Fórum Živě.cz

od **PiranhaGreg** 22. 5. 2014 20:09

Zdravím, když jsme se na střední učili něco o serverech a sítích celkově, učitel říkal, že https jde provozovat i bez certifikátu od CA, ale jen když jsme na lokální síti, kde si můžeme zprovoznit vlastní CA nebo s varováním v prohlížeči.

No je to už cca 2 roky zpět, tak se chci zeptat, jestli se možnosti nějak nerozšířili? Certifikační autority mají certifikáty pěkně drahý, ale to https by se zas docela hodilo :mrgreen:

.

Mě přijde, že je to zobrazování varování ze strany prohlížečů trochu blbej nápad. By prostě měli v url napsat místo http https a dál to neřešit. A pokud bych měl certifikát od CA, tak samozřejmě zazelenat...

od **Bari007** 22. 5. 2014 20:18

Certifikační autority tady nejsou pro srandu králíkům, ale opravdu jako autority. Při žádosti o takový certifikát musíš projít určitým procesem, kdy opravdu dokážeš, že jsi tím subjektem, za který se vydáváš v tom svém certifikátu, a na základě toho se pak certifikát tváří jako důvěryhodný (= můžeš důvěřovat, že subjekt uvedený v tom certifikátu je opravdu tím subjektem, za který se na webu vydává). Právě kvůli tomu to tak je. Kdyby tam to varování nebylo a obecně by nebylo potřeba nijak validovat, na koho je certifikát vydaný, pak by si každý mohl vydávat certifikát jaký by chtěl klidně na úplně cizí subjekty a nikdo by nedokázal zajistit, aby tomu tak nebylo. A pak by ty certifikáty ztratily svůj význam, protože šifrování komunikace ani zdaleka není tím jediným, o co u certifikátů jde.

Takže buď jsi ve škole nedával moc pozor nebo byl učitel nevzdělaný nebo to dostatečně nevysvětlil

Neukazovat to varování by byl naprosto zásadní bezpečnostní problém a certifikáty by zcela ztratily smysl. K šifrování komunikace totiž technicky žádný certifikát nepotřebuješ.

od **PiranhaGreg** 22. 5. 2014 20:31

To ne, učitel byl na tohle dobrej a tohle já chápu. Mě jde o to, proč tam musí prohlížeč psát to varování a jestli to nejde nějak obejít. Takhle to pak pro uživatele vypadá, že je bezpečnější HTTP než HTTPS bez certifikátu od CA, což podle mě není pravda.

-- 22. 5. 2014 19:33 --

Samozřejmě že zeleně zvýrazněnej HTTPS protokol by byl jen u certifikátů od CA...

od **Milanr1** 22. 5. 2014 20:38

Varování se zobrazuje právě proto, aby sis zkontroloval adresní řádek*.
Což jsi evidentně neudělal:

PiranhaGreg píše:By prostě měli v url napsat místo http https

https tam je. :-)

Otevřený, nešifrovaný http = prehistorický protokol z minulého tisíciletí, který postupně zanikne, podobně jako další nechráněné protokoly (většina už zanikla dávno).
---
* Dokonce i v tomhle případě:

PiranhaGreg píše:samozřejmě zazelenat...

Viz fatální průšvih s podvrženými falešnými root certifikáty Comodo (následek hacknutí jejich serverů údajně Iránskými hackery) v r. 2011.
Po ověření falešnými certifikáty adresní řádek taky zezelená. :-)

od **Bari007** 22. 5. 2014 20:45

Můžeš to obejít tím, že vytvoříš lokální CA, které budou důvěřovat například všechny počítače v AD. To je ve firmách běžná věc, protože například pro lokální jména (.local) ani nejde vystavit kvalifikovaný CA.

Pokud se nejedná jen o problém lokální AD, budeš muset nějak vhodně ten certifikát doručit všem uživatelům, kteří k serveru přistupují. Nebo samozřejmě zakoupit certifikát, což je pro služby v internetu jediná správná možnost.

A jen tak mimochodem... http://pki.cesnet.cz/

Nebo alespoň https://www.startssl.com/, které sice nemusí všechny systémy a prohlížeče důvěřovat, ale pořád lepší než současný stav.

od **PiranhaGreg** 22. 5. 2014 21:01

No koukal jsem teď, že se dají sehnat i za cca 250 Kč ročně což by snad ještě docela šlo...

Bari007 píše:A jen tak mimochodem... http://pki.cesnet.cz/ Nebo alespoň https://www.startssl.com/, které sice nemusí všechny systémy a prohlížeče důvěřovat, ale pořád lepší než současný stav.

