HTTPS bez koupeného certifikátu a varování v prohlížeči

O doménách, registrátorech, technologii

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod PiranhaGreg 22. 5. 2014 19:09

Zdravím, když jsme se na střední učili něco o serverech a sítích celkově, učitel říkal, že https jde provozovat i bez certifikátu od CA, ale jen když jsme na lokální síti, kde si můžeme zprovoznit vlastní CA nebo s varováním v prohlížeči.

No je to už cca 2 roky zpět, tak se chci zeptat, jestli se možnosti nějak nerozšířili? Certifikační autority mají certifikáty pěkně drahý, ale to https by se zas docela hodilo :mrgreen: .

Mě přijde, že je to zobrazování varování ze strany prohlížečů trochu blbej nápad. By prostě měli v url napsat místo http https a dál to neřešit. A pokud bych měl certifikát od CA, tak samozřejmě zazelenat...
Přílohy
chrome.png
PiranhaGreg
Mírně pokročilý
Uživatelský avatar

Odeslat příspěvekod Bari007 22. 5. 2014 19:18

Certifikační autority tady nejsou pro srandu králíkům, ale opravdu jako autority. Při žádosti o takový certifikát musíš projít určitým procesem, kdy opravdu dokážeš, že jsi tím subjektem, za který se vydáváš v tom svém certifikátu, a na základě toho se pak certifikát tváří jako důvěryhodný (= můžeš důvěřovat, že subjekt uvedený v tom certifikátu je opravdu tím subjektem, za který se na webu vydává). Právě kvůli tomu to tak je. Kdyby tam to varování nebylo a obecně by nebylo potřeba nijak validovat, na koho je certifikát vydaný, pak by si každý mohl vydávat certifikát jaký by chtěl klidně na úplně cizí subjekty a nikdo by nedokázal zajistit, aby tomu tak nebylo. A pak by ty certifikáty ztratily svůj význam, protože šifrování komunikace ani zdaleka není tím jediným, o co u certifikátů jde.

Takže buď jsi ve škole nedával moc pozor nebo byl učitel nevzdělaný nebo to dostatečně nevysvětlil :) Neukazovat to varování by byl naprosto zásadní bezpečnostní problém a certifikáty by zcela ztratily smysl. K šifrování komunikace totiž technicky žádný certifikát nepotřebuješ.
Bari007
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod PiranhaGreg 22. 5. 2014 19:31

To ne, učitel byl na tohle dobrej a tohle já chápu. Mě jde o to, proč tam musí prohlížeč psát to varování a jestli to nejde nějak obejít. Takhle to pak pro uživatele vypadá, že je bezpečnější HTTP než HTTPS bez certifikátu od CA, což podle mě není pravda.

-- 22. 5. 2014 19:33 --

Samozřejmě že zeleně zvýrazněnej HTTPS protokol by byl jen u certifikátů od CA...
PiranhaGreg
Mírně pokročilý
Uživatelský avatar

Odeslat příspěvekod Milanr1 22. 5. 2014 19:38

Varování se zobrazuje právě proto, aby sis zkontroloval adresní řádek*.
Což jsi evidentně neudělal:
PiranhaGreg píše:By prostě měli v url napsat místo http https

https tam je. :-)
Otevřený, nešifrovaný http = prehistorický protokol z minulého tisíciletí, který postupně zanikne, podobně jako další nechráněné protokoly (většina už zanikla dávno).
---
* Dokonce i v tomhle případě:
PiranhaGreg píše:samozřejmě zazelenat...

Viz fatální průšvih s podvrženými falešnými root certifikáty Comodo (následek hacknutí jejich serverů údajně Iránskými hackery) v r. 2011.
Po ověření falešnými certifikáty adresní řádek taky zezelená. :-)
Naposledy upravil Milanr1 dne 22. 5. 2014 19:45, celkově upraveno 1
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod Bari007 22. 5. 2014 19:45

Můžeš to obejít tím, že vytvoříš lokální CA, které budou důvěřovat například všechny počítače v AD. To je ve firmách běžná věc, protože například pro lokální jména (.local) ani nejde vystavit kvalifikovaný CA.

Pokud se nejedná jen o problém lokální AD, budeš muset nějak vhodně ten certifikát doručit všem uživatelům, kteří k serveru přistupují. Nebo samozřejmě zakoupit certifikát, což je pro služby v internetu jediná správná možnost.

A jen tak mimochodem... http://pki.cesnet.cz/ ;) Nebo alespoň https://www.startssl.com/, které sice nemusí všechny systémy a prohlížeče důvěřovat, ale pořád lepší než současný stav.
Bari007
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod PiranhaGreg 22. 5. 2014 20:01

No koukal jsem teď, že se dají sehnat i za cca 250 Kč ročně což by snad ještě docela šlo...

Bari007 píše:A jen tak mimochodem... http://pki.cesnet.cz/ ;) Nebo alespoň https://www.startssl.com/, které sice nemusí všechny systémy a prohlížeče důvěřovat, ale pořád lepší než současný stav.

