Názory k článku Záznam CAA spáruje doménu a autoritu, kontrolován bude od září
-
jv. (neregistrovaný)
>> Pokud by zde byla jednička, nesmí autorita certifikát vydat, pokud by danému záznamu nerozuměla.
https://community.letsencrypt.org/t/caa-setup-for-lets-encrypt/9893
Zde píší, že platí jen 0 a 128, ostatní čísla budou ignorována. -
Ondřej CaletkaZlatý podporovatelNavrhněte prosím, jak explicitněji to ještě mělo být uvedeno. Teď je tam uvedeno toto:
Note that according to the conventions set out in [RFC1035], bit 0 is the Most Significant Bit and bit 7 is the Least Significant Bit. Thus, the Flags value 1 means that bit 7 is set while a value of 128 means that bit 0 is set according to this convention.
-
Ondřej CaletkaZlatý podporovatel
No nevím, jestli někdo, kdo nedokáže pochopit pojmy Least Significant Bit a Most Significant Bit bude rozumět pojmům Little Endian a Big Endian. Nehledě na to, že tyhle pojmy se používají spíše pro označení pořadí bytů ve slovech, než pro označení pořadí bitů v bytu.
-
NULL (neregistrovaný)
"Provozovatel domény pomocí tohoto záznamu v DNS určí, které autority jsou oprávněny certifikát pro danou doménu vystavovat. Kontrola tohoto záznamu je pro autoritu zatím dobrovolná, ale jde o jakousi pojistku navíc, protože chrání autoritu před chybným vystavením certifikátu."
A co kdyz to bude u stejne autority?
-
j (neregistrovaný)
Neunika ti nic ... zabrani ti znacka (50) profrcet ten usek kilo? Nezabrani ... tohle funguje stejne.
A psat nekde ze neco co je nekde v nejakym RFC nekdo MUSI ... megalol ...
Kdyby vsem slo o to blaho a bezpeci ... tak by vyslo RFC, ze browser ani zadna dalsi aplikace nesmi ve vychozim stavu obsahovat ZADNOU CA ... ze musi akceptovat bez kecu libovolnej cert protistrany, a ze kecy muze mit az v pripade, ze si bud nekde neco ulozi uzivatel nebo existuje dane ...
Vis co je prca? Pravidelne resim s ruznejma obchodnima partnerama vsemoznou komunikaci na tema objednavky .... a prevazne se to resi na https ... vsichni bez vyjimek zcela vzdy vypinaji jakoukoli validaci certifikatu, protoze to veci tak maximalne rozbiji. Ostatne, neni to tak dlouho co zakaznik aktualizoval phpcko ... a neco mu prestalo fungovat ... nacez se zjistilo, ze ponovu je potreba prave tu validaci explicitne vypnout (jelikoz a protoze na nejaky importy CA a jejich udrzovani se muze kazdej krajcvajc ...).
-
Lol Phirae (neregistrovaný)
Tohle "řeší" jen to, že si budeš teoreticky moct omezit okruh CA, které tě eventuálně vypečou. Prakticky to samozřejmě je k ničemu, poněvadž technicky nic nebrání těm zbylým "zakázaným" CA ten certifikát vydat stejně, a klient nic nepozná a navíc to ověřovat ani nesmí.
Teoreticky samozřejmě se do těch záznamů dají nacpat kraviny typu (viz odkazované RFC)
CAA 0 issue "ca.example.net; account=123456"
přičemž ten account by (třeba) podle politiky CA měl být ten jeden jediný správný, ze kterého by o ten certifikát mohl někdo požádat. Prakticky to samozřejmě nikdo nezaručí. Ze stejného soudku (bezcenná šaškárna) je pak ten tag "iodef" (viz 5.4).
-
NULL (neregistrovaný)
@Lol Phirae @j
No, tak jsem to prve pochopil správně. "Nechápu" ale, proč se řeší kam strčit další cert nebo nějaké info o něm, když ty problémy jsou přece někde jinde?
1. problém: CA se nedá věřit, resp. není systém vydávání certifikátů natolik robustní, aby si nemohl vydat kdokoliv cokoliv za kohokoliv a celé to stojí jenom na dobrém slovu.
