abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
včera 21:21 | Nová verze Ladislav Hagara | Komentářů: 0
včera 11:44 | Zajímavý projekt

Na Indiegogo byla spuštěna kampaň na podporu herní mini konzole a multimediálního centra RetroEngine Sigma od Doyodo. Předobjednat ji lze již od 49 dolarů. Požadovaná částka 20 000 dolarů byla překonána již 6 krát. Majitelé mini konzole si budou moci zahrát hry pro Atari VCS 2600, Sega Genesis nebo NES. Předinstalováno bude multimediální centrum Kodi.

Ladislav Hagara | Komentářů: 0
včera 00:10 | Nová verze

Byla vydána verze 4.7 redakčního systému WordPress. Kódové označením Vaughan bylo vybráno na počest americké jazzové zpěvačky Sarah "Sassy" Vaughan. Z novinek lze zmínit například novou výchozí šablonu Twenty Seventeen, náhledy pdf souborů nebo WordPress REST API.

Ladislav Hagara | Komentářů: 1
6.12. 12:00 | Zajímavý projekt

Projekt Termbox umožňuje vyzkoušet si linuxové distribuce Ubuntu, Debian, Fedora, CentOS a Arch Linux ve webovém prohlížeči. Řešení je postaveno na projektu HyperContainer. Podrobnosti v často kladených dotazech (FAQ). Zdrojové kódy jsou k dispozici na GitHubu [reddit].

Ladislav Hagara | Komentářů: 25
6.12. 11:00 | Bezpečnostní upozornění

Byly zveřejněny informace o bezpečnostní chybě CVE-2016-8655 v Linuxu zneužitelné k lokální eskalaci práv. Chyba se dostala do linuxového jádra v srpnu 2011. V upstreamu byla opravena minulý týden [Hacker News].

Ladislav Hagara | Komentářů: 2
5.12. 22:00 | Komunita

Přibližně před měsícem bylo oznámeno, že linuxová distribuce SUSE Linux Enterprise Server (SLES) běží nově také Raspberry Pi 3 (dokumentace). Obraz verze 12 SP2 pro Raspberry Pi 3 je ke stažení zdarma. Pro registrované jsou po dobu jednoho roku zdarma také aktualizace. Dnes bylo oznámeno, že pro Raspberry Pi 3 je k dispozici také nové openSUSE Leap 42.2 (zprávička). K dispozici je hned několik obrazů.

Ladislav Hagara | Komentářů: 6
5.12. 06:00 | Zajímavý software

OMG! Ubuntu! představuje emulátor terminálu Hyper (GitHub) postavený na webových technologiích (HTML, CSS a JavaScript). V diskusi k článku je zmíněn podobný emulátor terminálu Black Screen. Hyper i Black Screen používají framework Electron, stejně jako editor Atom nebo vývojové prostředí Visual Studio Code.

Ladislav Hagara | Komentářů: 50
5.12. 06:00 | Zajímavý článek

I letos vychází řada ajťáckých adventních kalendářů. QEMU Advent Calendar 2016 přináší každý den nový obraz disku pro QEMU. Programátoři se mohou potrápit při řešení úloh z kalendáře Advent of Code 2016. Kalendáře Perl Advent Calendar 2016 a Perl 6 Advent Calendar přinášejí každý den zajímavé informace o programovacím jazyce Perl. Stranou nezůstává ani programovací jazyk Go.

Ladislav Hagara | Komentářů: 10
3.12. 16:24 | Nová verze

Byla vydána Mageia 5.1. Jedná se o první opravné vydání verze 5, jež vyšla v červnu loňského roku (zprávička). Uživatelům verze 5 nepřináší opravné vydání nic nového, samozřejmě pokud pravidelně aktualizují. Vydání obsahuje všechny aktualizace za posledního téměř půldruhého roku. Mageia 5.1 obsahuje LibreOffice 4.4.7, Linux 4.4.32, KDE4 4.14.5 nebo GNOME 3.14.3.

Ladislav Hagara | Komentářů: 17
3.12. 13:42 | Pozvánky

V Praze probíhá konference Internet a Technologie 16.2, volné pokračování jarní konference sdružení CZ.NIC. Konferenci lze sledovat online na YouTube. K dispozici je také archiv předchozích konferencí.

Ladislav Hagara | Komentářů: 0
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (8%)
 (5%)
 (3%)
Celkem 786 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: SSL certifikat zdarma

26.12.2014 13:25 Jeason | skóre: 16 | Plzeň
SSL certifikat zdarma
Přečteno: 1980×
Zdravím zkušenější uživatele, chtěl jsem si na doménu dát ssl certifikát ale nechci za něj zatím platit.

Vyžkoušel jsem cacert.org, který je jednoduchý na nasazení a zdarma na půl roku. do mi nevadí že si to za pul roku změnim.

Ale v prohlizeci mi to hlasi chybu a potvrdil mi ji i https://www.ssllabs.com/

Trusted: No NOT TRUSTED

JE to takto ok, nebo mám nekdě chybu? popr. víte o nejakem jinem nekomercnim certifikatu ?

děkuji za rady.

Řešení dotazu:


Odpovědi

Řešení 1× (Jeason (tazatel))
26.12.2014 13:59 filbar | skóre: 36 | blog: Denicek_programatora | Ostrava
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Ještě vím o http://www.startssl.com/?app=1 StartSSL
Heron avatar 26.12.2014 14:00 Heron | skóre: 50 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
CACert je jedna z nejlepších autorit (samozřejmě až po té své vlastní), která ovšem nikdy nebude součástí balíku root certifikátů autorit v prohlížečích.

Aby v prohlížeči fungoval jakýkoliv certifikát (prohlížeč si nestěžoval na důvěryhodnost), musí být do prohlížeče importován certifikát, kterým byl podepsán (root ca autority).

Import root crt do prohlížečů si můžeš (či spíše musíš) provést sám.

Není to chyba, je to vlastnost a způsob, jak dát komerčním autoritám vydělat.

Pokud ti test na ssllabs jinak ukazuje dobrou známku a hlavně neupozorňuje na nějakou známou zranitelnost (heartbleed, beast, poodle, nonsecure exchange apod.) a score v jednotlivých kategoriích (kromě certificate) je nad 90, tak je vše v pořádku.
26.12.2014 14:18 Jeason | skóre: 16 | Plzeň
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
me jde hlavne o to abych nemusel navstevniky svych stranek nutit neco importovat do prohlizece (to neni moc uzivatelsky cool, a rada uzivatelu nevi co delat a proste moji stranku zavrou).

cacert se mi libi, ale prave mi prijde ze FF nema root certifikat v zakladu.
Heron avatar 26.12.2014 14:24 Heron | skóre: 50 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Chápu. Já žádnou autoritu co má root ca v dostatečně mnoha prohlížečích a vydává crt zdarma neznám. Já spravuji několik vlastních / firemních ca a na ten zbytek kupuji od Thawte (stovky crt ročně). Jak je na tom zmiňovaný startssl netuším, ale mohla by to být dobrá volba (nakonec, když je to zdarma, tak se to dá snadno vyzkoušet).
26.12.2014 14:55 Filip Jirsák
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
StartSSL kořenový certifikát v nejpoužívanějších prohlížečích má.

