Názory k článku
Stalo se: Česká pošta neradila správně

Obávám se, že možná bude bezpečnější si certifikát stáhnout a zkontrolovat hash na dvou místech (PostSignum + MV ČR) - vzhledem k úrovni počítačové gramotnosti obsluhy na poště bych se nedivil, kdyby vám tam na vaši flashku prostě stáhli certifikát z www.postsignum.cz (bez jakéhokoli ověřování, samozřejmě :)

Na pobočce pošty nahrává certifikáty na médium (fleška) aplikace - při vydání kvalifikovaného certifikátu. Úředník(ice) do toho mentálně nezasahuje, rozhodně fingeprinty nesrovnává.

Zda by pobočka pošty byla schopná Vám sdělit fingerprint nebo nahrát kořenový certifikát na flešku aniž byste chtěli certifikát si nejsem jist, skoro o tom pochybuji.

...při zřizování zaručeného podpisu na poště (místě PostSignum), na flashku mi kromě podpisu nahráli i příslušné certifikáty. Takže bych snad měl mít pravé. :-)

Nicméně já na úřadě vašemu certifikátu a "zaručenému" podpisu věřit nebudu (ač bych ze zákona měl), protože múj operační systém Windows vaši certifikační autoritu, resp. její kořenový certifikát nepovažuje za důvěryhodný. Nezná ho. Mohu si ho sice stáhnout z www stránek PostSignum (případně u dalších certifikátů z www I.CA, či eIdentity), ale co když mi tyto stránky kdosi podvrhl a já si stáhl falešný certifikát?

Proč podvržené certifikáty v e-úřadování řešíte zrovna až teď?

Máte zcela pravdu, a kdyby to nebylo k pláči, bylo by to k smíchu. I když na úřadě to snad ještě půjde, tam snad nějaký správce certifikáty do systému vecpe, už kvůli elektronickým podatelnám.
Na menších firmách či soukr. osobách to bude podstatně horší.

Nějaký správce certifikáty do systému docpe? No tak pak všichni budou věřit správci, který je našel (třeba na tom internetu) a ani on neví kde (přece na té podvržené www stránce).

Prostě jen tak nedocpe. Má k tomu opět jen ty možnosti co každý uživatel, akorát řešení může (ne)zodpovědně vnutit všem.

Ale já jako docpavač si myslím, že reálné řešení skutečně je stáhnout certifikát z www stránky, koukat při tom, kde vlastně jsem (kam a jak klikám) a sledovat dění, zda někdo nějaký podvrh nezkusil - asi by to, pokud by se dělo ve velkém to nezůstalo bez mediální odezvy. Nebo budou tisíce úředníků chodit s orazítkovanou objednávkou na MV či jeho pobočky (dnes třeba pošta) pro oficiální CD/DVD?

Také zvažte charakter zneužití podvrženého certifikátu v e-bankovnictví (kde nevratná škoda nastane řádově v minutách), v e-podepisování na úřadě a k falšování zpráv v datových schránkách, kde by nejspíše mohlo dojít k úniku nějakých privátních či osobních dat. Ale vzhledem k tomu, že lze od 1.7. i listinnou zásilku určenou do vlastních rukou po určité době vhodit jen tak do schránky, tak ani tam nebude zneužití tak horké. Zpráva zůstává ve schránce dalších 90 dní, bez možnosti smazání uživatelem, tedy i tím falešným, co získal mé údaje.

A no tak tím "vecpe" jsem samozřejmě myslel, že správce ví co dělá - a ideálně dostane ty certifikáty od PostSignum nějakou důvěryhodnou cestou.

Jak chcete dostat certifikát od PostSignum nějakou "důvěryhodnou" cestou? Ano, správce ví co dělá, ba právě proto ví, že nemá jiné možnosti než ten láma. Snad opravdu jen může lépe rozeznat "podvržený" web. Nic víc (anebo jít někam žebrat ty "hashe").

V případě úřadů či velkých firem bych považoval za "důvěryhodnou" cestu fyzické médium (CD, USB, ...) zaslané třeba na doručenku + samozřejmě stávající ověření. Ostatně v tuto chvíli nejdůvěryhodnější by bylo uveřejnit otisk třeba ve Sbírce zákonů - jistě, lze mi zákeřně podhodit falšovanou SZ i v tištěné podobě ;-)

Obavam se ze nasim zakonum jsou vase Windows ukradene...

