abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 06:11 | Zajímavý článek

    Man Yue Mo z GitHub Security Lab se podrobně rozepsal o již opravené zranitelnosti CVE-2023-6241 v Arm Mali GPU umožňující získání roota na telefonu Pixel 8 s povoleným MTE (Memory Tagging Extension).

    Ladislav Hagara | Komentářů: 0
    dnes 04:44 | IT novinky

    V San José probíhá vývojářská konference NVIDIA GTC 2024. CEO společnosti NVIDIA Jensen Huang měl dvouhodinovou keynote, ve které představil celou řadu novinek: NVIDIA Blackwell platform, NVIDIA NIM microservices, NVIDIA Omniverse Cloud APIs, Project GR00T, …

    Ladislav Hagara | Komentářů: 0
    včera 14:33 | Komunita

    Byly zpracovány a na YouTube zveřejněny videozáznamy jednotlivých přednášek z letošního Installfestu.

    Ladislav Hagara | Komentářů: 10
    včera 13:33 | Pozvánky

    Od 21. do 23. března proběhnou Arduino Days 2024. Sledovat bude možné oficiální streamy. Zúčastnit se lze i lokálních akcí. V Česku jsou aktuálně registrovány dvě: v Praze na Matfyzu a v Poličce v městské knihovně.

    Ladislav Hagara | Komentářů: 0
    včera 12:11 | Pozvánky

    Letošní ročník konference LinuxDays se uskuteční o víkendu 12. a 13. října, opět se potkáme v pražských Dejvicích na FIT ČVUT. Také během letošního ročníku nás budou čekat desítky přednášek, workshopy, stánky a spousta doprovodného programu. Aktuální dění můžete sledovat na Twitteru, Facebooku nebo na Mastodonu, přidat se můžete také do telegramové diskusní skupiny.

    Petr Krčmář | Komentářů: 3
    včera 09:00 | Nová verze

    Byla vydána nová major verze 2.0.0 a krátce na to opravné verze 2.0.1 open source online editoru Etherpad (Wikipedie) umožňujícího společné úpravy v reálném čase.

    Ladislav Hagara | Komentářů: 0
    včera 08:00 | IT novinky

    Elonem Muskem založena společnost xAI otevřela pod licencí Apache 2.0 svůj AI LLM model Grok-1.

    Ladislav Hagara | Komentářů: 3
    včera 00:44 | Nová verze

    Matematický software GNU Octave byl vydán ve verzi 9.1.0. Podrobnosti v poznámkách k vydání. Nově je preferovaný grafický backend Qt a preferovaná verze Qt 6. V tomto vydání byly přepracovány funkce pro převod čísel z desítkové soustavy. Jako obvykle jsou zahrnuta také výkonnostní vylepšení a zlepšení kompatibility s Matlabem.

    Fluttershy, yay! | Komentářů: 0
    17.3. 22:33 | Zajímavý článek

    Společnost PINE64 stojící za telefony PinePhone nebo notebooky Pinebook publikovala na svém blogu březnový souhrn novinek. Vypíchnout lze, že pracují na virtuálním asistentu PineVox a zatím bezejmenných sluchátkách na lícní kosti (bone conduction).

    Ladislav Hagara | Komentářů: 0
    17.3. 18:33 | Nová verze

    Hyprland, kompozitor pro Wayland zaměřený na dláždění okny a zároveň grafické efekty, je již dva roky starý. Při té příležitosti byla vydána verze 0.37.0 (a záhy opravná 0.37.1 řešící chybu ve vykreslování oken). Nově závisí na knihovně hyprcursor, která poskytuje škálovatelné kurzory myši.

    Fluttershy, yay! | Komentářů: 3
    Steam
     (25%)
     (28%)
     (13%)
     (10%)
     (25%)
    Celkem 310 hlasů
     Komentářů: 4, poslední 11.3. 21:45
    Rozcestník

    StartEncrypt umožňoval komukoliv vydat certifikát k libovolné doméně

    Služba StartEncrypt od certifikační autority StartCom (konkurence Let's Encrypt) umožňovala komukoliv automaticky vydat certifikát k prakticky libovolné doméně (včetně domén jako Google, PayPal a Dropbox). Chyba (ve skutečnosti celá řada amatérských chyb) by měla být již opravena.

