Vlákno názorů k článku Let's Encrypt komerční certifikáty ze státní správy nevytlačil od Petr Krčmář - Problém té domnělé vyšší důvěryhodnosti OV nebo EV...
-
Problém té domnělé vyšší důvěryhodnosti OV nebo EV certifikátů je, že neexistuje vazba mezi konkrétním doménovým jménem a povinností mít u něj vyšší stupeň certifikace. Software tedy OV nebo EV nevynucuje (nemá jak) a uživatel ho taky nikdy neřešil. Třeba PayPal chvíli EV měl, pak ho vyměnil za DV a po nějaké době se zase vrátil k EV. Uživatelé to neřešili a ani si toho nevšimli. Nevznikl žádný humbuk, nikdo o tom nepsal.
Proto nedává OV a EV příliš smysl. To je taky hlavní důvod, proč prohlížeče přestaly tu informaci zobrazovat. Další je, že se ukázalo, že je možné si v jiné zemi pořídit firmu PayPal a pak si na její jméno nechat ten EV certifikát vystavit.
To je jen jízda na mrtvém koni způsobená setrvačností státní správy.
-
To, že doména nemůže vyžadovat vyšší stupeň certifikace, podle mne není problém. Smysl OV certifikátů by byl v tom, že by se mi v prohlížeči zobrazilo jméno instituce, které byl certifikát vydán (tedy to, co dělaly EV certifikáty). Já jako uživatel pak právě nemusím znát doménové jméno, ale když vidím, že byl certifikát vystaven pro organizaci „Komerční banka a. s.“, nemusím vědět, zda mají bankovnictví zrovna na doméně mojebanka.cz nebo tvojebanka.cz nebo kb.cz, ale je pro mne důležité, že komunikuju opravdu s webem té banky.
Proto by u OV certifikátů bylo důležité zobrazovat ještě jurisdikci, podle které byl ten subjekt ověřen. Podle mne by dávalo velký smysl, kdybych u certifikátu vydaného podle eIDASu viděl v prohlížeči vlaječku EU a u toho jméno subjektu, kterému byl certifikát vystaven (a možná ještě vlajka konkrétního státu, aby se dala odlišit třeba česká a slovenská KB).
Současný stav, kdy všechny certifikáty v prohlížečích vlastně fungují jako DV, není dobrý, protože to vyžaduje, aby uživatel přesně znal doménu. Třeba ten PayPal – když u OV/EV certifikátů nejsou vlaječky států, dá se to obejít registrací firmy PayPal na nějakém ostrově s benevolentní legislativou. Ale ještě jednodušší je to s doménou, zaregistrovat si třeba paypal.eu nebo paypal.money, nebo dokonce jen pay-pal.com. Něco z toho možná vlastní skutečný PayPal, ale určitě se dá najít spousta domén, které PayPal nevlastní – a které budou vypadat dostatečně věrohodně i pro zkušené uživatele.
Podle mne to odstranění z prohlížečů bylo zbrklé – místo aby vyřešili problém, že je vedle subjektu potřeba zobrazovat i stát, přestaly to zobrazovat úplně. Chápu argument, že je na mobilech málo místa – ale přes web se toho řeší čím dál víc a představa, že uživatel bude znát domény všeho, co používá, je prostě úplně mimo.
A zrovna ten PayPal je dobrý příklad, protože v současné době má PayPal problém s tím, že se dá posílat phishing přímo přes systémy PayPalu. Takže ty e-maily mají podepsané hlavičky, 100% vzhled, protože je to generované přímo systémy PayPalu. Pokud někdo dostane třikrát takovýhle phishing vedoucí na doménu paypal.com a počtvrté dostane stejně vypadající e-mail, který povede na doménu paypal.eu, může se na to nachytat pozorný uživatel.
-
Nebylo to zbrkle. Je to pragmaticka reakce na standardni a praxi prokazane vetsinove chovani uzivatelu, ktery je dost casto jedno, co v tom adresnim radku vlastne je - vc. URL. Ano, je tu par nerdu (vas nevyjimaje), co na to koukne...
Dost naivni (opet spise nerdovska) je i predstava, ze lidi si budou v hlave nosit "spravnou" jurisdikci, ze ktere je sluzba poskytovana a podle toho kontrolovat nejake vlajecky.... :-)
-
Bezpečnost často nelze nařídit, často je možné akorát dát možnost chovat se bezpečně. Ostatně s vaším přístupem můžeme zrušit i HTTPS – jsou uživatelé, kteří jdou na web i přes HTTP, tak podle vaší logiky zrušme HTTPS všem. Protože HTTPS je dnes stále jen možnost, ne povinnost.
Obyvatelé ČR budou ponejvíce komunikovat se státní správou ČR a vlajku ČR znají. Takže vlajka ČR a vedle toho nápis „Ministerstvo obrany České republiky“ by drtivou většinu uživatelů ujistil, že jsou na správném webu. Když mají správný certifikát pro army.cz, ví většina obyvatel ČR houby o tom, zda je to oficiální web MO ČR. Ano, zrovna MO už je na gov.cz, ale tam nebude zdaleka vše ani z veřejné správy – třeba obce tam předpokládám nebudou. Takže třeba praha.eu – je to správná doména? No a pak je tu komerční sektor, třeba u internetového bankovnictví je docela důležité vědět, že komunikuji opravdu s bankou – což dneska znamená, že si musím pamatovat její doménu. O platebních branách ani nemluvě, ty snad tajně soutěží o to, která bude mít obskurnější doménu.