Tak to pozor, takhle nekoho verejne narknout z toho, ze ma kradene Windows ... to muze byt na zalobu!

Za mnohem horsi povazuji verit certifikatum, ktere mi nekdo nainstaloval do prohlizece.

tak nejak. Ono radeji si budu stahovat certifikat z webu - sice to neni idelani a muze mi to nekdo podstrcit, ale seznam trusted root CA v prohlizecis je pekne dlouhy - hodne techto autorit rozdava certifikaty pouze na kreditku, nektere maji i FREE 3 mesice a podobne....

Proste to ze je to HTTPS a ze to nehlasi chybu neznamena ze nejste na strance www.CrackedISDS.ru a ze si nekoupili za 50 dolaru nejaky vlastni nejlevnejsi certifikat za par centu :-)

Princip certifikační autority spočívá v tom, že certifikovaný subjekt ověří a u těch autorit, které máte mezi trustued root CA si můžete být dost jistý, že to tak skutečně dělají.

Takže někdo, kdo se jmenuje BlaBlaBla nikdy nedostane certifikát s identifikací PostSignum....

Kdyby na české poště nebyli diletanti, tak jako serverový certifikát použijí certifikát od Versignu (tak jak to dělá většina slušných firem) a bylo by po problému.

Distribuovat certifikáty ČP na lisovaném CD-DVD které by bylo k dispozici na pobočkách pošty. Odpadli by problémy s autentizaci cerifikátu ČP přes internet pro osoby s "běžnými" IT znalosmi a navíc by tam mohli být všechny potřebné dokumenty (včetně instruktážních videi) a programy pro provoz schránek. Na CD by byl též soubor ctimne.txt s popisem co tam je a jak dlouho to platí. SHA1, MD5 a další údaje pro ověření by byli k dispozici též na letáčku ČP. Kořenové certifikáty se nemění zase tak často aby se to nevyplatilo. Falešnou pobočku České pošty asi těžko někdo podvrhne.

Když to jde s ledajakými filmami na DVD po 50Kč, tak proč ne tohle.

Filmy na DVD za 50 Kc prodava soukroma firma. Jako statni zakazka se na tu cenu nemuzete dostat :-) Navic duveryhodnost takoveho reseni je take sporadicka, CD muze nekdo zfalsovat a umyslne zavirovat apod.

Myslím, že v sérii cca 50000ks je reálná cena i 30Kč.
Zfalšovat, zavirovat lisovane CD předané u přepážky ČP ????? a jak to provést ????
Myslím, že dle podmínek z mého předchozího příspěvku je autentizace kořenového certifikátu ČP postačující. (netrval bych na notářsky ověřeném předání kořenového certifikátu :-) )
Stát po občanech a firmách něco chce, tak ať se snaží !
(i když to stejně zacvakáme z daní :-( )

Aktuální text u vstupu na DS zní "Postup instalace certifikátů je popsán zde" aktivní odkaz na http://vca.postsignum.cz/www/authorities.php.
Tam jsou hned na uvedené stránce zveřejněny soubory certifikátů. Odborník asi bezpečně ví, ale laik novopečený , majitel DS zaváhá - které soubory jsou ty pro něj? A co s nimi má dělat? Má si je někam nakopírovat? Nebo na ně postupně poklepat a čekat co se stane??? To se tam nikde nedočte...Dozví se to aspoň v placených kurzech pro obsluhu DS (bratru za 1500 Kč) ???

Chci-li mít větší jistotu nad pravostí dat, používám více distribučních kanálů. V článku se hovoří o lisovaném CD.
Jiná možnost je např. telefonicky se obrátit na poštu a chtít ať sdělí otisk certifikátu a srovnat ho s otiskem certifikátu staženého z webu. Pokud by se shodoval, certifikát můžeme považovat za důvěryhodný (pokud věříme osobě na druhé straně telefonu).
Faktem je, že když jsem před lety stejnou věc udělal u České spořitelny, "technická podpora" pro internetové bankovnictví věděla kulové o existenci certifikátů, či dokonce nějakých jejich otisků. Hold banky asi nemají na to, aby zaměstnaly odborníky na bezpečnost, hlavně že mají managery.

