Let’s Encrypt (diskuse)

Nechapem tie snahy sifrovat uplne vsetko. Vacsina veci na webe je predsa verejne dostupna a tam to nema absolutne ziadny zmysel.

Ze provider nezisti, ci osoba XY prave na webe Noveho casu cita o nejakej celeb(v)rite alebo o vrazde, to je dobre naco? Ked to zisti Microsoft, Mozilla, Google a Facebook cez vselijake sledovacie sracky...

19.11.2014 09:29 jc
Rozbalit Rozbalit vše Re: Let’s Encrypt

Pokud ti nevadi smirovani (a nemusi jit jen o tveho providera), melo by ti vadit treba posilani hesel cleartextem. Stranek, ktere nemaji uzivatelskou zakladnu s prihlasovanim je cim dal mene a casto si to (nekdy i zbytecne) vynucuji.

Dalsi vec je, ze data nekdo po ceste muze podvrhnout. V takovem pripade pak nejde jen o bezpecnost informaci, ale take o bezpecnost pocitace.

19.11.2014 09:35 R
Rozbalit Rozbalit vše Re: Let’s Encrypt

Sifrovanie vsetkeho sposobi akurat falosny pocit bezpecia. Do webov su vlozene sledovacie sracky od Googlu a Facebooku, browser odosiela kazde URL na "kontrolu bezpecnosti" do Microsoftu alebo Googlu. Ale hlavne, ze to bude sifrovane...

Citlive veci ma kazdy rozumny clovek sifrovane uz davno.

19.11.2014 11:31 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Let’s Encrypt

Citlive veci ma kazdy rozumny clovek sifrovane uz davno.

Jak, když web na druhé straně šifrování nepodporuje? A to chce právě tento projekt změnit.

19.11.2014 12:38 R
Rozbalit Rozbalit vše Re: Let’s Encrypt

A nie je lepsie taky web nepouzivat? Jednak bude mat aj dalsie bezpecnostne problemy a hlavne su taketo weby imunne voci akymkolvek zlepseniam, takze tento projekt na tom nic nezmeni.

19.11.2014 16:33 Chulda | skóre: 20
Rozbalit Rozbalit vše Re: Let’s Encrypt

to je zajímavá dedukce - nepoužívá SSL = má i jiné bezpečnostní problémy.

vzhledem k chování prohlížečů při zobrazení stránky se self-signed certifikátem, spousta komunitních webů z neIT oblasti rezignovala na použití SSL anebo jej standardně nenabízí. Tenhle projekt to může změnit.

19.11.2014 17:38 j
Rozbalit Rozbalit vše Re: Let’s Encrypt

No vidis, ja asi tak o 10 radu vic duveruju strance se self cert, nez nekomu, kdo pouziva nejakou tu "duveryhodnou" autoritu, ktera vyda cert komukoli.

19.11.2014 19:32 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Let’s Encrypt

Tady si někdo plete zabezpečení komunikace s důvěryhodností protistrany.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

19.11.2014 21:04 j
Rozbalit Rozbalit vše Re: Let’s Encrypt

No jestli, tak leda ti pitomci, co vyrabej prohlizece.

19.11.2014 19:49 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Let’s Encrypt

Proč? Chápu, kdybys je bral nastejno. Ale snížit důvěru na základě podpisu navíc mi přijde nesmyslné.

19.11.2014 21:02 j
Rozbalit Rozbalit vše Re: Let’s Encrypt

Jenze ten "duveryhodny" certifikat zcela neduveryhodne "atority" mi nekdo naprosto neduveryhodny (jako je mozilla a spol) vnucuje s kazdou aktualizaci prohlizece.

Tudiz je pro me o nekolik radu duveryhodnejsi certifikat, ktery si sam potvrdim, ze za duveryhodny povazovat hodlam.

Jinak vubec nechapu, proc pro https vyskakuje zcela libovolne hlaseni. Je to holej nesmysl. Duveryhodnost protistrany, jejiz certifikat sem neziskal idealne osobne z ruky doruky je zcela nulova. A na to, aby se komunikace nejak sifrovala, me certifikat protistrany naprosto nezajima. Ostane, postfix (a dalsi) taky v poklidu pouzije sifrovanou komunikaci, pokud se na ni s protistranou dohodne, a je mu zcela uprdele, ze pouziva expirovane klice.

