Vlákno názorů k článku Datové schránky povinně pro všechny. Nahrávka ministerstvu vnitra? od karelbarel - Kašlu jim na ně. Pokud přijde nějaká obálka...
-
karelbarel (neregistrovaný)
Kašlu jim na ně. Pokud přijde nějaká obálka s aktivačním nebo přihlašovacím cosi, budu dělat, že jsem ji nedostal, a nic aktivovat ani se nikam přihlašovat nebudu, ať si tam chodí a klidně hnije "jakoby doručený" co chce.
Jejich antibezpečnostní ubastlený paskvily mě opravdu nezajímají.
-
karelbarel (neregistrovaný)
Procházet zpětně celej seriál p. Peterky, a především diskuze pod ním, s mnoha potencionálníma zranitelnostma už v návrhu a existenci tohoto paskvilu tak jak funguje teď opravdu nebudu.
Btw, stačí se nyní podívat na stránku přihlašování certifikátem, a o těch neumětelích je jasno:
https://cert.mojedatovaschranka.cz/as/login?type=captcha&uri=https%3A%2F%2Fcert.mojedatovaschranka.cz%2Fportal%2FISDS%2FFirefox:
Při spojení s cert.mojedatovaschranka.cz nastala chyba. S partnerem protokolu SSL se nepodařilo domluvit akceptovatelnou množinu bezpečnostních parametrů. (Kód chyby: ssl_error_handshake_failure_alert)MSIE:
Tato stránka se nedá zobrazit
V upřesňujících nastaveních si zapněte TLS 1.0, TLS 1.1 a TLS 1.2 a zkuste se ke stránce https://cert.mojedatovaschranka.cz připojit znovu. Pokud tato chyba nezmizí, obraťte se na správce webu.
- zapnuto TLS jeUž jenom teď bych čekal, než to nějakej trouba opraví.
-
ohon (neregistrovaný)
Ani certifikát na externim tokenu (čipovce) to evidentně neumí, ba ani s kloudnym "rozmazánim" návodů si hlavu nelámali:
https://www.mojedatovaschranka.cz/static/pages/images/help/3_2_2_identifikace.pngA těmhle bych měl svěřit vlastní osobní dokumenty? NIKDY!
-
Ve skutečnosti je to tak, že pro přihlášení certifikátem potřebujete přihlašovací („komerční“) certifikát od některé ze tří českých autorit, které zároveň vydávají kvalifikované certifikáty. Právně to žádný význam nemá a umožnit použití certifikátů pouze těchto tří společností by se dalo chápat jako omezování konkurence. Bohužel je to technický problém, protože HTTPS umožňuje pouze přihlášení certifikátem, neumožňuje pouze přihlášení klíčovou dvojicí (přestože datové schránky v tomto případě nepotřebují z certifikátu žádnou informaci). Teoreticky by server mohl posílat prázdný seznam certifikačních autorit povolených pro přihlášení, ale je otázka, zda by to fungovalo se všemi klienty (zda by pak některý klient nedovolil vybrat žádný certifikát, místo kýženého výběru ze všech certifikátů).
-
Tomáš2 (neregistrovaný)
je to trošku jinak, každý certifikát je nějakým jiným certifikátem podepsán, aby prohlížeč navázal SSL/TLS spojení, musí ověřit všechny podpisy všech certifikátů.
S cert.mojedatovaschranka.cz se to má tak, že prohlížeč nemá k dispozici CA (kořenový certifikát podepsaný sám sebou), tak nemůže spojení ověřit a stránku stáhnout.
Pokud máš k dispozici linux/mac, může přesný problém zobrazit příkazem "openssl s_client -host cert.mojedatovaschranka.cz -port 443"
-
To, co jste napsal, je z velké části špatně. Ano, každý certifikát je podepsán certifikační autoritou (nebo self-signed certifikát sám sebou), a aby prohlížeč důvěřoval nějakému certifikátu, musí najít cestu od předloženého certifikátu až k nějakému, který má zařazen mezi důvěryhodné.
To, jestli nějaký prohlížeč má nebo nemá nějaký certifikát zařazený mezi důvěryhodné, není obecná vlastnost toho prohlížeče. Každý uživatel si může seznam důvěryhodných autorit libovolně upravovat – a správně by ho měl mít na začátku prázdný a doplnit jen ty autority, jejichž certifikační politiku si přečetl a kterým opravdu důvěřuje. Ve skutečnosti prohlížeče přicházejí s už naplněným (dlouhým) seznamem důvěryhodných certifikátů, ale to neznamená, že by se dalo obecně říci „prohlížeč nemá k dispozici certifikát CA“. Navíc mezi důvěryhodnými certifikáty nemusí být jen kořenové, běžně jsou tam i intermediate certifikáty.
Server cert.mojedatovaschranka.cz má ten samý certifikát, jako www.mojedatovaschranka.cz (ten certifikát má ve skutečnosti 6 aliasů – mojedatovaschranka.cz, a k tomu domény třetího řádu www, cert, reg, ws1 a ws1c), takže pokud váš prohlížeč důvěřuje některé z CA, která vydala certifikát, pro www.mojedatovaschranka.cz, důvěřuje i cert.mojedatovaschranka.cz. (To platí dneska, v neděli bude mít produkční prostředí nový certifikát, ale předpokládám, že to bude zase stejné – jeden certifikát s 6 aliasy).
Pokud máš k dispozici linux/mac, může přesný problém zobrazit příkazem "openssl s_client -host cert.mojedatovaschranka.cz -port 443"
Technicky tam žádný problém není. Jediný „problém“ je asi v tom, že nemáte potřebný komerční certifikát. Já takový certifikát mám, takže se na stránku https://cert.mojedatovaschranka.cz bez problémů dostanu.Já jsem ale reagoval na to, že pro přihlášení k datovým schránkám klientským certifikátem je potřeba komerční certifikát od některé ze tří českých certifikačních autorit, které zároveň vydávají kvalifikované certifikáty. To omezení je dané především technicky, protože HTTPS umožňuje jen přihlášení certifikátem, nestačí jen klíčová dvojice (jako to má třeba SSH). Server pak posílá klientovi seznam certifikačních autorit, jejichž certifikáty pro přihlášení akceptuje – takže do tohoto seznamu je nutné nějaké autority vybrat, a výběr těch tří českých komerčních je v takovém případě logická volba (protože pokud už někdo v ČR má komerční certifikát, bude to většinou právě jeden z nich – už jenom proto, že ho někde může získat zdarma ke kvalifikovanému).
-
karelbarel (neregistrovaný)
OK. Občanku mám skoro novou, i pas, takže než se dostane na to žádat o novou nebo o novej, klidně ať si tam pak hnijou nějaký dokumenty poslaný státníma otrapama několik let.
A už se těším, jak mi přijde (poštou) nějaká výhrůžka, jaktože jsem se ještě nikdy do DS nepřihlásil. Buď to vesele zignoruju, a nebo ať si pak dají na ouřadu špunty do uší, protože takový decibely tam ještě neslyšeli!
ČLÁNKY DO MAILU