    1.7.2016 17:18 | xm | Bezpečnostní upozornění


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    1.7.2016 17:27 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: StartEncrypt umožňoval komukoliv vydat certifikát k libovolné doméně
    Trusted.
    1.7.2016 17:34 Jardík
    Rozbalit Rozbalit vše Re: StartEncrypt umožňoval komukoliv vydat certifikát k libovolné doméně
    Takže by ju měli odebrat z prohlížečů ne?
    1.7.2016 17:37 koroptev
    Rozbalit Rozbalit vše Re: StartEncrypt umožňoval komukoliv vydat certifikát k libovolné doméně
    Ono tam sou takove sracky dwfaultne?
    1.7.2016 17:49 Jardík
    Rozbalit Rozbalit vše Re: StartEncrypt umožňoval komukoliv vydat certifikát k libovolné doméně
    Ano. Oni tam toho nacpou mraky. Další mraky tam narvou správci balíčků. A pro uživatele (nikoliv pro správce) je pak velmi těžké, někdy i nemožné označit certifikáty v dané aplikaci jako nedůvěryhodné, popř. je smazat. Kdysi jsem s tím měl spoustu práce.
    1.7.2016 17:58 Jardík
    Rozbalit Rozbalit vše Re: StartEncrypt umožňoval komukoliv vydat certifikát k libovolné doméně
    Jendа avatar 1.7.2016 21:10 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: StartEncrypt umožňoval komukoliv vydat certifikát k libovolné doméně
    1.7.2016 23:29 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: StartEncrypt umožňoval komukoliv vydat certifikát k libovolné doméně
    WTF?
    Jendа avatar 2.7.2016 00:18 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: StartEncrypt umožňoval komukoliv vydat certifikát k libovolné doméně
    No to ukazuje, že Mozilla to prostě neřeší.
    1.7.2016 23:21 asdfgx64
    Rozbalit Rozbalit vše Re: StartEncrypt umožňoval komukoliv vydat certifikát k libovolné doméně
    expected
    2.7.2016 00:05 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Re: StartEncrypt umožňoval komukoliv vydat certifikát k libovolné doméně
    Pobavilo; model důvěryhodné CA opět nezklamal. :-) :-D :-)
    xkucf03 avatar 2.7.2016 11:32 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Alternativa?
    A máš něco lepšího?

    a) Pavučina důvěry – je to v zásadě jen vylepšený model, jsou tam opět CA, jen jich může být více – veřejný klíč ti může podepsat více CA (lidí, automatizovaných systémů, organizací…). Může tam docházet k úplně stejným chybám. Při selhání jedné CA to můžou zachránit ostatní – za předpokladu, že uživatel věří jen klíčům podepsaným třeba třemi CA → riziko se snižuje. Je to lepší model, ale je složitější ho používat.

    b) Návrat do středověku – tzn. nemít žádné CA ani WoT a prostě si jen kontrolovat otisky klíčů pro jednotlivé servery. Teoreticky je to nejbezpečnější (důvěryhodným kanálem – např. osobně – si předáš otisk klíče), ale v praxi to nefunguje – lidi prostě odkliknou varování a nic nekontrolují.

    P.S. určitě zase někdo vytasí DNSSEC – to je zase jen CA, jen s tím rozdílem, že pro danou TLD má na provozování CA monopol jeden subjekt (jedna kořenová autorita). Smysl dává jen jako doplněk ke klasické PKI nebo pavučině důvěry – pomáhá snižovat riziko (musely by selhat dva subjekty, aby došlo k útoku).
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    2.7.2016 12:17 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Re: Alternativa?
    A máš něco lepšího?
    Jo. DANE/TLSA. Model zcela zprofanovaných CA je pro DV certifikáty opravdu zcela k hovnu.
    xkucf03 avatar 2.7.2016 12:36 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Alternativa?
    Četl jsi to P.S. k DNSSEC?
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    2.7.2016 15:01 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Alternativa?
    Ad DNSSEC - pokud chci přistupovat k počítači podle DNS názvu, musím důvěřovat provozovateli DNS. Nejde to zabezpečit nijak lépe. DNSSEC je pro DNS dostatečné zabezpečení, platnost DNS záznamů potvrzuje právě ten, kdo je definuje, tedy kdo je jako jediný opravdu potvrdit může. Nesmyslné jsou DV certifikáty, kde CA potvrzují něco, o čem nemohou ani rozhodovat, ani to nemohou potvrdit. DNSSEC není doplněk k PKI, je to způsob, jak provozovatel DNS, který má správné údaje, může zaručit jejich bezpečné doručení až ke klientovi.

