Fossil (Wikipedie) byl vydán ve verzi 2.24. Jedná se o distribuovaný systém správy verzí propojený se správou chyb, wiki stránek a blogů s integrovaným webovým rozhraním. Vše běží z jednoho jediného spustitelného souboru a uloženo je v SQLite databázi.
Byla vydána nová stabilní verze 6.7 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 124. Přehled novinek i s náhledy v příspěvku na blogu. Vypíchnout lze Spořič paměti (Memory Saver) automaticky hibernující karty, které nebyly nějakou dobu používány nebo vylepšené Odběry (Feed Reader).
OpenJS Foundation, oficiální projekt konsorcia Linux Foundation, oznámila vydání verze 22 otevřeného multiplatformního prostředí pro vývoj a běh síťových aplikací napsaných v JavaScriptu Node.js (Wikipedie). V říjnu se verze 22 stane novou aktivní LTS verzí. Podpora je plánována do dubna 2027.
Byla vydána verze 8.2 open source virtualizační platformy Proxmox VE (Proxmox Virtual Environment, Wikipedie) založené na Debianu. Přehled novinek v poznámkách k vydání a v informačním videu. Zdůrazněn je průvodce migrací hostů z VMware ESXi do Proxmoxu.
R (Wikipedie), programovací jazyk a prostředí určené pro statistickou analýzu dat a jejich grafické zobrazení, bylo vydáno ve verzi 4.4.0. Její kódové jméno je Puppy Cup.
IBM kupuje společnost HashiCorp (Terraform, Packer, Vault, Boundary, Consul, Nomad, Waypoint, Vagrant, …) za 6,4 miliardy dolarů, tj. 35 dolarů za akcii.
Byl vydán TrueNAS SCALE 24.04 “Dragonfish”. Přehled novinek této open source storage platformy postavené na Debianu v poznámkách k vydání.
Oznámeny byly nové Raspberry Pi Compute Module 4S. Vedle původní 1 GB varianty jsou nově k dispozici také varianty s 2 GB, 4 GB a 8 GB paměti. Compute Modules 4S mají na rozdíl od Compute Module 4 tvar a velikost Compute Module 3+ a předchozích. Lze tak provést snadný upgrade.
Po roce vývoje od vydání verze 1.24.0 byla vydána nová stabilní verze 1.26.0 webového serveru a reverzní proxy nginx (Wikipedie). Nová verze přináší řadu novinek. Podrobný přehled v souboru CHANGES-1.26.
Byla vydána nová verze 6.2 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Přehled změn v příslušném seznamu. Tor Browser byl povýšen na verzi 13.0.14.
Řešení dotazu:
26.12.2014 14:00
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
26.12.2014 14:24
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
26.12.2014 15:58
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Snad se brzy rozšíří DANE+1 Akorát se obávám, že komerční CA si ten snadný výdělek nebudou chtít nechat jen tak vzít.
26.12.2014 17:09
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Snad se brzy rozšíří DANEU DANE (resp. DNSSECu obecně) mi chybí Certificate transparency. Momentálně je stav takový, že CZ.NIC může vyrobit „alternativní“ zónu, předat ji NSA a nikdo se o ničem nedozví.
Přesně tak. DANE nijak nepřispívá k vytváření distribuovaného a „samoověřovacího“ ekosystému. Jenom přesouvá část odpovědnosti z centralizovaných autorit na centralizované registrátory DNS. Samozřejmě DANE používám, protože v kombinaci s centralizovanou autoritou (StartCom) může teoreticky poskytnout další slupku ochrany, ale to pouze v takovém krkolomném případě, kdy by nějaký klient ověřoval DANE a neověřoval podpis od autority, případně pokud by nějaká autorita selhala, tj. vydala by třetí straně certifikát na mé domény, který by se pak neshodoval s informacemi z DANE. Nahrazení jednoho systému centralizovaných autorit dvěma vzájemně nezávislými systémy centralizovaných registrátorů a autorit by nakonec mohlo dávat smysl. 