Na ČVUT sice jsem, ale to je asi jen pro subdomény ne? No a tý StartSLL můžu věřit? Posílat sken občanky někam do Izraele... O:-)

od **Milanr1** 22. 5. 2014 21:03

Můžeš věřit především kolegovi.
Kdyby to nebyl důvěryhodný server, Bari007 by Ti to nenabízel.

od **Bari007** 22. 5. 2014 21:21

Nejde o to, že jsi student ČVUT, ale o to, že ta střední škola by mohla být připojena do CESNET a tím pádem mít nárok na všechny služby poskytované sdružením CESNET. A i pokud by připojena nebyla, třeba by se dalo najít nějaké řešení.

Pak se zavedou všechny domény té školy do systému a ty jako správce si pak můžeš žádat jednoduchým formulářem o certifikáty pro různé subdomény + můžeš mít uživatelské certifikáty pro všechny uživatele zavedené v systému například pro podpis nebo šifrování e-mailů.

od **harryc** 22. 5. 2014 22:17

Spis pro zajimavost, nez jako aktualne prakticky vyuzitelnou vec, doporucuji prozkoumat DANE (RFC 6698). To umozni, zjednodusene receno, pouzit pro overovani certifikatu klic ulozeny v DNS. Klient tak bude schopny overit certifikat i bez duveryhodne CA. Ttu vlastne nahradi DNS s pouzitim DNSSEC.

od **Bari007** 23. 5. 2014 07:56

To je ale pořád řešení hlavně pro lokální sítě. Protože jsi odkázán na to, že uživatel musí být nějak svázán s poskytovatelem té služby, tedy v tomto případě použitím jeho DNS. Což nejspíš neprojde, protože otevírat DNS servery jako resolvery do internetu není zrovna nejlepší nápad. A jsi zase zpátky na začátku...

od **Milanr1** 23. 5. 2014 08:03

Bari007:
To klidně můžeš. Nic neriskuješ.
Viz např.:
http://www.nic.cz/dnssec/
Jenže AFAIK nikdo z provozovatelů DNSSEC nezajišťuje zároveň certifikační služby pro https.

od **Bari007** 23. 5. 2014 09:39

Vystavovat otevřené DNS resolvery do internetu podle mě není vůbec dobrý nápad. Když to někdo udělá, musí moc dobře vědět proč a musí velmi dobře vědět, co dělá a jak to zabezpečit.

Důkazem toho jsou nedávno napadené otevřené resolvery Google

od **Milanr1** 23. 5. 2014 10:53

[OT]
Bari007:
To byl jen důsledek loňského hacku celého interního LAN Google: hackeři získali kompletní databázi uživatelských účtů/hesel všech zaměstnanců, o účtech/heslech externích uživatelů ani nemluvě.
Když si někdo nechá hacknout LAN, nemůže vystavovat ani DNSSEC, protože to nedokáže zabezpečit. ;-)

[/OT]

od **harryc** 23. 5. 2014 11:12

Bari007 píše:To je ale pořád řešení hlavně pro lokální sítě. Protože jsi odkázán na to, že uživatel musí být nějak svázán s poskytovatelem té služby, tedy v tomto případě použitím jeho DNS. Což nejspíš neprojde, protože otevírat DNS servery jako resolvery do internetu není zrovna nejlepší nápad. A jsi zase zpátky na začátku...

To ne, svazan jsi tim, ze resolvujes jeho domenoveno jmeno - a v jeho domene (domene poskytovatele sluzby) pak taky bude prislusny TLSA RR. Autoritativni DNS server, sve domeny preci jen do Internetu otevreny mit musis ;-)

Priznam se, ze jsem to moc nestudoval, ale IMHO jedine, co potrebujes od sveho lokalniho/rekursivniho DNS je, aby podporovalo DNSSEC.

od **lserafin** 23. 5. 2014 11:23

To varování je tam také proto, aby bylo jasné že komunikace je šifrována certifikátem, který pochází o důvěryhodné certifikační autority. Pokud tomu tak není, může být spojení šifrováno certifikátem vydaným nedůvěryhodnou certifikační autoritou, ale třeba také to, že certifikát není vydán pro danou webovou stránku. To může ukazovat např. na útok tzv. man in the middle, tzn. někdo mezi tebou a webovým serverem nahradil původní certifikát svým a může nahlížet do komunikace, která byla původně šifrována. A to je jen příklad toho, proč se v prohlížeči ony varovnéí hlášky objevují. Nejsou tam pro legraci a opravdu doporučuji jim věnovat náležitou pozornost. Bohužel to většina uživatelů nedělá, už jenom proto, že neví o co jde. :-P

Fórum Živě.cz

HTTPS bez koupeného certifikátu a varování v prohlížeči

Kdo je online