Tento prispevek nijak konkretne nesouvisi s jakymkoliv SSL serverem tim mene serverem NICu - jen reaguje na casto opakovany pomerne nebezpecny omyl.
Takova otazka - co myslis - je lepsi uzivatele nutit do toho, aby se o svoji bezpecnost postaral, nebo mu dodat "zdani bezpecnosti" tak, aby byl spokojeny a o nic se nestaral - bez ohledu na realne zabezpeceni ?
Pripomelo mi to jednu agenturni zpravu na prvni pohled nesouvisejici s tematem: Rakusaci jsou proti jaderne energii. Jejich rozvodne zavody ale elektronu z cech prodavaji a tedy i elektronu jadernou. Aby se vlk nazral a koza zustala cela, lze v Rakousku zakoupit filtr, ktery zapojis do zasuvky a ten nepropusti do spotrebicu elektrinu z jadra, kdezto ostatni propousti.
Zakoupeni certifikatu od autority predefinovane v prihlizeci s tim, ze uzivatel NEMUSI individualne posoudit ani bezpecnost one autority ani onoho certifikatu je uplne stejnym siditkem - a dokonce maji oba pripady spolecne i to, e motivace je v obou pripadech ciste ekonomicka. Prodej certifikatu tzv "bezpecnymi autoritami" je reklamni tah, ktery s realnou bezpencosti nesouvisi. Souhlasim ale, ze pro kazdou pitomost se mezi "realnymi lidmi" kupci najdou. Ty filtry pry jdou v rakousku na odbyt dobre ...
Nicmene - na toto tema uz tady clanek byl, i s diskusi, ktere jsi se take ucastnil. Takze, abych tady nemusel opakovat jiz vyrcene - muj postoj je vyjadren uz tam a tady je nutne jen prohlasit, ze zaver plynouci z toho clanku plati i v soucasnosti.
Mimochodem - z meho pohledu je cely spor o tom, ze jsi navrhnul pouziti certifikatu "preddefinovane" autority jako zvyseni bepecnosti. Proti pouziti toho certifikatu ja nic nemam - jen konstatuji, ze prijatelne zduvodneni je "snizeni bepecnosti a ucelem zvyseni pohodli". Pokud se tedy domnivas, ze ja jsem principialne proti pouziti certifikatu nejakych konkretnich autorit (tezko mluvit o konkretnich, protoze ruzne prohlizece a dokonce ruzne jazykove mutace teze verze tehoz prohlizece maji preddefinovane seznamy ruzne), pak se mijime v predmetu sporu.
A jen mama poznamka k poslednimu odstavci - NEEXISTUJE zadne OBECNE pravidlo komu a za jakych podminek muze byt vydan nejaky certifikat. To, ze by jedna autorita nekomu konkretnimu zcela konkretni certifikat nevydala NAPROSTO NEZNAMENA, ze by mu ho nemohla zcela legitimne vydat nejaka jina. Je velmi tezke v teto souvislosti mluvit o "poskozenem uzivateli" - CA neodpovida za to, jakym zpusobem je certifikat pouzivan ani zato, ze v nej vkladate duveru v sirsim kontextu nez urcuje jeji vlastni certifikacni politika, at uz ji znate nebo neznate. Pokud zjistite, ze nejaka jina CA vydala nejaky certifikat, jehoz vydani se Vam nelibi, pak jedine co muzete je, pozadat ji, aby prezkoumala, zda jeho vydanim nebyla porusena JEJI VLASTNI pravidla. A pokud ne, pak skoncil jakykoliv vas narok cokoliv zadat. Protoze pokud se vam certifikacni olitika prave teto CA nelibi, nemusite jeji certifikaty uznavat. Jenze to si musite posoudit sam. Celkove se obavam, ze systemum certifikacnich autorit prisuzujete vlastnosti, ktere nejenze nema a nikdy nemel, ale predevsim takove, ktere nikdo nikdy netvrdil, ze mit ma nebo mit bude. Mam na mysli vasi utkvelou predstavu, ze kazda "duveryhodna" autorita ma nejakou obecne platnou definici duveryhodnosti a ze vsechny overuji tutez cast skutecnosti. Jenze na to nebyl PKIX system navrzen a tuto vlastnost proste nema (a mit nemel). A to je druhy zakladni rozpor mezi nami, bez ktereho se nema smysl postet do dalsich rozboru.
Rizika pri pouziti certifikatu vystaveneho tretim subjektem je daleko vetsi nez u self-signed certifikatu - proste proto, ze je vic veci ke ztraceni a vic lidi s prilezitosti chybovat nebo skodit. Soucasne je verifikace certifikatu "studiem certifikacnich politik" namahavejsi a mene spolehliva nez verifikace overenim fingerprintu. Vysledek ? Self-signed certifikat zajistuje, ze hovorite opravdu s tim, s kym opravdu hovorit chcete spolehliveji.