2. Jak zaručit první request (třeba na bankovnictví), aby někdo nepodvrhl cert po ceste za svůj, tzn už při prvním erquestu musí být cert "ověřený"To jsou dva problémy, které na sobě v současné podobě závisí - kdyby se odstranil jeden z nich nebo oba, tak je vše vyřešeno - a kolem nich se to celé ty roky točí a pořád někdo cpe někam nějaký záznam, jeden nahoru, druhý dolů, třetí doprostřed, jiný zase vlevo doprostřed, ale zase tím vznikne někdo (zas nějaká jiná CA BLA BLA . . . ) kdo bude někde ručit tak akorát hezkým úsměvem . . . .
-
Lol Phirae (neregistrovaný)
No rozuměj, když jako obchodník s deštěm léta účtuješ stovky/tisíce dolarů za kus a máš z toho zlatý důl, zatímco začíná být čím dál tím víc jasné, že jsi podvodník, tak si musíš vylepšit pyj-ár a předstírat nějakou "bohulibou" činnost. Jako že teda sice je to na houby a vylejzá na tebe jeden průser za druhým, ale soudruzi, my přece usilovně pracujeme na tom, aby se to zlepšilo. Podívejte, třeba tuhle dvoumetrovou jámu ve zdi jsme schovali za krásný velký květináč a zavazujem se, že tu palmu v něm budem pravidelně zalejvat, aby nechcípla a tu díru nebylo vidět. :-D
-
hugochavez (neregistrovaný)
@NULL
"CA se nedá věřit, resp. není systém vydávání certifikátů natolik robustní, aby si nemohl vydat kdokoliv cokoliv za kohokoliv a celé to stojí jenom na dobrém slovu"Gratuluju!
Prave si uplne presne shrnul problematiku PKI do jedny vety! :o))
Mam tip! Posli tu vetu do Wikipedie at to daj jako definici pod heslo CA/PKI.
Protoze tohle by mohli pochopit i BFU :o))) -
j (neregistrovaný)
Neboli dalsi nesmyslna hovadarna do zcela nefunkcniho systemu ... lol
Mno hlavne aby nedej boze dns neobsahovalo rovnou certifikaty ... zejo ,,, to by si nekdo moh vsimnout, ze zadnou CA nanic nepotrebuje. A hlavne ... vsechny ty podvrzeny certifikaty byly samozrejme zcela vzdycky vydany "omylem", jak jinak ... megalol ...
-
Ondřej CaletkaZlatý podporovatel
Myslíte, že vydavatelé doméových jmen jsou důvěryhodotnější než CA?
Vzhledem k tomu, že vydavatelem doménového jména může být každý sám a může volit z více na sobě zcela nezávislých registrů, pak nepochybně ano. Pokud tedy nepodlehnete paranoidní přestavě, že jsou cinknuté kořenové klíče.
A i pokud by kořenové klíče kompromitované byly, je otázka prvního průšvihu, aby se přešlo na nějaký více decentralizovaný systém.
-
martin (neregistrovaný)
Pokud nekdo hackne CA tak, ze si muze vydavat certifikaty jak chce, dana CA obvykle skonci, nebo alespon bude mit vazne potize.
Pokud by nekdo obdobne hacknul DNS registratora a psal si do DNS co chce, dany DNS registrator s tim zadne obdobne vazne potize mit nemusi.
DNSSEC vam az tolik nepomuze, kdyz ho vas registrator muze pro vas zmenit. -
hugochavez (neregistrovaný)
@caletka
"A i pokud by kořenové klíče kompromitované byly, je otázka prvního průšvihu, aby se přešlo na nějaký více decentralizovaný systém."blockchain? a vkladat udaje tam?
nebo tohle??
https://en.wikipedia.org/wiki/Namecoin+verejnej klic domeny do DNS + posychrovat to pres https://en.wikipedia.org/wiki/DNSCrypt
(DNScurve)ono pokud by se rozsiril koncept IPFS tak by se to skoro vyresilo samo= tam je verejnej klic soucasti "adresy"
-
j (neregistrovaný)
Jo ... fakt? A jakej je asi tak rozdil mezi tim, ze mi na zaklade nejakyho zaznamu v DNS vyda LE nejakej cert ... vs si ho vydam sam a napisu do DNS ? To by me fakt zajimalo ...
Zeby ten rozdil byl vyhradne v tom, ze LE (a kdokoli jinej samo) muze cert pro moji domenu vydat komukoli dalsimu?