Jinak požadavek "aby uživatel nemusel o ničem vědět" je pochopitelný (také se jím musím řídit), ale dost podkopává princip certifikačních autorit. Snad se brzy rozšíří DANE, tyhle certifikáty, o kterých uživatel nemusí vědět, se budou publikovat přes DNS, certifikačním autoritám se vrátí jejich původní funkce a v prohlížeči budu mít jen kořenové certifikáty autorit, o nichž alespoň něco vím a jimž důvěřuju.
Heron avatar 26.12.2014 15:58 Heron | skóre: 50 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Snad se brzy rozšíří DANE
+1

Akorát se obávám, že komerční CA si ten snadný výdělek nebudou chtít nechat jen tak vzít.
Jendа avatar 26.12.2014 17:09 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Snad se brzy rozšíří DANE
U DANE (resp. DNSSECu obecně) mi chybí Certificate transparency. Momentálně je stav takový, že CZ.NIC může vyrobit „alternativní“ zónu, předat ji NSA a nikdo se o ničem nedozví.
26.12.2014 19:41 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: SSL certifikat zdarma

Přesně tak. DANE nijak nepřispívá k vytváření distribuovaného a „samoověřovacího“ ekosystému. Jenom přesouvá část odpovědnosti z centralizovaných autorit na centralizované registrátory DNS. Samozřejmě DANE používám, protože v kombinaci s centralizovanou autoritou (StartCom) může teoreticky poskytnout další slupku ochrany, ale to pouze v takovém krkolomném případě, kdy by nějaký klient ověřoval DANE a neověřoval podpis od autority, případně pokud by nějaká autorita selhala, tj. vydala by třetí straně certifikát na mé domény, který by se pak neshodoval s informacemi z DANE. Nahrazení jednoho systému centralizovaných autorit dvěma vzájemně nezávislými systémy centralizovaných registrátorů a autorit by nakonec mohlo dávat smysl. :-) Aspoň dočasně, než začne fungovat nějaký systém nezávislého a distribuovaného ověření totožnosti, který se bez centralizované autority obejde. (Takové systémy samozřejmě existují, ale rozhodně nejsou ve fázi, kdy by se daly okamžitě použít v každém prohlížeči a v každém mailovém klientovi.)

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
26.12.2014 20:23 Filip Jirsák
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Vzhledem k tomu, že DV certifikáty ověřují právě jen tu doménu, je ten přesun odpovědnosti k registrátorům DNS logický. Protože oni tu odpovědnost mají už dnes, a CA jsou tam jenom zbytečný mezikrok, který bezpečnost jenom oslabuje.

Něco jiného jsou samozřejmě EV certifikáty, tam mají CA nezastupitelnou úlohu.

Rozšířením DANE jsem samozřejmě myslel to, že prohlížeč získá certifikát z DANE ověřený přes DNSSEC, a to mu bude stačit (a ve většině případů to bude self-signed certifikát).

Distribuované ověření bezpečnosti bez autority je hezká věc pro nějaké komunity, ale nikdy nebude fungovat ve velkém nebo tam, to musí fungovat spolu s právem.
26.12.2014 22:11 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: SSL certifikat zdarma

K tomu fungování spolu s právem bych asi doplnil veselou historku z Kanady, kde nemají povinné občanské průkazy a ani ekvivalent rodného listu tam není běžný. Takže se nabízí otázka: Co když někdo nemá řidičák, občanský průkaz ani rodný list a chce třeba pas? Jak prokáže svou totožnost? Tak jestli se nepletu, funguje to tak, že jeho totožnost musí potvrdit někdo, kdo je lékař, kněz, právník nebo učitel. ;-) Docela zajímavý výběr „autorit“. Už si představuju právníka Standu Grosse, učitelku Martu Semelovou nebo lékaře Jaroslava Bartáka, jak někomu potvrzují totožnost. :-D

Tím chci říct, že pro fungování komunitního ověření spolu s právem je třeba změnit právo, nikoliv komunitní ověření. Zatímco komunitní ověření stojí na jakýchsi racionálních (algebraických a statistických) základech, právo v tomto směru hodně tápe. Pokud právo připouští takové absurdity jako čmáranici na papíře (kterou dokáže napodobit téměř kdokoliv a kterou například já naschvál vytvářím pokaždé co nejodlišnější od ostatních) vydávanou za právoplatný podpis, případně výše uvedenou kuriozitu s potvrzením totožnosti, myslím si, že by neměl být problém uvést právo do souladu s (nesrovnatelně bezpečnějšími) systémy distribuovaného ověřování.

V tuto chvíli je to ale samozřejmě hudba budoucnosti, protože nikde neexistuje (pokud vím) nějaký snadno použitelný algoritmus se snadno použitelnou implementací, který by se dokázal dobře vypořádat s asymetrickými způsoby komunikace — například s komunikací jednoho telefonního operátora (zastoupeného stovkami zaměstnanců) se stovkami tisíc zákazníků. Tohle samozřejmě není ten typ komunity, pro který dnes funguje distribuované ověření typu kernel.org.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
27.12.2014 09:36 Filip Jirsák
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Opravdu byste věřil certifikátu své banky jenom proto, že ho ověřil venezuelský popelář, ruský instalatér a čínský politruk? Pokud chcete globální ověřování postavené na statistických základech, můžete to rovnou nechat ověřovat jen čínskou státní CA. Výsledek bude stejný a dospěje se k němu mnohem jednodušeji.
28.12.2014 21:14 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Opravdu byste věřil certifikátu své banky jenom proto, že ho ověřil venezuelský popelář, ruský instalatér a čínský politruk?

