Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Mozilla již nějaký čas řeší, co s certifikačními autoritami WoSign a StartCom. Včera bylo na blogu Mozilly věnovaném bezpečnosti oficiálně oznámeno, že Firefox 51, jenž by měl vyjít 24. ledna 2017, již nebude důvěřovat certifikátům vydaným těmito certifikačními autoritami po 21. říjnu 2016.

Komentáře

Takže evil autority budou antidatovat certifikáty? ;-)

To je zase polovičaté řešení, měli je prostě natvrdo vykopnout s okamžitou platností a šmitec.

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

25.10.2016 10:43 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

To by nadělalo dost velkou paseku u všech nynějších uživatelů. Lepší to nechat takle na půl a po čase, kdy už existující certifikáty vyprší, nebo alespoň většina z nich, to zatrhnout úplně.

Hello world ! Segmentation fault (core dumped)

25.10.2016 12:56 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

To by nadělalo dost velkou paseku u všech nynějších uživatelů.

Tak to je potom otázkou, co ti uživatelé vlastně chtějí.

Heron

25.10.2016 13:00 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Chtějí fungovat jako doposud. :)

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

25.10.2016 13:03 kyknos | skóre: 18 | blog: Quid novi? | Ranša Rosa
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

ani ne, uz ted jsou chybove hlasky a buzerace ze strany prohlizece ohledne certifikatu (typicky na webech, kde me bezpecnost vubec nezajima) k nasrani

So the Nationalists and the Socialists have the same policy on Brexit. They should get together and form a...

25.10.2016 18:13 j
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

On uzivatel predevsim chce, aby se mu ten web bez debilnich kecu otevrel, protoze nejakej certifikat natoz CA je mu uplne u rite. A jestli ho neco dokaze vazne nasrat, tak nesrozumitelna hlaska kterou mu ITk dekryptuje jako "zahod tu svoji krabku, protoze prej uz je moc stara na to, abys ses na ni moh pripojit".

25.10.2016 12:38 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Jenže potom, už je vykopnou ne jako chybující ale jako podvodníky. :D

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

25.10.2016 12:52 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Asi tak. Osobně toto řešení považuji za druhé nejhorší možné (1. je potom nic nedělat). Uznávají se crt z období, kdy se prokazatelně děly nepravosti a neuznávají se crt z období, kdy už se snaží to dělat lépe a jsou pod mnohem větším dohledem. Pokud těm autoritám chtějí pomoct (což nerozumím proč by měli dělat), tak by bylo lepší uznávat crt po nějakém datu. Nikoliv do. Ale nejlepší řešení je neuznávat nic a prostě dát ty CA do nedůvěryhodných.

Heron

25.10.2016 18:16 j
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Ne, jediny reseni je vsechny CA z browseru vykopnout a nechat proste browser bez kecu otevrit libovolny ssl spojeni, presne stejne jako to delaji MTA. Na tzv "bezpecnosti" to nezmeni absolutne vubec nic.

A teprve kdyz uzivatel bude chtit, necht si prida nejakej cert nebo CA - striktne navazany jedno i druhy na konkretni domenu(y).

26.10.2016 07:05 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Jasne, a premyslel jsi nekdy proc to tak je? Nebude to nahodou tim, ze emaily jdou pres nekolik SMTP serveru nez dorazi ke svemu cili a cely proces je neinteraktivni, takze se ani nelze dotazat uzivatele jestli nejakemu self-signed serveru po ceste chce verit?

I can only show you the door. You're the one that has to walk through it.

27.10.2016 10:40 j
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Anepremejslel si nekdy o tom, ze kdyz si nekdo cte nejaky idnes nebo ihned nebo vibuhco, tak je mu v 99,99999% uplne uprdele, jestli to pouziva ssl? A uz vuebc ho nezajina nejaka pseudoduveryhodnost nejakyho certifikatu o kterym stejne netusi kde se vzal.

27.10.2016 10:55 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Přesně díky takovým ko****m s názory jako máš ty to měla NSA a GCHQ s mass surveillance tak jednoduché. Ještě že situace se díky Snowdenovi změnila a mezi lidmi kteří to dokáží ovlivnit již je tvůj názor naprosto menšinový.

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

Co kdyby browser v defaultu důvěřoval jen certifikátům/klíčům naimportovaným od uživatele? A bylo by po srandě.

25.10.2016 11:08 gsnak | skóre: 22 | blog: gsnak
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Čo Rys, to vrah!

