Škola nutí žákům vlastní kořenový certifikát

Asi tím myslí, že škola může vystavit falešné certifikáty jakékoli třetí strany, podepsat je tím svým, a jako MITM si pak i se SSL provozem dělat, co chce.
Zdatní a paranoidní uživatelé to odhalí, většina ne.

To je právě ten paradox, v defaultních instalacích začínaj uživatelé s bambilionem předinstalovaných CA u kterých ani netuší kdo je vydal a jaké jsou politiky a automaticky akceptují veškerý provoz na jimi vydaných certifikátech aniž by si ověřili druhou stranu, ale jakmile se tam objeví zřejmě jediná kořenová CA u které vědí o co konkrétně jde, tak je problém...

Jenže u těch předinstalovaných CA to spousta lidí sleduje a pokud CA vydá podvodný certifikát, tak tu CA z prohlížeče odstraní. Zatímco u té školní autority - kdo to bude hlídat, co vydává za certifikáty?

Nesleduje to vubec nikdo ... spousta tech "duveryhodnych" CA ti vyda certifikat na co si reknes, a je jim to naprosto putna. Pokud se nekdo spolejha na to, ze ma nekde v prohlizeci zeleny cosi ... tak je to naivni blb.

Problem skol/firem ... proste neexistuje, oni by si klidne mohli poridit certifikat libovolny autority, ktera v tom prohlizeci uz je ... ale to by prevazne stalo penize/papirovani ... a pro ucely pro jake se to pouzije je to zcela nanic.

Naopak, pokud uz chci nejakymu certifikatu duverovat, tak vyhradne takovymu, kterej si sam naimportuju.

Přesně takhle se to dělá u nás v práci. Zaměstnavatele zřejmě zajímají veškeré detaily, které posílám do internetu. Když jsem se na to ptal, tak říkali, že banky a podobné instituce mají výjimku - a skutečně, moje banka má opravdový vlastní certifikát :)

No to asi ne, protoze vetsina slusnych sluzeb ma podepsanou domenu a falesny certifikat snad poznam ne ?

Tak nutěj je zřejmě proto, že si vydávaj vlastní certifikáty v rámci infrastruktury a bez toho by něco nefungovalo. Taky by mohli začít protestovat, že jim škola přiděluje adresy z jejího rozsahu a že bez toho se nepřipojí k internetu...

Rekl bych ze jakakoliv organizace ma pravo instalovat si na sve pocitace korenove certifikaty jake chce. Problem je kdyz je nekdo nachyta ze je skutecne zneuzivaji pro SSL MITM.
Jak zde nekdo poznamenal, korenovych certificatu mame v prohlizecich defaultne vic nez malo. Jsou mezi nimi certifikaty organizaci u kterych si NSA na neochotu ke spolupraci jiste stezovat nemuze. Ze by zrovna skolnik byl to nejvetsi riziko...

Co všichni máte s tou NSA? Myslíte, že Rusové nebo Číňani tohle taky nedělají?

Dělají, ale netvrdí přitom o sobě že jsou nejdemokratičtější a nejsvobodnější země na světě, a že ty drony posílají vraždit pro naše dobro.

Toto je standardni postup ve velkych firmach, pouzivaji vlastni CA a root certifikat, pomoci teto CA se pak podepisuji certifikaty zamestnancu, ktere se pak pouziji pro atentizaci na ruzne firemni systemy jako portal, wifi, vpn atd. A jak jinak by to meli udelat? Kupovat a slozite vyrizovat certifikaty na verejne CA pro kazdeho zamestnance? Nerealne a drahe.

U zaměstnance to je jiná věc, ale student na internátě není zaměstnancem školy. To je stejné, jako by mě k tomu nutil každý hotel.

Není, ale pokud tam chce používat školní síť, tak musí souhlasit s pravidly provozu - minimálně lze čekat, že škola bude chtít identifikovat, kdo měl v konkrétním okamžiku přidělenou konkrétní adresu - to v okamžiku, kdy přijde stížnost na porušování autorských práv a škole budou hrozit sankce za nepovolenou činnost studenta.
Pokud ovšem škole natolik nedůvěřuje, tak by měl používat vlastní připojení a vůbec uvažovat o tom, jestli nebude raději studovat jinde. Vždyť přece škola má jeho kompletní osobní záznamy...