Tak koukám, že na těch stránkách http://vca.postsignum.cz/www/authorities.php dokonce už o otiscích certifikátů píšou. Nemám teď čas studovat jakým způsobem radí ty otisky ověřit. Telefonem, osobní návštěvou, ...

Já jsem volal na infolinku Datových schránek a pán na druhém konci neměl problém se mnou zkontrolovat fingerprint kořenového certifikátu. Možná ho to trochu překvapilo (jestli jsem byl první a jedinej kdo tam volal...), ale rozhodně byl v obraze a úspěšně jsme si to spolu prošli.

A jste si jisty, ze jste se dovolal na skutecnou infolinku Datovych schranek, nebo jste mluvil s "pishingovym" pracovnikem? 8)))

Z příspěvku pana Suchého plyne, že pracovník byl v obraze a byl ochotný - tedy je tutovka, že šlo o pracovníka pošty:-)

Přijde mi to o něco lepší než jít na poštu, kde si nejsem jistej jestli ji mezitím rychle nepostavil "phishingový" útočník. :))

Relativně bezpečný způsob ověření kořenového certifikátu PostSignum je:

1) Stáhnout ho z webové stránky PostSignum

http://qca.postsignum.cz/www/authorities.php

2) Ověřit jeho otisk (fingerprint, miniatura) vůči webové stránce PostSignum (na stránce výše rozbalit radio-button na "Podrobnosti".

3) Ověřit jeho otisk (fingerprint, miniatura) i vůči webové stránce Ministerstva vnitra:

http://www.mvcr.cz/clanek/vysledky-overeni-platnych-kvalifikovanych-systemovych-certifikatu-akreditovanych-poskytovatelu-certifikacnich-sluzeb.aspx

I přes výše uvedená opatření by vám "man in the middle" mohl oboje webové stránky podsouvat. Musel by ovšem spolupracovat s vaším ISP, což u solidních ISP je nerealistické.

Napadnutá může být i vaše firewall nebo proxy - realističnost si musíte zhodnotit sami.

Realističtější možností "man in the middle" je trojan na vašem počítači, který např. přepíše IP adresy v "hosts". Pokud ovšem máte trojského koně místo vašeho operačního systému, tak vám nepomůže ani fyzická návštěva a vyzvednutí certifikátů na poště, neboť si trojan stejně nainstaluje co bude chtít.

Ověření ze dvou zdrojů brání tomu, že někdo unese dva (webové) servery zároveň.

Domény mvcr.cz a postsignum.cz používají i naprosto různé jmenné servery, takže to brání i případu, pokud někdo napadne jmenný server. Napadnout dva jmenné servery současně je velmi obtížné.

Jinak riziko phishingu je poměrně malé, pokud uživatel přesně opíše adresu "postsignum.cz" z rozeslaného papírového materiálu. Valná většina phishingu je založená na tom, že využívá "překlepovou adresu" s nápodobou grafiky.

Dobrou metodou by bylo otisk (fingerprint, miniatura) sdělovat i nějakým jiným způsobem, např. telefonní automat přeříkavající otisk, SMS zpráva zasílaná zpátky apod.

Umím si představit i další, bezpečné způsoby rozšiřování kořenového certifikátu ... zájemci o toto viz kontakt na mne.

Pro MitM utok na nejake obycejne weby nemusi utocnik spolupracovat s ISP. Staci mu otravit kesovaci nameserver.

Myslite, ze je zona postsignum.cz podepsana pomoci DNSSEC?
Myslite, ze je ten web pristupnej pres HTTPS?

Ale kdepak ... Proste megaaplikace stojici na papirovych nohach.

Článek od p. Peterky chválím, ostatně jako spoustu jeho dalších. Situace s certifikačními autoritami/certifikáty používanými ve státní správě je dlouhodobě smutná, nicméně jsem s ní smířen. Ale znám jednu velkou banku a pokud jde o penízky, tam už to bolí :), která v rámci svého internetového bankovnictví rovněž používá certifikační autoritu, kterou prohlížeče neznají. I když banka distrubuuje certifikáty na přenositelném médiu (aspoň pro naši organizaci se tak dělo), myslíte že je to v principu dobré a přispívá to k dobrému jménu/image banky?

