásadní a základní: činy)Třeba takovej MSIE tam WoSign nemá (nechce se mi hledat, jestli ji tam nikdy neměl, nebo kdy ji odstranil), ale StartCom ano.
A protože MSIE i Chrome (narozdíl od Firefoxu) používají úložiště OS, tak především pokud je na PC více uživatelů, nejlepší je jako admin jít do mmc konzole, add-in Certifikáty, a tam je zakázat pro jakýkoliv účel.
Ve Firefoxu navíc pozor na zvláštnost jeho chování, kdy po odebrání daných CA se tam po restartu objeví znovu, nicméně právě se zakázanými všemi účely (což je trochu chování na hlavu - když chci nějakou CA smazat, znamená to, že ji chci smazat).
-
hnusfialovej (neregistrovaný)
Ano, v Mozille jsou "vtipálci". Udělaj tlačítko, a dělaj, jako že dělá něco jinýho, než dělá (a "vtipně" text na tlačítku dají jako "Delete or..."). Funkci ve zdrojáku pojmenujou "vtipně" "deleteCerts()", a ta dělá to, že z GUI stromu danou položku (do restartu Firefoxu) smaže, aby uživatel získal pocit, že je s CA v úložišti nadobro konec.
Pro MSIE a Chrome (a budoucí shnilý CA) je řešení i vypnout update certifikátů:
http://technet.microsoft.com/en-us/library/cc734054(WS.10).aspx -
lol (neregistrovaný)
zmaze, po restarte je spat, ale v trust setting su vypnute vsetky 3 moznosti (websites, mail users a software makers). Dava to zmysel - ak by ich zmazal, tak po update firefoxu by sa ti tam nasrali spat. Takto su vypnute. Preto mi na FF https://www.root.cz hlasi:
Your connection is not secure
The owner of www.root.cz has configured their website improperly. To protect your information from being stolen, Firefox has not connected to this website.
-
@lol (neregistrovaný) ---.jic.cz
zmaze, po restarte je spat, ale v trust setting su vypnute vsetky 3 moznosti...Ano, je to přesně tak, jak píše tady kolega.
Po tom "delete" to ze seznamu certifikátů zmizí, ale po restartu ff se to v tom seznamu objeví znova.
Ale s tím, že v tom "podrobnějším seznamu jednotivých vlastností" (u mne Edit trust settings) jsou všechny možnosti už NEpovoleny.Asi by se měli soudruzi z ff zamyslet nad tím, zda to GUI (minimálně popisy) v tom Certificate Manageru nepřekopat, ať to není tak zavádějící*.
Přeci jen, otázka "Are you sure you want to delete or distrust" bez toho, abych si někde skutečně vybíral, zda chci "delete", nebo jen "distrust" a na výběr jsou jen tlačítka OK a Cancel...
A jak už tu mnozí zmiňovali, ty vybrané certifikáty ze seznamu opravdu zmizí, aby se tam po restartu zase objevily, to opravdu jednoho vyděsí/nas.../... a začne si říkat OMG, OMG, ...*Eufeminismus. ;-).
-
Filip JirsákStříbrný podporovatelNad překopáním GUI certificate manageru už se přemýšlí a ještě dlouho se o tom přemýšlet bude. Přičemž to matoucí skrývání certifikátů a to, že se v seznamu nezobrazuje důvěryhodnost certifikátů, jsou jen „kosmetické“ vady, na funkci to nemá vliv. Horší je, že nedůvěryhodným intermediate certifikátům Firefox stejně důvěřuje, pokud jsou podepsané důvěryhodnou certifikační autoritou – což už na funkci vliv má. Ale prý to není bezpečnostní problém, protože to bylo několikrát vysvětleno v newsgroups.
-
Rhinox (neregistrovaný)
Tak to je peknej seznam! Se divim, ze po tom vsem jeste nebyl root-certifikat WoSign vyhozen alespon z Mozilly a Chrome!
Jenze jak tak koukam, problem s cross-signed certifikaty je vetsi. WoSign ma doted podepsan certifikat taky pres "Asseco Data Systems" (?) a Comodo (taky slusnej oddil)...
-
Karel (neregistrovaný)
"když chci nějakou CA smazat, znamená to, že ji chci smazat"
To je dáno tím, že potřebujete nějak uchovat informaci o tom, že jste ji smazal. Bez toho by program nedokázal rozpoznat, zda vám chybí proto, že ji nechcete, nebo proto, že se něco pokazilo, případně proto, že je to nová CA. Prostě pro program chcete nechat informaci typu "tahle CA je úmyslně smazaná, už mi ji nestahuj".
-
ebik (neregistrovaný)
Melo by tam byt prepinadlo. V poloze "spravovat automaticky", ktere se chova tak jak jste popsal. Ale je tu dost lidi (paranoiku), ktere by ho chtelo v poloze "spravovat rucne", tedy v principu neveri novym CA, a chteji aby jim browser/system pouze oznamil, ze ma nove CA, a zeptal se jich, zda si jim preji verit, nebo ne. A bylo by dobre aby dialog umel na pozadani skryt/odkryt CA, kterym neduverujeme vubec.
