Vlákno názorů k článku Záznam CAA spáruje doménu a autoritu, kontrolován bude od září od j - Neboli dalsi nesmyslna hovadarna do zcela nefunkcniho systemu...
-
j (neregistrovaný)
Neboli dalsi nesmyslna hovadarna do zcela nefunkcniho systemu ... lol
Mno hlavne aby nedej boze dns neobsahovalo rovnou certifikaty ... zejo ,,, to by si nekdo moh vsimnout, ze zadnou CA nanic nepotrebuje. A hlavne ... vsechny ty podvrzeny certifikaty byly samozrejme zcela vzdycky vydany "omylem", jak jinak ... megalol ...
-
Ondřej CaletkaZlatý podporovatelMyslíte, že vydavatelé doméových jmen jsou důvěryhodotnější než CA?
Vzhledem k tomu, že vydavatelem doménového jména může být každý sám a může volit z více na sobě zcela nezávislých registrů, pak nepochybně ano. Pokud tedy nepodlehnete paranoidní přestavě, že jsou cinknuté kořenové klíče.
A i pokud by kořenové klíče kompromitované byly, je otázka prvního průšvihu, aby se přešlo na nějaký více decentralizovaný systém.
-
martin (neregistrovaný)
Pokud nekdo hackne CA tak, ze si muze vydavat certifikaty jak chce, dana CA obvykle skonci, nebo alespon bude mit vazne potize.
Pokud by nekdo obdobne hacknul DNS registratora a psal si do DNS co chce, dany DNS registrator s tim zadne obdobne vazne potize mit nemusi.
DNSSEC vam az tolik nepomuze, kdyz ho vas registrator muze pro vas zmenit. -
hugochavez (neregistrovaný)
@caletka
"A i pokud by kořenové klíče kompromitované byly, je otázka prvního průšvihu, aby se přešlo na nějaký více decentralizovaný systém."blockchain? a vkladat udaje tam?
nebo tohle??
https://en.wikipedia.org/wiki/Namecoin+verejnej klic domeny do DNS + posychrovat to pres https://en.wikipedia.org/wiki/DNSCrypt
(DNScurve)ono pokud by se rozsiril koncept IPFS tak by se to skoro vyresilo samo= tam je verejnej klic soucasti "adresy"
-
j (neregistrovaný)
Jo ... fakt? A jakej je asi tak rozdil mezi tim, ze mi na zaklade nejakyho zaznamu v DNS vyda LE nejakej cert ... vs si ho vydam sam a napisu do DNS ? To by me fakt zajimalo ...
Zeby ten rozdil byl vyhradne v tom, ze LE (a kdokoli jinej samo) muze cert pro moji domenu vydat komukoli dalsimu?
-
Filip JirsákStříbrný podporovatelMyslíte, že vydavatelé doméových jmen jsou důvěryhodotnější než CA?
V případě DV certifikátů musíte důvěřovat CA i DNS registrátorovi. Když používáte DNS, nemůžete docílit větší důvěryhodnosti, než je důvěryhodnost registrátora DNS. Pokud chcete větší bezpečnost, musíte použít něco na DNS nezávislého (třeba OV/EV certifikáty a ověřovat nejen DNS název, ale i jméno subjektu). -
Filip JirsákStříbrný podporovatel
V pripade DV certifikatu nemusite duverovat DNS.
Musíte. Certifikační autorita ověřuje DV certifikát právě přes DNS. A i kdyby měla CA přímý kanál k DNS registrátorovi a obcházela DNS, pořád je to postavené na důvěře v toho DNS registrátora. Jinak to ani nejde, protože DNS registrátor ta jména definuje, takže nemůže být nikdo důvěryhodnější nad ním. -
j (neregistrovaný)
Jasne, takze dalsi tupec ktere nema paru o tom jak veci fungujou ... LE vydava certifikat na zaklade zaznamu v DNS nebo na zaklade souboru na webu ... a tam si zcela jiste ten, kdo ovlada DNS v zadnym priapde nemuze vystavit co chce ... boze i taci sem lezou ...
2Jirsak: OV/EV ti sou k hovnu naprosto stejne. Tvuj browser NEVI a vedet NEMUZE, jestli ma web pouzivat ten ci onen typ certifikatu a akceptuje naprosto cokoli na zaklade toho, ze ti nekdo pridal nejakou CA mezi duverhodny. Navic s tim overovanim je to presne stejne zhavy jako u cehokoli jinyho. Jen za to vysolis nejaky $$$.
-
Jak kteří a jak kde. Například tady v .au, kdo si chce zaregistrovat doménu pod .com.au musí předložit ABN (tj. IČO). Každá taková doména tak má dohledatelný odkaz do obchodního rejstříku a zbytek už dokáže garantovat DNSSEC. Nevím, jak je to v jiných zemích, ale předpokládám, že v mnoha TLD nebo sub-TLD to bude podobné. Kdyby to prohlížeče uměly kontrolovat, tak by se člověk v tomto případě bez CA naprosto obešel.
-
hugochavez (neregistrovaný)
@klokan
no vidis vy tam v AUS s tim delate takovy onanie a pak prijde nejaka cinska baaba a vyda ti za par stribrnych platnej cert na tu samou domenu.... :o)))
A tvuj browser si bude rochnit jakej tam ma hezkej zelenej zamecek zatimco lezes na nejakou cinskou phishing banku :o)))))))))) a vo tom cela ta PKI je."Kdyby to prohlížeče uměly kontrolovat, tak by se člověk v tomto případě bez CA naprosto obešel"
Tak tohle soudruhu neni vubec spravny pristup! Vis kolik soudruhu by prislo o vejvar??