Aspoň dočasně, než začne fungovat nějaký systém nezávislého a distribuovaného ověření totožnosti, který se bez centralizované autority obejde. (Takové systémy samozřejmě existují, ale rozhodně nejsou ve fázi, kdy by se daly okamžitě použít v každém prohlížeči a v každém mailovém klientovi.)
K tomu fungování spolu s právem bych asi doplnil veselou historku z Kanady, kde nemají povinné občanské průkazy a ani ekvivalent rodného listu tam není běžný. Takže se nabízí otázka: Co když někdo nemá řidičák, občanský průkaz ani rodný list a chce třeba pas? Jak prokáže svou totožnost? Tak jestli se nepletu, funguje to tak, že jeho totožnost musí potvrdit někdo, kdo je lékař, kněz, právník nebo učitel. 
Docela zajímavý výběr „autorit“. Už si představuju právníka Standu Grosse, učitelku Martu Semelovou nebo lékaře Jaroslava Bartáka, jak někomu potvrzují totožnost. 
Tím chci říct, že pro fungování komunitního ověření spolu s právem je třeba změnit právo, nikoliv komunitní ověření. Zatímco komunitní ověření stojí na jakýchsi racionálních (algebraických a statistických) základech, právo v tomto směru hodně tápe. Pokud právo připouští takové absurdity jako čmáranici na papíře (kterou dokáže napodobit téměř kdokoliv a kterou například já naschvál vytvářím pokaždé co nejodlišnější od ostatních) vydávanou za právoplatný podpis, případně výše uvedenou kuriozitu s potvrzením totožnosti, myslím si, že by neměl být problém uvést právo do souladu s (nesrovnatelně bezpečnějšími) systémy distribuovaného ověřování.
V tuto chvíli je to ale samozřejmě hudba budoucnosti, protože nikde neexistuje (pokud vím) nějaký snadno použitelný algoritmus se snadno použitelnou implementací, který by se dokázal dobře vypořádat s asymetrickými způsoby komunikace — například s komunikací jednoho telefonního operátora (zastoupeného stovkami zaměstnanců) se stovkami tisíc zákazníků. Tohle samozřejmě není ten typ komunity, pro který dnes funguje distribuované ověření typu kernel.org.
Opravdu byste věřil certifikátu své banky jenom proto, že ho ověřil venezuelský popelář, ruský instalatér a čínský politruk?
Kde jsem tohle byť jen naznačoval? Prosil bych buď citaci (kterou nenajdete, samozřejmě), nebo propříště alespoň snahu pochopit psaný text, nepřekrucovat a netvrdit opak toho, co psal předřečník. Proč se tady na ABCLinuxu tolik rozmáhá podivná móda „reagovat“ na něco, co nikdo nikdy nenapsal? Já osobně většinou na příspěvky nereaguji, dokud se mi nepodaří pochopit pointu. Někteří ale reagují za každou cenu vždy, jen aby řeč nestála či co.
Ano, takže citace není. Děkuji, to je vše, co jsem potřeboval potvrdit.
26.12.2014 23:43
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Vzhledem k tomu, že DV certifikáty ověřují právě jen tu doménu, je ten přesun odpovědnosti k registrátorům DNS logický.No jo, ale u PKI si (teoreticky, až bude adoptováno Certificate Transparency) můžu ověřit, že certifikát pro AbcLinuxu vydalo jenom Thawte a nikdo jiný. Takže snadno zjistím, že někdo kompromitoval buď tu CA, nebo mého registrátora/DNS providera a nechal si vydat certifikát. S DANE utřu a DNSSEC nic takového nemá, takže nemůžu ověřit, jestli nekoluje zóna, kde má
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
abclinuxu.cz NS ns.nsalitomerice.cz a odpovídající TLSA záznam.
abclinuxu.cz, kterákoli certifikační autorita vydá k této podvržené zóně platný DV certifikát. Dokonce ani není potřeba unášet celou zónu, stačí poštovní server. Nemůžete získat vyšší bezpečnost, než DNS, když celé ověřování je jen na DNS založené - a ani jinak založené být nemůže (u DV certifikátů), protože ten certifikát nic jiného než vlastnictví domény neprokazuje.