A pro ty co stale nechapou, prave a presne na tomhle podvrhu nazvem "duveryhodnost" je zalozen provoz proxy, mozna i vas chlebodarce neco takoveho provozuje, a vy to ani netusite. Proste proto, ze vas desktop duveruje jeho CA, a tudiz si on muze klidne vydat certifikat na google.com, a vas prohlizec ani nezaprotestuje. Kolik z vas se de podivat kdo realne vydal certifikat bankovnictvi? A kolik si jde alespon na web banky overit, ze je to ten spravny? Vsichni se spokojej s tim, ze prohlizec neprotestuje.

19.11.2014 21:26 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Let’s Encrypt

Jenze ten "duveryhodny" certifikat zcela neduveryhodne "atority" mi nekdo naprosto neduveryhodny (jako je mozilla a spol) vnucuje s kazdou aktualizaci prohlizece.

Takže problém není v certifikátu protistrany, ale v tom, že používáš dementní prohlížeč/operační systém? Neboj, také takový používám. Žádný jiný totiž neexistuje, je totiž teprve rok 2014.

Tudiz je pro me o nekolik radu duveryhodnejsi certifikat, ktery si sam potvrdim, ze za duveryhodny povazovat hodlam.

Těm CA přece nemusíš věřit. Prostě si představuj, že tam ten podpis není a že je to selfsigned.

Jinak vubec nechapu, proc pro https vyskakuje zcela libovolne hlaseni.

Toto hlášení protlačila NSA, aby odradila lidi od šifrování by-default. Nikdo si nedovolí nasadit selfsigned certifikát, když se mu přes to uživatelé nedostanou. Více v této přednášce od 14:50.

A pro ty co stale nechapou

Nikoho takového jsem si tady v diskuzi nevšiml.

a presne na tomhle podvrhu nazvem "duveryhodnost" je zalozen provoz proxy, mozna i vas chlebodarce neco takoveho provozuje, a vy to ani netusite

Se self-signed certifikáty se MITM provozuje ještě snáz. Prostě si klíč vymyslíš, ani nemusíš svoji CA dávat uživatelům.

mozna i vas chlebodarce neco takoveho provozuje, a vy to ani netusite

Hm a jak to vlastně řešit, když dnešní software není schopen naimportovat CA a říct, že smí vydávat certifikáty pouze pro *.zaměstnavatel.cz?

19.11.2014 19:48 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Let’s Encrypt

Uděláme takový malý pokus: dej si na všech počítačích, které používáš a které spravuješ, iptables -A INPUT -i eth0 -p tcp --dport 80 -j DROP, a v pátek odpoledne sem napiš svoje zkušenosti, OK?

19.11.2014 19:55 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Let’s Encrypt

-A OUTPUT -p tcp --dport 80 -j DROP, pardon.

21.11.2014 18:31 biolog
Rozbalit Rozbalit vše Re: Let’s Encrypt

... a od té doby jsme od něj neslyšeli. :-)

21.11.2014 20:13 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Let’s Encrypt

To nebude tím, AbcLinuxu zrovna po HTTPS používám.

21.11.2014 22:50 Petr Ježek | skóre: 10
Rozbalit Rozbalit vše Re: Let’s Encrypt

Nemá. Nebo je tak málo rozumných lidí?

Archlinux for your comps, faster running guaranted!

19.11.2014 11:31 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Let’s Encrypt

Ze provider nezisti, ci osoba XY prave na webe Noveho casu cita o nejakej celeb(v)rite alebo o vrazde, to je dobre naco? Ked to zisti Microsoft, Mozilla, Google a Facebook cez vselijake sledovacie sracky...

Ty lze blokovat.

