Vlákno názorů k článku HTTPS - bezpečnost jen pro vyvolené? od Martin Kalenda - DD, mam nainstalovanej cert od EB a je trusted...

DD,
mam nainstalovanej cert od EB a je trusted tj to jejedina vec co me zajima.

add ostatni pokud uvedeny subjekt primo neznam (ruzne obchudky) etc etc tak mu poskytnu jen to nezbytne minimum a od SSL mi staci (sice je kolikrat jen 40ti bit) ze je kanal relativne bezpecny. stejne nemam jistotu (sic si muzu overit ze je to pradepodobne ten a ten) ze mi z nejakeho outsideCZ obchodu neposlou mrtvou mys misto PDAphone ?

add duvera CA duveruju nekolika cert autoritam:
1. sobe - i kdyz si obcas neco nalhavam :)
2. Thawte
3. Verisign
verim jim
ne protoze ze jsou v IE (vyjma me) jako duverychodne ale protoze mam pocit (SSL doporucujeme, IP pridavame vetsnou free, anejakej ten cert - i kdyz jen od nas klientum taky free dame ) ze jejich (jiste vysoke) prijmy zarucuji ze to delaji prave pro to a ne pro neco jineho.

BTW: boom CA v cr kdyz jsm kdysi ml nejake jednani s nekym vyse v IOL tak mi rekl proc nemaji svou vlastni CA rekl protoze to nejde v CR komercne vyuzit (uznane od jinych CA nejsou, v browserech take ne) a to je podle me spravny pristup. (nevidim duvod nedat za cert cca 150$ rocne za cert ktery je v browseru nez za ceskej cca 1000 KC /konkretne ICA/) i kdyz cena pohcopitelne nevypovida o kvalite (presneji duveryhodnosti resp. zabezpeceni muze byt uplne stejne - nemuzu posoudit)

add CA v browserech jake tu vsici v diskuzi mate nazory na to, ze by STAT (at si o nem jako o instituci ovladanou soucasnou politickou garniturou myslim cokoliv) mel regulovat tyto CA, Napr donutit vsechny tvurce programu (ve predu stoji MS co tu podporuje BSA) donutil nainstalovat CA-CZ ktera pak bude podepisovat CA ktere teprve budou vydavat certifikaty) ? Je to reakce predevsim na IE do ktereho se dle me dostupnych informaci da za penize DOSTAT DO TRUSTED ?

samozrejme nejjednodusi bude distribuovat ROOT-CA nejakym jinym zpusobem aby si je mohli vsici naistalovat a nebyl to tu "Warning" stat kdy 99 procent browseru ceske CA vubec nezna ?

Ne. Prázdný seznam neznamená "věřím všem", ale "nevěřím nikomu".

Domnívám se, že rada vymazat předinstalované CA je špatná a že takový postup MIM útok umožní/zjednoduší. Kromě důvěry v CA (v typickém případě opravdu postavené na písku) je totiž pořeba ještě vědět, že CA je opravdu CA. A to právě zajišťují předinstalované certifikáty - tedy pokud důvěřujete výrobci browseru a distribučnímu kanálu, kterým se k vám váš browser dostal. Pokud si vymažete certifikáty, může se kdokoli kdo může zachytit vaši komunikaci(provider, zaměstnavatel,...) vydávat za CA a stát se tím mužem uprostřed.
Pokud se mýlím, budu jen rád, když mi někdo můj omyl vysvětlí.

Ale ja svuj nazor na v browserech predinstalovane autority preci uvedl - myslim, ze to bylo slovy "pochybuji, ze jen jedina je schopna overit" - nebo tak nejak. Skutecne se domnivam, ze v soucasne dobe zadna predinstalovana autorita nepouziva pro overeni takove postupy, ktere by ji davaly nejakou rozumnou jistotu.

Ony totiz vychazi jen z dokumentu, ktere dostanou od vas - a ktere tedy mohou byt pozmenene nebo padelane (to, ze je preklad uredni nerika, ze je z praveho originalu). Vetsina autorit neni schopna posoudit ani to, zda jsou predlozene dokumenty prave ani to, zda jsou vydane opravnenym organem (a tak napriklad neni problem vytisknout neco, co se jmenuje "potrzeni o existenci firmy" a dat na to svuj overeny podpis (tim tam ziskam kulate razitko se lvickem) -a vetsina autorit se bude domnivat, ze notar skutecne potvrzuje existenci firmy - jenze on jen potvrdil, ze jste to tam pred nim podepsal). A jinych prikladu lze snest mnoho.

A proc jsem nehodnotil duveryhodnost jednotlivych autorit ? Protoze to k nicemu neni - celym clankem se vine jako cervena nit varovani - co se tyce posuzovani duveryhodnosti nekoho jineho, neverte nikomu neznamemu (tedy ani dodavateli software) - a ted by nekdo, pro vetsinu z vas neznamy, mel duveryhodnost zhodnotit ? Ani nahodou - vase bezpecnost je ve vasich rukou a toto zhodnoceni si kazdy musi provest sam - za to ja nest odpovednost nehodlam. Plati jedine pravidlo - nejste-li si duveryhodnosti NAPROSTO jisti (sem patri i pripad, ze to nedovedete posoudit) pak takova autorita do seznamu duveryhodnych NEPATRI.

DD,
dobry den, jak mam rozumet vasi pripomince o tom ze si zahranicni cert autority (nemluvim pochopitelne o akademickych, mexickych a pod :) nemaji data jak overit. Je sice pravda ze napr ICA nechava request tusim nejak overit u notare a osobni cert vydaji jen proti nejakemu dokladu.
Dalsi zajimavou veci je otazka ruceni etc. nechci byt kacir ale byt nejaka vetsi spolecnost (VISA,AMEX etc.) tam mi asi certifikacni autorita z CR uz jenom svym majektem nebude nejak blizka.
To je jeden z duvodu proc je v CR tak problematicke akceptovat CC od klientu. Ceske banky jsou naprosto neschopne (nebo maji jiny zpusob - viz. EB) ze mi nejsou schopny provest MO/TO. Pokud by se banka chovala opravdu trzne a rekla by jasna pravidla napr za chargeback nad 5% transakci vas kopnem do prdele ... a napsala poradnou smlouvu a byl nejaky mezibankovni system kde by se dal zjistit "CC rating obchodnika" nebyl nby s akceptaci problem. Chapu ze zde muzou byt obavy o zneuziti cisla ziskaneho pres web ale toto riziko je srovnatelne s tim kdyz nekde vobchodaku z sejmu nadalku digitalnim fotakem cisla CC od nakupujicich vcetne jmena a platnosti. Bohuzel v CR plati hodne lidi v HyperMegamarketech tak nanejvis OK kartou :]

Po precteni tohoto clanku nabyvam pocitu, ze jeho autor zde zapomel na nekolik zavaznych skutecnosti z oblasti uziti SSL pro kodovani HTTP protokolu. A kdyz uz prirovnava certifikacni autority k firme s sejfy, proc nevyrkne sve zkusenosti s uvedenymi cert. autority?

Tyto clanky nectou pouze profesionalove, ale take zpousta uzivatelu internetu a ti budou nyni dezorientovani. Ktere autority lze povazovat za duveryhodne a ktere ne.... a kdyz autor kritizoval ty predinstalovane (jako zahranicni, co si nic nemohou z nasi zeme zjistit), ktere to jsou? Jsou takove vsechny? Jsou ceske autorizacni spolecnosti jine? Vi vubec jake jsou u nas moznosti? Ktere to jsou a jake maji postupy? V cem se lisi od tech zahranicnich?....