    CA má smysl tam, kde se subjekty ověřují nějakým rozumným způsobem - osoby třeba proti předložení osobních dokladů. Dvojitá kontrola je tam pak v případě, kdy vím, že chci komunikovat s nějakým subjektem a zároveň znám jeho doménové jméno (třeba znám název banky i její doménu). Pak jméno ověřím přes certifikát CA a doménu přes DNSSEC.
    xkucf03 avatar 2.7.2016 16:16 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Alternativa?
    pokud chci přistupovat k počítači podle DNS názvu, musím důvěřovat provozovateli DNS. Nejde to zabezpečit nijak lépe
    Právě že jde – přes ty certifikáty. I když budu používat nedůveryhodné rekurzivní DNS servery, pochybné proxy servery, WiFi připojení nebo napíchnutou linku, tak lze útok odhalit díky kontrole certifikátu na straně klienta.

    Nesmyslné jsou DV certifikáty
    DV certifikáty vznikly dávno před nějakým DNSSEC/DANE/TLSA a pomohly výrazně zvýšit zabezpečení (do té doby se používaly nešifrované protokoly jako HTTP nebo bylo potřeba draze a složitě získávat certifikát s ověřením dokladů).

    Až budou klienti podporovat DNSSEC/DANE/TLSA a bude k tomu nějaké rozumné GUI, budou to podporovat všichni registrátoři a TLD a bude to dostupné pro 99% běžných uživatelů, tak se dá říct, že DV certifikáty jsou zbytečné.
    DNSSEC není doplněk k PKI, je to způsob, jak provozovatel DNS, který má správné údaje, může zaručit jejich bezpečné doručení až ke klientovi.

    PKI ale zdalena nejsou jen DV certifikáty. Běžně se používají OV a často i EV. Provozovatel DNS neví, kdo jsi (a to je dobře, není dobré tyhle věci slučovat) a nemůže být autoritou, která potvrdí tvoji identitu – a ani ten protokol (DNS) není vhodný k tomu, aby se přes něj přenášelo víc dat.

    DNSSEC se hodí pro kontrolu a potvrzení, že otisk certifikátu je OK.

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    2.7.2016 16:31 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Alternativa?
    Právě že jde – přes ty certifikáty. I když budu používat nedůveryhodné rekurzivní DNS servery, pochybné proxy servery, WiFi připojení nebo napíchnutou linku, tak lze útok odhalit díky kontrole certifikátu na straně klienta.
    Proti nedůvěryhodným rekurzivním DNS serverům, WiFi připojení a pochybným proxy serverům chrání DNSSEC. To mi zaručí, že dostanu nezměněnou odpověď od toho, kdo o daných DNS názvech rozhoduje. Certifikační autorita se v lepším případě spoléhá na ty samé odpovědi podepsané DNSSEC, takže nemůže důvěryhodnost té informace zvýšit. Zvlášť když ta informace pochází od toho, kdo ji definuje.
    DV certifikáty vznikly dávno před nějakým DNSSEC/DANE/TLSA
    Jistě. Což ale neznamená, že nejsou nesmyslné :-) Zvlášť dnes, kdy DV certifikát potvrzuje třeba to, že jeho držitel umí vystavit soubor na nějakou webovou adresu, nebo umí číst e-maily směrované na danou doménu.
    bude k tomu nějaké rozumné GUI
    Jaké GUI? DNS záznam se buď podaří přeložit a validovat, nebo se to nepodaří a zobrazí se chyba.
    tak se dá říct, že DV certifikáty jsou zbytečné
    Já jsem nepsal, že jsou zbytečné, ale že jsou nesmyslné.
    xkucf03 avatar 2.7.2016 16:55 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Alternativa?
    Proti nedůvěryhodným rekurzivním DNS serverům, WiFi připojení a pochybným proxy serverům chrání DNSSEC. To mi zaručí, že dostanu nezměněnou odpověď od toho, kdo o daných DNS názvech rozhoduje.
    Jen za předpokladu, že na tvém klientském počítači běží DNS server (resolver), který ověřuje DNSSEC a někdo do něj bezpečnou cestou dostal veřejné klíče/otisky pro všechny TLD. Jak běžná je tohle praxe? Kolik uživatelů to má?

