Názory k článku Na řadu webů se nepodíváte, Chrome i Mozilla odříznou SSL certifikáty Symantecu. Proč a co to znamená?

"Ukazuje se totiž, že není zcela v kapacitách každého majitele webu věnovat dostatečnou pozornost všemu, co se zrovna děje na trhu s digitálními SSL/TLS certifikáty, a pružně na všechny změny reagovat."

Tak to je chyba majitelů webu, pokud nevěnují dostatečnou pozornost zajištění a bezpečnosti vlastních webů, ne?

To je jako svěřit správu svého výrobního areálu lídrovi na trhu, a pak rok ignorovat či nečíst zprávy o průšvizích tohoto správce a o tom že mu jiní přestali důvěřovat (a že to na vás bude mít velmi konkrétní dopad, např. ztrátou ISO certifikace, aby analogie s nedůvěryhodnými weby více seděla).

Však vy onu možnost uložit si CA kterým důvěřujete (ale prohlížeč by default ne) přece máte, ne? Sám píšete o úložišti ve Windows.. které je možná jen špatně naprogramované.

Osobní zkušenost s Firefoxem na Linuxu: mám self-signed CA na svém soukromém web serveru - při první návštěvě vyskočí varování, na pár kliknutí a prohlédnutí certifikátu si jej uložím jako důvěryhodné, a od té doby vše funguje. Případně můžu importovat lokálně uložené CAs přes WebUI prohlížeče přímo, ještě před první návštěvou daného webu.

V případě jakéhokoliv průseru začnou uživatelé řvát, jak to, že jim nikdo neřekl, že je něco špatně, resp. že to někdo nevyřešil za ně. A především ti, co jinak dění v oboru IT / security ignorují. Při takové ignoraci ze strany uživatele je lepší odříznout, napravit malé škody, než čekat na opravdu velký průser.

IMO je to jasné, Google je v právu.

BTW - buď má někdo web u poskytovatele, který mu dodává celou službu (různé ty publikační systémy na klíč) a tím pádem to ví a řeší poskytovatel, nebo si dělá web sám, a pak je jeho povinnost sledovat, aspoň po očku, co se v tomto oboru děje. Jako řidič taky musím vědět, jestli a jak se mění pravidla silničního provozu :)

Opet blabolite nesmysly ve svem oblibenem blabolivem kolecku mr Jirsak? Tak si to sam se sebou vesele uzivejte. Ostatne, tech certifikatu prave pro google vystavily ruzne CA desitky (tech znamych pripadu). Ve skutecnosti to budou desitky tisic nejmene.

Za malou rozšířenost HTTPS mohou ti, kteří si dlouhé roky pakovali kapsy na certifikátech.
Kdyby certifikáty nestály nic, mohlo být HTTPS standardem při tvorbě webu podobně jako absence SQL Injection. Jenže když mají lidi něco každoročně platit, tak se jim do toho přirozeně moc nechce, a rozhodnou se tam HTTPS nemít.
Kdyby dnes chtěli HTTPS donasadit, neplatili by sice nic za certifikát, ale museli by zaplatit někomu aby to pro ně udělal, a to se jim opět nechce,

Informovat uživatele mají noviny. Bohužel ani to už asi lidi nečtou.
Pak je otázka čí PR oddělení na tom má zapracovat? Výrobců prohlížečů nebo toho, kdo má průšvih a snad by se chtěl ještě udržet na trhu?

Proč se to nelíbí vydavatelům certifikátů? Konečně se projeví rozdíl mezi kvalitou a odpadem a bude zájem nejen o nejlevnější certifikáty..

Většina vašeho komentáře jsou kraviny na které nebudu ani reagovat, jen tahle věta:

Vsechny zamecky jsou pak pouze placebo, ktere navic zpusobuje spoustu problemu a to prave predevsim koncovym uzivatelu

To souhlasí, vždyť také prohlížeče postupně ty zámečky odstraňují. Ještě před pár měsíci byly zámečky zelené a se zeleným proužkem kolem. Teď už jsou šedé a postupně zmizí úplně.

Ale jeho výrobci ano.