27.12.2014 17:55
Jendа | skóre: 78
| blog: Jenda
| JO70FB
27.12.2014 18:35
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Jak se o tom dozvíte?Stáhnu si seznam vydaných certifikátů od každé uznávané autority (budu se řídit například seznamem autorit, co jsou defaultně ve Firefoxu nebo ve Windows) a podívám se, jestli je v něm certifikát pro moji doménu, který podepisuje jiný klíč než ten, který používám. To vlastně odpovídá i na otázku, jak zjistím, že je falešný.
27.12.2014 19:38
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Jak často takhle své certifikáty kontrolujete?Momentálně vůbec, protože certifikační autority seznamy vydaných certifikátů nezveřejňují. Až je zveřejňovat budou, tak třeba každý den cronem.
K čemu vám bude informace, že někde existuje "falešný" certifikát?Budu moct té CA napsat a zjistit, jestli někdo kompromitoval mě nebo ji. V případě, že se u nějaké CA objeví velké množství falešných certifikátů, případně certifikáty významných domén (google.com, addons.mozilla.org…) a komunikace z její strany nebude dostatečná, bude z důvěryhodných vyhozena.
A jak tohle celé provedete, když nebudete vlastníkem té domény?Nijak, tato funkce je určena pro vlastníky domény.
27.12.2014 19:55
Jendа | skóre: 78
| blog: Jenda
| JO70FB
27.12.2014 20:30
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Nebo se o tom dozvíte, a stejně nemůžete říct StartComu, že to mají dát do CRL, protože neznáte heslo. A když se je o tom budete pokoušet přesvědčit jinou cestou, pochybuju, že uspějete, protože oni certifikát vydali podle pravidel.Pak doufám, že takovou CA distributoři vyhodí.
Jinak oba dva případy by se s DANE a DNSSEC nestaly.Staly. V prvním případě si představce místo TurkTrustu CZ.NIC, ve druhém vyhackovaného registrátora.
Pak doufám, že takovou CA distributoři vyhodí.Proč? Protože vy jim budete tvrdit, že jste si o ten certifikát nežádal vy? Myslíte, že tomu budou věřit?
Staly. V prvním případě si představce místo TurkTrustu CZ.NIC, ve druhém vyhackovaného registrátora.Takže si mám představit, že na vás CZ.NIC zaútočí, vy to zjistíte, uděláte na ně bububu, a oni se omluví a s útoky přestanou?
27.12.2014 23:44
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Proč? Protože vy jim budete tvrdit, že jste si o ten certifikát nežádal vy? Myslíte, že tomu budou věřit?Protože to je CA, která vydá certifikát každému, kdo náhodou někde na chvíli přesměroval provoz na sebe, a neumožňuje ho žádným způsobem revokovat.
Takže si mám představit, že na vás CZ.NIC zaútočí, vy to zjistíte, uděláte na ně bububu, a oni se omluví a s útoky přestanou?Co se týče mě jako pana nikoho, tak asi přejdu k jinému registrátorovi (a opět mám užitečnou informaci, že CZ.NIC podepisuje zóny jak se mu zachce). Co se týče někoho velkého, jako třeba Mozilly nebo Googlu, tak na ty když zaútočil TurkTrust, tak tam už odezva byla větší.
Protože to je CA, která vydá certifikát každému, kdo náhodou někde na chvíli přesměroval provoz na sebe, a neumožňuje ho žádným způsobem revokovat.To je ale základní princip DV certifikátů. Proto je lepší použít DANE s DNSSEC - protože té CA stejně nezbývá nic jiného, než věřit registrátorovi. CA je tam jenom zbytečný mezistupeň, který může selhat, ale který nepřináší žádnou přidanou hodnotu.
