Názory k článku České poště nefungovaly weby, online služby byly nedostupné
-
VB (neregistrovaný)
To mi povídejte, certifikáty se splašily.
Ani bych to neviděl na nějaký problém interních systémů. Ani jednoduchý TRACERT totiž nebyl schopen přeložit www.ceskaposta.cz ani www.postsignum.cz. Ne že by byly nedostupné, ale že je nemohl přeložit! -
rootless rooter (neregistrovaný)
a nebude to sposobene tymto? :
http://bgp.he.net/AS3549gossamer-threads.com/lists/nanog/users/180789
http://mailman.nanog.org/pipermail/nanog/2015-June/076189.html -
rootless rooter (neregistrovaný)
postsignum.cz [AS198143] peeruje s T-Mobile CR [ AS5588] a ten zas peeruje s LVL3 [AS3549/AS3356] .
Level3 bol dnes od rana postihnuty masivnym BGP leakom [viz vissie moj prispevok] od Malaysia telekom [AS4788]
aspon tak nejak tam vidim navaznost na nedostupnost sluzieb...
-
rootless rooter (neregistrovaný)
https://www.bgpmon.net/massive-route-leak-cause-internet-slowdown/
So in conclusion, what we saw this morning was a major BGP leak of 176,000 prefixes by Telekom Malaysia to Level3. Level3 erroneously accepted these prefixes and announced these to their peers and customers. Starting at 8:39 and lasting for about 2 hours traffic was being redirected toward Telekom Malaysia, which in many cases would have been a longer route and also caused Telekom Malaysia to be overwhelmed with traffic. As a result significant portions of traffic were dropped, latency increased and users world wide experienced a slower Internet service.
-
fd (neregistrovaný)
Kdyz uz nam ten stat vnucuje tu elektronickou komunikaci, tak chce napriklad overit, ze ten obdrzeny dokument je platne podepsan, aby na zaklade toho mohl podniknout nejakou akci, kterou podnikat nemuze, pokud nema podepsany dokument.
A dovedu si dokonce predstavit situace, kdy presne takto mohou vniknout i miliardove skody.
-
nemá nakešované platné CRL v počítači
No právě. Jenže CRL se vždy kešuje, protože se vůči němu ověřuje offline a zpětně. PostSignum vydává CRL jednou za 24 hodin, takže stejně musíte až 24 hodin čekat – pár hodin nedostupnosti CRL není nijak kritické, jak už jsem ostatně psal v předchozím komentáři. -
Platnost certifikátů PostSignum se ověřuje oproti off-line CRL a ověřuje se zpětně, někdy můžete čekat na potřebné CRL až 24 hodin (pokud okamžik podpisu bude hned po platnosti předchozího CRL). Takže zdržení pár hodin se nijak nepozná, obvykle se schová do té lhůty, kdy čekáte na CRL novější než je podpis.
-
V komentáři o něco výše jsem popsal, jak se elektronický podpis ověřuje – když už mermomocí musíte diskutovat o něčem, o čem nic nevíte, tak si to tam alespoň dostudujte. Pak přijďte s popisem toho, jak nedostupnost CRL v uvedeném období ověřování zkomplikovalo – pokud tedy stále ještě budete mít pocit, že k něčemu takovému došlo.
-
Miliardové škody? Pokud by někde šlo o takové prachy, tak snad mají implementováno ověřování podpisů správně. Takže měli stažené CRL z 11.6. cca 13:00 a pro ověření novějších podpisů čekali na CRL s plánovaným vydáním 12.6. cca 13:00. Mezi tím mohli zkoušet, zda není dostupné novější CRL. Ale nemožnost CRL stáhnout má v takovém případě případě na celý proces ověřování úplně stejný dopad, jako stažení původního CRL – tedy žádný, pořád se musí čekat až do vydání dalšího platného CRL. Problém by byl, pokud by ten CRL PostSIgnum nestihla publikovat do těch 24 hodin, protože to už by bylo porušení certifikační politiky.
-
fd (neregistrovaný)
Fascinuj mne, jak muze nekdo takto doslova zvanit o vecech, o kterych nema ani poneti.
Mr Jirsak, vrele doporucuji navstivit trebas http://www.postsignum.cz/seznamy_zneplatnenych_certifikatu_crl.html. Ku ctene pozornosti doporucuji predevsim (po klipnuti na tlacitko odeslat, nic jineho netreba) data a casy. Ona zcela bezne CA s revokaci ceka 24 hodin, to aby pomoci revokovaneho certifikatu mohl nekdo vyrobit nejake falzum ... a CA pak hradila pripadne skody.
Vystavitel cn=PostSignum Qualified CA 2,o=Česká pošta\, s.p. [IČ 47114983],c=CZ
Sériové číslo 41494
Platný od 15.6.2015 7:59:56Divne, jak by mohl nekdo revokovat neco v 7:59? Nemozne.
-
Kdybyste aspoň tušil, o čem se tady diskutuje, věděl byste, že jediný popis nestandardní situace tady byl "certifikáty šílely". Další popsaná situace - nebylo možné ověřit podpis, protože nebylo možné ověřit platnost certifikátu - je při ověřování podpisů zcela normální stav. Dokonce, pokud podpisy ověřujete hned po přijetí dokumentu, projde tímto stavem alespoň jednou v praxi každý dokument.