-
nobody (neregistrovaný)
myslils to vazne? :-D tak treba databaze seznamu certifikatu, po smazani by byl ponechan radek pro smazanej cert se stav=smazano_rucne... zaznam by mohl obsahovat i informaci jestli je mozne obnovit pri aktualizaci, nebo ponechat smazane, na coz by logicky byl uzovatel dotazan pri smazani "chcete v pripade aktualizovaneho certifikatu tento nainstalovat: ano/ne/dotazat_se"...
-
Filip JirsákStříbrný podporovatel
Jaký je rozdíl mezi ponecháním certifikátu v databázi se stavem „smazáno ručně“ a ponecháním certifikátu databázi se třemi příznaky „nedůvěřovat pro ověření webu, nedůvěřovat pro ověření software, nedůvěřovat pro ověření uživatele“? Tedy kromě toho, že to druhé má větší granularitu a umožňuje rozlišovat různé způsoby užití certifikátu.
-
Issued To
Common Name (CN): *.root.cz
Organization: Internet Info, s.r.o.
...
Issued By
Common Name (CN): StartCom Class 3 Primary Intermediate Server CA
Organization: StartCom Ltd.:-D :-D :-D
Což mimochodem znamené, že po delete certifikátů těch dvou se mi rozpadl web root-a.
S addonem "https everywhere".Tristní.
-
lol (neregistrovaný)
Presne :-D
Certificate Error on https://www.root.cz
There are issues with the site's certificate chain (net::ERR_CERT_REVOKED). -
Zajimave bude, pokud se podari opravdu prokazat prez Quino 360 spojeni s Opera Software. Casto pouzivany VPN poskytovatel (Opera VPN) a zaroven certifikacni autorita a oboji pod kontrolou jedne "pochybne" spolecnosti je dost nebezpecna zalezitost. Ja osobne porad premejslel proc do Opery pridali tu VPN a kde je tam nejaky zpusob financovani...
-
Me nejvic stve, ze vsichni o tom vi a stejne jsou oba certifikaty duveryhodne. Po zjisteni takoveho problemu meli byt oba certifikaty bezodkladne vyhozeny ze vsech prohlizecu. Certifikacni autorita, ktera je jako vychozi v prohlizecich by nejen mela splnovat nejake standardy a zaroven by melo byt vedet kdo ji vlastni a melo by to byt transparentni. Opravdu by me zajimalo, co maji cinani za luben. Mam takovy pocit, ze prave chteji ty certifikaty zneuzit pro sledovani a podvrhovani stranek.
-
peter (neregistrovaný)
A proc by nemeli byt duveryhodne? Kde je presunkce neviny? Dokaz, ze se jim neda verit.
Ze se tam objevila chyba? Dyt to opravili, ne?
Vzdyt prece, kdyz slusujete 2 spolecnosti, tak nez se sladi systemy, tak to chvili trva. A byt majitel, tak jsem z toho pekne nervozni a podrazdeny a nemam vubec naladu resit hloupe dotazy nez bude vsechno v cajku.Proste, dejte jim cas.
Hele, a vas treba nezajima, ktere ty certifikaty ma pod palcem NSA, FBI, Rusove? To je tak tezke koupit rozjetou firmu? Nebo tajne zalozit a financovat z NSA? Pripadne si to vsechno kamufluje sama zeme a na venek rika neco jineho. Takze, kdyz to cina dela taky, tak je to hrozne spatne?
Ja mit velkou firmu a vidim funkcni projekt, take radeji koupim funkci reseni nez se placat s vyvojem.
-
Filip JirsákStříbrný podporovatel
Problém nebyla jedna softwarová chyba při slučování firem. Těch problémů bylo několik při vydávání certifikátů, které se slučování firem nijak nesouvisí – vydali certifikáty, která by vydat neměli. Navíc nedodrželi postupy, ke kterým se zavázali – přičemž dodržování závazných postupů je prakticky to jediné, co činí certifikační autoritu důvěryhodnou. A aby toho nebylo málo, dosud nezneplatnili certifikáty, o kterých vědí, že byly vydány, aniž by žadatel prokázal držení domény. I když by někdo věřil, že ty předchozí chyby opravili, tahle poslední pořád trvá a nezdá se, že by ji WoSign chtěl napravit.
A k té presumpci neviny – současný koncept certifikačních autorit stojí a padá s tím, že důvěřujete všem certifikačním autoritám, jejichž certifikát máte v úložišti certifikátů. Nebo-li celý ten systém je tak silný, jak silná je nejslabší certifikační autorita. Přičemž ta důvěryhodnost CA je daná především tím, jak dodržuje dané postupy. Takže není potřeba žádný důkaz, že se jim nedá věřit – naopak CA musí na začátku přesvědčit, že se jí věřit dá, a pak v tom musí pokračovat. WoSign udělala tolik průšvihů, že by měla celým kolečkem zařazení mezi důvěryhodné certifikační autority projít znova od začátku.