Kde jsem tohle byť jen naznačoval? Prosil bych buď citaci (kterou nenajdete, samozřejmě), nebo propříště alespoň snahu pochopit psaný text, nepřekrucovat a netvrdit opak toho, co psal předřečník. Proč se tady na ABCLinuxu tolik rozmáhá podivná móda „reagovat“ na něco, co nikdo nikdy nenapsal? Já osobně většinou na příspěvky nereaguji, dokud se mi nepodaří pochopit pointu. ;-) Někteří ale reagují za každou cenu vždy, jen aby řeč nestála či co.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
28.12.2014 21:32 Filip Jirsák
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Psal jste o komunitním ověření. Pokud jste myslel něco jiného, napište, co jste myslel - a pokud možno to pro příště nenazývejte zavádějícím názvem.
28.12.2014 21:56 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: SSL certifikat zdarma

Ano, takže citace není. Děkuji, to je vše, co jsem potřeboval potvrdit.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
Jendа avatar 26.12.2014 23:43 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Vzhledem k tomu, že DV certifikáty ověřují právě jen tu doménu, je ten přesun odpovědnosti k registrátorům DNS logický.
No jo, ale u PKI si (teoreticky, až bude adoptováno Certificate Transparency) můžu ověřit, že certifikát pro AbcLinuxu vydalo jenom Thawte a nikdo jiný. Takže snadno zjistím, že někdo kompromitoval buď tu CA, nebo mého registrátora/DNS providera a nechal si vydat certifikát. S DANE utřu a DNSSEC nic takového nemá, takže nemůžu ověřit, jestli nekoluje zóna, kde má abclinuxu.cz NS ns.nsalitomerice.cz a odpovídající TLSA záznam.
27.12.2014 09:43 Filip Jirsák
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Pokud koluje zóna s jinými jmennými servery pro abclinuxu.cz, kterákoli certifikační autorita vydá k této podvržené zóně platný DV certifikát. Dokonce ani není potřeba unášet celou zónu, stačí poštovní server. Nemůžete získat vyšší bezpečnost, než DNS, když celé ověřování je jen na DNS založené - a ani jinak založené být nemůže (u DV certifikátů), protože ten certifikát nic jiného než vlastnictví domény neprokazuje.
Jendа avatar 27.12.2014 17:55 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Takže ještě jednou: falešný DV certifikát opravdu vydá, ale dozvím se o tom. V případě TLSA se o padělku nedozvím.
27.12.2014 18:14 Filip Jirsák
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Jak se o tom dozvíte? A jak poznáte, že je falešný?
Jendа avatar 27.12.2014 18:35 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Jak se o tom dozvíte?
Stáhnu si seznam vydaných certifikátů od každé uznávané autority (budu se řídit například seznamem autorit, co jsou defaultně ve Firefoxu nebo ve Windows) a podívám se, jestli je v něm certifikát pro moji doménu, který podepisuje jiný klíč než ten, který používám.

To vlastně odpovídá i na otázku, jak zjistím, že je falešný.
27.12.2014 19:33 Filip Jirsák
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Jak často takhle své certifikáty kontrolujete? K čemu vám bude informace, že někde existuje "falešný" certifikát?

A jak tohle celé provedete, když nebudete vlastníkem té domény?
Jendа avatar 27.12.2014 19:38 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Jak často takhle své certifikáty kontrolujete?
Momentálně vůbec, protože certifikační autority seznamy vydaných certifikátů nezveřejňují. Až je zveřejňovat budou, tak třeba každý den cronem.
K čemu vám bude informace, že někde existuje "falešný" certifikát?
Budu moct té CA napsat a zjistit, jestli někdo kompromitoval mě nebo ji. V případě, že se u nějaké CA objeví velké množství falešných certifikátů, případně certifikáty významných domén (google.com, addons.mozilla.org…) a komunikace z její strany nebude dostatečná, bude z důvěryhodných vyhozena.
A jak tohle celé provedete, když nebudete vlastníkem té domény?
Nijak, tato funkce je určena pro vlastníky domény.
27.12.2014 19:47 Filip Jirsák
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
To ale pořád řešíte jenom to, jak si jako vlastník domény budete kontrolovat svůj certifikát. K tomu ale CA vůbec nepotřebujete, vydejte si self-signed certifikát, a máte to vyřešené.
Jendа avatar 27.12.2014 19:55 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Ne, já řeším problém, který se už několikrát objevil, tedy že si koupím certifikát u Verisignu, načež TurkTrust vydá certifikát pro moji doménu tureckým ISP, ti začnou MITMovat moje klienty z blízkého východu a já ani výrobci prohlížečů se o tom nedozvíme, takže výrobci prohlížečů nemůžou TurkTrust vyhodit a já nemůžu své klienty varovat. Nebo se někomu podaří na chvíli podvrhnout DNS mezi mnou a StartComem, dostane DV certifikát a já se o tom nedozvím, takže nemůžu říct StartComu, že to mají blbě a že to mají hodit do CRL.
27.12.2014 20:16 Filip Jirsák
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Nebo se o tom dozvíte, a stejně nemůžete říct StartComu, že to mají dát do CRL, protože neznáte heslo. A když se je o tom budete pokoušet přesvědčit jinou cestou, pochybuju, že uspějete, protože oni certifikát vydali podle pravidel.

Jinak oba dva případy by se s DANE a DNSSEC nestaly.
Jendа avatar 27.12.2014 20:30 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Nebo se o tom dozvíte, a stejně nemůžete říct StartComu, že to mají dát do CRL, protože neznáte heslo. A když se je o tom budete pokoušet přesvědčit jinou cestou, pochybuju, že uspějete, protože oni certifikát vydali podle pravidel.
Pak doufám, že takovou CA distributoři vyhodí.
Jinak oba dva případy by se s DANE a DNSSEC nestaly.
Staly. V prvním případě si představce místo TurkTrustu CZ.NIC, ve druhém vyhackovaného registrátora.
27.12.2014 21:46 Filip Jirsák
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Pak doufám, že takovou CA distributoři vyhodí.
Proč? Protože vy jim budete tvrdit, že jste si o ten certifikát nežádal vy? Myslíte, že tomu budou věřit?
Staly. V prvním případě si představce místo TurkTrustu CZ.NIC, ve druhém vyhackovaného registrátora.
Takže si mám představit, že na vás CZ.NIC zaútočí, vy to zjistíte, uděláte na ně bububu, a oni se omluví a s útoky přestanou?
Jendа avatar 27.12.2014 23:44 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Proč? Protože vy jim budete tvrdit, že jste si o ten certifikát nežádal vy? Myslíte, že tomu budou věřit?
Protože to je CA, která vydá certifikát každému, kdo náhodou někde na chvíli přesměroval provoz na sebe, a neumožňuje ho žádným způsobem revokovat.
Takže si mám představit, že na vás CZ.NIC zaútočí, vy to zjistíte, uděláte na ně bububu, a oni se omluví a s útoky přestanou?
Co se týče mě jako pana nikoho, tak asi přejdu k jinému registrátorovi (a opět mám užitečnou informaci, že CZ.NIC podepisuje zóny jak se mu zachce). Co se týče někoho velkého, jako třeba Mozilly nebo Googlu, tak na ty když zaútočil TurkTrust, tak tam už odezva byla větší.
28.12.2014 07:30 Filip Jirsák
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Protože to je CA, která vydá certifikát každému, kdo náhodou někde na chvíli přesměroval provoz na sebe, a neumožňuje ho žádným způsobem revokovat.
To je ale základní princip DV certifikátů. Proto je lepší použít DANE s DNSSEC - protože té CA stejně nezbývá nic jiného, než věřit registrátorovi. CA je tam jenom zbytečný mezistupeň, který může selhat, ale který nepřináší žádnou přidanou hodnotu.
Jendа avatar 30.12.2014 07:49 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
To je pravda, ale v #7 mi šlo o to, že bych chtěl DANE (nebo rovnou celý DNSSEC :) s Transparency.
30.12.2014 08:13 Filip Jirsák
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Myslím, že nic nebrání tomu načítat DNS záznamy z různých míst internetu a auditovat je. Na rozdíl od CA není nutná spolupráce poskytovatele služby (tedy registrátora).
26.12.2014 19:28 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: SSL certifikat zdarma