30.12.2014 07:49
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Neznat v dnešní době StartCom [hlavní stránka] je opravdu poněkud překvapivé. Tato autorita se proslavila zejména odolností proti některým typům útoků.
Hned první věta obsahuje rozpor. Jestliže certifikát té autority není součástí standardního balíku certifikátů, pak to není dobrá autorita a není to tedy ani jedna z nejlepších. Naopak je v podstatě k ničemu. Pro amatérské použití provozuji vlastní autoritu a okruh uživatelů je dostatečně malý, abych byl schopen její certifikát distribuovat, a nemám tedy nejmenší důvod používat cacert. Pro veřejné použití je pak pseudoautorita, která v 99% prohlížečů, Jabber klientů a mailových klientů bude způsobovat červené varovné hlášky, úplně k ničemu. Nemá smysl takovou autoritou ztrácet čas. První možnost je vyrobit si amatérskou autoritu pomocí OpenSSL a Makefile (jeden jsem tu nedávno někde postnul). Druhá možnost je pořídit si certifikát od autority, která v distribucích a klientech prostě bude. Nelze si nevšimnout, že cacert kombinuje nevýhody obou řešení a nenabízí výhody ani jednoho z nich. Představa, že nějakého cizího uživatele, který se připojuje k mému serveru, poučuju o certifikátech a nutím instalovat nějaký certifikát autority, je poněkud absurdní.
Alternativou k centralizovaným autoritám rozhodně není amatérský nesmysl cacert.org. Plnohodnotnou alternativou by byl nějaký distribuovaný systém ověření, jaký nedávno zavedl například kernel.org a některé větší linuxové distribuce, tedy systém ve kterém se identita prověřuje postupně na základě setkání a vzájemné komunikace lidí. Zatím asi neexistuje nějaká implementace, kterou by bylo možné snadno uvést do praxe například v klasickém scénáři typu e-shop a zákazníci, ale třeba se jednou podaří najít systém, který i v této situaci bude uspokojivě fungovat. Rozhodně se ale nebude jmenovat cacert.org — tento projekt je prostě beznadějně mrtvý.
26.12.2014 20:12
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Hned první věta obsahuje rozpor.
Kdybys dočetl dál než na první větu, dočetl by ses důvod.
Jestliže certifikát té autority není součástí standardního balíku certifikátů, pak to není dobrá autorita a není to tedy ani jedna z nejlepších.
Kvalitu autority hodnotím nikoliv podle toho, kam se dokázala dostat, ale podle toho, jak moc ověřuje osobu, které certifikát vydá. V tomto ohledu je pro mě nejdůvěryhodnější moje vlastní autorita, potom CACert (ověřovali mě dva lidé a na dva doklady), potom Postsignum (jedna osoba, jeden doklad) a absolutně nikdo* mě neověřoval u Thawte a to ani u extended certifikátu za 30 tyček. Netřeba připomínat, že pořadí zastoupení v prohlížečích je přesně opačné (CACert není nikde, Postsignum se dostal alespoň do widlí a thawte je v podstatě všude).
*) Tu parodii s telefonickým ověřením opravdu na ověření nepovažuji.
Praktická použitelnost a důvěryhodnost autorit můžou být leckdy zcela protichůdná kritéria. To je problém obecně u každého centralizovaného systému ověření.
StartCom chtěl kopie alespoň dvou nebo tří dokladů s fotografií (kde při nedostatečném počtu dokladů následuje nějaký extra krok ověření), následoval ověřovací telefonát a pak snail mail dopis s kódem. Nemyslím si, že by ověřování totožnosti brali na lehkou váhu. Když jsem si koupil novou doménu a chtěl jsem pro ni certifikát, webové rozhraní mi ho nevydalo automaticky, ale žádost zablokovalo s tím, že ji musí napřed někdo manuálně prověřit, protože se nějak liší od těch předchozích. Samozřejmě může každá centrální autorita totálně selhat (nejčastěji kvůli lidskému faktoru), ale musím říct, že ze StartComu mám pozitivní dojem ve stylu „jasně, může selhat, ale dnes to asi nebude“.