25.10.2016 11:32 Tany
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

To je ještě horší varianta. 95 procent populace nemá o těchto věcech ani ponětí, ideálně, když se do toho nehrabou a fungují jim ty jejich Internety.

25.10.2016 12:38 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Tohle řeší DNSSEC+TLSA.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

25.10.2016 13:23 Andrej | skóre: 51 | blog: Republic of Mordor
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Na mém serveru například ano, zatímco u 99% webů zatím pořád ještě ne.

25.10.2016 13:31 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Chtěl jsem napsat teoreticky řeší, problém je, že je málokdo je v tuhle schopný používat na klientské straně.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

25.10.2016 14:42 mirec | skóre: 32 | blog: mirecove_dristy | Poprad
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

V našej posratej krajine žiadne DNSSEC nemáme. Technická otázka, nechcete vy v Česku vymeniť správcu nádodnej domény za sk-nic nech nemusím závidieť, že u vás to funguje?

Čo je potrebné spraviť na to aby sa sk-nic odvolal? Žijú vôbec ešte? Nezavraždil ich zatiaľ nik? Ak ešte žijú tak prečo sakra prečo? Za čo ma tak trestajú? AAAAAAaaa seriem na to dnes, idem na pivo.

LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon

25.10.2016 15:04 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Měli jste zůstat součástí Československa, stejně si dodnes v zahraničí nezvykli, že tomu tak není.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

25.10.2016 15:37 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Neveril by si to pochopenie v očiach Škóta, Severného Íra alebo napríklad Baska.

25.10.2016 15:41 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Nevěřil bys, že stále ještě platí, že s tebou nemám v plánu ztrácet čas.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

25.10.2016 18:27 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Tým priznávaš, že tvoja reakcia nebola stratou času.

25.10.2016 16:15 mirec | skóre: 32 | blog: mirecove_dristy | Poprad
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Mohli ale to by sme vám posrali čo by sa dalo a ešte hádzali vinu na vás ako je to u nás vo zvyku.

LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon

25.10.2016 16:57 Ján Dráb | skóre: 4 | Banská Bystrica
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

a dokonca sveta by sme si jeden druhemu vyhadzovali na oci co sme obetovali a co ten druhy spravil zle.. ako nefunkcne manzelstvo :D od chvile prebratia idei, ze slovaci a cesi su samostatne narody(moravaci neviem, nerozumiem dodnes co su/kto su) to nemohlo fungovat.

Everything has room for improvement.

25.10.2016 17:02 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Tak podle moraváka za všechno špatné mohou pražáci. Akorát to má tu chybu, že pražáci vlastně neexistují a všechno je to náplava z moravy. :-D

Heron

25.10.2016 18:03 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Nebo ze Slovenska :)

I can only show you the door. You're the one that has to walk through it.

25.10.2016 18:06 PikačuShy
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Tak slovenské imigranty za pražáky nikdo nepovažuje. To už snad muslimové se integrují lépe.

25.10.2016 18:16 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Ze je jeden v jejim cele :)

I can only show you the door. You're the one that has to walk through it.

25.10.2016 19:12 Slavko
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Do 1992 som pôsobil v Česku. Takéto dristy boli časté a končili vždy rozbitou hubou (nie mojou)!

25.10.2016 19:19 odin
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Ano, agresivita je u imigrantů z východu charakteristická

25.10.2016 19:58 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

25.10.2016 20:00 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Ano. Vždycky se najde alespoň jeden řádný slovenský kokot, který mě přesvědčí, že to rozdělení mělo přecijen něco do sebe. ;)

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

25.10.2016 20:54 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Trošku upresním. Výraz "Ty Kokot" neznamená to isté ako výraz "Ty Vole". Toľko k agresivite, a neporozumeniu. Respektíve, k provokovaniu na ktoré sa nachtyal Slavko, a v ktorom pokračuješ.

25.10.2016 21:07 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Výborně, tak už dva, jeden lepší než druhý.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

26.10.2016 07:42 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Som rád, že si si to priznal.

25.10.2016 18:34 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

No dobře, ale to si můžou podat ruce s většinou české republiky. Já to pořád říkám, že bysme měli mít hlavní město v Brně. Cizinci budou dál jezdit do Prahy, brňáci budou hrdí na to, že temu všemu šéfujú, a normální lidi nepoznají rozdíl.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

25.10.2016 18:42 Pavel 'TIGER' Růžička | skóre: 54
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Brno? Kde to je?

25.10.2016 18:56 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Na tom pro tento účel zase tak moc nesejde, hlavně že je to dostatečně daleko.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

26.10.2016 11:37 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Metrem na Florenc a pak jedna stanice autobusem.

