W dniu 21 listopada 2014 10:33 użytkownik Radoslaw Szkodzinski astralstorm@gmail.com napisał:
2014-11-21 8:45 GMT+01:00 Jarosław Górny jaroslaw.gorny@gmail.com:
W dniu 21 listopada 2014 08:12 użytkownik Radoslaw Szkodzinski astralstorm@gmail.com napisał:
Zobacz ceny certyfikatów EV i zastanów się jeszcze raz. A wystarczyłoby nie ufać domyślnie śmieciowym certyfikatom.
Chodziło mi o to, że tak jak dziś DV jest odróżnialny od EV na pierwszy rzut oka, tak samo będzie jak "let's encrypt" zadziała. Nikt nikomu nie będzie za darmo rozdawał EV. Twoje pieniądze w banku są bezpieczne (powiedzmy).
Ale nie są, bo byle sklepy nie mają EV i/lub nie stać ich na takie.
Wszystko jest ok, póki używają zaufanego przetwarzania płatności, ale sporo sklepów tak nie robi.
Oczywiście kwestia, komu można zawierzyć dane karty kredytowej... Dlatego mam osobnego prepaida na takie sytuacje. Ogranicza ewentualne straty. Ale rozumiem ludzi, którym się nie chce trzymać specjalnie osobnej karty kredytowej.
Nijak się to ma do tematu dyskusji, którym jest (przypominam) nowy projekt: "Let's Encrypt". Wysokopoziomowe filozoficzne eseje o tym, jak być bezpiecznym w sieci są oczywiście cenne, jednak niewiele wnoszą tutaj.
(...)
Czyli znów -- dokładnie tak jak jest teraz z rejestracja domeny i certyfikatem DV.
Nie? Zarejestrować domenę to można u setek registrarów bez żadnej weryfikacji i bez poprawnego wpisu WHOIS.
Kiepski certyfikat DV jest kiepsko uwierzytelniony i powinno być wtedy ostrzeżenie.
Ale nie rozmawiamy o tym "co powinno być". Tylko o "Let's Encrypt". I o tym czy ew. wprowadzenie tej usługi globalnie patrząc obniża bezpieczeństwo korzystania z WWW (co twierdzisz Ty), czy jednak nie obniża (co twierdzę ja). "Jak powinien być urządzony system certyfikatów w Internecie w idealnym Świecie" to temat na zupełnie inną dyskusję.
Powtarzam - mam DV do własnej domeny, podpisany przez CA, które jest w przeglądarkach. Nikomu się żadne ostrzeżenia nie wyświetlają. Nie musiałem się spowiadać z tego kim jestem -- wystarczyło, że odebrałem email wysłany na moją domenę. I tyle.
Więc po raz ostatni: dziś bez żadnego problemu można dostać normalne DV. Nie widzę w jaki sposób "Let's Encrypt" miałoby jakoś pogorszyć tutaj sytuację.
Mniej "in your face" niż self-signed może, ale i tak. Wszelka weryfikacja ograniczająca się tylko do Internetu jest kiepska. (Adres email, domena, bazy whois itd.)
Ale tak to działa. Teraz.