Překvapuje mě EV za 30 litrů. Pokud si pamatuju, u StartComu je ověření právnické osoby nebo instituce asi tak za $200 a EV stojí kolem $400 — nevzpomínám si, jestli to pak zahrnuje i to první ověření instituce nebo jestli se to platí extra. Ale ať tak nebo tak, celé by se to mělo vejít tak do $600, což není tak zlé, jestliže ověření platí třeba rok a certifikáty se vydávají s platností na 2 roky. 30 litrů Kč mi připadá celkem přemrštěně moc. Jestli tam tedy nemá StartCom nějaké skryté poplatky, o čemž ale celkem pochybuju. Já osobně platím za osobní ověření třídy 2 nějakých $69, ale většinou to platím jenom jednou za 2 roky, protože certifikáty se vydávají na 2 roky, takže si nemusím hned za rok obnovovat ověření, pokud nechci nějaké další nové certifikáty.
27.12.2014 11:01
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Překvapuje mě EV za 30 litrů.
Se podívej na ceníky třeba Symantecu. EV Wildcard. (On se teda nakonec kupoval "jen" SAN a ne Wildcard.)
Ůůůfff. Zas o důvod víc, proč zkusit StartCom.
StarCom dává zdarma a na neomezenou dobu (tj. lze je každý rok obnovit) certifikáty, které jsou sice pouze třídy 1 (tj. nepotvrzují identitu uživatele), ale zato je uznávají všechny browsery a operační systémy, které jsem kdy zkoušel.
Doporučuji vyhnout se amatérským experimentům typu cacert.org. Věnoval jsem této autoritě pár hodin času ve snaze pořídit si platný a funkční certifikát, což je přesně o pár hodin víc, než si tato autorita zaslouží. Dál je vhodné se vyhnout všem českým holomajznám typu „kvalifikovaná certifikační autorita“, které se taky snaží vydávat komerční certifikáty, ale není jasné, proč jim vůbec někdo za něco platí, když je absolutně žádný prohlížeč nebo mailový klient v implicitní konfiguraci neuznává. Jejich certifikáty na tři měsíce zdarma jsou opravdu hodně debilní výsměch, když od StartComu lze mít certifikát zdarma napořád.
Certifikáty třídy 1 od autority StartCom jsou pro všechny myslitelné amatérské účely naprosto bez problémů použitelné. Já jsem chtěl i potvrzení identity, aby podepisování mailů dávalo smysl, takže si u StartComu platím za třídu 2. Tam člověk zaplatí asi $69 za ověření totožnosti platné na 1 rok. Během toho 1 roku si může vygenerovat neomezený počet certifikátů pro všechny E-mailové adresy, ke kterým má přístup, a pro všechny servery a domény, které (prokazatelně) provozuje. Tyto certifikáty platí 2 roky, takže těch $69 za ověření identity stačí zaplatit jednou za 2 roky.
Odpověď na původní otázku: Ano, víme o jiném nekomerčním certifikátu — StartCom certifikát třídy 1 bude narozdíl od cacert.org všude bez problémů fungovat.
26.12.2014 20:15
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Dál je vhodné se vyhnout všem českým holomajznám typu „kvalifikovaná certifikační autorita“, které se taky snaží vydávat komerční certifikáty, ale není jasné, proč jim vůbec někdo za něco platí, když je absolutně žádný prohlížeč nebo mailový klient v implicitní konfiguraci neuznává.
Ono je to asi ze setrvačnosti. Pro komunikaci s českou státní správou potřebuješ osobní crt od kvalifikované CA (toho času celkem 3) a ti lidé tam asi rovnou berou i komerční. Ono jim to ve Widlích funguje.