Ono je to více otázek v jedné.

1) Distribuce musí vždy proběhnout. Otázkou je, zda je lepší, když je již součástí distribuce prohlížeče, nebo ji uživatel musí provést samostatně. Ve větších organizacích obě varianty stejně provádí technická podpora, takže musíte především věřit lidem z IT supportu. Více uživatelsky přívětivá je pochopitelně první možnost a u uživatelské báze jakou mají třeba e-shopy to pochopitelně hraje významnou roli.

Ad 1 - určité inflaci certifikačních autorit (šířených s prohlížeči) se snaží čelit rozdělení důvěryhodnosti. Např. pomocí "Extended Validation" certifikáty SSL - prohlížeče je indikují zeleně.

2) Vlastní bezpečnost certifikační autority. Pokud použijete certifikáty tuzemské akreditované certifikační autority, tak aspoň víte (právně a technicky) na čem zhruba jste. U zahraničních CA spíše hádáte, takže skutečně může být vhodnější použít tuzemskou certifikační autoritu (než zahraniční, byť by byla součástí distribuce prohlížeče).

Ad 2 bych výslovně varoval před kutilskými pokusy vytvořit si certifikační autoritu někde sám v organizaci. Ryze technickým dojmem to lze, bezpečnostně absolutně nikoliv, ledaže začnete utrácet podobné peníze jako akreditované certifikační autority, ovšem pak se to zase nevyplatí ekonomicky.

Certifikační autorita je jakási bezpečnostní kotva, pevný bod, na kterém je navěšeno všechno ostatní (asi jako když Archimédes chtěl hýbat světem pákou). Když selže tento bod, tak je zbytek PKI, veškeré IT organizace v naprosto prekérní situaci.

Presne jsem nekontroloval, ktere CA uznava nase legislativa jako ty jediny spravne, nicmene zcela bezpecne vim, ze podobne idiotske postupy, o kterych hovori clanek v pripade PostSignum, praktikuje uz leta CSOB se svym internetovym bankovnictvim. Oni chudinky asi nemaji na certifikat normalni CA, jejiz certifikaty jsou distribuovany v 99% procentech prohlizecu, takze misto toho vynakladaji miliony rocne na neustale se opakujici dotazy na helpline a vytvareji FAQ vysvetlujici, jak jsou uplne neschopni vec resit systemove. (A propos, v pripade CSOB neni k problemu overeni certifikatu ani slovo.)

U ČSOB jste ale bez telefonu nahraný, tam by si rybář moc nepomohl, když nemá zabezpečený kanál u mobilního operátora do GSM bankingové aplikace.

Pokud to správně chápu, tak kromě napadení stránek, by musel znát moje telefonní číslo a mít kanál do GSM bankingu a nebo mi fyzicky ukrát mobil, znát identifikační čislo a heslo do bankingu a znát alespoň můj MPIN, lépe i PIN.

Zabezpečený kanál do GSM bankingu myslím nepřipadá v úvahu, to si banky a operátoři ohlídají, takže zbývá pouze fyzicky ukrát mobil, a na to přijdu poměrně brzy :)

Na MiM telefon nepotrebuje i kdyz je overeni pres SMS

O serverových certifikátech (pro SSL) se naše legislativa nevyslovuje (as far as I know), takže pro server by asi certifikát třeba Verisign použitelný byl. Pro každý český úřad nicméně toto by byla poměrně nestandardní situace a instinktivně dá přednost domácímu řešení (z důvodů právních i technických). Použití zahraničního certifikátu by si vyžádalo poměrně hlubokou právní analýzu a technická podpora je přeci jen pro českého úředníka rovněž dostupnější domácí.

Nicméně pro vytváření elektronických značek (které se v rámci Datových schránek používají) již je nutné použít kvalifikované certifikáty poskytovatele certifikačních služeb akreditovaného v ČR. Ti jsou nyní tři. Z obchodních důvodů, když za provozovatele Datových schránek byla vybrána Česká pošta, s.p., pak myslím celkem plyne, proč byla následně zvolena certifikační autorita Postsignum, tj. služba podniku Česká pošta, s.p.