Hello world ! Segmentation fault (core dumped)

26.10.2016 07:07 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Hehe, zajimava myslenka, to me nikdy nenapadlo :D

I can only show you the door. You're the one that has to walk through it.

25.10.2016 20:06 Jardík
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

DNSSEC neřeší vůbec nic. Zase se za vás bez vás rozhoduje, čemu věřit.

27.10.2016 10:42 j
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Neresi, ale redukuje megapruser na problem ...

27.10.2016 11:03 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

HPKP ten megaprůser redukuje daleko více, než by ho kdy dokázalo zredukovat DANE. Ale používat obě dvě řešení najednou (jak DANE, tak HPKP) by samozřejmě bylo ještě lepší (HPKP by mohlo pomoct stejně dobře u DANE, jako u klasického modelu CA).

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

27.10.2016 17:16 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Akorát HPKP je dost náročné nasazení a hlavně na nervy, protože když něco po...ete, tak si odstavíte web na několik měsíců.

Quando omni flunkus moritati

25.10.2016 18:20 j
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

To je naopak naprosto JEDINA varianta. Protoze v tenhle okamzik NEEXISTUJE zpusob, ja by uzivatel mohl dosahnout realne bezpecnyho pripojeni za pomoci certifikatu. Ani kdyby chtel, jako ze nechce a nezajima ho to.

Protoze i kdyz si nakrasne ulozis primo konkretni cert mezi duveryhodny, je ti to hovno platny, protoze zcela libovolna CA z tvyho seznamu natlacenyho odnekud zvenku ... muze zcela kdykoli vydat cert pro stejnou domenu, a tvuj browser ho zcela s klidem a spokojene sezere. Zato u selfsign se muze posrat.

25.10.2016 13:19 Andrej | skóre: 51 | blog: Republic of Mordor
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

To by vyžadovalo základní vzdělání hodné 21. století, nikoliv vzdělání koncipované pro 19. až 20. století, které dnes školství poskytuje.

A mimochodem, komu přesně by to prospělo? Když nakoupím v 5 E-shopech za den, musel by mít buď každý z nich v pořádku DNSSEC a TLSA (a ještě bych musel neochvějně věřit, že DS záznamy u všech správců domén od kořenové až po doménu E-shopu jsou opravdu v pořádku a v dobrých rukou a DNS mi zkrátka nekecá), nebo bych musel do každého z nich osobně zavítat a vyptat si certifikát na fyzickém médiu, což je neproveditelný nesmysl, něco jako cesta kolem světa kvůli většímu nákupu u pár E-shopů, kde třeba nakoupím jednou za život.

Výsledkem by tedy bylo, že by každý jen tak mechanicky proklikal všechna varování, jen aby se na weby dostal. A pak najednou bezpečnost nahrazuje pouhé zdání bezpečnosti, což je stav, který může být nakonec rizikovější než nešifrovaný web.

25.10.2016 13:41 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Školství nemůže za to, že většina lidí počítač považuje za nástroj a chce jenom, aby "to" nějak fungovalo. A u většiny lidí je to docela oprávněný požadavek, u auta taky po řidičích nikdo nechce, aby věděli, jak funguje brzda - chce se po nich, aby na ni uměli šlápnout.

Quando omni flunkus moritati

25.10.2016 13:45 kyknos | skóre: 18 | blog: Quid novi? | Ranša Rosa
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

On to taky je nastroj

So the Nationalists and the Socialists have the same policy on Brexit. They should get together and form a...

25.10.2016 16:06 lazywriter
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Vsak taky dost dlouho trvalo nez jim prestalo hrozit, ze se pri prudkem brzdeni (resp. narazu) nenabodnou na tyc rizeni. Jeste v autech ze 70. let mate proti sobe namireny solidni ocelovy kopi. Tolik o bezpecnosti.

25.10.2016 18:22 j
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

To by me zajimalo, jak se na ten eshop dostanes, kdyz neveris DNS ... lol

25.10.2016 18:25 j
Rozbalit Rozbalit vše Re: Firefox 51 nebude důvěřovat certifikačním autoritám WoSign a StartCom

Jop, jen tak mimochodem ... narozdil od toho, ze nejaka CA vyda nejakej cert k nejaky domene ... muze zmenu v DNS jeji provozovatel velmi snadno a rychle detekovat, coz sice neznamena, ze ji muze zabranit, ale muze (treba) informovat svy zakazniky.