-
Filip JirsákStříbrný podporovatelMyslíte, že vydavatelé doméových jmen jsou důvěryhodotnější než CA?
V případě DV certifikátů musíte důvěřovat CA i DNS registrátorovi. Když používáte DNS, nemůžete docílit větší důvěryhodnosti, než je důvěryhodnost registrátora DNS. Pokud chcete větší bezpečnost, musíte použít něco na DNS nezávislého (třeba OV/EV certifikáty a ověřovat nejen DNS název, ale i jméno subjektu). -
Filip JirsákStříbrný podporovatel
V pripade DV certifikatu nemusite duverovat DNS.
Musíte. Certifikační autorita ověřuje DV certifikát právě přes DNS. A i kdyby měla CA přímý kanál k DNS registrátorovi a obcházela DNS, pořád je to postavené na důvěře v toho DNS registrátora. Jinak to ani nejde, protože DNS registrátor ta jména definuje, takže nemůže být nikdo důvěryhodnější nad ním. -
j (neregistrovaný)
Jasne, takze dalsi tupec ktere nema paru o tom jak veci fungujou ... LE vydava certifikat na zaklade zaznamu v DNS nebo na zaklade souboru na webu ... a tam si zcela jiste ten, kdo ovlada DNS v zadnym priapde nemuze vystavit co chce ... boze i taci sem lezou ...
2Jirsak: OV/EV ti sou k hovnu naprosto stejne. Tvuj browser NEVI a vedet NEMUZE, jestli ma web pouzivat ten ci onen typ certifikatu a akceptuje naprosto cokoli na zaklade toho, ze ti nekdo pridal nejakou CA mezi duverhodny. Navic s tim overovanim je to presne stejne zhavy jako u cehokoli jinyho. Jen za to vysolis nejaky $$$.
-
hugochavez (neregistrovaný)
@j
RE Jirsak --> https://www.youtube.com/watch?v=XDJEPjvbbs4
:o))) -
Jak kteří a jak kde. Například tady v .au, kdo si chce zaregistrovat doménu pod .com.au musí předložit ABN (tj. IČO). Každá taková doména tak má dohledatelný odkaz do obchodního rejstříku a zbytek už dokáže garantovat DNSSEC. Nevím, jak je to v jiných zemích, ale předpokládám, že v mnoha TLD nebo sub-TLD to bude podobné. Kdyby to prohlížeče uměly kontrolovat, tak by se člověk v tomto případě bez CA naprosto obešel.
-
hugochavez (neregistrovaný)
@klokan
no vidis vy tam v AUS s tim delate takovy onanie a pak prijde nejaka cinska baaba a vyda ti za par stribrnych platnej cert na tu samou domenu.... :o)))
A tvuj browser si bude rochnit jakej tam ma hezkej zelenej zamecek zatimco lezes na nejakou cinskou phishing banku :o)))))))))) a vo tom cela ta PKI je."Kdyby to prohlížeče uměly kontrolovat, tak by se člověk v tomto případě bez CA naprosto obešel"
Tak tohle soudruhu neni vubec spravny pristup! Vis kolik soudruhu by prislo o vejvar??
Tak takhle rozhodne ne soudruzi!PS: osobne by me neprekvapilo kdyby se provalilo ze vyrobci browseru dostavaj nejaky "desatky" od samotnych CA...............protoze to co se nekdy deje fuckt zdravym rozumem pochopit nejde.
-
"A tvuj browser si bude rochnit jakej tam ma hezkej zelenej zamecek zatimco lezes na nejakou cinskou phishing banku :o)))))))))) a vo tom cela ta PKI je."
No takže konkrétně, co garantuje např. takový Letsencrypt (kterému mimochodem fandím)? Jenom to, že žadatel o certifikát má momentálně IP v dané doméně. Takže fakt nevím, proč by za identitu provozovatele služby nemohl ručit rovnou registrátor, bylo by to jednodušší a asi i důvěryhodnější.
"PS: osobne by me neprekvapilo kdyby se provalilo ze vyrobci browseru dostavaj nejaky "desatky" od samotnych CA...............protoze to co se nekdy deje fuckt zdravym rozumem pochopit nejde."
To mě nenapadlo, ale když se to tak vezme, prohlížeče si běžně nechávají platit za to, že nějaký vyhledávač nastaví jako výchozí, takže "výpalné" za to, které CA uznávají a které ne, by opravdu nebylo nijak překvapující.