Neznat v dnešní době StartCom [hlavní stránka] je opravdu poněkud překvapivé. Tato autorita se proslavila zejména odolností proti některým typům útoků.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
26.12.2014 19:20 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: SSL certifikat zdarma

Hned první věta obsahuje rozpor. Jestliže certifikát té autority není součástí standardního balíku certifikátů, pak to není dobrá autorita a není to tedy ani jedna z nejlepších. Naopak je v podstatě k ničemu. Pro amatérské použití provozuji vlastní autoritu a okruh uživatelů je dostatečně malý, abych byl schopen její certifikát distribuovat, a nemám tedy nejmenší důvod používat cacert. Pro veřejné použití je pak pseudoautorita, která v 99% prohlížečů, Jabber klientů a mailových klientů bude způsobovat červené varovné hlášky, úplně k ničemu. Nemá smysl takovou autoritou ztrácet čas. První možnost je vyrobit si amatérskou autoritu pomocí OpenSSL a Makefile (jeden jsem tu nedávno někde postnul). Druhá možnost je pořídit si certifikát od autority, která v distribucích a klientech prostě bude. Nelze si nevšimnout, že cacert kombinuje nevýhody obou řešení a nenabízí výhody ani jednoho z nich. Představa, že nějakého cizího uživatele, který se připojuje k mému serveru, poučuju o certifikátech a nutím instalovat nějaký certifikát autority, je poněkud absurdní.

Alternativou k centralizovaným autoritám rozhodně není amatérský nesmysl cacert.org. Plnohodnotnou alternativou by byl nějaký distribuovaný systém ověření, jaký nedávno zavedl například kernel.org a některé větší linuxové distribuce, tedy systém ve kterém se identita prověřuje postupně na základě setkání a vzájemné komunikace lidí. Zatím asi neexistuje nějaká implementace, kterou by bylo možné snadno uvést do praxe například v klasickém scénáři typu e-shop a zákazníci, ale třeba se jednou podaří najít systém, který i v této situaci bude uspokojivě fungovat. Rozhodně se ale nebude jmenovat cacert.org — tento projekt je prostě beznadějně mrtvý.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
Heron avatar 26.12.2014 20:12 Heron | skóre: 50 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Hned první věta obsahuje rozpor.

Kdybys dočetl dál než na první větu, dočetl by ses důvod.

Jestliže certifikát té autority není součástí standardního balíku certifikátů, pak to není dobrá autorita a není to tedy ani jedna z nejlepších.

Kvalitu autority hodnotím nikoliv podle toho, kam se dokázala dostat, ale podle toho, jak moc ověřuje osobu, které certifikát vydá. V tomto ohledu je pro mě nejdůvěryhodnější moje vlastní autorita, potom CACert (ověřovali mě dva lidé a na dva doklady), potom Postsignum (jedna osoba, jeden doklad) a absolutně nikdo* mě neověřoval u Thawte a to ani u extended certifikátu za 30 tyček. Netřeba připomínat, že pořadí zastoupení v prohlížečích je přesně opačné (CACert není nikde, Postsignum se dostal alespoň do widlí a thawte je v podstatě všude).

*) Tu parodii s telefonickým ověřením opravdu na ověření nepovažuji.

Josef Kufner avatar 26.12.2014 20:21 Josef Kufner | skóre: 66
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Beztak je to úplně jedno, neboť kterákoliv z těch autorit může vydat tvůj certifikát komukoliv a uživatel uvidí zelený obdélníček v adresním řádku ať jsi ověřený jakkoliv.
Hello world ! Segmentation fault (core dumped)
Jendа avatar 26.12.2014 23:53 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Vyžadujte Certificate Transparency.

(je skoro rok 2015, sakra!)
26.12.2014 22:24 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: SSL certifikat zdarma

Praktická použitelnost a důvěryhodnost autorit můžou být leckdy zcela protichůdná kritéria. To je problém obecně u každého centralizovaného systému ověření.

StartCom chtěl kopie alespoň dvou nebo tří dokladů s fotografií (kde při nedostatečném počtu dokladů následuje nějaký extra krok ověření), následoval ověřovací telefonát a pak snail mail dopis s kódem. Nemyslím si, že by ověřování totožnosti brali na lehkou váhu. Když jsem si koupil novou doménu a chtěl jsem pro ni certifikát, webové rozhraní mi ho nevydalo automaticky, ale žádost zablokovalo s tím, že ji musí napřed někdo manuálně prověřit, protože se nějak liší od těch předchozích. Samozřejmě může každá centrální autorita totálně selhat (nejčastěji kvůli lidskému faktoru), ale musím říct, že ze StartComu mám pozitivní dojem ve stylu „jasně, může selhat, ale dnes to asi nebude“.

Překvapuje mě EV za 30 litrů. Pokud si pamatuju, u StartComu je ověření právnické osoby nebo instituce asi tak za $200 a EV stojí kolem $400 — nevzpomínám si, jestli to pak zahrnuje i to první ověření instituce nebo jestli se to platí extra. Ale ať tak nebo tak, celé by se to mělo vejít tak do $600, což není tak zlé, jestliže ověření platí třeba rok a certifikáty se vydávají s platností na 2 roky. 30 litrů Kč mi připadá celkem přemrštěně moc. Jestli tam tedy nemá StartCom nějaké skryté poplatky, o čemž ale celkem pochybuju. Já osobně platím za osobní ověření třídy 2 nějakých $69, ale většinou to platím jenom jednou za 2 roky, protože certifikáty se vydávají na 2 roky, takže si nemusím hned za rok obnovovat ověření, pokud nechci nějaké další nové certifikáty.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
Heron avatar 27.12.2014 11:01 Heron | skóre: 50 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Překvapuje mě EV za 30 litrů.