    BTW: a je to podobné jako s těmi CA – jejich certifikáty taky musel někdo na klienta dostat a musel tam dát software, který je schopný je ověřovat.
    Certifikační autorita se v lepším případě spoléhá na ty samé odpovědi podepsané DNSSEC
    DV by podle mého mělo vypadat spíš tak, že na server nahraješ soubor s náhodně vygenerovanou výzvou (+ informací, k čemu ten soubor je) a CA se ji pokusí z mnoha různých serverů (v různých částech Internetu) stáhnout. To je spolehlivější než e-mail a WHOIS (ten může obsahovat neaktuální informace a nešifrovaný e-mail lze zase snadno odposlechnout) a lépe to prokazuje, že máš danou doménu pod kontrolou.
    DV certifikát potvrzuje třeba to, že jeho držitel umí vystavit soubor na nějakou webovou adresu
    Nevím, jak ty, ale já jako majitel domény nenechám cizí lidi nahrávat libovolné soubory na můj web. Pokud by to mohl někdo udělat, tak by rovnou mohl měnit obsah mého webu a nemusel by se patlat s nějakým SSL a MITM – prostě by tam napsal, co potřebuje nebo si odtamtud stáhl data.
    DNS záznam se buď podaří přeložit a validovat, nebo se to nepodaří a zobrazí se chyba
    Paráda, přesně proto je potřeba to GUI, aby uživatel věděl, co se děje. Takhle možná nějak dopídí, že je něco rozbitého s DNSSEC a následně mu někdo poradí, jak ho vypnout, aby se dostal na svůj web. Tím mimochodem vypne kontrolu pro všechny domény, což je daleko horší, než když odklikne SSL varování (to se týká jen jedné domény, zatímco ostatní se stále ověřují, jak mají).
    Já jsem nepsal, že jsou zbytečné, ale že jsou nesmyslné.

    Ale vždyť oni smysl mají nebo minimálně měly a ještě nějakou dobu mít budou. Srovnej to s ostatními možnostmi:
    • Nešifrované HTTP – nulová bezpečnost, triviální odposlechy i MITM, ale dlouho se používalo i pro služby, které se rozhodně šifrovat/podepisovat měly.
    • Samopodepsané certifikáty – uživatelé nejsou schopní si důvěryhodnou cestou vyměňovat certifikáty/otisky. Dopadne to tak, že odkliknou všechno a je to totéž jako předchozí varianta.
    • OV a EV certifikáty – je drahé a složité je získat, většina provozovatelů by se na to vykašlala a skončili by u první nebo druhé možnosti, tzn. nulová bezpečnost. Díky DV mají na výběr a mají nenulové zabezpečení = posun k lepšímu, přínos.
    • DNSSEC/DANE/TLSA – hudba budoucnosti (a pouze náhrada DV, nikoli vyšších ověření)
    • WoT a možnost podepsat veřejný klíč více CA – opět hudba budoucnosti (možná). Tuhle variantu bych preferoval (s tím, že DNSSEC je vlastně jednou z těch více autorit, které mohou veřejný klíč potvrdit).
    Co by se dalo celkem snadno vylepšit: aby WWW prohlížeče rozlišovaly DV a OV certifikáty (stejně jako odlišují EV certifikáty). Uživatel by na první pohled viděl, že jsou tři stupně (DV/OV/EV) a mohl by si všimnout i změny z OV na DV.
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    2.7.2016 20:08 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Alternativa?
    DV by podle mého mělo vypadat spíš tak, že na server nahraješ soubor s náhodně vygenerovanou výzvou ... lépe to prokazuje, že máš danou doménu pod kontrolou.
    Ne, to neprokazuje, že mám pod kontrolou doménu, ale že mám pod kontrolou webový server. Ověřit, že mám pod kontrolou doménu, nejde jinak, než přes DNS.
    Nevím, jak ty, ale já jako majitel domény nenechám cizí lidi nahrávat libovolné soubory na můj web. Pokud by to mohl někdo udělat, tak by rovnou mohl měnit obsah mého webu a nemusel by se patlat s nějakým SSL a MITM – prostě by tam napsal, co potřebuje nebo si odtamtud stáhl data.
    Na tvůj web možná lidé soubory nahrávat nemůžou. A pak jsou miliony webů, kam soubory různými způsoby nahrávat lze - Wikipedia, GMail, Ulož.to, Dropbox, AbcLinuxu...
    Takhle možná nějak dopídí, že je něco rozbitého s DNSSEC a následně mu někdo poradí, jak ho vypnout, aby se dostal na svůj web. Tím mimochodem vypne kontrolu pro všechny domény, což je daleko horší, než když odklikne SSL varování (to se týká jen jedné domény, zatímco ostatní se stále ověřují, jak mají).
    Právě proto nemá být možné to vypnout, takže není potřeba GUI.
    Ale vždyť oni smysl mají nebo minimálně měly a ještě nějakou dobu mít budou. Srovnej to s ostatními možnostmi
    Já bych to srovnával třeba s možností, že DV certifikát bude vydáván jen na základě prokázání kontroly nad DNS zónou, CA bude garantovat, že certifikát revokuje např. do 24 hodin od změny vlastníka domény. Nebo ještě lépe, že by DV certifikát vydával DNS registrátor. Nesmyslnost DV certifikátů spočívá v tom, že potvrzují něco, co CA potvrdit nemůže.
    xkucf03 avatar 2.7.2016 21:07 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Alternativa?
    Ne, to neprokazuje, že mám pod kontrolou doménu, ale že mám pod kontrolou webový server. Ověřit, že mám pod kontrolou doménu, nejde jinak, než přes DNS.