Faktem je, že používat odlišnou certifikační autoritu pro vnitřní provoz datových schránek (PostSignum) a jinou pro vnější přihlašování přes SSL (např. Verisign) by bylo poměrně nepraktické. Takto jsou uživatelé nuceni ještě před prvním přihlášením si doinstalovat certifikáty pošty (zejména kořenový certifikát), což by později stejně museli, akorát by to pro ně byl možná ještě větší zmatek - nechápali by proč a co mají činit.

Zda to je dostatečně dokumentované, bezpečné a user-friendly ovšem netuším, neboť jsem žádné relavantní materiály ČPošty v rukou neměl. Jiří Peterka to zkoumal a lze mu důvěřovat, že to košer není. Navíc si lidé z ČPošty problému nejsou vědomi.

Upřímně řečeno přestože České Poště bych v každém případě měl co vytknout, případ s certifikáty je klasickou ukázkou průšvihu celého systému s distribuovanými Trusted CA.
Podle mne je NAOPAK průser to, že vůbec někdo distribuuje s prohlížečem nějaké CA kterým pak pan Peterka slepě důvěřuje. Pokud bych se to pokusil parafrázovat jako on s pravou/falešnou poštovní doručovatelkou, pak bych řekl, že on sice nechce důvěřovat ženské stojící před ním, ale slepě důvěřuje tomu, že číslo jejího průkazu nalezl na jedné stránce v kroužkovém bloku, který dostal při koupi počítače. To, že by mu někdo mohl do toho bloku něco podstrčit , když s někým komunikuje a mění si lístky v kroužkáči mezi sebou už úplně ignoruje.

Krátce to srhnu - přednastavené CA zcela zásadně snižují bezpečenost kvalifikovaných podpisů čehokoliv. Správný postup by měl být
- vymazat všechny "důvěryhodné" CA z kompu
- nainstalovat si tam POUZE ty CA kterým OPRAVDU důvěřujete a přes hash si je důkladně ověřit z více stran
- nepracovat s vypnutým UAC ve Vistě nebo se nehlásit jako administrátor v XP pro běžnou práci

Tohle není problém ČP ale problém s důvěryhodností CA obecně.

Souhlasím, ale jen bych upozornil, že některé z těchto certifikátů jsou potřebné pro správnou funkci Windows.

odkaz

No jo, jenže pokud bude systém bez předinstalovaných CA a uživatel si bude muset přidávat každou zvlášť, tak tu 10. a další nainstaluje vzteky bez sebe aniž by ji řádně ověřil.

Což je principiální problém PKI jakožto stromu důvěry. Zajímavé je, že třeba CERTy si dokázaly vybudovat vlastní sít důvěry, takže uživatelská přítulnost a spolehlivost systému jako celku je úplně někde jinde.

No vtip je v tom, že SSL komunikace jaksi nerozlišuje dva časté stavy - jeden, kdy by šlo DOOPRAVDY o důvěryhodnou šifrovanou komunikaci s důvěryhodným serverem a druhý, kde jde především o šifrované spojení a na stoprocentní identitě druhé strany není kladen až tak velký důkaz (což je dnes většina spojení). Servery bývají obvykle podepsané self-signed certifikáty nebo vlastními CA. Problém je, že mezi tím není pro BFU vlastně žádný rozdíl, takže takové ty "tanečky" prohlížeče, že nelze ověřit stránku a že nedoporučuje pokračovat a pod. je BFU (a nejen BFU - viz anketa dole pod článkem) zvyklý bez problému a bez rozmyslu odklikat a pokud je šifrovaně spojen se stránkou podepsanou důvěryhodným certifikátem obvykle vůbec nepřemýšlí o tom, co se vlastně děje a co to znamená....instalace potřebného root CA je pro něj jen a jen odstraněním zbytečných tří kliků navíc pro přístup ke nějaké stránce...

Pokud by bylo chování prohlížeče odlišné pro tyto dva případy, nebylo by obvykle potřeba instalovat než pár opravdu důležitých root CA a BFU by se teto postup lehce naučili a to že server není ověřen správným certifilátem by brali na vědomí a možná by (alespoň někteří) pochopili o co jde a na co si mají dát pozor.

