Fórum Živě.cz

[PiranhaGreg]

Zdravím, když jsme se na střední učili něco o serverech a sítích celkově, učitel říkal, že https jde provozovat i bez certifikátu od CA, ale jen když jsme na lokální síti, kde si můžeme zprovoznit vlastní CA nebo s varováním v prohlížeči.

No je to už cca 2 roky zpět, tak se chci zeptat, jestli se možnosti nějak nerozšířili? Certifikační autority mají certifikáty pěkně drahý, ale to https by se zas docela hodilo .

Mě přijde, že je to zobrazování varování ze strany prohlížečů trochu blbej nápad. By prostě měli v url napsat místo http https a dál to neřešit. A pokud bych měl certifikát od CA, tak samozřejmě zazelenat...

[Bari007]

Certifikační autority tady nejsou pro srandu králíkům, ale opravdu jako autority. Při žádosti o takový certifikát musíš projít určitým procesem, kdy opravdu dokážeš, že jsi tím subjektem, za který se vydáváš v tom svém certifikátu, a na základě toho se pak certifikát tváří jako důvěryhodný (= můžeš důvěřovat, že subjekt uvedený v tom certifikátu je opravdu tím subjektem, za který se na webu vydává). Právě kvůli tomu to tak je. Kdyby tam to varování nebylo a obecně by nebylo potřeba nijak validovat, na koho je certifikát vydaný, pak by si každý mohl vydávat certifikát jaký by chtěl klidně na úplně cizí subjekty a nikdo by nedokázal zajistit, aby tomu tak nebylo. A pak by ty certifikáty ztratily svůj význam, protože šifrování komunikace ani zdaleka není tím jediným, o co u certifikátů jde.

Takže buď jsi ve škole nedával moc pozor nebo byl učitel nevzdělaný nebo to dostatečně nevysvětlil Neukazovat to varování by byl naprosto zásadní bezpečnostní problém a certifikáty by zcela ztratily smysl. K šifrování komunikace totiž technicky žádný certifikát nepotřebuješ.

[PiranhaGreg]

To ne, učitel byl na tohle dobrej a tohle já chápu. Mě jde o to, proč tam musí prohlížeč psát to varování a jestli to nejde nějak obejít. Takhle to pak pro uživatele vypadá, že je bezpečnější HTTP než HTTPS bez certifikátu od CA, což podle mě není pravda.

-- 22. 5. 2014 19:33 --

Samozřejmě že zeleně zvýrazněnej HTTPS protokol by byl jen u certifikátů od CA...

[Milanr1]

Varování se zobrazuje právě proto, aby sis zkontroloval adresní řádek*.
Což jsi evidentně neudělal:

By prostě měli v url napsat místo http https

https tam je.
Otevřený, nešifrovaný http = prehistorický protokol z minulého tisíciletí, který postupně zanikne, podobně jako další nechráněné protokoly (většina už zanikla dávno).
---
* Dokonce i v tomhle případě:

samozřejmě zazelenat...

Viz fatální průšvih s podvrženými falešnými root certifikáty Comodo (následek hacknutí jejich serverů údajně Iránskými hackery) v r. 2011.
Po ověření falešnými certifikáty adresní řádek taky zezelená.

[Bari007]

Můžeš to obejít tím, že vytvoříš lokální CA, které budou důvěřovat například všechny počítače v AD. To je ve firmách běžná věc, protože například pro lokální jména (.local) ani nejde vystavit kvalifikovaný CA.

Pokud se nejedná jen o problém lokální AD, budeš muset nějak vhodně ten certifikát doručit všem uživatelům, kteří k serveru přistupují. Nebo samozřejmě zakoupit certifikát, což je pro služby v internetu jediná správná možnost.

A jen tak mimochodem... http://pki.cesnet.cz/ Nebo alespoň https://www.startssl.com/, které sice nemusí všechny systémy a prohlížeče důvěřovat, ale pořád lepší než současný stav.

[PiranhaGreg]

No koukal jsem teď, že se dají sehnat i za cca 250 Kč ročně což by snad ještě docela šlo...

A jen tak mimochodem... http://pki.cesnet.cz/ Nebo alespoň https://www.startssl.com/, které sice nemusí všechny systémy a prohlížeče důvěřovat, ale pořád lepší než současný stav.