    Viz
    a CA se ji pokusí z mnoha různých serverů (v různých částech Internetu) stáhnout
    Tím se ověří oboje – jednak, že se DNS jméno přeloží všude stejně resp. ukazuje na stejný server a jednak že máš pod kontrolou ten server (což je dost zásadní – pokud by ten server měl pod kontrolou někdo jiný, tak nemá cenu řešit nějaké šifrování mezi klientem a serverem).
    Na tvůj web možná lidé soubory nahrávat nemůžou. A pak jsou miliony webů, kam soubory různými způsoby nahrávat lze - Wikipedia, GMail, Ulož.to, Dropbox, AbcLinuxu...

    A dovolí ti uložit soubor do kořenového adresáře a pojmenovat ho tak, jak chce CA?
    Právě proto nemá být možné to vypnout, takže není potřeba GUI.
    Vzhledem k tomu, že se to ještě ani pořádně nerozšířilo, tak doba, kdy to nepůjde vypnout, je hodně daleko (jestli vůbec kdy přijde).
    Nebo ještě lépe, že by DV certifikát vydával DNS registrátor.
    Tohle by se mi na jednu stranu i celkem líbilo… A konečně by se mohla používat ta vlastnost X.509 certifikátů, která umožňuje omezit působnost CA na určitou (pod)doménu.

    CZ.NIC by tak měl CA, která by směla vydávat certifikáty pro .cz a registrátoři by od něj měli podřízené CA, které by mohly vydávat certifikáty pro domény, které si u nich někdo zaregistroval. Případně by takovou CA dostal vlastník domény a mohl by si pro svoje poddomény vydávat certifikáty sám.

    Nicméně stinnou stránkou je koncentrace moci do rukou registrátora – ten najednou může všechno – typicky i provozuje DNS servery pro registrované domény, takže si může vydat certifikát a na chvíli nasměrovat provoz jinam a to dokonce selektivně (podvržené záznamy se budou posílat jen oběti, zatímco všichni ostatní dostanou ty správné). A je mnohem větší šance, že se podaří zamést stopy a utajit to.

    Když je v tom zapojeno víc nezávislých subjektů, tak je ten systém odolnější a útok je složitější nebo se dá alespoň lépe odhalit a zpětně dohledat, co se stalo a kdo za to může. CA kontroluje DNS záznamy a soubor na serveru z mnoha různých míst, takže by se podvržené záznamy musely posílat všem. Navíc CA si uloží záznam o tom, jak se dané DNS jméno přeložilo.

    Pokud by např. selhal registrátor nebo webhosting, CA by na tom byla nezávislá, měla by např. sériová čísla vydaných certifikátů, záznamy o tom, kdo si je nechal vystavit… Pokud ale drží všechny trumfy v ruce jeden subjekt, je to dost nebezpečné a snáze pak může dělat, že se nic nestalo.