Mimochodem, ten prispevek si nepamatujete uplne dobre - mluvil jsem o tom, ze jsem si nechal vystavit certifikat spravny - ale overovani probihalo tak, ze bych ho uplne stejne dostal i kdybych lhal. Jen v kratkosti pripomenu - CA pozadovala vypis z rejstriku v originalu (dodal jsem ja, mohl ho pozmenit) a v anglickem prekladu (prelozil ja - a ja moc anglicky neumim takze jsem se klidne mohl splest). Dale vyzadovala potvrzeni CZ.NIC o tom, ze dotycna organizace ma v drzeni prislusnou domenu - i to jsem dodal a podepsal ja (neslo o podvod - ja je tehdy skutecne za CZ.NIC vystavoval a vystavil jsem ho s presnymi a pravdivymi udaji i v tomto pripade - prekvapive bylo, ze to ze jsem ho vystavil a podepsal take ja nepripadalo CA podezrele; nicmene, stejne nemaji paru kdo v Cechach muze takov apotvrzeni vystavovat, takze nemeli co overovat). Dale vyzadovala podpis jednatele, ktery dostala (pravy podpis teto osoby nikdy nevidela, takze pravost nemohla overit). A samozrejme - penize. Ty jsem pochopitelne take poslal ja prostrednictvim platebni karty. Vlastne jim vsechny papiry poskytla jedina osoba a s dvema vyjimkami je take tataz osoba vytvorila. Jiste nemusim slozite vysvetlovat, ze tyto dokumenty bych dokazal vytvorit pro jakoukoliv kombinaci "firma" x "domena". TENTO certifikat byl skutecne vystaven spolecnosti, ktere prislusna domena patrila. Nebyla to ale jejich zasluha, ale ciste moje - ze jsem se proste rozhodl vsechny udaje uvest spravne. Tato autorita byla v seznamu duveryhodnych tehdejsiho MSIE. Neni si tedy na co stezovat (navic, tento certifikat uz expiroval a ani ta CA uz neexistuje). Neni ale jiste, zda by bylo, kdybych si vice ci mene vymyslel. Certifikacni postup totiz byl popsan v certifikacni politice - a byl presne dodrzen. Vydanim certifikatu tedy bylo overeno presne to, co bylo tvrzeno, ze jeho vydanim overeno byti ma.
V podobnych diskusich se vzdycky najde nekdo, kdo nelituje casu uvest, ze takovy Verisign nebo Thawte ma overovaci postupy propracovanejsi. Je to mozne, ale nepodstatne. Celkova duveryhodnost se neodviji od te nejlepsi autority, ale od te nejhorsi. A jelikoz duveryhodnost je vlastnost subjektivni, musite duveryhodnost vsech autorit proverit vy sam. Muj Explorer (ktery nepouzivam) obsahuje 130 preddefinovanych autorit. To znamena precist a vyhodnotit 130 certifikacnich politik a posoudit celkovou duveryhodnost nemaleho poctu firem. Pokud jen jediny certifikat nebo jen jedinou firmu vynechate, je celkova duveryhodnost JAKEHOKOLIV sifrovane komunikace prakticky nulova.
S poslednim odstavcem souhlasim jen podminene. CA jsou tu samozrejme prave od toho, abych nemusel kazdy certifikat overovat osobne - ale nejsou tu od toho, aby overovaly to, co si myslim ja, ale od toho, aby overovaly to, co sami rekli, ze overuji. A dokonce i v pripade, ze overuji to, co si preju overit, jeste to neznamena, ze to overuji takovym zpusobem, ktery me pripada dostatecny. Jinymi slovy (vy to mozna vite, ale vetsina lidi si to neuvedomuje), CA NENI samo o sobe zadne magicke slovo zarucujici cokoliv. Dokonce ani "CA preddefinovana v prohlizeci" nezarucuje z hlediska bezpecnosti naprosto cokoliv. V konkretnich pripadech to tak samozrejme byt muze, ale nemusi. A naopak, self-signed neni synonymem pro "levny", "menecenny" ani "mene bezpecny". V konkretnich situacich to tak nekdy byt muze, jindy byt nemusi a jindy mohou byt dokonce bezpecnejsi. Pripomel bych, ze cela hadka zacala nad autoritativnim tvrzenim o tom, ze nekdo by "snad mel mit prachy na poradny certifikat" (to neni citace, ale smysl je, myslim, zachovan). Zrovna v tomto pripade totiz "poradny certifikat" zadnou vyssi bezpecnost neprinasi.
Ale co - cela debata je stejne zcela akademicka - soucasne browsery takrka znemoznuji zajistit bezpecnost i ten, kteri vedi co to je a rozumi tomu (detailne je to popsane v clanku na ktery jsem uz jednou odkazoval).
Samorejme, pokud se rozhodnete tem CA slepe verit, pak zadne politiky nezkoumate - pak ale muzete uplne stejne slepe verit i tem certifikatum a neoverovat ty fingerprinty ...
Muzete samozrejme CA verit i neslepe - blize neurcenym zpusobem rozhodout tak, jak jste o tom mluvil. Pak se ale uplne stejne muzete podivat na certifikat a blize nespecifikovanym zpusobem rozhodnout i o nem zda je ci neni duveryhodny. V tom velky rozdil nevidim.