Ono při tom obrovském množství předinstalovaných trusted CA je třeba vzít na vědomí různou "politiku" daných firem a že ne všude jsou v ověřování fyzické identity opravdu důslední a že není problém získat někde důvěryhodný certifikát pro podporu pishingového útoku, což by se při nainstalování pouze potřebných root CA prakticky nemohlo stát.

Z hlediska bezpečnosti v tom ale není rozdíl. Šifrované spojení, kdy na druhé straně může být kdokoliv, je prakticky to samé, jako nešifrované spojení. Pouze je nepatrně nižší šance útoku.

Problém je spíš v tom, že v současné době je rozhodnutí o HTTPS jen na straně serveru, klient rozhodnutí prakticky ovlivnit nemůže. Takže když se provozovatel webu rozhodne, že uživatele přesměruje na HTTPS, prohlížeč to chápe tak, že spojení musí být bezpečné, a klient s tím nic nenadělá. Takže prohlížeč provleče uživatele martyriem odklikávání věrohodnosti certifikátu (přičemž mu prohlížeč certifikát ani nezobrazí)…

Rozumnější by bylo, kdyby prohlížeč bral, že HTTPS je stejně nebezpečné jako HTTP a neotravoval s certifikáty. Teprve kdyby certifikát byl podepsán důvěryhodnou CA nebo si jej uživatel ručně přidal k důvěryhodným, prohlížeč by dané spojení považoval za zabezpečené HTTPS spojení, a třeba podbarvil adresní řádek. Uživatelé by se museli odnaučit, že když je v adresním řádku https://, je to bezpečné spojení – ale který z BFU dnes tohle ví. Naopak by věděli, že když je řádek zeleně podbarven, je to bezpečné spojení (takhle to asi dnes vnímají, pokud vůbec).

Ostatně by to bylo od prohlížeče férovější – dnes vás prohlížeč donutí ty certifikáty odklikat, i když jim třeba nevěříte (ale pro zobrazení jedné veřejné HTML stránky nebo třeba prohlédnutí zdrojáku ze SVN mne opravdu nemusí trápit, že se stáhne nezabezpečeným spojením), a prohlížeč si těmi otravnými dotazy jenom dělá alibi.

Ano v podstatě s Vámi souhlasím. Jedině snad nemohu souhlasit s tím že "Šifrované spojení, kdy na druhé straně může být kdokoliv, je prakticky to samé, jako nešifrované spojení" (předpokládám, že máte na mysli například self-signed certifikáty). To není to samé, pokud přistupuji k nějakému webu šifrovaně a stejně jako u nešifrovaného spojení prostě věřím, že nejsem v tuto chvíli podváděn, pak má šifrování smysl v tom, že po cestě nikdo tuto komunikaci neodposlechne. Samozřejmě to nezabrání útoku typu "man in the middle" ale odposlechu paketů určitě.

Pasivnímu odposlechu to zabrání. Ale už to nezabrání mému sousedovi na stejném WiFi segmentu poslat mi DNS odpověď dřív, než správný DNS server, přesměrovat druhý konec na jeho počítač – a pak už může spojení klidně odposlouchávat (a nejen to). Když se mu podaří HTTPS spojení hned od začátku přesměrovat na sebe (třeba na routeru), opět si může dělat, co chce. Takže to šifrování je užitečné opravdu jen v případě, kdy útočník nemůže nic jiného než poslouchat. No a na takové frikulíny stačí i obyčejná HTTP Digest autentizace, aby se nedostali k mému heslu do diskusního fóra. Cokoli důvěrnějšího stejně musím chránit lépe.

No pořád hovoříme o tom samém. Šifrování self-signed nebo neověřeným certifikátem zabrání odposlechu paketů, ale nezabrání útoku s MiD. Ovšem pokud vezmu do úvahy například složitost odposlechu nezabezpečené wi-fi třeba někde na letišti nebo v kavárně a složitost v tomto prostředí vybudovat infrastrukturu pro útok typu MiD vychází mi holý odposlech opravdu mnohokráte jednodušší a především není žádný způsob jak bych ho odhalil. MiD mohu při troše štěstí a pozornosti odhalit. Máte samozřejmě pravdu, že digest auth to řeší, ovšem ukažte mi kolik reálných aplikací na webu tuto autentifikaci používá.....takže já osobně i v "holém" šifrování vidím posun oproti nešifrovanéhu spojení.