Jediný problém, který mohl mít reálný dopad, mohl nastat, pokud chtěl někdo, kdo podpisy ověřuje jen příležitostně a neměl stažené poslední CRL, ověřit platnost starého podpisu - staršího, než to poslední platné CRL. Ovšem to by byl problém pouze z organizačního hlediska, z technického pohledu je to pořád situace "nemáme aktuální CRL, ověření podpisu musíme odložit na dobu, až aktuální CRL budeme mít".
-
Dobře, když tomu nerozumíte, já vám to klidně vysvětlím. Certifikační politika QCA PostSignum určuje, že CRL musí být vydán nejpozději 24 hodin po předchozím CRL (a datum, kdy nejpozději bude vydána příští aktualizace, je uvedeno v každém CRL), zároveň říká, že odvolaný certifikát se musí na CRL objevit do 24 hodin od nahlášení, a zároveň, že nový CRL je vydán vzápětí po zpracování žádosti o zneplatnění. Jenže "vzápětí" se těžko algoritmizuje (je "vzápětí" 5 minut? nebo hodina?), navíc na to, že už by tam novější CRL asi byl, vám nikdo štempl nedá, vy potřebujete CRL podepsané CA. Takže stejně musíte čekat až na další CRL, a podle certifikační politiky musíte počítat s tím, že může být vydáno až 24 hodin po předchozím. Tedy s těmi 24 hodinami čekání musíte každopádně počítat a nic s tím neuděláte (leda byste popohnal CA tím, že si necháte zneplatnit vlastní certifikát). V praxi u CA s tak velkým počtem vydaných certifikátů obvykle budete čekat kratší dobu, ale spoléhat na to nemůžete.
Tomu, aby někdo s pomocí revokovaného certifikátu vyrobil falzum, brání právě ověřování CRL. Právě proto musíte s ověřením certifikátu počkat až na dobu, kdy máte v ruce CRL, které potvrzuje, že certifikát nebyl před okamžikem podpisu revokován - tedy na CRL vůbec není, nebo je tam uveden s datem a časem pozdějším, než je datum a čas podpisu.
Offline ověřování certifikátů s CRL je záměrně postaveno takhle, aby to nebyl závod o čas s útočníkem - platí se za to tím, že se na ověření certifikátu musí čekat. Existují i online metody ověřování, které jsou ale náročnější na prostředky a PostSignum takovou službu veřejně neposkytuje.
-
sadasasd (neregistrovaný)
ja jsem sice geek z podstaty duse ale preci jen jsem chte nechte musel pochopit, ze pres vsechny argumenty proc mam pravdu (zvlast po technicke strance) je svet proste jiny
proste nevyloucite ten pripad, ze boss vaseho bosse bude mit nejaky problem a jste na ulici, nebo vas zakaznik odejde a jste na ulici apod..
pracoval jsem s mnoha miliardari a verte mi, cast z nich jsou jsou pekne svine :D
az to jednoho dne pochopite, bude sem vam lepe dychat :D
-
Jenže to není pravda, že by někdo nemohl nic dělat. Výpadek webu pošty správné ověřování certifikátů neovlivnil. Ovlivnit by mohl mizivé množství případů, pokud někdo ověřuje certifikáty jen příležitostně – pokud by nefungoval ani web externí firmy, na kterém jsou CRL PostSignum také zveřejněné. O výpadku toho dalšího webu postsignum.ttc.cz tu ale žádná informace není.
Pokud někdo ověřuje certifikáty špatně, problém mít mohl – ale pak má soustavně daleko větší problém v tom, že důvěřuje podpisům, které mohou být vytvořené na základě revokovaného certifikátu.
Reálný problém byla nedostupnost služby časových razítek, protože u té každý předpokládá, že časové razítko dostane hned. Oni to sice mají ošetřené v politice autority, že časové razítko vydají bezprostředně po přijetí žádosti, a když nejde web, není možné ani podat žádost, takže oni nic neporušili… Na druhou stranu, TSA PostSignum má občas předem hlášené odstávky, takže jejich zákazníci jsou na to, že časové razítko nemusí vždy dostat hned, zvyklí.
-
Asi jste svůj komentář zařadil do špatného vlákna. Já argumentuju tím, jak se podpisy ověřují správně podle práva a jak je to zorganizované. Řešení zabývající se pouze technickou stránkou věci by bylo rychlejší, stáhlo by aktuální CRL z webu a pokud by tam certifikát nebyl, prohlásilo by ho za platné. Pak by opravdu aktuální nedostupnost CRL na webu byl problém. Pokud měl někdo s CRL v době výpadku problémy, pak právě proto, že řeší jenom technickou stránku věci a neřeší ty ostatní.
-
Co pořád máte s těmi certifikáty? Pro vydání certifikátu potřebujete z webu možná nějaké dokumenty, ale vydání rozhodně není kritické. Pro podpis web nepotřebujete vůbec. Pro ověření samotného certifikátu web také nepotřebujete, potřebujete ho akorát pro ověření, zda certifikát nebyl odvolán – on-line ověření PostSignum neumožňuje, takže zbývá jen offline ověření přes CRL, a tam párhodinová odstávka opět nevadí. Zbývá odvolání platnosti vlastního certifikátu, tam je čas poměrně kritický faktor a odstávka webu je dost nepříjemná, ale pořád zbývá možnost odvolat certifikát třeba telefonicky. Takže nevím, co se vám splašilo, ale certifikáty asi těžko.
ČLÁNKY DO MAILU