2014-11-21 7:58 GMT+01:00 Jarosław Górny jaroslaw.gorny@gmail.com:
W dniu 21 listopada 2014 07:13 użytkownik Radoslaw Szkodzinski astralstorm@gmail.com napisał:
2014-11-21 7:04 GMT+01:00 Jarosław Górny jaroslaw.gorny@gmail.com:
W dniu 21 listopada 2014 06:55 użytkownik Radoslaw Szkodzinski astralstorm@gmail.com napisał:
2014-11-20 12:07 GMT+01:00 Sergiusz 'q3k' Bazański q3k@q3k.org:
On 11/20/2014 12:04 PM, Radoslaw Szkodzinski wrote:
Tylko czekać, aż jakiś zdzisław zrobi swoją stronkę, a następnie okaże się, że używa klucza do wrzucania wirusów, phishingu czy innych ataków na ludzi.
W sensie kluczy, które są certyfikowane do użycia z jego własną domeną? Czyli, w sumie, tak jak może zrobić teraz?
Może, ale podpisuje się wtedy pod tym własnym nazwiskiem, prawdziwym adresem. Z wszystkimi konsekwencjami prawnymi.
Ta. Chciałbyś. Nie przypominam sobie, żebym musiał jakoś specjalnie udowadniać, że nazywam się tak jak się nazywam i mieszkam gdzie mieszkam, jak rejestrowałem domenę. A do dostania certu wystarczy, że jesteś w stanie odebrać email w domenie, na którą ma być wystawiony.
Tak, ale to nie jest certyfikat class 3.
A masz gdzieś informację, że te wystawianie w ramach tego projektu będą class 3?
Nigdzie, ale jeśli będą strzelały warningami, to chyba cele tego projektu nie będą szczególnie spełnione? Sam kit jest super, ale mogliby nie robić śmieciowego CA, tylko wysłać ludzi do odpowiednich, dobrych, już istniejących firm uruchamiających CA, oferujących certyfikaty dobrej jakości. Jest ich sporo.
Tego typu certyfikaty nie powinny mieć włączonego zaufania w przeglądarce. W sensie, CA może być rozpoznawany, ale powinien pojawiać się warning, że tożsamość strony niekoniecznie jest zweryfikowana.
To Ty tak uważasz. Przecież przeglądarki w jasny sposób wyróżniają certy EV.
Zobacz ceny certyfikatów EV i zastanów się jeszcze raz. A wystarczyłoby nie ufać domyślnie śmieciowym certyfikatom.
To oczywiście za pierwszym razem, można sobie zapamiętać taki certyfikat na przyszłość po własnej weryfikacji.
Jeśli uważasz, że wyświetlanie ostrzeżeń jest OK, to w sumie w ogóle można sobie podpisać cert własnym CA i prosić odwiedzających o akceptację -- efekt będzie taki sam.
Nie, ponieważ ludzie nie będą sprawdzać wszystkiego o certyfikacie. CA, nawet śmieciowe, jednak jest *jakąś* weryfikacją. Np. nie będziesz musiał patrzeć, czy certyfikat należy do tej domeny.
Można zatem uprościć superzłożone okienko ostrzegawcze i może ludzie nie będą przez nie przeklikiwać.
Druga rzecz, to informowanie, że certyfikat się zmienił, nawet jeśli jest zaufany. (Może za wyjątkiem EV, chyba, że firma się zmieniła.)
Czy teraz na stronce tego anegdotycznego Zdzisława podajesz wrażliwe dane?
Anegdotyczny Zdzisław prowadzi anegdotyczny sklep internetowy sprzedający koszulki z anegdotami.
Dlaczego uważasz, że nagle ludzie zaczną to robić, kiedy uzyskanie certyfikatu DV będzie prostsze?
Bo będzie prostsze. :)
Może to jest sposób na nagonienie sprzedaży certyfikatów Extended Validation.
Może. A może chodzi o to, żeby dane fruwające między moją przeglądarką a serwerem Zdzisława nie latały plain-tekstem, tak, że byle Janusz może sobie je przeczytać / zmodyfikować / zrobić mi MitM bez większego problemu?
Byle Janusz nie robi MitM, tylko spear phishing lub zwykły, czasem wirusy i inne trojany.
Ja po prostu chciałem powiedzieć, że jak coś możesz wysyłać plain-tekstem albo zaszyfrowane, to troszkę lepiej, jak zaszyfrowane...
Tak, całkowicie się z tym zgadzam.
"let's encrypt" ma szansę sprawić, że stanie się to prostsze i tańsze dla przeciętnego człowieczka, który sobie np. postawił mały sklep online albo blogaska.
Oraz dla napastnika.
MitM są domeną ludzi mających wjazd do ISP. A ci leją ciepłym moczem na certyfikaty, bo mogą z reguły wystawić ich sobie ile chcą, kiedy chcą. (Mowa tu o organizacjach dysponujących sporym budżetem na ataki.)
Tak. W zasadzie możemy wrócić do telneta. Po co Ci ssh. Przecież NSA i tak Cię "zhackuje". I nieszyfrowanego IMAPa, itd.
Nie do końca o to chodzi. Nie dysputuję, że szyfrowanie jest potrzebne, ale szyfrowanie bez uwierzytelniania jest do dupy.