Ano, mluvíme o tom samém. Ale já nemám ve zvyku spoléhat na to, že útočník je nemehlo a nezvládne nic jiného než odposlech. Mám data, která nepotřebuji nijak chránit, a pak ta, která chránit potřebuju. Do kategorie „data chráněná před nemehlem ale nechráněná před trochu schopnějším útočníkem“ v mém případě spadá přesně 0 bajtů. A nějak si nedovedu představit, k čemu by někomu bylo dobré tuhle kategorii zavádět. Ale i kdyby to někdo chtěl rozlišovat – ve zmíněném návrhu by pořád stačilo podívat se na protokol. HTTP by znamenalo spojení odposlouchávané po cestě i na konci, HTTPS bez ověřeného certifikátu spojení odposlouchávané pouze na konci :-)

Třeba důkaz? :-)

Tohle používání vlastní CA je další z řady průšvihů toho bastlu. Dá se obejít, když si uživatel nainstaluje dané certifikáty. Horší je fakt, že to běží jen pod vlastním proprietárním pluginem, díky tomu to nerozchodíte nikde, kde nemáte administrátorská práva, např. v internetových kavárnách (což ztěžuje např. přístup do schránky na cestách). Také to bude špatně (jestli vůbec) fungovat na jiných platformách než Intel+Windows (mobilní telefony, PDA, Linux etc. ), použitelnost pro slepce nejspíš také nulová.

V tomto náš stát zcela podporuji. Když už není možné tyhlety fríkulínské platformy zakázat, tak je alespoň takto odříznout či jim to jak jen to je možné znepříjemnit.
Tyhlety komunistický Linuxy nebo gayovský Macy jenom způsobujou nekompatibility a chaos. Každý normální uživatel má Windows a stát by měl podporovat jen Windows v kombinaci s Internet Explorerem a datové formáty MS Office. Je to ta nejlepší a nejvhodnější platforma.

JJ, Win+IE (nejlépe ještě s ActiveX) a je záruka světlých zítřků a cesta k vítězství pracujícího byrokraciátu. A póvl ať se přizpůsobí.

Tak se vraťme na zem. Bez problémů to podporuje Linux i Mac. Jediné omezení je v tom, že když se budu připojovat z ciziny, musím mít svůj notebook a nemůžu z cizího počítače.

Vzhledem k tomu, jak citlivá data tam jsou, to není žádné omezení. Nikdo rozumný by se stejně z internetové kavárny nepřipojoval.

To si nejsem jistý, že by se z kavárny nepřipojoval. Pokud nemám problém s tím, že ve schránce bude něco osobního, tak se naopak třeba budu chtít připojit "za každou cenu". Nikdo mi nevykrade konto (datové schránky nejsou banka), ba i ty datové zprávy 90 dnů setrvají na svém místě a pokud mi je někdo přečte, já si je přečtu v nějaké pro mne rozumné lhůtě také. Mnohem větší problém vidím, že "neopatrným" nahlédnutím na dovolené (nebo i od toho narušitele) se rozběhnou správní lhůty, které jsou šibeniční a mohou znamenta rychlý konec dovolené (čili výhoda naruby).

No tak tohle napsal snad nekdo z posty nebo MV, protoze to papouskuje clanek s rozhovorem s p. Stieglerem. A je to naprosto mimo realitu.

A nebylo by nejlepší nabídnout možnost stažení certifikátu z některého webu státu, který vlastní ověřitelný certifikát - od nějaké CA, která má certifikáty v prohlížečích - přes SSL?

to zní jako scifi - web státu (je takový nějaký?) - a stát, který vlastní ověřitelný certifikát. A jaké certifikáty vlastně jsou v prohlížečích - no přece v každém jsou jiné!

Je neuvěřitelné, co lidí se zapojuje do diskuzí, aniž by dokázali přečíst a pochopit psaný text.