    Přijde mi škoda, že se víc neinvestovalo do rozvoje existující technologie:
    • Lepší podpora (v knihovnách/klientech) certifikátů omezených na určitou doménu. Pak by např. CZ.NIC mohl mít CA pro DV certifikáty pro doménu .cz Nebo firmy by mohly mít CA pro svoje subdomény, aniž by hrozilo, že pomocí nich budou vydávat certifikáty pro cizí domény. Totéž stát a jeho instituce.
    • Rozšířit standard (a implementace) tak, aby jeden veřejný klíč mohl mít víc certifikátů tzn. aby víc CA mohlo podepsat jeden klíč.
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    2.7.2016 21:46 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Alternativa?
    že máš pod kontrolou ten server
    Ne, to prokazuje jenom to, že na server můžu nahrát nějaký soubor.
    pojmenovat ho tak, jak chce CA?
    CA jsou tisíce a já netuším, jaká CA má jaká pravidla pro pojmenování souboru. Ostatně, to hloupé pravidlo s ověřením pomocí souboru si vymyslí příslušná CA, je tedy na ní, aby zajistila, že neexistuje žádný web, kam by ten soubor mohl nahrát někdo jiný, než vlastník webu. Zajímalo by mne, jak to ta CA chce zajistit...
    Vzhledem k tomu, že se to ještě ani pořádně nerozšířilo, tak doba, kdy to nepůjde vypnout, je hodně daleko (jestli vůbec kdy přijde).
    Takhle už to dávno funguje. Pokud se nepodaří ověřit DNSSEC podpis, aplikace vůbec nedostane odpověď na svůj dotaz. Aby mohl prohlížeč ignorovat DNS odpověď s neplatným podpisem, musel by implementovat vlastní resolver.
    Nicméně stinnou stránkou je koncentrace moci do rukou registrátora – ten najednou může všechno – typicky i provozuje DNS servery pro registrované domény, takže si může vydat certifikát a na chvíli nasměrovat provoz jinam
    Takhle funguje DNS, registrátor prostě může všechno. To je vlastnost toho systému a žádná třetí strana nemůže bezpečnost zvýšit, protože registrátor DNS definuje to, co je v DNS správně. Když se registrátor DNS rozhodne chvíli vracet jiné odpovědi, možná se to nebude líbit vlastníkovi té domény, ale správě je to, co určí registrátor.
    Když je v tom zapojeno víc nezávislých subjektů
    Tak ale DNS nefunguje. V DNS má každá zóna právě jednu nadřazenou zónu.
    Přijde mi škoda, že se víc neinvestovalo do rozvoje existující technologie
    Podle mne je to správně. Vytvořila se technologie pro podpis DNS záznamů, takže je teď možné DNS záznamy ověřovat. Certifikáty pro doménová jména nedávají smysl, protože CA osvědčuje něco, co osvědčit nemůže. DV certifikáty byla jen obezlička, jak obejít to, že nešlo validovat DNS odpovědi. To už teď možné je, takže je důležité co nejdřív přestat používat tuhle obezličku a místo ní použít skutečné zabezpečení přes DNSSEC.
    Jendа avatar 2.7.2016 23:24 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Alternativa?
    Tím se ověří oboje – jednak, že se DNS jméno přeloží všude stejně resp. ukazuje na stejný server a jednak že máš pod kontrolou ten server
    Jemu asi jde o to, že když Pepa má webserver (foo.com A pepa) a Franta tam má mailserver (foo.com MX franta), tak by Pepa neměl mít možnost jen tak vyrobit certifikát, který může používat na MITM na Frantu.
    xkucf03 avatar 3.7.2016 08:52 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Alternativa?
    Když už se dělá e-mailové ověření, tak se používají adresy jako webmaster@foo.com, které nikomu cizímu snad nesvěříš, ne? I různé freemailingové servery jako Seznam.cz, které umožňují uživatelům registrovat si téměř libovolnou e-mailovou adresu, mají seznam blokovaných aliasů/jmen jako právě webmaster, abuse, admin, root, system, fakturace, obchod, reditel atd.

    Ale jak jsem psal, lepší mi přijde ověřování přes soubor na webu než e-mail. Pokud někdo dovolí cizím lidem vytvářet soubory jako http://example.com/owner.txt na svém webu, tak ho stejně asi nemá moc pod kontrolou. A nemusí to být jen soubor, může to být i HTTP hlavička přímo na http://example.com/ (ale to už je zase náročnější na nastavení).
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    3.7.2016 09:35 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Alternativa?
    StartCom mi při ověření e-mailem nabízel minimálně 3 e-mailové adresy, z nichž dvě v tom tvém seznamu nejsou. Jedna z nich byla pravděpodobně z DNS zóny, pořád ale zbývá minimálně jedna adresa, kterou by si u tebe mohl někdo cizí zaregistrovat. Problém je to stejný, jako u souborů na webu - každá autorita to dělá svým způsobem, používá své názvy. Pokud by Seznam.cz nechal adresu webmaster k volné registraci, neporuší tím žádný standard ani doporučení. Nikdo není povinen zkoumat postupy CA po celém světě, aby vyloučil všechny možné způsoby validace. Zodpovědnost je přesně obrácená, to CA musí používat takové postupy, aby minimalizovala riziko vydání nesprávného certifikátu. V případě DV certifikátů na to CA dost často kašlou.
    Ale jak jsem psal, lepší mi přijde ověřování přes soubor na webu než e-mail.
    Jenže CA poskytují více možností. Ty se na to díváš z pozice poctivého žadatele o certifikát. Když chceš ověřit bezpečnost, musíš se na to dívat z pohledu útočníka. Pokud je pro tebe lepší ověřování přes web, útočník se nejspíš zaměří právě na ten e-mail.
    Pokud někdo dovolí cizím lidem vytvářet soubory jako http://example.com/owner.txt na svém webu, tak ho stejně asi nemá moc pod kontrolou.
    Tohle umožňuje třeba Wikipedia nebo AbcLinuxu. Nemyslím si, že by ty weby neměli majitelé pod kontrolou. Ano, neumožňují nahrát soubor do kořenového adresáře. Ale jsi si jistý, že nějaká CA nepovolí nahrát soubory třeba do adresáře /upload/?
    3.7.2016 11:03 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Alternativa?
    Až budou klienti podporovat DNSSEC/DANE/TLSA
    A to jen tak nebude - v Chrome AFAIK zkoušeli, jak by to vypadalo, kdyby se prohlížeč před vstupem na web pokoušel na tyhle DNS záznamy ptát a v jednotkách procent případů se vůbec nedaly resolvovat.
    Quando omni flunkus moritati
    Hans1024 avatar 2.7.2016 15:45 Hans1024 | skóre: 5 | blog: hansovo
    Rozbalit Rozbalit vše Re: Alternativa?
    Prave to zvysovani poctu podepisujicich je celkem dobry postup. Mozna jeste prihodit neco ve stylu Perspectives nebo Convergence.