-
Ivan (neregistrovaný)
Ja jsem koupil certifikat tady: http://www.certum.eu/. Sice jeho cn: zacina "Open Source Developer Ivan ",
ale je validni a byl levny. -
lol (neregistrovaný)
DV a OV su len ine verifikacne modely a OV nie je ani teoreticky bezpecnejsi. Pri tych problemoch ktore su - ze staci jedna "doveryhodna certifikacna autorita" ktora dokaze vystavenim bogus certifikatu otravit cely system dovery... by som sa uz necudoval ani wosignom vystavenemu EV certifikatu nejakej tretej strane. Cely model je zly a dufam ze LetsEncrypt je zaciatok konca CA
-
tewy (neregistrovaný)
A kdy prestane pouzivat startssl certifikat https://www.nic.cz ?
-
dave (neregistrovaný)
Ono se snadno mluví o tom, že by teď měly všechny prohlížeče ihned přestat podporovat StartSSL certifikáty a z bezpečnostního hlediska je to vcelku logické a rozumné řešení ale provést něco takového není jen tak.
Pokud prohlížeč přestane podporovat certifikáty umístěné na velkém množství webů, řekl bych že dost uživatelů (běžných, ne návštěvníků Rootu) bude házet vinu právě na prohlížeč. Ne na pochybnou autoritu a potažmo majitele webu který její certifikáty používá. A těžko bude někdo vysvětlovat běžnému člověku, který o internetu neví skoro nic, že je to vlastně v jeho zájmu. Toho bude spíše zajímat to, že v jiném prohlížeči (např. třeba v té Opeře, když už o ní byla v článku řeč) web s takovým certifikátem funguje bez problému.
A pro ty, kteří StartSSL certifikáty používají to také nebude nic příjemného. Např. třeba z finanční stránky - neomezené množství různých certifikátů (různé kombinace domén, wildcard, ..) vyjdou u StartSSL na zhruba $100 za +- 3 roky za placené validace osoby a firmy. U jiných autorit mohou stejné certifikáty stát třeba i víc než 100x tolik. A to už není úplně málo.
Let's encrypt je sice hezký nápad ale zdaleka se nehodí pro všechno, např. třeba kvůli absenci wildcard nebo kvůli krátké platnosti LE certifikátů.
Všichni bychom si hlavně měli uvědomit, že systém certifikačních autorit je úplně postavený na hlavu a jediný kdo z něj něco má jsou certifikační autority. A přitom tu už takovou dobu máme DANE, který spolu s DNSSEC zajistí velice smysluplnou ochranu. Je škoda že to ještě nikdo pořádně nepodporuje.
-
j (neregistrovaný)
Nikoli, ukazuje se jen to, ze celej system CA vzdycky byl a je naprosto khovnu. Viz vejs, browser by mel proste akceptovat bez kecu cokoli, a tam kde chces resit bezpecnost ti to umoznit. V soucasnym stavu, pokud by sis chtel jakous takous bezpecnost zajistit, tak musis (libovolnej) browser zcela zasadne prekopat ... a pak predevsim vypnout veskery aktualizace jak browseru tak systemu.
-
Lael Ophir (neregistrovaný)
Nově objevené chyby se většinou týkají i starých verzí. Pokud máte neaktualizovaný browser, po roce bude mít nejspíš stovky známých zranitelností. Naproti tomu aktuální verze bude mít známých zranitelností nula (plus ty které se právě opravují a typicky nejsou veřejně známé).
-
Vratislav (neregistrovaný)
To je mi náhoda. Zrovna jsme s jistým projektem v situaci, kdy pro něj potřebujeme levný wildcard certifikát (hehe, zaplatili jsme si před časem wildcard StartSSL, ale teď ho obnovovat určitě nebudeme :-) ). Nebo alternativně certifikát na cca 50 subdomén s možností čas od času, ale celkem operativně (třeba do 3 dnů), tam nějakou subdoménu bez velkého crcání přidat či odebrat.
Poradíte? Na ceně dost záleží, protože wildcard za cenu kolem $60 se už do toho investovat už nevyplatí, projekt nenese zisk, ale nechceme ho zrušit.
(A prosím, odpusťte si hejt ohledně špatné volby technologie, že na nevydělávající projekt potřebujeme wildcard certifikát. Jasně, že je to vlastně blbost, ale takhle jsme mohli snadno adaptovat fungující věc, která zrovna dost dobře plnila naše požadavky. Na původním nasazení to jelo v o dva řády větším rozsahu, tak tam se jim to asi vyplatilo..)
ČLÁNKY DO MAILU