Se podívej na ceníky třeba Symantecu. EV Wildcard. (On se teda nakonec kupoval "jen" SAN a ne Wildcard.)

28.12.2014 21:15 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: SSL certifikat zdarma

Ůůůfff. Zas o důvod víc, proč zkusit StartCom.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
26.12.2014 19:08 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: SSL certifikat zdarma

StarCom dává zdarma a na neomezenou dobu (tj. lze je každý rok obnovit) certifikáty, které jsou sice pouze třídy 1 (tj. nepotvrzují identitu uživatele), ale zato je uznávají všechny browsery a operační systémy, které jsem kdy zkoušel.

Doporučuji vyhnout se amatérským experimentům typu cacert.org. Věnoval jsem této autoritě pár hodin času ve snaze pořídit si platný a funkční certifikát, což je přesně o pár hodin víc, než si tato autorita zaslouží. Dál je vhodné se vyhnout všem českým holomajznám typu „kvalifikovaná certifikační autorita“, které se taky snaží vydávat komerční certifikáty, ale není jasné, proč jim vůbec někdo za něco platí, když je absolutně žádný prohlížeč nebo mailový klient v implicitní konfiguraci neuznává. Jejich certifikáty na tři měsíce zdarma jsou opravdu hodně debilní výsměch, když od StartComu lze mít certifikát zdarma napořád.

Certifikáty třídy 1 od autority StartCom jsou pro všechny myslitelné amatérské účely naprosto bez problémů použitelné. Já jsem chtěl i potvrzení identity, aby podepisování mailů dávalo smysl, takže si u StartComu platím za třídu 2. Tam člověk zaplatí asi $69 za ověření totožnosti platné na 1 rok. Během toho 1 roku si může vygenerovat neomezený počet certifikátů pro všechny E-mailové adresy, ke kterým má přístup, a pro všechny servery a domény, které (prokazatelně) provozuje. Tyto certifikáty platí 2 roky, takže těch $69 za ověření identity stačí zaplatit jednou za 2 roky.

Odpověď na původní otázku: Ano, víme o jiném nekomerčním certifikátu — StartCom certifikát třídy 1 bude narozdíl od cacert.org všude bez problémů fungovat.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
Heron avatar 26.12.2014 20:15 Heron | skóre: 50 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Dál je vhodné se vyhnout všem českým holomajznám typu „kvalifikovaná certifikační autorita“, které se taky snaží vydávat komerční certifikáty, ale není jasné, proč jim vůbec někdo za něco platí, když je absolutně žádný prohlížeč nebo mailový klient v implicitní konfiguraci neuznává.

Ono je to asi ze setrvačnosti. Pro komunikaci s českou státní správou potřebuješ osobní crt od kvalifikované CA (toho času celkem 3) a ti lidé tam asi rovnou berou i komerční. Ono jim to ve Widlích funguje.

26.12.2014 20:47 Joe
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Tak kdyz uz potrebujes kvalifikovany certifikat a nechat si k nemu vydat i komercni (osobni) stoji treba u ICA nic navic k tomu kvalifikovanemu, tak si ho nechas udelat a v CR ho muzes relativne dobre pouzivat, samozrejme v zahranici je to s tou akceptovatelnosti horsi.
26.12.2014 22:37 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: SSL certifikat zdarma

Některé rozumné státy začaly před pár lety uznávat jakýkoliv osobní certifikát třídy 2 od poměrně velkého seznamu autorit jako kvalifikovaný a tedy legitimní pro komunikaci s úřady. Jenom Česká republika se stále snaží pěstovat korupční prostředí a živit pseudoautority, které za 10 let existence (!!!) nebyly schopné dohrabat se do standardního seznamu certifikátů v prohlížečích. To je zoufalství a ostuda v jednom.

Na kvalifikovaných autoritách mi taky naprosto zásadně vadí zákaz šifrování obsažený v certifikátu. To je nesmysl, za který by měli někoho normálně postavit ke zdi. Nechápu, jak může stát nutit občany, aby s úřady komunikovali nešifrovaně. Nevím, jaký nedostatek současného práva tohle způsobil, ale je to sprosťárna silného kalibru. Šifrování by mělo být při komunikaci s úřady povinné, nikoliv zakázané. Kromě toho pak nepřítomnost šifrování úplně vylučuje použití takového certifikátu pro nějakou osobní komunikaci. V některých věcech náš stát zoufale zaspal.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
27.12.2014 00:20 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
pseudoautority, které za 10 let existence (!!!) nebyly schopné dohrabat se do standardního seznamu certifikátů v prohlížečích

Osobně zcela zásadně odmítám považovat to, zda je autorita ve "standardním seznamu certifikátů v prohlížečích", za kritérium kvality.

27.12.2014 04:01 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: SSL certifikat zdarma

To ale není v rozporu s faktem, že tři české kvalifikované autority jsou pravým opakem kvality.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
27.12.2014 04:25 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
To možná ne, ale tento váš argument prostě považuji za nesmyslný. Pokud ty autority považujete za nekvalitní, zkuste to zdůvodnit něčím jiným, co bude aspoň trochu relevantní.
28.12.2014 21:33 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: SSL certifikat zdarma

Zásadních problémů je několik.

Zaprvé, autorita, která si neváží svých klientů natolik, aby se dokázala (v rozumně krátkém čase, ne za 15 let) dohrabat do oficiálních seznamů autorit a zajistit bezproblémové fungování vydávaných certifikátů v prohlížečích a mailových klientech, má zjevně zásadní problém s kvalitou, ať už někdo veřejným seznamům autorit věří nebo ne. Přidání kořenových certifikátů do veřejných seznamů autorit může klientům jedině pomoct, rozhodně ne uškodit.

Zadruhé — a tohle je možná nejdůležitější —, zkuste si vyhledat okřídlenou frázi „upozornění je nutno ignorovat; vstup na stránku je zcela bezpečný“. Tento průser sice tu a tam rozvířil debatu a dokonce vyvolal i okrajový zájem mainstreamových médií, ale faktem prostě je, že následná reakce České pošty měla vést k okamžitému odebrání všech možných licencí pseudoautoritě PostSignum a měly za to ihned padat hlavy, zejména po nekonečné debatě s někerými blbci z České pošty, kteří stále dokola nedokázali pochopit, kde přesně se stala chyba. Alespoň na ABCLinuxu se tím někteří zabývali.

