Vlákno názorů k článku Blokování webů by mohlo vést ke zdražení cen za připojení k internetu od Tomáš Bleša - Pokud jsou mé znalosti správné, tak se dnes...
-
Pokud jsou mé znalosti správné, tak se dnes mohutně prosazuje přechod na https. Na https jde ale GET požadavek až poté, co klient se serverem zahájí šifrovaný přenos. Mám za to, že software někde uprostřed nemá vůbec šanci z dat zjistit, na jakou stránku se přistupuje. Dokonce by neměl vidět ani jméno virt. serveru. Na https jde tedy blokovat jen celá IP adresa, tj. všechny weby, které jsou na dané IP hostované a logicky tedy i všechny jejich podstránky.
Buď mi něco uniká a nebo je požadovaný typ cenzury na https technicky neřešitelný. Cenzor by musel znát privátní klíč webserveru, aby zjistil, kam směřoval request.
Pokud bude na jedné IP hostováno více webů a jeden z nich bude nelegální, tak to odnesou všechny weby na dané IP. Pletu se? -
Jméno virtuálního serveru u HTTPS vidět je.
Na úrovni protokolu HTTP je sice hlavbička Host: už zašifrovaná, ale ono se to jméno přenáší i předtím v rámci TLS handshaku přes Server Name Indication (SNI). A to nešifrovaně, protože teprve na základě SNI se server rozhodne, kterým certifikátem se spojení zajistí.
-
nn (neregistrovaný)
Navíc některé pokročilé firewally umí dělat Man-in-the-middle útoky, a až po prověření dané komunikace pošlou data dál.
Což má např. ve firmách ochranný efekt, ale jde to zase zneužít, kdy stát filtruje i HTTPS.Ochranou proti MITM útoku je např. mít 2 připojení k Internetu, tedy 2. kanál pro ověření, že na mém 1. kanálu se nic nezměnilo.
-
fd (neregistrovaný)
To neni problem vubec nikde, ve svem systemu/prohlizeci/... mate desiky tzv "duveryhodnych" CA. A branit se muzete jedine tak, ze vsechny CA odstranite, a zmenozmite jakekoli dalsi aktualizace. Nemuzete totiz ani deklarovat, ze dane CA duverujete, ale pouze pro vybranou skupinu adres.
Tudiz staci, kdyz stat ovladne (a to pro nej je trivialni uloha) jedinou z tech CA ktere v systemu mate.
-
Tomáš2 (neregistrovaný)
lze vidět i doména, prortože SNI, ale jinak máš pravdu. Techické řešení existuje, říká se mu MitM a u https funguje tak nějak, že na cestě podvrhnu svůj důvěryhodnej certifikát pro daný web a budu terminoval SSL/TLS spojení u sebe, což ale je problém, žádná autorita vám nevystaví důvěryhodné certifikáty pro cizí služby - to by pak podle pravidel už nebyla důvěryhodná a těžko zákonem nakáží, že uživatel musí věřit jejich certifikátu.
Další možnost je hrubou silou louskat SSL/TLS, což je drahé a nejisté.
-
Ja bych to s temi CA prilis neprecenoval. Kdyz se podivate do seznamu duveryhodnych CA napriklad na svem Androidu, tak tam najdete (nejenom) "Japanese Government ApplicationCA", kterou pouzivaji vladni agentury Japonskeho cisarstvi. Ale lidi si stale budou myslet, ze je nasazeni TLS v realite naseho sveta nejaky bezpecnostni zazrak. Kdyby ano, tak by ho davno zakazali :-)
-
Tomáš2 (neregistrovaný)
android nemám, nepodívám, ale tahle CA je provařená, je i v Firefoxu.
Každopádně nevím o tom, že by v současné době měla česká vláda nějaké obecně příjmané CA.
Nemám žádné velké mínění o spolehlivosti CA, ještě k tomu když si je každý prohlížeč spravuje sám. Jedná se ale o poměrně silný bezpečnostní mechanismus a jen tak nikdo ho nedokáže obejít. V záloze je ale pořád DANE, ač k plošnému nasazení je daleko.
-
Protoze vlady, ktere tam nemaji sve kone, si proste objednaji "komercni sluzbu" od nejake hackovaci firmicky ze statu, kde tu spravnou dirku maji. Proto tam nemusi byt radove stovky vladnich CA, ale staci jich par od tech, kteri spolu mluvi.
Nechci diskutovat o tom od koho kupuji podobne sluzby staty s urovni a vlivem jako napr. Ceska republika...u techto zemi je spise hlavnim problemem to, kdo v tech statech danou vec muze pouzit...a samozrejme nekontrolovane zneuzit. Jenze to souvisi spise s netechnickymi vecmi jako napr. moralkou, ucinnou kontrolou a osobnostnimi kvalitami nejvyssich spicek.
-
Tomáš2 (neregistrovaný)
tohle se dá použít na jednotlivce, nikoliv masivně, jakmile se provalí, že někdo masivně používá určitou CA k MitM, věřím, že rychle bude odstraněna z důvěryhodných. Alespoň já to tak udělám pro několik firem a stejně tak budu lobovat za další správce.
Jinak tahle slabina mi ani moc nevadí, lze jí totiž velice snadno identifikovat. Osobně si ukládám otisiky všech certů z webů, v plánu mám zkoušet porovnat chain z více různých serverů, ale zatím jsem na to neměl čásek :)