Terewo nepsal o nějakém státu, co vlastní certifikát, ale o státním webu, jehož certifikát je vydaný CA, která je v prohlížečích defaultní. Můžete si být jist, že by se takový našel.

Aby byl text takto pochopen, musí být správně napsán. A to z hlediska slovosledu není. Nicméně co je státní web by mne v českých podmínkách rovněž zajímalo.

Nejpodstatnější je ale připomínka, že v prohlížečích obecně nejsou defaultní CA.

Zajímalo by mě, zda si na natvrdlého jenom hrajete a nebo jím opravdu jste. Vzhledem k tomu, že neznáte přívlastky neshodné asi natvrdlý budete.

Snad jen dvě poznámky - webů státní správy a samosprávy tu máme nepočítaně a CA.

Seznam defaultních CA pro Firefox najdete například tady http://www.mozilla.org/projects/security/certs/included

Když už jste natvrdlý, naučte se aspoň používat Google. Dost vám to usnadní život.

Nechte si laskavě urážky a rady do života neb zdaleka vaše vývody nejsou tak moudré. Pokud někdo použije ...z některého webu státu, který vlastní ověřitelný certifikát... tak to vlastnictví se týká státu. Nebo to snad znamená, že nějaký web je vlastníkem certifikátu? A rovněž bych rovnou z toho neimplikoval, že jde o web státní správy a samosprávy.

Ale k věci. Co je web státní správy a samosprávy? Kde je fyzicky, to nepoznám. A doménu často "vlastní" dodavatelská firma nebo třeba i ajťák coby fyzická osoba (který ani není zaměstnancem úřadu). Nemáme žádný oficiální státní web! Zvlášť pokud se vedou diskuze o důvěryhodnosti. Ani doména gov.cz zatím žádné důvěryhodnější postavení nemá.

Co se týká defaultních CA pro Firefox - A co další prohlížeče? Tudy asi také cesta nepovede.

Tedy, co je důvěryhodné může opravdu označit jen stát a že to nedělá systémově (dělá-li to vůbec) tentokrát nebude chyba úřadů. Ty si sami nepomohou nějakým vykonstruovaným řešením, které se např. zde navrhuje.

Ne že byste zrovna pobral dar umět diskutovat. Na jiný názor reagujete především urážkami, ale to je vaše věc.

A klidně vás poprudím. Stát žádné oficiální weby nemá. Tečka. Stejně jako nelze z defaultních CA různě posbíraných prohlížečů určit oficiální CA (gůglete třeba 100 dalších prohlížečů). Je to jistě hlavně věc legislativy, ale je to tak. Proto se šlo, neříkám že šťastně, cestou kvalifikovaných CA.

A klidně vás poprudím. Stát žádné oficiální weby nemá.

Ano, napr. www.vlada.cz vlastni nejaky Vlada, www.psp.cz pronajali od Playstationu nasemu parlamentu z charitativnich duvodu atd.

Ty jses takovy trubka, ze to fakt nema smysl dal ztracet cas.

No já bych zrovna na parlamentním webu certifikát k datovým schránkám nehledal. Možná by ho tam hledal nějaký trubka...

Ano, zato inteligent zasadne reaguje na to, co nebylo receno, takze zatimco reakce byla na ryze dementni vyrok Stát žádné oficiální weby nemá. Tečka, tak dotycny trubka "reaguje" na to, ze na webu parlamentu by certifikat nehledal. Opravdu vrchol inteligentni debaty.

Výsledky ověření platných kvalifikovaných systémových certifikátů akreditovaných poskytovatelů certifikačních služeb

Česká národní certifikační autorita - CSCA, Česká národní verifikační autorita – CVCA.

Predpokladam, ze web na vyse uvedene domene je take ryze soukromy, patrne ho provozuje nejaky Marek Vasut z CR.

Je neuvěřitelné, co lidí se zapojuje do diskuzí, aniž by dokázali přečíst a pochopit psaný text.

Ano, napr. jisty debil s prezdivkou MB.

Nechápu na co si hrajete svými permamentními urážkami. Na inteligenta těžko.

Mimo to ohrožují bezpečnost údajů: První trestní oznámení je na světě. http://www.abclinuxu.cz/zpravicky/trestni-oznameni-datove-schranky