Některé rozumné státy začaly před pár lety uznávat jakýkoliv osobní certifikát třídy 2 od poměrně velkého seznamu autorit jako kvalifikovaný a tedy legitimní pro komunikaci s úřady. Jenom Česká republika se stále snaží pěstovat korupční prostředí a živit pseudoautority, které za 10 let existence (!!!) nebyly schopné dohrabat se do standardního seznamu certifikátů v prohlížečích. To je zoufalství a ostuda v jednom.
Na kvalifikovaných autoritách mi taky naprosto zásadně vadí zákaz šifrování obsažený v certifikátu. To je nesmysl, za který by měli někoho normálně postavit ke zdi. Nechápu, jak může stát nutit občany, aby s úřady komunikovali nešifrovaně. Nevím, jaký nedostatek současného práva tohle způsobil, ale je to sprosťárna silného kalibru. Šifrování by mělo být při komunikaci s úřady povinné, nikoliv zakázané. Kromě toho pak nepřítomnost šifrování úplně vylučuje použití takového certifikátu pro nějakou osobní komunikaci. V některých věcech náš stát zoufale zaspal.
pseudoautority, které za 10 let existence (!!!) nebyly schopné dohrabat se do standardního seznamu certifikátů v prohlížečích
Osobně zcela zásadně odmítám považovat to, zda je autorita ve "standardním seznamu certifikátů v prohlížečích", za kritérium kvality.
To ale není v rozporu s faktem, že tři české kvalifikované autority jsou pravým opakem kvality.
Zásadních problémů je několik.
Zaprvé, autorita, která si neváží svých klientů natolik, aby se dokázala (v rozumně krátkém čase, ne za 15 let) dohrabat do oficiálních seznamů autorit a zajistit bezproblémové fungování vydávaných certifikátů v prohlížečích a mailových klientech, má zjevně zásadní problém s kvalitou, ať už někdo veřejným seznamům autorit věří nebo ne. Přidání kořenových certifikátů do veřejných seznamů autorit může klientům jedině pomoct, rozhodně ne uškodit.
Zadruhé — a tohle je možná nejdůležitější —, zkuste si vyhledat okřídlenou frázi „upozornění je nutno ignorovat; vstup na stránku je zcela bezpečný“. Tento průser sice tu a tam rozvířil debatu a dokonce vyvolal i okrajový zájem mainstreamových médií, ale faktem prostě je, že následná reakce České pošty měla vést k okamžitému odebrání všech možných licencí pseudoautoritě PostSignum a měly za to ihned padat hlavy, zejména po nekonečné debatě s někerými blbci z České pošty, kteří stále dokola nedokázali pochopit, kde přesně se stala chyba. Alespoň na ABCLinuxu se tím někteří zabývali.
Zatřetí, zákaz šifrování u kvalifikovaných certifikátů je něco trestuhodného, ba šokujícího. Stát nutí své občany k nešifrované komunikaci, místo aby je naopak nabádal k opatrnosti. To samozřejmě není problém nějaké konkrétní autority, nýbrž celého českého systému kvalifikovaných autorit, který je od základu špatný.
Ještě poznámka k autoritám: Statut kvalifikované autority by se nikdy neměl přidělovat jen tak za nic a na základě korupce, jak tomu bylo doposud. Podmínky by měly být trochu přísnější: „Jste autorita zapsaná alespoň v těchto veřejných seznamech kořenových certifikátů (x, y, z) a splňujete prokazatelně takové a takové záruky kvality, které můžete doložit? Tak potom si můžete požádat o statut kvalifikované autority v našem státě.“
Rozhodně by to nemělo fungovat úplně naopak (jako dnes), tedy nemělo by být možné vyrobit si na koleně autoritu, kterou nikdo neuznává, která nemá za sebou vůbec žádnou historii a reputaci, která se nepodrobila žádným nezávislým bezpečnostním auditům a která pak bude mít na neomezenou dobu zajištěné prostředí bez významné konkurence. Jak je vůbec možné, že se za celé desetiletí nezměnil počet kvalifikovaných certifikačních autorit? To je úplně od základu špatně. Autority by měly čelit konkurenčnímu prostředí, podobně jako třeba pojišťovny nabízející povinné ručení na auta. Tam by se taky nikomu nelíbilo, kdyby byly natrvalo tři.