    Daleko vetsim problemem ale je, ze zabezpeceni nikdo nevynucuje. Na dobrovolne zabezpeceni je trivialni utok - predstiram, ze jsem druha strana a nechci zabezpecene spojeni. Proc by se utocnik namahal s utokem na HTTPS, kdyz muze pouzit HTTP a vetsina lidi si toho nevsimne? Proc by se namahal s podvrhovanim podepsaneho DNS zaznamu, kdyz staci podstrcit nepodepsany? A samozrejme to nikdo vynucovat nebude, protoze by uzivatele breceli, jak jim neco nefunguje.
    Veni, vidi, copi
    2.7.2016 16:20 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Alternativa?
    V HTTPS komunikaci se dá nastavit, že je po nějakou dobu (třeba půl roku) povinná. Prohlížeč si to pak pamatuje a downgrade není možný. Samozřejmě to neřeší případ, kdy by útočník odchytil už první přístup. Také existují seznamy webů vyžadujících HTTPS pro prohlížeče, tam útočník nemá ani ten jeden pokus. No a snad se dočkáme toho, že HTTP budou prohlížeče označovat jako nezabezpečené, a později i úplného zrušení podpory HTTP v prohlížečích.

    V DNS je v nadřazené doméně uvedeno, že podřazená doména je podepsaná. Takže podstrčit nepozorovaně nepodepsaný záznam nejde.
    mirec avatar 2.7.2016 16:59 mirec | skóre: 32 | blog: mirecove_dristy | Poprad
    Rozbalit Rozbalit vše Re: Alternativa?

    Ako sa po zrušení HTTP dostanem na administračné rozhranie rôznych zariadení, ktoré prirodzene nemôžu mať vydané certifikáty na IP adresu získanú z DHCP?

    LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon
    Jendа avatar 2.7.2016 17:38 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Alternativa?
    Budeš si muset mezi browser a server vložit proxy, která to za/přešifruje. Stejně, jako to musíš udělat už dnes, pokud si Firefox usmyslí, že šifra používaná zařízením není bezpečná (že je to zařízení připojené přímo jediným ethernetovým kabelem přímo k mému počítači, a tedy tam cestou nemůže být žádný útočník, ho nezajímá). A stejně, jako to teď musíš dělat se SSH (s tím, že tam je problém v tom, že žádná implementace takové proxy zatím neexistuje), když si openssh vymyslelo, že DH musí být dlouhé 1536 a tvůj Mikrotik má 1024.
    2.7.2016 20:12 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Alternativa?
    Certifikáty se obvykle nevydávají na IP adresy, ale na DNS názvy. A na ta zařízení se dostanete normálně přes HTTPS.
    xkucf03 avatar 2.7.2016 17:00 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Alternativa?
    Takže podstrčit nepozorovaně nepodepsaný záznam nejde.

    Až po tom, co uživatel absolvuje Zprovoznění DNSSEC pro běžného uživatele (na všech svých zařízeních/sítích).
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    xkucf03 avatar 2.7.2016 16:31 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Alternativa?
    Prave to zvysovani poctu podepisujicich je celkem dobry postup.