-
Filip JirsákStříbrný podporovatel
S validací DNSSEC by se nemělo spoléhat na síťový resolver, měla by se dostat co nejblíže uživateli – ideálně tedy na koncové zařízení. Validaci DNSSEC klidně může dělat i sám prohlížeč (existují na to i pluginy). V tom by zas až takový problém nebyl, pokud by prohlížeče opravdu chtěly validovat. Problém je v tom, že někde může být síťová infrastruktura tak špatná, že prohlížeč ani DNSSEC ověřit nemůže – např. kvůli únosům DNS dotazů apod. Pravda je, že chybná konfigurace asi bude menšina případů a většina už budou „legální“ MitM útoky – třeba podvržené certifikáty antivirů. I když potírání těchhle pseudobezpečnostních opatření by byl další pozitivní efekt používání DANE…
-
j (neregistrovaný)
DNSSEC na to potreba vubec neni, resis dve ruzny veci ... tvuj browser bez dnssec veri IPckku ktery mu DNS vrati, takze uplne stejne muze verit certifikatu kterej pres to DNS dostane, protoze duveryhodnost takovyho zaznamu je o 10radu vyssi, nez nejaka CA.
Kdyz ti podvrhnu IP ... tak ti stejne snadno predlozim zcela validni a "duveryhodny" certifikat, protoze kdyz uz umim vracet jiny IPcko ... tak ho uplne stejne muzu vratit ty CA ... a odkazat ji na falesnej web ... pro kterej mi vystavi ... ten cert.
A nevsim sem si, ze by vsechny CA (nesmela by existovat ani jedina vyjimka) ... vyzadovaly ... dnssec pro domeny, kterym vydavaji cert ... a to sme, u jednoho z mnoha vektoru utoku na celej tenhle zcela nesmyslnej kolotoc.
Protoze dalsi vektor je samo pres web ... kde muzes napadnout bud hosting, nebo konkretni web ... a umistit na nej pozadovanej soubor ... a opet ziskat cert ...
A ve VSECH pripadech plati, ze provozovatel webu nebo drzitel domeny s tim nemuze udelat vubec nic, protoze se to ani nedovi.
-
Petr M (neregistrovaný)
Myslím, že u DNSSEC to vyjde nastejno. Pokud si připnu k podepsanýmu DNS cert, který podepíše správce domény (klidně i self-signed), je to furt bezpečnější, než současný stav, kdy
1) Není podepsaná doména -> možnost jejího únosu
2) Při podstrčení jednoho souboru na správný místo dostane útočník od LE nálepku na hubu prohlížeče
3) CA dělíme na dvě skupiny - levný nedůvěryhodný a drahý nedůvěryhodný
4) Před zavedením téhle blbiny mohla libovolná CA vyblít komukoliv certbez mrknutí oka (a dál může, dokud to nepraskne) a hrozí za to jenom bububu tytyty.Schválně, co na seznamu CA v článku, co validují, dělá WoSign a StartSSL? Ti přežili sou smrt?
A ještě jedna věc, když jsem dělal v korporátu, tak jsem potřeboval cert od VeriSign na poštu a VPN. Tož jsem vypsal dotazník na jejich webu, dal platný korporátní mail a cert si stáhnul. Jestli takhle (= patrně jenom podle "správné" IP adresy) dokážou ověřit, že já su já a ne kolega, tak to je mazec. Toliko k mojí důvěře v CA.
-
j (neregistrovaný)
2Petr M: tak predpokladam, ze zasadnim podkladem pro stazeni toho certifikatu byla uspesne prevedena sumicka $$$ na jejich ucet.
Jinak se vsadim, ze pokud si nastavis kyzeny "from" do mailu, tak reply-to uz nikdo kontrolovat nebude a poslou ti co chces. Ostatne, banky takhle fungujou taky ... otestovano, byt ne zcela umyslne. Kdyz jim posles mail ve kterym je from odpovidajici mailu kterej tam uved klient, tak ti vesele sdelej i pomerne zasadni informace o uctech.
-
Filip JirsákStříbrný podporovatel
Změna je zpětně kompatibilní, tj. když si nedáte do DNS CSS záznam, nestane se vůbec nic. Pokud je to veřejná doména, můžete si přidat CAA záznam, kterým zabráníte, aby nějaká jiná autorita (která se CAA bude řídit) vydala pro danou doménu certifikát.