Pointa je zkrátka v tom, že autorita by měla být napřed celosvětově uznávaná a teprve potom by měla mít nárok stát se kvalifikovanou autoritou.
Očividně považujete "být v seznamech v prohlížečích" za primární měřítko kvality certifikační autority. Já to považuji pro posouzení kvality certifikační autority za naprosto irelevantní. Takže je logické, že se prostě nemůžeme shodnout.
Jen pro pořádek: jste schopen z hlavy, bez hledání, aspoň rámcově říct, jaká jsou kritéria pro to, aby se autorita mohla dostat do těch seznamů v běžných prohlížečích (řekněme Firefox, MSIE, Opera, Chrome), a jestli (a v čem) jsou tato kritéria přísnější než ta, která požaduje česká státní správa? Pokud ano, tak smekám. Pokud ne, mohlo by vám to napovědět, proč vaše oblíbené kritérium kvality považuji za irelevantní.
30.12.2014 07:39
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Přijde mi, že ty důvody za moc nestojí. Ten kryptografický ze stackoverflow je lepší.
Jestli to nebude tím, že jsi systémák a ne právník. :-)
Jinak já tam třeba vidím trochu jiný technický problém. Jak už tu bylo zmíněno, certifikát občana/firmy by se stejně používal k šifrování ne pro jeho podání směrem ke státní správě, ale naopak pro zprávy od státní správy jemu. Aby ale něco takového bylo možné, musela by nejdřív státní správa mít pro každý subjekt registrovaný jeden konkrétní certifikát, který by byl určenpro šifrování komunikace s ním (a subjekt by byl zodpovědný za to, že k němu bude mít tajný klíč). Protože ale jde o zákon o elektronickém podpisu, tak nic takového neřeší a zabývá se jen tím, jak elektronickými prostředky podepsat dokument, který občan posílá státní správě. Na šifrování komunikace máme jiný nástroj, datové schránky (kvalita jejich implementace je ovšem tristní).
27.12.2014 11:06
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Jenom Česká republika se stále snaží pěstovat korupční prostředí a živit pseudoautority, které za 10 let existence (!!!) nebyly schopné dohrabat se do standardního seznamu certifikátů v prohlížečích. To je zoufalství a ostuda v jednom.Zoufalství a ostuda to je - ale vaše. Nevíte, jak to je, tak si něco vymyslíte. I.CA získala akreditaci v roce 2002, v roce 2008 se jejich certifikáty dostaly do Microsoft Root. 2008 minus 2002 není deset. Kvalifikované certifikáty se mají používat pouze pro podepisování, aby se zbytečně nezvyšovala šance, že certifikát někdo zneužije. Proto je tam zákaz šifrování. Navíc v případě zákona o elektronickém podpisu stát občany nijak nenutí, aby s úřady komunikovali nešifrovaně. Problém je v tom, že opět píšete o něčem, čemu vůbec nerozumíte. Pro šifrování musíte mít veřejný klíč toho, komu chcete zprávu poslat šifrovaně. Takže pokud byste chtěl šifrovat zprávu poslanou úřadu, musíte mít veřejný klíč toho úřadu. Všimněte si, že s vaším kvalifikovaným certifikátem to nemá vůbec nic společného. No a když už potřebujete získat ten veřejný klíč protistrany, nepotřebujete, aby to byl kvalifikovaný certifikát, stačí vám pro to šifrování libovolný komerční certifikát. To samé platí pro osobní komunikaci - pokud ji chcete šifrovat, nepotřebujete kvalifikovaný certifikát, ale stačí, když protistrana má libovolný komerční certifikát.