Zatřetí, zákaz šifrování u kvalifikovaných certifikátů je něco trestuhodného, ba šokujícího. Stát nutí své občany k nešifrované komunikaci, místo aby je naopak nabádal k opatrnosti. To samozřejmě není problém nějaké konkrétní autority, nýbrž celého českého systému kvalifikovaných autorit, který je od základu špatný.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
28.12.2014 21:43 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: SSL certifikat zdarma

Ještě poznámka k autoritám: Statut kvalifikované autority by se nikdy neměl přidělovat jen tak za nic a na základě korupce, jak tomu bylo doposud. Podmínky by měly být trochu přísnější: „Jste autorita zapsaná alespoň v těchto veřejných seznamech kořenových certifikátů (x, y, z) a splňujete prokazatelně takové a takové záruky kvality, které můžete doložit? Tak potom si můžete požádat o statut kvalifikované autority v našem státě.“

Rozhodně by to nemělo fungovat úplně naopak (jako dnes), tedy nemělo by být možné vyrobit si na koleně autoritu, kterou nikdo neuznává, která nemá za sebou vůbec žádnou historii a reputaci, která se nepodrobila žádným nezávislým bezpečnostním auditům a která pak bude mít na neomezenou dobu zajištěné prostředí bez významné konkurence. Jak je vůbec možné, že se za celé desetiletí nezměnil počet kvalifikovaných certifikačních autorit? To je úplně od základu špatně. Autority by měly čelit konkurenčnímu prostředí, podobně jako třeba pojišťovny nabízející povinné ručení na auta. Tam by se taky nikomu nelíbilo, kdyby byly natrvalo tři.

Pointa je zkrátka v tom, že autorita by měla být napřed celosvětově uznávaná a teprve potom by měla mít nárok stát se kvalifikovanou autoritou.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
29.12.2014 01:25 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: SSL certifikat zdarma

Očividně považujete "být v seznamech v prohlížečích" za primární měřítko kvality certifikační autority. Já to považuji pro posouzení kvality certifikační autority za naprosto irelevantní. Takže je logické, že se prostě nemůžeme shodnout.

Jen pro pořádek: jste schopen z hlavy, bez hledání, aspoň rámcově říct, jaká jsou kritéria pro to, aby se autorita mohla dostat do těch seznamů v běžných prohlížečích (řekněme Firefox, MSIE, Opera, Chrome), a jestli (a v čem) jsou tato kritéria přísnější než ta, která požaduje česká státní správa? Pokud ano, tak smekám. Pokud ne, mohlo by vám to napovědět, proč vaše oblíbené kritérium kvality považuji za irelevantní.

Jendа avatar 29.12.2014 01:40 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Nevím, když jsem se o to snažil, tak to označili jako duplikát #647959
29.12.2014 07:12 Filip Jirsák
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Takže na seznam bodů, o čem Andrej nic neví a tím rozhořčeněji o tom píše, můžeme přidat následující:
  • akreditaci nedostávají certifikační autority jen tak pro nic za nic, ale na základě toho, že prokazatelně splňují podmínky dané zákonem
  • certifikační autority podléhají kontrole ze strany Ministerstva vnitra ČR, které je podrobuje bezpečnostním auditům
  • za celé desetiletí se počet českých akreditovaných autorit zvýšil z jedné na tři, navíc přibyla možnost použít libovolnou autoritu akreditovanou kdekoli v EU
  • autority čelí konkurenčnímu prostředí, není pravda, že by byly natrvalo tři - když splníte podmínky dané zákonem, klidně si těch autorit můžete založit dalších deset
Neustále píšete o korupci, ale neuvedl jste jediný důkaz. Vzhledem k ostatnímu to opět vypadá na vaši neznalost.

A nakonec to hlavní - to, že je autorita uvedena v seznamu jedné komerční firmy nebo jedné nadace moc o jejích kvalitách nevypovídá. Nevypovídá to ani o tom, že by byla celosvětově uznávaná - ta autorita se stává celosvětově uznávanou na základě zařazení do některého z těchto dvou seznamů, není to tak, že by do některého seznamu byla zařazena na základě toho, že je celosvětově uznávaná. O zařazení na tyto seznamy by měla rozhodovat pouze kritéria stanovená majiteli těchto seznamů. A ta kritéria nezaručují to, co vyžadují příslušné zákony, takže zařazení na některý z těch seznamů nezaručuje, že příslušná autorita plní podmínky zákona.
29.12.2014 01:27 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
A pro úplnost: ten bod o šifrování už se vám tady pár lidí snažilo vysvětlit, ale vy jste se je rozhodl ignorovat. Takže s tím se holt nedá dělat nic.
29.12.2014 02:22 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
A pro pořádek přidám odkaz na vysvětlení přímo od pramene.
Jendа avatar 30.12.2014 07:39 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Přijde mi, že ty důvody za moc nestojí. Ten kryptografický ze stackoverflow je lepší. Vydání soukromého klíče je super, ale já neberu bezpečnost na lehkou váhu, takže ho mám vygenerovaný v čipovce zarostlé v lebce a vydat tak prostě nejde, sorry. A aby nešel zneužít podpis při autentizaci by měl v první řadě zajišťovat protokol, například vynucením nějaké unikátní hlavičky.
30.12.2014 07:57 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Přijde mi, že ty důvody za moc nestojí. Ten kryptografický ze stackoverflow je lepší.

Jestli to nebude tím, že jsi systémák a ne právník. :-)

Jinak já tam třeba vidím trochu jiný technický problém. Jak už tu bylo zmíněno, certifikát občana/firmy by se stejně používal k šifrování ne pro jeho podání směrem ke státní správě, ale naopak pro zprávy od státní správy jemu. Aby ale něco takového bylo možné, musela by nejdřív státní správa mít pro každý subjekt registrovaný jeden konkrétní certifikát, který by byl určenpro šifrování komunikace s ním (a subjekt by byl zodpovědný za to, že k němu bude mít tajný klíč). Protože ale jde o zákon o elektronickém podpisu, tak nic takového neřeší a zabývá se jen tím, jak elektronickými prostředky podepsat dokument, který občan posílá státní správě. Na šifrování komunikace máme jiný nástroj, datové schránky (kvalita jejich implementace je ovšem tristní).

