Odpověď na názor
Odpovídáte na názor k článku Apple podal návrh na postupné zkracování platnosti certifikátů pro HTTPS. Názory mohou přidávat pouze registrovaní uživatelé. Nově přidané názory se na webu objeví až po schválení redakcí.
-
Filip JirsákStříbrný podporovatelCertifikáty nejsou rozlišené podle toho, kolik peněz nebo úsilí vynaložíte na jejich získání.
Certifikační autority byly založené na tom, že delegujete ověřování na někoho, komu důvěřujete. Pak se ukázalo, že CA je čím dá víc a není možné, aby si každý člověk udržoval svůj vlastní seznam důvěryhodných certifikačních autorit – například proto, že typicky nemá jak by důvěryhodnost CA posoudil. Takže ten výběr důvěryhodných CA delegoval na někoho, komu stejně důvěřuje – autora operačního systému nebo prohlížeče. No a ti zase potřebovali nějaká jasná pravidla, co musí CA splnit, aby jí důvěřovali – jednak aby nezklamali důvěru uživatelů, kteří na ně spoléhají, jednak aby to bylo nějak věrohodné a predikovatelné a nezáleželo to na tom, koho z firmy se zrovna podaří nějaké CA ukecat. Takže třeba Microsoft nebo Mozilla mají svá pravidla pro to, kdy zařadí certifikát CA mezi důvěryhodné autority, a kdy ho naopak vyřadí. Pokud nějaká CA o zařazení požádá a pravidla splní, na seznam se dostane.
Kdyby si každý mohl zřídit svou vlastní důvěryhodnou autoritu, nefungovalo by to, protože ne každému můžete důvěřovat. Ostatně kdybyste každému mohl důvěřovat, nejsou potřeba žádné certifikační autority, žádné certifikáty, žádná šifrovaná komunikace.
Mechanismus pro automatizované vydávání certifikátů ACME nevznikl kvůli velkým provozovatelům. Ti největší si vydávali svoje certifikáty už předtím sami. (Měli svou autoritu, jejíž certifikát podepsala nějaká uznávaná autorita.) AUtomatizované vydávání certifikátů vzniklo proto, aby certifikáty mohly být co nejlevnější (ideálně zadarmo), aby si je mohl dovolit každý a bylo možné celý web dostat na HTTPS. Když chcete certifikáty vydávat levně, musíte je vydávat automaticky, protože lidská síla je to nejdražší.
Důvěryhodnost certifikátů není přímo úměrná ceně a nákladům na vystavení certifikátu. Pro mne je Let's Encrypt určitě důvěryhodnější, než čínská autorita. Ale když kterákoli z nich vydá certifikát pro portal.gov.cz, prohlížeč protestovat nebude.
Se spamem to nijak nesouvisí. Účelem TLS certifikátů je zajistit jenom to, že komunikuju s tím, s kým si myslím, že komunikuju. Jestli je to padouch nebo hrdina, to certifikáty neřeší.
ČLÁNKY DO MAILU