Na ČVUT sice jsem, ale to je asi jen pro subdomény ne? No a tý StartSLL můžu věřit? Posílat sken občanky někam do Izraele...

[Milanr1]

Můžeš věřit především kolegovi.
Kdyby to nebyl důvěryhodný server, Bari007 by Ti to nenabízel.

[Bari007]

Nejde o to, že jsi student ČVUT, ale o to, že ta střední škola by mohla být připojena do CESNET a tím pádem mít nárok na všechny služby poskytované sdružením CESNET. A i pokud by připojena nebyla, třeba by se dalo najít nějaké řešení.

Pak se zavedou všechny domény té školy do systému a ty jako správce si pak můžeš žádat jednoduchým formulářem o certifikáty pro různé subdomény + můžeš mít uživatelské certifikáty pro všechny uživatele zavedené v systému například pro podpis nebo šifrování e-mailů.

[harryc]

Spis pro zajimavost, nez jako aktualne prakticky vyuzitelnou vec, doporucuji prozkoumat DANE (RFC 6698). To umozni, zjednodusene receno, pouzit pro overovani certifikatu klic ulozeny v DNS. Klient tak bude schopny overit certifikat i bez duveryhodne CA. Ttu vlastne nahradi DNS s pouzitim DNSSEC.

[Bari007]

To je ale pořád řešení hlavně pro lokální sítě. Protože jsi odkázán na to, že uživatel musí být nějak svázán s poskytovatelem té služby, tedy v tomto případě použitím jeho DNS. Což nejspíš neprojde, protože otevírat DNS servery jako resolvery do internetu není zrovna nejlepší nápad. A jsi zase zpátky na začátku...

[Milanr1]

Bari007:
To klidně můžeš. Nic neriskuješ.
Viz např.:
http://www.nic.cz/dnssec/
Jenže AFAIK nikdo z provozovatelů DNSSEC nezajišťuje zároveň certifikační služby pro https.

[Bari007]

Vystavovat otevřené DNS resolvery do internetu podle mě není vůbec dobrý nápad. Když to někdo udělá, musí moc dobře vědět proč a musí velmi dobře vědět, co dělá a jak to zabezpečit.

Důkazem toho jsou nedávno napadené otevřené resolvery Google

[Milanr1]

[OT]
Bari007:
To byl jen důsledek loňského hacku celého interního LAN Google: hackeři získali kompletní databázi uživatelských účtů/hesel všech zaměstnanců, o účtech/heslech externích uživatelů ani nemluvě.
Když si někdo nechá hacknout LAN, nemůže vystavovat ani DNSSEC, protože to nedokáže zabezpečit.
[/OT]

[harryc]

To je ale pořád řešení hlavně pro lokální sítě. Protože jsi odkázán na to, že uživatel musí být nějak svázán s poskytovatelem té služby, tedy v tomto případě použitím jeho DNS. Což nejspíš neprojde, protože otevírat DNS servery jako resolvery do internetu není zrovna nejlepší nápad. A jsi zase zpátky na začátku...

To ne, svazan jsi tim, ze resolvujes jeho domenoveno jmeno - a v jeho domene (domene poskytovatele sluzby) pak taky bude prislusny TLSA RR. Autoritativni DNS server, sve domeny preci jen do Internetu otevreny mit musis Priznam se, ze jsem to moc nestudoval, ale IMHO jedine, co potrebujes od sveho lokalniho/rekursivniho DNS je, aby podporovalo DNSSEC.

[lserafin]

To varování je tam také proto, aby bylo jasné že komunikace je šifrována certifikátem, který pochází o důvěryhodné certifikační autority. Pokud tomu tak není, může být spojení šifrováno certifikátem vydaným nedůvěryhodnou certifikační autoritou, ale třeba také to, že certifikát není vydán pro danou webovou stránku. To může ukazovat např. na útok tzv. man in the middle, tzn. někdo mezi tebou a webovým serverem nahradil původní certifikát svým a může nahlížet do komunikace, která byla původně šifrována. A to je jen příklad toho, proč se v prohlížeči ony varovnéí hlášky objevují. Nejsou tam pro legraci a opravdu doporučuji jim věnovat náležitou pozornost. Bohužel to většina uživatelů nedělá, už jenom proto, že neví o co jde.