30.12.2014 08:09 Filip Jirsák
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Datové schránky nejsou určené na šifrování komunikace, naopak posílání šifrovaných dokumentů je zakázáno. Je šifrován transportní protokol (HTTPS) a údajně jsou šifrovány uložené zprávy. Takového šifrování by mohl Jenda dosáhnout i u komunikace s úřady vhodným nastavením svého poštovního serveru. Jemu ale předpokládám jde o šifrování samotných zpráv.
30.12.2014 08:30 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Z pohledu státu je zřejmě taková úroveň ochrany, tj. že k nezašifrované zprávě má přístup jen subjekt a oprávnění úředníci (a blíže neurčená množina zaměstnanců ČP) pro daný účel (komunikace mezi občanem a státní správou) dostatečná. Tak či onak, pokud bychom chtěli něco víc, byla by k tomu potřeba další infrastruktura a odpovídající právní úprava; zákon o elektronickém podpisu tohle neřeší, zabývá se jen tím, jak technicky implementovat podpis dokumentu občanem/firmou, tak aby ho stát mohl (resp. musel) považovat za věrohodný a právně závazný.
29.12.2014 11:19 bigBRAMBOR | skóre: 30
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Hodne delam s certifikaty postsignum. A dokonce se mi podarilo zavest se jako zodpovedna osoba za firmu se kterou nemam nic spolecneho. Podepsal jsem sam jednatele a vlastnika na zadosti u sebe doma, prdnul tam razitko a pred pani na poště podepsal uz akorat sebe jako zodpovednou osobu. Stacilo ji to, a ja jsem jediny kdo za tuto firmu muze u postsignum vydavat nove ceritifikaty. Takze to si myslim minimalne u jedne z nasich autorit. Coz ale pisu jenom jako zajimavost, nijak tim nezasahuji do vaší hádky.
29.12.2014 17:28 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Nevím, nakolik je rozumné se něčím takovým veřejně chlubit…
Heron avatar 27.12.2014 11:06 Heron | skóre: 50 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Asi tak.
27.12.2014 10:06 Filip Jirsák
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Jenom Česká republika se stále snaží pěstovat korupční prostředí a živit pseudoautority, které za 10 let existence (!!!) nebyly schopné dohrabat se do standardního seznamu certifikátů v prohlížečích. To je zoufalství a ostuda v jednom.
Zoufalství a ostuda to je - ale vaše. Nevíte, jak to je, tak si něco vymyslíte. I.CA získala akreditaci v roce 2002, v roce 2008 se jejich certifikáty dostaly do Microsoft Root. 2008 minus 2002 není deset.

Kvalifikované certifikáty se mají používat pouze pro podepisování, aby se zbytečně nezvyšovala šance, že certifikát někdo zneužije. Proto je tam zákaz šifrování. Navíc v případě zákona o elektronickém podpisu stát občany nijak nenutí, aby s úřady komunikovali nešifrovaně.

Problém je v tom, že opět píšete o něčem, čemu vůbec nerozumíte. Pro šifrování musíte mít veřejný klíč toho, komu chcete zprávu poslat šifrovaně. Takže pokud byste chtěl šifrovat zprávu poslanou úřadu, musíte mít veřejný klíč toho úřadu. Všimněte si, že s vaším kvalifikovaným certifikátem to nemá vůbec nic společného. No a když už potřebujete získat ten veřejný klíč protistrany, nepotřebujete, aby to byl kvalifikovaný certifikát, stačí vám pro to šifrování libovolný komerční certifikát. To samé platí pro osobní komunikaci - pokud ji chcete šifrovat, nepotřebujete kvalifikovaný certifikát, ale stačí, když protistrana má libovolný komerční certifikát.
Heron avatar 27.12.2014 11:13 Heron | skóre: 50 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
K tomu šifrování. Co si tak vzpomínám, je to z důvodu bezpečnosti. Existoval nějaký hezký teoretický útok na pár klíčů, pokud se tím párem současně podepisuje i šifruje (pochopitelně ne oboje na jedné zprávě). Proto musí být na podepisování a na šifrování dva různé páry vždy jen a pouze pro jeden účel.

Ono to dává smysl, při podepisování se otisk zprávy "šifruje" soukromým klíčem a dešifruje veřejným, při šifrování celé zprávy se šifruje veřejným a odšifruje soukromým -- při tomto použití se aktivně používají oba klíče z páru, resp. dají se veřejně odchytnout jak zprávy zašifrované soukromým tak veřejným. Útočníkovy potom vhodně stačí připravit otevřené texty jak k podpisu, tak k šifrování a může tak získat nějaké bity ze soukromého klíče. Pochopitelně, celé se to komplikuje tím, že při podpisu se podepisuje otisk a při šifrování se šifruje jen klíč pro symetrickou šifru, ale tím se na principu útoku nic nemění.
26.12.2014 20:33 Filip Jirsák
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
„kvalifikovaná certifikační autorita“, které se taky snaží vydávat komerční certifikáty, ale není jasné, proč jim vůbec někdo za něco platí, když je absolutně žádný prohlížeč nebo mailový klient v implicitní konfiguraci neuznává.
I.CA i PostSignum mají kořenové certifikáty ve Windows. Takže jim důvěřuje minimálně Internet Explorer, Chrome, Outlook, Adobe Reader. Firefox jestli se nepletu systémové úložiště certifikátů nepoužívá. To je o dost víc, než "absolutně žádný".
26.12.2014 22:42 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: SSL certifikat zdarma

No dobře, tak se po 10 letech, kdy nebyly vůbec nikde, dostaly tyhle pseudoautority do Windows. Pořád nechápu, za co bych jim měl platit.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
27.12.2014 09:48 Filip Jirsák
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Netrvalo to deset let. Já nechápu, proč pořád píšete o něčem, o čem nic nevíte.
28.12.2014 21:51 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: SSL certifikat zdarma

A víte co? Upozornění je nutno ignorovat; vstup na stránku je zcela bezpečný. :-D Tak mi ještě povyprávějte, co údajně nevím. :-D

Protože (jako obvykle) nemáte věcné argumenty, uchylujete se k dohadům o tom, co protistrana údajně ví nebo neví. To je taková klasická ubohost à la ABCLinuxu — velmi nerad to říkám, ale poslední dobou se zdejší debaty dřív nebo později stočí přesně tímto směrem.

České kvalifikované pseudoautority jsou pouhé zoufalství a ostuda. Napadáním oponentů v diskusi na tom mnoho nezměníte.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
26.12.2014 20:45 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Dál je vhodné se vyhnout všem českým holomajznám typu „kvalifikovaná certifikační autorita“, které se taky snaží vydávat komerční certifikáty, ale není jasné, proč jim vůbec někdo za něco platí, když je absolutně žádný prohlížeč nebo mailový klient v implicitní konfiguraci neuznává.

Platí jim právě proto, že jsou "kvalifikované", tj. že jimi podepsané certifikáty akceptuje (česká) státní správa.

26.12.2014 20:49 Joe
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Pozor Kvalifikovany != Komercni. Kvalifikovany se neda pouzit pro sifrovani, naopak komercni ano. Ale treba ICA da ke kvalifikovanemu komercni gratis.