Stejně tak zaměstnanci v rámci BYOD musí strpět podmínky zaměstnavatele nebo mají smůlu, já na tom nevidím nic špatného.

A co si nechat vyridit firemni intermediate certifikat a tim podepisovat? Nebo to vydim z pozice technika moc jednoduse? Prominte. Nejsem kryptofasisticky byrokrat.

Slouží prakticky výhradně na certifikáty serverů, bez toho nelze dělat třeba změny v AD přes LDAP - a bez toho nevím, jak ve škole spravovat uživatelské účty. Kdo nemá nainstalovaný certifikát CA, má problémy s přístupem k e-mailu (IMAPS, SMTPS), připojení notebooku (802.1x/Radius - to ve Windows bez důvěryhodné CA nefunguje úplně snadno). Uživatelské certifikáty se nevyžadují, ale kdo chce, může si ho nechat vystavit.
Standardní počítače s Windows mají CA mezi důvěryhodnými přes skupinovou politiku. Na ostatních zařízeních je to věc uživatele, ale instalace naší CA je doporučená.

Některé státní instituce nutí obcím vlastní CA. Jko příklad mohu uvést např.Ministerstvo financí ČR a jejich modul pro odesílání ročních zpráv o výsledcích finančních kontrol. U některých státních organizací bývá občas i zajímavý způsob generování a doručování přihlašovacích certifikátů, který s bezpečností nemá nic společného. Nebo funkčnost pouze v určitých prohlížečích... ale to už je jiné téma...

Ne, pro přihlašování k HTTPS s klientským certifikátem se hodně často používá vlastní CA. Důvěřovat jí pak ale musí hlavně server, na straně klienta by mělo stačit nastavit jako důvěryhodný certifikát samotného serveru. (Ovšem kdo by se s tím konfiguroval - radši všichni naimportují CA certifikát a je hotovo...)

Problém vidím zejména v tom, že uživatel si nemůže v prohlížeči (a dalším software) definovat, že této CA důvěřuje pro definované domény (například: skola.cz).

Považuji za velký nedostatek, že tohle není možné. Osobně bych nejraději všechny CA z prohlížeče vyházel a nechal tam jen ty, kterým důvěřuji a pro jaké domény.

"že někde na světě existují žáci "druhého stupně ZŠ", kteří jsou schopni toto odhalit..."

přesněji - někteří žáci mají tatínky kteří se o to zajímali, jsou schopni to odhalit a vadí jim to :)

Spíš nějací chytráci chtěli vytočit svého učitele a přečetli si článek na bulvárním serveru podobném rootu, kde se o tom co ta CA je dočetli...

V dnešní době si skoro pětiletí kluci instalují herní Minecraftové servery a zpřístupňují si jejich porty na routeru.

vlastnu CA treba doplnit do browserov ludom tam, kde sa vyzaduje, aby webova brana (napr. Websense a ine) vedeli priamo cmuchat aj HTTPS traffic. cize vo vacsine vacsich firiem atd. s tym, ze samozrejme v konfiguracii sa robia vynimky na internetbaking atd...
pokial je toto tu jedine spojenie pre decka na internate s rodinami, je to uz dost na hrane (resp. za nou)

pre autora: secondary school je v podstate stredna skola, pripadne 8 (ci 6) rocny gympel.

ve zprave se pise, pokud chteji pripojit vlastni zarizeni, tak at nic nepripojuji a jsou ok... naucte se prijimat pravidla kurna

Zdravim, clanek mne zaujal a ja si uvedomil jak malo toho vim o certifikatech, autoritach a vazbach mezi nimi. Rad bych se o tomto dozvedel vice. Nemate nekdo nejaky dobry zdroj (osvedceny, googlovat umim sam:) k tomuto tematu? Kde se doctu zaklady, prakticke veci, jak ziskat seznamy duveryhodnych, mene duveryhodnych autorit, jak je spravovat, proste logika v pozadi. Neco jako 'certifikaty po lopate'. Tahle cast z IT mi v podstate unikla. Dekuji