Názory k článku
Certifikáty Google lze získat přes rozhraní ACME

Nemôže to Google zneužiť?
Napríklad cez man-in-the-middle, keď vlastní koreňovú certifikačnú autoritu?

Proti tomu chrání Certificate Transparency. Každý důveryhodný certifikát musí být zveřejněný ve veřejné databázi, jinak neprojde validací v prohlížečích. Když by autorita vydala neoprávněně certifikát, okamžitě se na to přijde.

A co kdyz se na to prijde? Krom nekolika malo pripadu kdy CA vydavala falesne certifikaty jak na bezicim pasu se nic nestalo. Nedelejme si tedy iluze, ze by snad tohle Googlu nepreslo...

Neodpověděl jste si sám? Kdyby se to stalo jednou nebo párkrát nějakou chybou, bude požadována změna procesů a když Google prokáže, že je změnil, aby se to nemohlo opakovat, bude se mu dál důvěřovat. A v takovém případě vás to nemusí moc trápit, protože je nepravděpodobné, že by to dopadlo zrovna na vás. Kdyby Google vydával falešné certifikáty jak na běžícím pásu, bude z důvěryhodných autorit vyřazen.

A že by Google záměrně vydal falešné certifikáty, zejména když ví, že by se na to přišlo, tomu snad nikdo nemůže věřit.

Validácia v dominantnom prehliadači, ktorý dodáva Google?

IMHO bude komplikované dokazování - opravdu byla chyba na straně CA? Co když někdo kompromitoval ten server a falešný certifikát si vystavil „oprávněně“? Nebo to bylo ověřeno přes HTTP challenge a spojení unesl kdokoli po cestě. Nebo to bylo ověřeno přes DNS a holt je nespolehlivý registrátor té domény / provozovatel nameserverů. Není to kampaň proti Googlu a admin, který si na neoprávněně vydaný certifikát stěžuje, si to vymyslel?

Ale ano, je dobré, že to brání masivnímu vydávání.

27. 8. 2022, 00:22 editováno autorem komentáře

Google vsetko loguje. Vie, odkial kam sa pripajal vratane IP a casu.

Niekedy skor sa hovorilo o tom, ze sa porovna aj resolvovanie DNS a cislo AS vyslednej IP, ktore dostane Google siet s inym, ktore je z inej siete a z druheho konca sveta. Neviem, ci je to vo finalnom produkte, ale ked ano, tak to poskytne dobre dokazy zo strany Googlu keby nieco nesedelo.

Nevím, jak to dělá Google, ale LE svůj HTTP challenge zkusí z několika geograficky úplně oddělených míst, v různých sítích. Tedy útok na unesení spojení je zde pouze v teoretické rovině.

LE to tak dělá teprve od roku 2020, takže to není taková samozřejmost. A k unesení spojení nemusí dojít jen poblíž LE, ale i na druhé straně, u samotného serveru.

Nie CT proti tomu nechrani, je to len snaha bobyst CA-cky. Navyse v tomto pripade duplom, lebo Certificate Transparency ma pod kontrolou google.

Na druhej strane, naco by to robil? Ved ma pod kontrolou samotne stranky v prehliadaci (cez svoje spehovacie nastroje typu GA), alebo je to priamo v ich prehliadaci, takze aj tak ma pod kontrolou vsteko od to ci ine prehliadace zobrazia danu stranku, cez kanal az po to co je u cloveka.

CT proti tomu chrání, protože aby byl certifikát platný, musí být uveden alespoň ve dvou CT seznamech. Takže buď se vydá falešný certifikát, který nebude uveden na CT – pak ho ale aplikace odmítne, případně rovnou nahlásí. Nebo se vydá falešný certifikát, který se na CT objeví – pak ale právoplatný majitel domény zjistí, že byl vystaven certifikát neoprávněně.

Google nemá pod kontrolou CT – Google provozuje jenom jeden z CT seznamů, přičemž certifikát je považován za platný, pokud je alespoň na dvou seznamech (pro certifikáty s delší platností je požadováno více seznamů).