19.11.2014 15:51 paul2no | skóre: 16 | blog: Paulovo doupě | Praha
Rozbalit Rozbalit vše Re: Let’s Encrypt

Pokud by se opravdu důsledně šifrovalo všechno a všude, tak si NSA a podobné organizace budou vybírat co jim stojí za tu námahu to dešifrovat (pokud se jim to vůbec podaří) a nebudou neustále sledovat všechno a všechny, protože je to tak snadné.

Pravda, láska a elektrická trakce zvítězí nad lží, nenávistí a trakcí motorovou.

19.11.2014 16:24 R
Rozbalit Rozbalit vše Re: Let’s Encrypt

A myslis, ze NSA odchytava pakety, co idu od teba ku googlu? Nie, vypyta si od Googlu spracovane a vyfiltrovane data.

19.11.2014 19:50 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Let’s Encrypt

Může to znít zvláštně, ale jsou lidé, kteří ještě pořád nepovažují Google za celý Internet.

20.11.2014 08:37 R
Rozbalit Rozbalit vše Re: Let’s Encrypt

To je sice pekne, ale samotny Google sa za cely internet povazuje a je obrovsky problem sa vyhnut sledovaniu od neho.

20.11.2014 10:19 Hans1024 | skóre: 5 | blog: hansovo
Rozbalit Rozbalit vše Re: Let’s Encrypt

Nevim, odkdy je zablokovani par javascriptu "obrovsky problem". Na svete jsou opravdu mnohem vetsi problemy :-D

Veni, vidi, copi

23.11.2014 19:46 random
Rozbalit Rozbalit vše Re: Let’s Encrypt

Minimálně podle některých zaměstnanců Googlu to není pravda.

19.11.2014 19:51 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Let’s Encrypt

Hlavně je šance, že se na to přijde (pokud budou třeba dělat MITM nebo hackovat servery, aby získali klíče).

20.11.2014 19:29 Filip Jirsák
Rozbalit Rozbalit vše Re: Let’s Encrypt

Nechapem tie snahy sifrovat uplne vsetko. Vacsina veci na webe je predsa verejne dostupna a tam to nema absolutne ziadny zmysel.

HTTPS nezajišťuje jen šifrování, ale také ověření identity serveru a to, že někdo nepodvrhne jiný obsah. I u té veřejně dostupné informace asi nechcete, aby vám kdokoli podvrhl jinou stránku. Jinak na spoustě stránek se používá třeba přihlašování, kde dnes jinak než šifrováním prakticky nejde zaručit bezpečnost. A obecně k šifrování - proč tu komunikaci nešifrovat, když je to prakticky zadarmo? Řekl bych, že to, že se internetová komunikace nešifruje, je jen dočasná anomálie.

21.11.2014 22:53 Petr Ježek | skóre: 10
Rozbalit Rozbalit vše Re: Let’s Encrypt

Konečně někdo, kdo ví. Díky.

Archlinux for your comps, faster running guaranted!

Kdyz sme u toho sifrovani:

Expiration date: 12.11.2014 21:37:56 (12.11.2014 20:37:56 GMT)

Tohle na me vyleze, kdyz vlezu sem. Si to spravte.

21.11.2014 17:10 j
Rozbalit Rozbalit vše Re: Let’s Encrypt

SN: 03:FC:8B:79:9B:72:55

21.11.2014 20:15 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Let’s Encrypt

Ničeho jsem si nevšiml.

24.11.2014 19:59 j
Rozbalit Rozbalit vše Re: Let’s Encrypt

To si mozna vsimas blbe

Zkus abclinuxu.cz (= bez www).

25.11.2014 20:50 biolog
Rozbalit Rozbalit vše Re: Let’s Encrypt

https://abclinuxu.cz/

Technical Details

abclinuxu.cz uses an invalid security certificate. The certificate expired on 12.11.2014 21:37. The current time is 25.11.2014 20:43. (Error code: sec_error_expired_certificate)

Podle se měla zvednout vlna komentářů o tom, že správci abclinuxu si ani neumí nakonfigurovat dohled na vyprcháváním certifikátů. Podle mně je chyba v tom, že agent dohledového systému nebo nginx/0.7.67 (nebo vhodná nastavba) neumí ohlídat vypršení sám od sebe.