    Souhlas. Možnost podepsat veřejný klíč jen jednou CA považuji asi za největší nedostatek.

    Hodně by to pomohlo – mohl bys mít např. certifikát podepsaný CA tvého státu nebo tvé firmy a zároveň nějakou běžnou komerční CA, která je globálně známá.
    Mozna jeste prihodit neco ve stylu Perspectives nebo Convergence.
    Přesně. Mnoho různých subjektů/serverů by zkontrolovalo tvůj certifikát a následně ti vystavili vlastní, který by sis mohl k tomu svému přidat a zvýšit celkovou důvěryhodnost.
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    2.7.2016 08:51 j
    Rozbalit Rozbalit vše Re: StartEncrypt umožňoval komukoliv vydat certifikát k libovolné doméně
    jj, jak sem uz mockrat psal, system "duveryhodnych" CA je naprosto nepouzitelne mimo. Prave proto, ze nelze nijak omezit tu duveru => nastavit treba seznam webu, pro ktery ty CA duveruju.

    A mozilla ... ta ten mrd podporuje, jinak by davno implementovali dane a prestali vopruzovat u selfsign, protoze jejich duveryhodnost prave proto ze sou vydany pro jeden konkretni web a nejsou nikym podepsany je radove vyssi.
    Jendа avatar 2.7.2016 09:29 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: StartEncrypt umožňoval komukoliv vydat certifikát k libovolné doméně
    selfsign, protoze jejich duveryhodnost prave proto ze sou vydany pro jeden konkretni web a nejsou nikym podepsany je radove vyssi
    To nechápu. Certifikát podepsaný CA je přece taky vydaný pro jeden konkrétní web.

    Chápu správně, že když mám self signed certifikát, a nechám si ho ještě k tomu podepsat u CA, tak se jeho důvěryhodnost sníží, a když před tebou to, že podpis od CA existuje, zatajím, tak se zase zvýší?
    2.7.2016 10:38 Jardík
    Rozbalit Rozbalit vše Re: StartEncrypt umožňoval komukoliv vydat certifikát k libovolné doméně
    Podpis od CA je více méně jen podvod na uživatele, aby se cítili bezpečněji.
    2.7.2016 10:39 Jardík
    Rozbalit Rozbalit vše Re: StartEncrypt umožňoval komukoliv vydat certifikát k libovolné doméně
    A protože se vydávají pro domény, které kontrolují spojené stázy, tak důvěryhodnost je nula, nula, nic.
    Jendа avatar 2.7.2016 10:57 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: StartEncrypt umožňoval komukoliv vydat certifikát k libovolné doméně
    Já to beru tak, že to alespoň nemůže mít každý Franta, co si na Soomu přečetl, jak vygenerovat self-signed certifikát pro *.youcorn.com, ale je potřeba nějaká invence (vyhackovat CA, mít kontakty na přemluvení CA ke spolupráci…).

    Hlavně mi ale šlo o to, že předřečník tvrdí, že klíče podepsané nějakou CA jsou dokonce méně důvěryhodné než klíče nepodepsané nikým.
    2.7.2016 14:52 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: StartEncrypt umožňoval komukoliv vydat certifikát k libovolné doméně
    Tak tak predstirej ze nechapes jak to myslel ;)
    4.7.2016 13:14 j
    Rozbalit Rozbalit vše Re: StartEncrypt umožňoval komukoliv vydat certifikát k libovolné doméně
    Kdyz si dam selfsign cert mezi duveryhodny, tak duveruju prave tomu jednomu certifikatu pro zcela konkretni domenu. Kdyz ho nekdo pouzije na jiny domene, bude browser rvat. Kdyz na ty domene bude jinej, bude browser rvat.

    Kdyz si mezi duveryhodny das CA, tak ji chte nechte duverujes vsude. Navic si do tech CA ani nemuzes dat co bys chtel, protoze se ti to stejne pri prvni aktualizaci prepise.
    Jendа avatar 4.7.2016 13:36 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: StartEncrypt umožňoval komukoliv vydat certifikát k libovolné doméně
    Když certifikát podepsala CA, které nevěřím, tak k němu Firefox přistupuje stejně, jako kdyby byl self signed - když ho přidám do výjimek, tak funguje přesně to stejné (duveruju prave tomu jednomu certifikatu pro zcela konkretni domenu. Kdyz ho nekdo pouzije na jiny domene, bude browser rvat. Kdyz na ty domene bude jinej, bude browser rvat).

    Založit nové vláknoNahoru


    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.