Vlákno názorů k článku Česká pošta neví, kde má datové schránky od FOK - Ano myslel jsem self-signed :-) Pokud je daný certifikát...
-
FOK (neregistrovaný)Ano myslel jsem self-signed :-)
Pokud je daný certifikát podepsaný mojí vlastní certifikační autoritou, tak je to v podstatě self-signed certifikát. Nic na tom nezmění ani fakt, že certifikát pro mojedatovaschranka.cz vlastní Ministerstvo vnitra a certifikační autorita patří České poště. Ona totiž Česká pošta je s.p. a zakladatelem je Ministerstvo vnitra. Takže kroužek se nám uzavírá a máme tu certifikát, který jsem si sám podepsal.
Důležité je ale především to, že je porušen tzv. "chain of trust". Mohu si certifikát dané CA stáhnout a naimportovat, stejně, jako to mohu udělat s jakýmkoliv jiným certifikátem. Ale opravdu takto postupují profesionálové? Možná někde na intranetu, kde všem uživatelům ve firmě naimportuji patřičný certifikát, ale rozhodně ne na veřejném webu. -
FOK (neregistrovaný)Nikde jsem nepsal, že takový certifikát je NEPLATNÝ. Napsal jsem pouze, že mi takový postup nepřipadá jako vhodné řešení z důvodu možnosti ověřit pravost/platnost takového certifikátu.
Kromě toho, že jste v mém příspěvku odhalil překlep a náležitě jste na něj upozornil, jste si ještě domyslel pár slov. Jak krásné. -
anonymníMilý logiku, tvrdíte, že webový prohlížeč vás upozorňuje o opaku toho, že je celý systém dokonale zabezpečený.
Opak "celý systém je dokonale zabezpečený" je "celý systém není dokonale zabezpečený".
Zkuste si tu hlášku od Firefoxu přečíst ještě jednou, nikde tam nenajdete, že systém není dokonale zabezpečený. Firefox pouze upozorňuje, že se mu nepozdává certifikát, konkrétně upozorňuje na to, že - cituji - "identita tohoto serveru nemohla být ověřena". Nic o nedokonalém zabezpečení tam nenajdete,
IE říká přesně to samé. Nedělá to, co tvrdíte, tedy neupozorňuje vás na to, že systém není dokonale zabezpečený, ale pouze upozorňuje na to, že nezná vydavatele certifikátu.
Tak dneska jste začal opět dobře, co dalšího se ještě dozvíme? :-D -
Vzhledem k tomu, že problematice certifikátů nepříliš rozumím, jak jsem uvedl jinde, tak ani nevím, že mám nějaké předinstalované v prohlížeči nebo operačním systému. Z toho vyplývá, že je nesmysl tvrdit, že těmto certifikátům věřím více než certifikátům Ministerstva informatiky.
Jádrem mého příspěvku je, že když jako naprostý a nejblbější BFU půjdu na web schránek, tak to na mě vybafne, že se jedná o nedůvěryhodné spojení nebo nějakou podobnou hlášku. Jak mám jako naprostý BFU věřit, že je celý systém dokonale zabezpečený, když mě můj webový prohlížeč upozorňuje o opaku ještě než se vůbec přihlásím? -
Filip Jirsák (neregistrovaný)Špatně je, že víc důvěřujete certifikátům, které vám bůhvíkdo předinstaloval do prohlížeče nebo operačního systému, než certifikátům CA, které prošly akreditací Ministerstva informatiky. Tedy ne že by se takhle nechovala drtivá většina lidí, ale o těch předinstalovaných certifikátech toho pravděpodobně víte daleko míň, než o té české akreditované trojici.
-
anonymníMilý Onane, kromě toho, že se nevyznáte v bezpečnosti, tak ani neumíte číst. Všiml byste si totiž, že jsem odpovídal přispěvateli jenicek. Navíc se rozčilujete zcela zbytečně. Jak jsem psal výše, pokud se vyjadřujete k něčemu, o čem nemáte páru, nesmíte se pak divit, že vypadáte jako blbec. A koukám, že vás to dojímá hodně. Pro příště tedy jednu radu: mlčeti zlato
-
anonymníMohu vás ujistit, že skutečný expert na bezpečnost by takovou blbost, jako že "certifikát podepsaný CA, která není mezi standardními důvěryhodnými CA v prohlížeči, je NEPLATNÝ", neřekl. Tečka.
PS: Nepoužívejte termity, když je neovládáte, protože hrozí rizoto, že to skončí fiakrem, jako například ten váš "self-singed". -
FOK (neregistrovaný)To potom za BFU budete muset označit každého experta na bezpečnost.
Mě osobně self-singed certifikát nepřipadá jako zrovna nejlepší řešení pro web takovéto důležitosti, přestože si na to zřídím vlastní CA. Sice si ho můžu stáhnout z webu: http://vca.postsignum.cz/www/authorities.php , jenže nepoznám, že je pravý, protože se stahuje přes http.
Osobně datové schránky nepoužívám, takže přesně nevím, jak aktivace přístupů k DS probíhá a zda je kvůli tomu nutno chodit na poštu. Ale jisté je, že kvalifikovaný podpis si lze zřídit i jinde než u PostSignum. Poté je třeba ještě zaskočit na poštu pro certifikát jejich CA, aby bylo možno DS vůbec používat. Tedy pokud se nespokojím s tím, že to co mi přes http přileze je nejspíš správně. Potom je ale celý proces o ničem.
Jenže tady se někdo očividně snažil ušetřit pár korun za serverový certifikát od některé z autorit zapojených do web of trust. -
anonymníMně přijde vtipnější, jak se vyjadřujete k něčemu, o čem nemáte ani páru. Že certifikační autorita Post Signum, která certifikát vydala, nepatří mezi tzv. root certifikační autority standardně obsažené v IE či FF, ještě neznamená, že ten certifikát je neplatný. Pokud to tvrdíte, je evidentní, že jste absolutní BFU.
ČLÁNKY DO MAILU