Na ČVUT sice jsem, ale to je asi jen pro subdomény ne? No a tý StartSLL můžu věřit? Posílat sken občanky někam do Izraele... O:-)
PiranhaGreg
Mírně pokročilý
Uživatelský avatar

Odeslat příspěvekod Milanr1 22. 5. 2014 20:03

Můžeš věřit především kolegovi.
Kdyby to nebyl důvěryhodný server, Bari007 by Ti to nenabízel.
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod Bari007 22. 5. 2014 20:21

Nejde o to, že jsi student ČVUT, ale o to, že ta střední škola by mohla být připojena do CESNET a tím pádem mít nárok na všechny služby poskytované sdružením CESNET. A i pokud by připojena nebyla, třeba by se dalo najít nějaké řešení.

Pak se zavedou všechny domény té školy do systému a ty jako správce si pak můžeš žádat jednoduchým formulářem o certifikáty pro různé subdomény + můžeš mít uživatelské certifikáty pro všechny uživatele zavedené v systému například pro podpis nebo šifrování e-mailů.
Bari007
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod harryc 22. 5. 2014 21:17

Spis pro zajimavost, nez jako aktualne prakticky vyuzitelnou vec, doporucuji prozkoumat DANE (RFC 6698). To umozni, zjednodusene receno, pouzit pro overovani certifikatu klic ulozeny v DNS. Klient tak bude schopny overit certifikat i bez duveryhodne CA. Ttu vlastne nahradi DNS s pouzitim DNSSEC.
harryc
Kolemjdoucí

Odeslat příspěvekod Bari007 23. 5. 2014 06:56

To je ale pořád řešení hlavně pro lokální sítě. Protože jsi odkázán na to, že uživatel musí být nějak svázán s poskytovatelem té služby, tedy v tomto případě použitím jeho DNS. Což nejspíš neprojde, protože otevírat DNS servery jako resolvery do internetu není zrovna nejlepší nápad. A jsi zase zpátky na začátku...
Bari007
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod Milanr1 23. 5. 2014 07:03

Bari007:
To klidně můžeš. Nic neriskuješ.
Viz např.:
http://www.nic.cz/dnssec/
Jenže AFAIK nikdo z provozovatelů DNSSEC nezajišťuje zároveň certifikační služby pro https.
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod Bari007 23. 5. 2014 08:39

Vystavovat otevřené DNS resolvery do internetu podle mě není vůbec dobrý nápad. Když to někdo udělá, musí moc dobře vědět proč a musí velmi dobře vědět, co dělá a jak to zabezpečit.

Důkazem toho jsou nedávno napadené otevřené resolvery Google ;)
Bari007
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod Milanr1 23. 5. 2014 09:53

[OT]
Bari007:
To byl jen důsledek loňského hacku celého interního LAN Google: hackeři získali kompletní databázi uživatelských účtů/hesel všech zaměstnanců, o účtech/heslech externích uživatelů ani nemluvě.
Když si někdo nechá hacknout LAN, nemůže vystavovat ani DNSSEC, protože to nedokáže zabezpečit. ;-)
[/OT]
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod harryc 23. 5. 2014 10:12

Bari007 píše:To je ale pořád řešení hlavně pro lokální sítě. Protože jsi odkázán na to, že uživatel musí být nějak svázán s poskytovatelem té služby, tedy v tomto případě použitím jeho DNS. Což nejspíš neprojde, protože otevírat DNS servery jako resolvery do internetu není zrovna nejlepší nápad. A jsi zase zpátky na začátku...


To ne, svazan jsi tim, ze resolvujes jeho domenoveno jmeno - a v jeho domene (domene poskytovatele sluzby) pak taky bude prislusny TLSA RR. Autoritativni DNS server, sve domeny preci jen do Internetu otevreny mit musis ;-) Priznam se, ze jsem to moc nestudoval, ale IMHO jedine, co potrebujes od sveho lokalniho/rekursivniho DNS je, aby podporovalo DNSSEC.
harryc
Kolemjdoucí

Odeslat příspěvekod lserafin 23. 5. 2014 10:23

To varování je tam také proto, aby bylo jasné že komunikace je šifrována certifikátem, který pochází o důvěryhodné certifikační autority. Pokud tomu tak není, může být spojení šifrováno certifikátem vydaným nedůvěryhodnou certifikační autoritou, ale třeba také to, že certifikát není vydán pro danou webovou stránku. To může ukazovat např. na útok tzv. man in the middle, tzn. někdo mezi tebou a webovým serverem nahradil původní certifikát svým a může nahlížet do komunikace, která byla původně šifrována. A to je jen příklad toho, proč se v prohlížeči ony varovnéí hlášky objevují. Nejsou tam pro legraci a opravdu doporučuji jim věnovat náležitou pozornost. Bohužel to většina uživatelů nedělá, už jenom proto, že neví o co jde. :-P
lserafin
Kolemjdoucí

Další stránka

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 1 návštěvník