hej,
W dniu 21 listopada 2014 08:12 użytkownik Radoslaw Szkodzinski astralstorm@gmail.com napisał:
2014-11-21 7:58 GMT+01:00 Jarosław Górny jaroslaw.gorny@gmail.com:
W dniu 21 listopada 2014 07:13 użytkownik Radoslaw Szkodzinski astralstorm@gmail.com napisał:
2014-11-21 7:04 GMT+01:00 Jarosław Górny jaroslaw.gorny@gmail.com:
W dniu 21 listopada 2014 06:55 użytkownik Radoslaw Szkodzinski astralstorm@gmail.com napisał:
2014-11-20 12:07 GMT+01:00 Sergiusz 'q3k' Bazański q3k@q3k.org:
On 11/20/2014 12:04 PM, Radoslaw Szkodzinski wrote: > Tylko czekać, aż jakiś zdzisław zrobi swoją stronkę, a następnie okaże > się, że używa klucza do wrzucania wirusów, phishingu czy innych ataków > na ludzi.
W sensie kluczy, które są certyfikowane do użycia z jego własną domeną? Czyli, w sumie, tak jak może zrobić teraz?
Może, ale podpisuje się wtedy pod tym własnym nazwiskiem, prawdziwym adresem. Z wszystkimi konsekwencjami prawnymi.
Ta. Chciałbyś. Nie przypominam sobie, żebym musiał jakoś specjalnie udowadniać, że nazywam się tak jak się nazywam i mieszkam gdzie mieszkam, jak rejestrowałem domenę. A do dostania certu wystarczy, że jesteś w stanie odebrać email w domenie, na którą ma być wystawiony.
Tak, ale to nie jest certyfikat class 3.
A masz gdzieś informację, że te wystawianie w ramach tego projektu będą class 3?
Nigdzie, ale jeśli będą strzelały warningami, to chyba cele tego projektu nie będą szczególnie spełnione? Sam kit jest super, ale mogliby nie robić śmieciowego CA, tylko wysłać ludzi do odpowiednich, dobrych, już istniejących firm uruchamiających CA, oferujących certyfikaty dobrej jakości. Jest ich sporo.
Tego typu certyfikaty nie powinny mieć włączonego zaufania w przeglądarce. W sensie, CA może być rozpoznawany, ale powinien pojawiać się warning, że tożsamość strony niekoniecznie jest zweryfikowana.
To Ty tak uważasz. Przecież przeglądarki w jasny sposób wyróżniają certy EV.
Zobacz ceny certyfikatów EV i zastanów się jeszcze raz. A wystarczyłoby nie ufać domyślnie śmieciowym certyfikatom.
Chodziło mi o to, że tak jak dziś DV jest odróżnialny od EV na pierwszy rzut oka, tak samo będzie jak "let's encrypt" zadziała. Nikt nikomu nie będzie za darmo rozdawał EV. Twoje pieniądze w banku są bezpieczne (powiedzmy).
To oczywiście za pierwszym razem, można sobie zapamiętać taki certyfikat na przyszłość po własnej weryfikacji.
Jeśli uważasz, że wyświetlanie ostrzeżeń jest OK, to w sumie w ogóle można sobie podpisać cert własnym CA i prosić odwiedzających o akceptację -- efekt będzie taki sam.
Nie, ponieważ ludzie nie będą sprawdzać wszystkiego o certyfikacie. CA, nawet śmieciowe, jednak jest *jakąś* weryfikacją. Np. nie będziesz musiał patrzeć, czy certyfikat należy do tej domeny.
I w ten sposób zatoczyliśmy koło. Zacząłem od tego, że Twoje obiekcje są bezzasadne, bo dzisiaj można sobie zarejestrować domenę i kupić do niej cert DV bez konieczności dowodzenia kim się jest.
Można zatem uprościć superzłożone okienko ostrzegawcze i może ludzie nie będą przez nie przeklikiwać.
Oczywiście, że będą. Tak jak teraz informacje o unijnych ciasteczkach.
(...)
Tak. W zasadzie możemy wrócić do telneta. Po co Ci ssh. Przecież NSA i tak Cię "zhackuje". I nieszyfrowanego IMAPa, itd.
Nie do końca o to chodzi. Nie dysputuję, że szyfrowanie jest potrzebne, ale szyfrowanie bez uwierzytelniania jest do dupy.
Czyli znów -- dokładnie tak jak jest teraz z rejestracja domeny i certyfikatem DV.