Onehda se mluvilo o akceptaci techto kvalifikovanych certifikatu i mezi ostatnimy staty EU, nevite zda-li je to mozne?
26.12.2014 21:17 Filip Jirsák
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Ano, je to možné, kvalifikované certifikáty mají být uznávány napříč celou EU. Ale je to ošetřené jen legislativně, technicky moc dobře ne, takže dostat nějaký český úředník dokument podepsaný kvalifikovaným certifikátem z jiné země, bude to mít za trest.
Heron avatar 27.12.2014 11:18 Heron | skóre: 50 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
bude to mít za trest
Nebude to mít za trest ten úředník, ale ta firma, která pro ten úřad píše nějaký IS. ;-)

Technicky je to naprosto šílené, protože ani neexistuje seznam autorit, jejichž certifikáty se mají uznávat, nehledě na to, že co autorita, to kompletně jiné technické řešení CRL apod. Hezky jsme si na tom vylámali zuby. Takže jde to, ale dře to, ty zahraniční CA moc nespolupracují (ony nespolupracují ani ty české).
27.12.2014 13:00 Filip Jirsák
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Do IS se to nevyplatí psát, protože počet případů, kdy to nastane, se limitně blíží nule. Takže je mnohem levnější to vyřešit ručně.

Ten seznam někde existoval (teď ho ale najít nemůžu), ale kompletní byl jen v PDF, strukturovaný byl nekompletní. Ale přesně jak píšete, každá autorita to má jinak. Navíc my potřebujeme v certifikátu IK MPSV, abychom věděli, kdo to doopravdy podepsal, takže rozhodnutí, že v IS budou podporovány jen české autority a ostatní se případně budou řešit ručně, bylo docela snadné.
Heron avatar 27.12.2014 14:19 Heron | skóre: 50 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Takže je mnohem levnější to vyřešit ručně.

Úřad, který zadává změnu svého IS nepostupuje příliš často podle tohoto kritéria.

Navíc my potřebujeme v certifikátu IK MPSV, abychom věděli, kdo to doopravdy podepsal, takže rozhodnutí, že v IS budou podporovány jen české autority a ostatní se případně budou řešit ručně, bylo docela snadné.

S IK MPSV pracujeme roky, ale teď byl ještě požavek akceptovat i všechny ostatní evropské (kvalifikované) CA. (Pochopitelně ne ve stejném režimu.)

teď ho ale najít nemůžu

Z toho si nic nedělej, on ho nemůže najít ani MMR.

26.12.2014 22:43 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: SSL certifikat zdarma

Ano, takže pojmenováno podstatnými jmény: Platí jim právě za blbost a korupci české státní správy. Brrr.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
26.12.2014 23:07 Jardík
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Zkuste můj OS .. v mém Firefoxu neuznávám žádné autority, protože žádná z nich není důvěryhodná.

Další věcí je, že když nabízim přístup přes ssl, tak asi vím proč a ví to i uživatel, který přes to přistupuje, takže asi tuší, co je to certifikát. Není důvod, proč by si ho nemohl ověřit (třeba si za mnou osobně dojít a nechat si ho nakopírovat) a pak si ho zkontrolovat s tím, co mu předhazuje prohlížeč.

Nejlepší certifikát je tedy vlastní certifikát.
Josef Kufner avatar 27.12.2014 02:42 Josef Kufner | skóre: 66
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
a ví to i uživatel, který přes to přistupuje, takže asi tuší, co je to certifikát.
To je velmi naivní ;-)
Hello world ! Segmentation fault (core dumped)
27.12.2014 04:07 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: SSL certifikat zdarma

To je jakási naivní představa, která kromě jiného například popírá samotný smysl E-shopů. S takovým přístupem by si zákazník nemohl najít E-shop na webu a rovnou nakoupit, ale musel by zvednout prdel a vypravit se tam napřed s flashdiskem pro certifikát.

Když nabízím přístup přes SSL, leckdy vůbec netuším proč — činím tak zkrátka ze zásady, protože můžu a protože nemám nejmenší důvod sdělovat okolí víc informací (svých i uživatelových), než je nezbytně nutné.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
27.12.2014 10:18 Pavel
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Uzivatele bohuzel vubec netusi co je to certifikat a kdyz v prohlizeci vuskoci varovna hlaska o neduveryhodnosti, vetsinou ji ignoruji. Dalsi vec je to, ze existuje spousta serveru ruznych pojistoven, operatoru a dalsich instituci, ktere nejsou podepsany zadnou CA obsazenou v prohlizeci a je treba naimportovat jejich vlastni root ca certifikaty nebo root CA, kterou byly podepsany. Takze import vlastni nebo jine autority neni zas takova prekazka, pokud bude na tom webu navod a odkaz na stazeni.
27.12.2014 10:39 Filip Jirsák
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Vítejte v budoucnosti. Ze kterého přesně roku přicházíte? Tak někde kolem roku 2005, ne? Dnes, v roce 2014, když v prohlížeči "vyskočí varovná hláška" o nedůvěryhodnosti certifikátu, je to ve skutečnosti celá webová stránka, skoro stejná, jako když je např. daný web nedostupný. Pokud to uživatel ignoruje, na cílový web se vůbec nedostane. Pokud na tom trvá, musí se z té chybové hlášky na ten web složitě a nesmyslně proklikat (přičemž ho prohlížeč zpravidla donutí ten certifikát nainstalovat - aby to bylo opravdu postavené na hlavu a maximálně nebezpečné).

Pokud byste i letos našel různé pojišťovny, operátory a další instituce, které používají certifikát od CA, která není v běžných prohlížečích, dejte sem prosím jejich seznam, zajímalo by mne to.
Jendа avatar 27.12.2014 18:02 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Import vlastní root CA je v součaném software hodně velká překážka, protože nemůžu nijak říct „toto je sice root cert, který si importuju, ale chci mu věřit jenom pro *.cuni.cz“. Prostě mu věří všude. Takže si naimportuju školní certifikát kvůli přístupu k informačnímu systému, webům vyučujících… a od té chvíle mi škola může dělat MITM i na jiné weby.
27.12.2014 23:24 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
A naopak… V nejnovějších verzích Firefoxu sice implementovali "public key pinning", ale zatím jen s natvrdo zadrátovaným seznamem certifikátů. A i když do budoucna počítají s dynamickými seznamy, pořád to vypadá, že to má být Mozilla Foundation, kdo bude rozhodovat o jejich obsahu, ne uživatel.
27.12.2014 23:54 Miriam
Rozbalit Rozbalit vše Re: SSL certifikat zdarma
Miriamka se připojuje k tvému názoru. Zdar Maxík

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.