Názor k článku
Chrome bude HTTP označovat jako „nezabezpečené“ od července od Miroslav Šilhavý - HTTPS samo o sobe totiz bezpecnost vubec nijak...

  • Článek je starý, nové názory již nelze přidávat.
  • 9. 2. 2018 17:54

    Miroslav Šilhavý

    HTTPS samo o sobe totiz bezpecnost vubec nijak nezlepsuje, a vzhledem k pristupu prave tehle volu naopak jen a pouze zhrosuje - snazi se totiz prave uzivatelum tvrdit, ze https === bezpeci, coz jednoduse neni pravda (a nikdy nebyla).

    Já s Vámi souhlasím. Navíc, pokud někdo může provést MITM útok, zejména pokud je na straně "blíž k serveru", pak může i MITM principem získat DV certifikát. Nemluvě o tom, že klíč k získání DV certifikátu je v přístupu ke správě DNS. A poskytovatelé DNS služeb prakticky vždy nabízejí password recovery prostřednictvím e-mailu, který chodí nešifrovaně.

    Ano, odbouráme úplné trouby, kteří si někde v cestě (nejčastěji před poslendní mílí) nastaví transparentní proxy a odposlechnou nebo dokonce změní uživateli obsah.

    Naopak si vytrénujeme ty, kteří najdou způsoby jak získat certifikáty - popsal jsem metodu MITM a metodu přes password recovery k DNS. Také se asi pomnoží pokusy přimět uživatele, aby si nainstaloval nový, nebezpečný "důvěryhodný" kořenový certifikát.

    Prostě títmto postupem vše prodražíme a rizika nevymýtíme, jen je naopak povýšíme na další level. Bude radost řešit útoky MITM, když takový útočník bude mít certifikát, kterému bude uživatel důvěřovat.