Názor ke zprávičce Firefox 83 přináší režim „pouze HTTPS“ od Filip Jirsák - Pavel Tavoda, 0:35: Aha, takže už to není...

Pavel Tavoda, 0:35: Aha, takže už to není privátní klíč k doméně, už je to privátní klíč k certifikátu. Pomalu to začínáte měnit. Zkuste pokročit dál a zjistit, že neexistuje žádný „certifikát přiřazený k subdoméně“. Už jsem vám tu několikrát psal, že certifikát obsahuje seznam jmen (v případě HTTPS seznam doménových jmen). Ta jména mohou být z různých domén, klidně z různých TLD.

Takze ked sa ma vasa masina tvarit ako iny server musi mat aj ten privatny kluc, bez neho to nejde.
Tady ale nikdo nechce, aby se můj počítač tvářil jako jiný server.

Lebo developeri maju pristup a na svojich masinach nainstalovany privatny kluc k nejakej dev subdomene co v pripade uniku predstauje bezpecnostne riziko pretoze sa utocnik moze tvarit ako ta subdomena.
Ne, to nepředstavuje bezpečnostní riziko. To, že má nějaká osoba přístup k privátnímu klíči od nějakého certifikátu, je naprosto běžná věc – u běžných webů je privátní klíč uložen prostě jako soubor na disku, takže k němu mají přístup určitě alespoň všichni správci daného web serveru a také root daného serveru. A rozhodně neplatí, že by administrátoři s tím privátním klíčem zacházeli paušálně nějak lépe, než vývojáři – vždyť i vy jste pravděpodobně administrátor, a melete tu jeden nesmysl za druhým.

Další věc je to, že úplně ignorujete to, o jakou se jedná doménu. Pokud to bude doména používaná jenom pro vývoj (vždyť to stojí pár korun), nemůžete zneužít ani případný uniklý privátní klíč, protože tu doménu žádný uživatel nebude používat.

A nasmerovat nieco na localhost v DNS servri je tiez blbost pretoze DNS hijact sa este nikdy nestal, ze ....
Není to blbost. To, jestli se někomu podaří unést doménu, vůbec nezávisí na tom, zda ten záznam směřuje na loopback adresu nebo na jinou IP adresu.

pockajte naposledy iba minuly tyzden sa riesil unos alza.cz
Zase vedle. Neřešil se únos domény, ale „únos“ IP adres – ve skutečnosti podvržené adresy odesílatele paketu.

Takze nedajte sa oklamat podkutym odbornikom p. Jirsakom a nerozdavajte developerom ziadne realne subdomenove certifikaty a privatne klucne k 'neskodnym' subdomenam.
Naštěstí neexistují žádné „subdoménové certifikáty“ ani (ve světě TLS) „privátní klíče k subdoménám“. Privátní klíče k subdoménám existují v DNSSEC, ale o tom také nic nevíte.

Sice máte plnou hubu keců, jak je to nebezpečné, ale nedokážete pochopit jednoduchý komentář. Opakovaně používáte špatné termíny (kdyby to bylo jednou, dá se to pochopit, že jste to napsal jen tak rychle; ale když vás na to upozorním, a vy to příště napíšete jinak a podobně nesmyslně, je jasné, že tomu nerozumíte a ten váš terminologický guláš je jenom obrazem guláše, který v tom máte). A opakovaně tvrdíte, jak je to nebezpečné, ale nebyl jste schopen uvést jediný příklad, jak by někdo mohl zneužít toho, co jsem uváděl – tedy vývojářská doména s DNS záznamem směrovaným na loopback.

Tak když máte pocit, že nejste hlupák, konečně to předveďte. Dejme to mu, že má Komerční banka (která má internetové bankovnictví na doméně mojebanka.cz a informančí web na kb.cz) své in-house vývojáře. Tito vývojáři používají pro vývoj doménové jméno localhost.kbib­dev.cz. V DNS je ke jménu localhost.kbib­dev.cz jediný záznam a to typu A, který směřuje na 127.0.0.1. Doména kbibdev.cz je podepsaná pomocí DNSSEC. Vývojáři mají na svých stanicích privátní klíč od certifikátu vystaveného na jméno localhost.kbib­dev.cz, certifikát byl vystaven autoritou Let's Encrypt. Jak bude vypadat ten útok, o kterém neustále píšete?