Tak takhle rozhodne ne soudruzi!PS: osobne by me neprekvapilo kdyby se provalilo ze vyrobci browseru dostavaj nejaky "desatky" od samotnych CA...............protoze to co se nekdy deje fuckt zdravym rozumem pochopit nejde.
-
"A tvuj browser si bude rochnit jakej tam ma hezkej zelenej zamecek zatimco lezes na nejakou cinskou phishing banku :o)))))))))) a vo tom cela ta PKI je."
No takže konkrétně, co garantuje např. takový Letsencrypt (kterému mimochodem fandím)? Jenom to, že žadatel o certifikát má momentálně IP v dané doméně. Takže fakt nevím, proč by za identitu provozovatele služby nemohl ručit rovnou registrátor, bylo by to jednodušší a asi i důvěryhodnější.
"PS: osobne by me neprekvapilo kdyby se provalilo ze vyrobci browseru dostavaj nejaky "desatky" od samotnych CA...............protoze to co se nekdy deje fuckt zdravym rozumem pochopit nejde."
To mě nenapadlo, ale když se to tak vezme, prohlížeče si běžně nechávají platit za to, že nějaký vyhledávač nastaví jako výchozí, takže "výpalné" za to, které CA uznávají a které ne, by opravdu nebylo nijak překvapující.
-
Filip JirsákStříbrný podporovatel
S validací DNSSEC by se nemělo spoléhat na síťový resolver, měla by se dostat co nejblíže uživateli – ideálně tedy na koncové zařízení. Validaci DNSSEC klidně může dělat i sám prohlížeč (existují na to i pluginy). V tom by zas až takový problém nebyl, pokud by prohlížeče opravdu chtěly validovat. Problém je v tom, že někde může být síťová infrastruktura tak špatná, že prohlížeč ani DNSSEC ověřit nemůže – např. kvůli únosům DNS dotazů apod. Pravda je, že chybná konfigurace asi bude menšina případů a většina už budou „legální“ MitM útoky – třeba podvržené certifikáty antivirů. I když potírání těchhle pseudobezpečnostních opatření by byl další pozitivní efekt používání DANE…
-
j (neregistrovaný)
DNSSEC na to potreba vubec neni, resis dve ruzny veci ... tvuj browser bez dnssec veri IPckku ktery mu DNS vrati, takze uplne stejne muze verit certifikatu kterej pres to DNS dostane, protoze duveryhodnost takovyho zaznamu je o 10radu vyssi, nez nejaka CA.
Kdyz ti podvrhnu IP ... tak ti stejne snadno predlozim zcela validni a "duveryhodny" certifikat, protoze kdyz uz umim vracet jiny IPcko ... tak ho uplne stejne muzu vratit ty CA ... a odkazat ji na falesnej web ... pro kterej mi vystavi ... ten cert.
A nevsim sem si, ze by vsechny CA (nesmela by existovat ani jedina vyjimka) ... vyzadovaly ... dnssec pro domeny, kterym vydavaji cert ... a to sme, u jednoho z mnoha vektoru utoku na celej tenhle zcela nesmyslnej kolotoc.
Protoze dalsi vektor je samo pres web ... kde muzes napadnout bud hosting, nebo konkretni web ... a umistit na nej pozadovanej soubor ... a opet ziskat cert ...
A ve VSECH pripadech plati, ze provozovatel webu nebo drzitel domeny s tim nemuze udelat vubec nic, protoze se to ani nedovi.
-
Petr M (neregistrovaný)
Myslím, že u DNSSEC to vyjde nastejno. Pokud si připnu k podepsanýmu DNS cert, který podepíše správce domény (klidně i self-signed), je to furt bezpečnější, než současný stav, kdy
1) Není podepsaná doména -> možnost jejího únosu
2) Při podstrčení jednoho souboru na správný místo dostane útočník od LE nálepku na hubu prohlížeče
3) CA dělíme na dvě skupiny - levný nedůvěryhodný a drahý nedůvěryhodný
4) Před zavedením téhle blbiny mohla libovolná CA vyblít komukoliv certbez mrknutí oka (a dál může, dokud to nepraskne) a hrozí za to jenom bububu tytyty.Schválně, co na seznamu CA v článku, co validují, dělá WoSign a StartSSL? Ti přežili sou smrt?
A ještě jedna věc, když jsem dělal v korporátu, tak jsem potřeboval cert od VeriSign na poštu a VPN. Tož jsem vypsal dotazník na jejich webu, dal platný korporátní mail a cert si stáhnul. Jestli takhle (= patrně jenom podle "správné" IP adresy) dokážou ověřit, že já su já a ne kolega, tak to je mazec. Toliko k mojí důvěře v CA.
-
j (neregistrovaný)
2Petr M: tak predpokladam, ze zasadnim podkladem pro stazeni toho certifikatu byla uspesne prevedena sumicka $$$ na jejich ucet.
Jinak se vsadim, ze pokud si nastavis kyzeny "from" do mailu, tak reply-to uz nikdo kontrolovat nebude a poslou ti co chces. Ostatne, banky takhle fungujou taky ... otestovano, byt ne zcela umyslne. Kdyz jim posles mail ve kterym je from odpovidajici mailu kterej tam uved klient, tak ti vesele sdelej i pomerne zasadni informace o uctech.
ČLÁNKY DO MAILU