Ulozit si tam nejakou dalsi muzete, ale nemuzete odstanit ty, kterej vam ten ti bohove odkudsi vlozi. Zkuste to, a podivejte se co tam bude az priste system ci browser aktualizujete.

V pripade browseru pak jeste prichazi ono bonusove chovani, ze na kazdem webu s certifikatem jehoz CA nemate mezi duveryhodnymi bude rvat jako protrzeny, zato CA ktera podepise komukoli cokoli mu vubec nevadi. Stejne jako mu vubec nevadi, ze sice mate pro dany web ulozeny primo certifikat, ale ten jiny (falesny) je preci podepsany "duveryhodne", takze jste zcela v bezpeci.

Jinak receno, v tento okamzik osobne neznam browser, ktery by vam i jenom umoznil se po webu pohybovati bezpecne. Natoz aby se tak choval ve vychozim stavu. Nemuzete zkratka zadnym zpusobem rici, ze na teto domene akceptujete pouze a vyhradne tento certifikat a zadny jiny, stejne jako nemuzete rici, ze dane CA duverujete, pouze pro vyjmenovany seznam domen/sluzeb/... a DANE, ktere by alezpon eliminovalo nejderavejsi cast retezce, radsi nikdo neimplementuje, nebot by to znamenalo, ze CA prestanou existovat.

Vsechny zamecky jsou pak pouze placebo, ktere navic zpusobuje spoustu problemu a to prave predevsim koncovym uzivatelu. Co myslite, umi vase 5 let stara televize (pokud vubec) neco jineho nez RC4? Tak ji zahodte a kupte si novou, a za 2-3 roky znova.

Nepochybuji o tom ze umite cist, tak jeste jednou jako pro male dite. Vite co dela kazdy antivirus? Zjevne nikoli. Generuje tisice "duveryhodne" podepsanych cerifikatu pro zcela kazdou domenu kteru dotycny ve svem browseru otevre. Procpak to browseru vubec nevadi? Vzdyt kdokoli cestou mohl obsah zmenit? Uplne stejne funguji vsemozne firemni proxy a nekonecny zastup "duveryhodnych" CA.

Právě tohle je typicky arogantní přístup k uživateli, který byl jedním z motivů mého přechodu z Windows na Linux. Prostě přejdu na jiný prohlížeč, kde ze mě nebudou dělat blbce.
Navíc pořád je ve hře varianta, že se jedná o třenici mezi velkými firmami, kteří při ní dupou po uživatelích.

Myslite? Schvalne, k cemu provozovatel webu potrebuje ssl, a co mu prinese posveceni pripadneho certifikatu jakousi ca.

Az to zodpovite, muzeme pokracovati. Tataz otazka z druhe strany - uzivatel.

Nez zacnete vypravet cosi o bezpecnosti, tak si znovu (a pak jeste jednou) prectete clanek pod kterym reagujete. O bezpecnost totiz vubec nejde. S bezpecnosti to nema a ani nemuze miti nic spolecneho. Kdyby miti melo, tak dotcena ca neexistuje jiz nekolik let a sni mnohe dalsi.

Co je asi tak bezpecneho na tom, ze si kdokoli muze nechat podepsat certifikat napriklad od LE. Na libovolnou domenu. Protoze je to otazka nejakeho souboru na nejakem webu, pripadne nejakeho zaznamu v tom (neduveryhodnem)* DNS systemu.

*Neduveryhodnem neboot pry neni dostatecne duveryhodny na to, aby otisk certifikatu byl primo v nem, ale zjevne je dost duveryhodny na to, aby na zaklade zaznamu v nem CA certifikat podepsala, coz je obzvlaste vesele, nebot ona CA muze libovolny certifikat podepsat na zaklade sve libovule. Kdezto otisk do DNS muze vlozit pomerne velice omezene mnoztvi subjektu (a drzitel ci provozovatel se o tom velice snadno dozvi).

To by mne zajimalo, jake kraviny, jste takovy hlupak ze neumite ani podeprit svuj nazor argumentem? Vse co jsem napsal si muze kazdy jeden uzivatel vyzkouset sam.

Mr Jistak, vazne si myslite ze mne zavlecete do svych nesmyslnych blanolicich kolecek? Mam ukrast vase auto abych dokazal ze to lze?