-
Nařídit lze, jen to nemá požadovaný efekt (papír snese všechno).
Ale jsou prostředky, jak jí alespoň trochu technokraticky vynutit.Vlaječka a nápis rozhodně ničemu nepomůžou, podobné logo a podobný název validací projde a jsme tam kde jsme.
Problém je právě v tom spoléhání se na domény, ale způsobený je tím, že jdou kredence phishovat.
HTTP+WebauthN by bylo svým způsobem bezpečnější (pro účely autentizace) než HTTPS a heslo. -
Já jsem ale nepsal o logách, ale o vlajkách států. A název „Fio banka a. s.“ už si v ČR fakt nezaregistrujete, a kdyby si někdo zaregistroval třeba „Fio baňka a. s.“, tak ho to jednak vyjde docela draho, jednak bude snadno dohledatelný.
S kým komunikujete potřebujete vědět, i když se vůbec nikam nepřihlašujete. Když se chcete podívat, na jaké číslo účtu máte zaplatit daň, přihlašovat se nikam nemusíte – ale nebýt v tu chvíli na webu Finanční správy nýbrž na webu podvodníka může být docela drahé.
-
Kde probuh pisu neco o ruseni HTTPS? Transport je treba zabezpecit, ale tim to zdaleka nekonci. Nelze spolehat na nejake zelene zamecky a vlajecky s tim, ze pak se tam daji v klidu busit jmena a hesla. Ty banky to mimochodem davno resi... tak, ze hesla postupne proste a jednoduse odbouravaji. Heslo je stejny prezitek jako EV certifikat a i na gov.cz se dnes bez hesla prihlasite i s uzitim statnich prostredku.
-
Vsak ja reaguju na nej, ne na tebe :-) A ano, souhlasim ze ty (proprietarni) aplikace nejsou nelepsi reseni, idealni je se posunout smerem ke standardizovanym resenim - ktere ale preci uz davno k dispozici mame. Jasne, i HW FIDO2 token / TPM device (jak funguji treba passkeys u Apple nebo i novejsich Androidech) muze byt nejak zranitelne, ale lepsi je to podle me o dost...
-
Tož vzhledem k tomu, že součástí certifikátu mohou být i různá nepovinná data, tak by nejspíš nebyl problém tam přihodit třebas ikonu 32x32 bodů ve formě Base64 dat, a nechat si to podepsat; u OV/EV certifikátu by mohlo být zaručené, že kontrola validovala i skutečnost, zda máte k danému vzoru práva (
ochrannou známku
).
Nicméně soudím, že reálně by to zneužitelnost nesnížilo. -
Mně nešlo o žádnou ikonku, ale o vlajku státu, pod jehož jurisdikci patří držitel certifikátu. Protože mně jako uživateli internetového bankovnictví je úplně jedno, jaké logo má zrovna moje banka, já potřebuju vědět, že komunikuju s institucí „Fio banka a. s.“ registrovanou v České republice. Protože při komunikaci s bankou mi hrozí dvě věci – že budu místo s bankou komunikovat s firmou „Šťastný hacker & syn“, nebo že budu komunikovat se subjektem, který se úplně náhodou jmenuje „Fio banka a. s.“, akorát že je registrovaný v Indonésii. Ten první problém uměly řešit EV certifikáty (a měly to řešit OV certifikáty, kdyby CA nebyly nenažrané), to druhé nejde na globálním internetu řešit jinak, než že uživateli zobrazíte, z jakého státu je registrace daného subjektu. Protože státy, které nás zajímají, si už umí zařídit, aby podvodný subjekt náhodou pojmenovaný úplně stejně jako banka nebyl registrován.
-
Jenže vy se na to díváte naruby. Není potřeba, aby uživatel zkoumal každý web, který navštíví. Uživatel potřebuje, aby když navštíví pár webů, které potřebuje mít spojené s konkrétní institucí, mohl si ověřit, že je to opravdu ta instituce. Pro občany ČR budou těmi institucemi instituce české veřejné správy, české banky, pojišťovny a podobné instituce. Tedy vše subjekty registrované v ČR. Jestli má někdo peníze ve Švýcarské bance, holt si buď zjistí její doménu, nebo se naučí poznat Švýcarskou vlajku, nebo to holt riskne bez ověření, jako dnes.
-
Ja chapu vasi zamecko/vlajkovou euforii, ale jak uz tu poznamenal mj. i Petr, je to jizda na mrtvem koni - ktera ma jen flikovat to, ze uzivatele pisou sve jmena/hesla, kam nemaji. Systemove a v industry davno prijate reseni je se hesel... badum tss... proste zbavit :-) A ono dnes postavit i s opensource reseni, kde uzivatel zadne heslo nepotrebuje neni zas takova magie. Kdyz se nechcete crcat s autentizaci, integrace MojeID (nebo treba Google ci Apple ID) take neni zadna cerna magie. Resit bezpecnost skrze nejake ikonky v adresnim radku a spolehat na to, ze uzivatel neco neprehledne je... proste mrtvy kun.
-
Idea možná hezká, ale když jsem viděl jak to ověřování funguje (Ind volá na česky mluvící klientskou linku - pro něj z veřejných zdrojů ověřené číslo spojené s firmou - a světe div se, OV certifikát je potvrzen, i když klientská linka prokazatelně nevěděla o co jde) tak jsem rád že to je z prohlížečů pryč.
ČLÁNKY DO MAILU