27.12.2014 11:13
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
„kvalifikovaná certifikační autorita“, které se taky snaží vydávat komerční certifikáty, ale není jasné, proč jim vůbec někdo za něco platí, když je absolutně žádný prohlížeč nebo mailový klient v implicitní konfiguraci neuznává.I.CA i PostSignum mají kořenové certifikáty ve Windows. Takže jim důvěřuje minimálně Internet Explorer, Chrome, Outlook, Adobe Reader. Firefox jestli se nepletu systémové úložiště certifikátů nepoužívá. To je o dost víc, než "absolutně žádný".
No dobře, tak se po 10 letech, kdy nebyly vůbec nikde, dostaly tyhle pseudoautority do Windows. Pořád nechápu, za co bych jim měl platit.
A víte co? Upozornění je nutno ignorovat; vstup na stránku je zcela bezpečný. Tak mi ještě povyprávějte, co údajně nevím.
Protože (jako obvykle) nemáte věcné argumenty, uchylujete se k dohadům o tom, co protistrana údajně ví nebo neví. To je taková klasická ubohost à la ABCLinuxu — velmi nerad to říkám, ale poslední dobou se zdejší debaty dřív nebo později stočí přesně tímto směrem.
České kvalifikované pseudoautority jsou pouhé zoufalství a ostuda. Napadáním oponentů v diskusi na tom mnoho nezměníte.
Dál je vhodné se vyhnout všem českým holomajznám typu „kvalifikovaná certifikační autorita“, které se taky snaží vydávat komerční certifikáty, ale není jasné, proč jim vůbec někdo za něco platí, když je absolutně žádný prohlížeč nebo mailový klient v implicitní konfiguraci neuznává.
Platí jim právě proto, že jsou "kvalifikované", tj. že jimi podepsané certifikáty akceptuje (česká) státní správa.
27.12.2014 11:18
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
bude to mít za trestNebude to mít za trest ten úředník, ale ta firma, která pro ten úřad píše nějaký IS.
Technicky je to naprosto šílené, protože ani neexistuje seznam autorit, jejichž certifikáty se mají uznávat, nehledě na to, že co autorita, to kompletně jiné technické řešení CRL apod. Hezky jsme si na tom vylámali zuby. Takže jde to, ale dře to, ty zahraniční CA moc nespolupracují (ony nespolupracují ani ty české).
27.12.2014 14:19
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Takže je mnohem levnější to vyřešit ručně.
Úřad, který zadává změnu svého IS nepostupuje příliš často podle tohoto kritéria.
Navíc my potřebujeme v certifikátu IK MPSV, abychom věděli, kdo to doopravdy podepsal, takže rozhodnutí, že v IS budou podporovány jen české autority a ostatní se případně budou řešit ručně, bylo docela snadné.
S IK MPSV pracujeme roky, ale teď byl ještě požavek akceptovat i všechny ostatní evropské (kvalifikované) CA. (Pochopitelně ne ve stejném režimu.)
teď ho ale najít nemůžu
Z toho si nic nedělej, on ho nemůže najít ani MMR.
Ano, takže pojmenováno podstatnými jmény: Platí jim právě za blbost a korupci české státní správy. Brrr.
a ví to i uživatel, který přes to přistupuje, takže asi tuší, co je to certifikát.To je velmi naivní
To je jakási naivní představa, která kromě jiného například popírá samotný smysl E-shopů. S takovým přístupem by si zákazník nemohl najít E-shop na webu a rovnou nakoupit, ale musel by zvednout prdel a vypravit se tam napřed s flashdiskem pro certifikát.
Když nabízím přístup přes SSL, leckdy vůbec netuším proč — činím tak zkrátka ze zásady, protože můžu a protože nemám nejmenší důvod sdělovat okolí víc informací (svých i uživatelových), než je nezbytně nutné.
27.12.2014 18:02
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Tiskni
Sdílej:
26.12.2014 20:21