-
Není to celý k ničemu, pokud jde dělat věci jako tohle
Zdroj: http://thehackernews.com/2017/04/unicode-Punycode-phishing-attack.html
-
Lol Phirae (neregistrovaný)
No vidíš, a proto soudruzi z Chromu odstranili zobrazení certifikátu, abys neměl šanci to zjistit vůbec. :-D
-
Filip JirsákStříbrný podporovatel
Odstranili? Dám F12, otevře se mi okno Developer Tools, v něm je záložka Security a na ní informace o zabezpečení spojení včetně tlačítka pro zobrazení detailu certifikátu. Co dělám špatně?
-
Lol Phirae (neregistrovaný)
Ano, to je opravdu přístupné jako stehno, proto je internet zaplavel dotazy, kam to zmizelo (krom detailu, že developer tools jsou ve firmách často přes GPO úplně zakázány z bezpečnostních důvodů).
P.S. Marně čekám na tu tvoji další telecí radu, jak se bude BFU rozhodovat, která CA je důvěryhodná.
-
Filip JirsákStříbrný podporovatel
Ano, to je opravdu přístupné jako stehno
Vy jste ale psal, že to odstranili, což zkrátka není pravda.developer tools jsou ve firmách často přes GPO úplně zakázány z bezpečnostních důvodů
Mohl byste to něčím doložit? Třeba alespoň odkazem na to, jak jde Developer Tools v Chrome zakázat pomocí GPO. Navíc z bezpečnostních důvodů to rozhodně nebude, protože na Developer Tools není nic nebezpečného – leda tak z bezpečnostních“ důvodů, když bezpečáka dělá někdo, kdo si myslí, že zabezpečení znamená všechno zakázat nebo co nejvíc zkomplikovat.Marně čekám na tu tvoji další telecí radu, jak se bude BFU rozhodovat, která CA je důvěryhodná.
Na telecí rady ode mne opravdu čekáte marně. Odpověď už jste dostal tam, kde jste se ptal. -
Filip JirsákStříbrný podporovatel
Pokud se jedná o firemní instalaci a Chrome spravují firemní správci, spravují ho komplet včetně seznamu důvěryhodných autorit.
Když vy nedokážete rozeznat důvěryhodnou CA od nedůvěryhodné, nechápu, co tu řešíte. Prostě máte v prohlížeči nějaké certifikační autority, pro vás jsou všechny stejně důvěryhodné – tak s čím máte problém? -
Lol Phirae (neregistrovaný)
Když vy nedokážete rozeznat důvěryhodnou CA od nedůvěryhodné, nechápu, co tu řešíte. Prostě máte v prohlížeči nějaké certifikační autority, pro vás jsou všechny stejně důvěryhodné – tak s čím máte problém?
Obecní blb Jirsák o diskusi vedle:
Model PKI není založen na tom, kdo smí vytvořit CA, jak se chybně domníváte, ale je založen na tom, že záleží na koncovém uživateli, kterým CA bude důvěřovat. To, že vám prohlížeč nutí nějaké certifikační autority a vy si je vnutit necháte, není chyba modelu PKI – je to mimo jiné vaše chyba, související s tím, že nevíte, jak model PKI funguje.
Tak tady přestaň planě žvanit a poraď mi, jak mám tu důvěryhodnou CA rozeznat.
-
Filip JirsákStříbrný podporovatel
poraď mi, jak mám tu důvěryhodnou CA rozeznat.
Pro lidi s IQ od 70 výš už jsem odpověděl. Pro vás bohužel žádnou radu nemám. Doufám, že z toho nebudete mít další celoživotní trauma, jako už máte z toho, že jste tenkrát nepochopil, o čem se diskutuje pod zprávičkou o vydání nové verze Gimpu. -
j (neregistrovaný)
Jasne jirsak, takze admin ma znemoznit aktualizace ... protoze to je jedinej zpusob, jak zabranit instalaci nejakych podelanych CA ... a pak ma taky postrilet vsechny vyvojare ... protoze ten browser bude na kazdym podelanym rootu nebo zive nebo kdekoli rvat jak protrzenej, ze CA neni duveryhodna ... protoze to fakt nekoho zajima ...
ČLÁNKY DO MAILU