2014-11-21 8:45 GMT+01:00 Jarosław Górny jaroslaw.gorny@gmail.com:
W dniu 21 listopada 2014 08:12 użytkownik Radoslaw Szkodzinski astralstorm@gmail.com napisał:
Zobacz ceny certyfikatów EV i zastanów się jeszcze raz. A wystarczyłoby nie ufać domyślnie śmieciowym certyfikatom.
Chodziło mi o to, że tak jak dziś DV jest odróżnialny od EV na pierwszy rzut oka, tak samo będzie jak "let's encrypt" zadziała. Nikt nikomu nie będzie za darmo rozdawał EV. Twoje pieniądze w banku są bezpieczne (powiedzmy).
Ale nie są, bo byle sklepy nie mają EV i/lub nie stać ich na takie.
Wszystko jest ok, póki używają zaufanego przetwarzania płatności, ale sporo sklepów tak nie robi.
Oczywiście kwestia, komu można zawierzyć dane karty kredytowej... Dlatego mam osobnego prepaida na takie sytuacje. Ogranicza ewentualne straty. Ale rozumiem ludzi, którym się nie chce trzymać specjalnie osobnej karty kredytowej.
Można zatem uprościć superzłożone okienko ostrzegawcze i może ludzie nie będą przez nie przeklikiwać.
Oczywiście, że będą. Tak jak teraz informacje o unijnych ciasteczkach.
Nie sądzę. W odróżnieniu od ciasteczek, taka informacja jest pokazywana rzadko, bo sensowne strony mają dobre certyfikaty, i tylko raz dla tych, które mają te gorsze. Nawet może to być w formie kolorku ostrzegawczego przy kłodce i jakiegoś wysuwającego się powiadomienia.
Ale przy zmianie certyfikatu musi być solidne ostrzeżenie.
Poza tym mogliby wreszcie dawać wszędzie SNI - i tu Let's Encrypt pomoże, mam nadzieję.
Czyli znów -- dokładnie tak jak jest teraz z rejestracja domeny i certyfikatem DV.
Nie? Zarejestrować domenę to można u setek registrarów bez żadnej weryfikacji i bez poprawnego wpisu WHOIS.
Kiepski certyfikat DV jest kiepsko uwierzytelniony i powinno być wtedy ostrzeżenie. Mniej "in your face" niż self-signed może, ale i tak. Wszelka weryfikacja ograniczająca się tylko do Internetu jest kiepska. (Adres email, domena, bazy whois itd.)
Dobry certyfikat DV jest uwierzytelniony np. osobiście czy z weryfikacją danych w bazach krajowych, telefonicznie, itd.
Certyfikat EV powinien być bardzo dobrze uwierzytelniony, z potwierdzeniami osobistymi i pisemnymi od danej organizacji, plus powyższa weryfikacja.
Być może poziom zaufanej jakości powinien być ustawialny, trochę jak ten suwak w IE, *z sensownymi wartościami domyślnymi*.
Uwierzytelnienie mało się ma do faktu, że certyfikatem cośtam jest podpisywane. Podpis cyfrowy to tylko mechanizm weryfikacji uwierzytelnienia. Za prawdziwym uwierzytelnieniem stoi albo CA (w X.509), albo sieć zaufania (w GPG/PGP).
Natomiast zaufanie jest jeszcze osobną rzeczą. Chciałbym móc możliwość wyłączenia zaufania certyfikatom uwierzytelnionym przez jakieś CA z republiki bananowej. Najlepiej by to było opt-in, ale może być za ciężkie, więc sensowne defaulty w postaci zaufania dużym znanym CA i niektórym sprawdzonym rządowym CA.
Niestety przeglądarki nie mają ustawień pozwalających na sterowanie takimi rzeczami - a domyślnie ufają wszelkim CA w bazie. Można wywalić CA lub ich podklucze z bazy, ale pojedyńczo - a jest ich piekielnie dużo. Nie można na przykład ustawić "uważaj wszystko poniżej odpowiednika class 2 za kiepskie i ostrzegaj".