Já se naopak domnívám, že v tomto případě je použití self-signed certifikátu vhodnější. Protože dojde-li ke komplikacím, je to čistě záležitost těch dvou stran - CZ.NIC a klienta. Není potřeba se spoléhat na nikoho třetího a není možné se na nikoho třetího ani vymlouvat.
Ale mate jinak pravdu - tento thread vzniknul skutecne na zaklade otazky "zda C>NIC nema na poradny certifikat". Pricemz poradnym certifikatem tazatel rozumel certifikat vystaveny preddefinovanou autoritou. S tim, ze CZ.NIC (a vubec kazdy, kdo certifikat ma) ma mit certifikat "poradny" lze jedine souhlasit. Moje nesouhlasna reakce ale byla namirena proti rovnitku mezi "poradna CA" a "preddefinovana CA".
Jinak jsem ale z Vaseho prispevku pochopil, ze se mnou nesouhlasite. Ja vas nebudu presvedcovat. Protoze jste neuvedl zadne argumenty, ktere by tu uz nepadly ba co vic neuvedl jste naprosto zadne argumenty, nebylo by to tak jako tak mozne. Bezpecnost je zalezitosti viry. A vira nemusi podlehat racionalni argumentaci. Coz nebudiz chapano jako prohlaseni "stejne mam pravdu ja" jako spis "stejne mam nadale jiny nazor" - protoze ja na jeho zmenu argumentaci potrebuji.
Mimochodem, proc naprosto nejasne formulovany a zavadejici mail posilal vsem majitelum domen? Chudaci, mnozi z nich byli primo zdeseni co se deje...
PS: Jako perlicka na zaver, kterou mi zrejme neobjasni je, jakym zpusobem CZ.NIC komunikuje a spolupracuje s Ministerstem Informatiky a Ministerstvem dopravy... (Currently, the management of .cz is done in cooperation with the Ministry of Information, Ministry of Transport and Communications and Office for the Protection of Competition - Google Vam jiste najde zdroj textu) a jakym zpusobem je "Relationship with Government: Formal" - fak toho dosahl?!
A proc to CZ.NIC spousti? Pravdepodobne proto, ze odpovedni lide povazovali system na zraly k prechodu. Bezesporu dotycni za sve kroky nesou zodpovednost, nicmene je legracni, ze povazujete CZ.NIC za "amatery", ci neco horsiho. Dovoluji si podotknout, ze pravdepodobne nakupujete konektivitu a dalsi internetove sluzby u amateru, nebot CZ.NIC neni tvoren nikym jinym, nez vetsinou poskytovatelu telekomunikacnich a internetovych sluzeb :-)
Diskuse na toto tema pozbyva smyslu. Obavam se, ze nedokazu pracovat s emocemi tak efektne jako Vy, proto Vam prenechavam bojiste a preji hodne uspechu v dalsim levelu.
uvedeny nazor je soukromy
Je na valne hromade, aby rozhodla, jaka opatreni budou prijata. Nejsem zadny vodic loutek, abych dokazal predejmout, jak to dopadne.
Je na valne hromade, aby rozhodla, jaka opatreni budou prijata. Nejsem zadny vodic loutek, abych dokazal predejmout, jak to dopadne.
Uvedeny nazor je soukromy
Paklize Vam dela problem diskutovat bez osobniho napadani, pak diskuse s Vami skutecne nema cenu.
Pokud se tyce mechanismu prevedeni, musite se asi smirit s tim, ze vyklad pravidel managementem CZ.NICu je pravdepodobne jiny nez vyklad Vas.
Podle meho nazoru neni problem ani tak v tom, ze vyklad je JEDNOTNY (ostatne ruzne nazory napriklad na pravidla ve forme zakonu maji i soudci). Podle meho nazoru chybi dokument, ktery by popisoval day-by-day fungovani CZ.NICu v prechodnem obdobi.
Pokud mam vzit tu pripominku globalne, pak je pravda, ze se CZ.NICu nedari jasne a efektivne komunikovat s komunitou. Povazuju to za velmi nestastne, nicmene dle meho nazoru je ten problem relativne nesnadno resitelny (v kratke dobe).
DR neni vykonny organ a nemuze se podilet na rozhodovani. Respektive, DR se jednou pokusila ziskat pravomoce k primejsi kontrole managementu, ale byla valnou hromadou odmitnuta.
Zamer (ale i pravidla) systemu nepripominkovala DR, ale pripominkovali je vsichni clenove na seminari a nasledne nekteri z nich take na valne hromade. Nicmene doufam, ze chapete, ze clenove na valne hromade nebudou pripominkovat zpusob a formu komunikace.
Pokud se tyce Vaseho chapani. CZ.NIC neni rizen nemeckym modelem. Takze dozorci rada neni exekutivni organ. Tudiz se nemuze podilet na rozhodovani. Viz. zasady korporatniho prava. Kazdy organ ma takove pravomoce (a odpovednost), ktere mu prisoudi zakon ci stanovy.
Souhlasim s Vami, ze se CZ.NICu nedari komunikovat jednoduse a bezchybne. Predpokladam, ze se toto zjisteni objevi ve zjistenich dozorci rady. Nicmene nemam dojem, ze prave ted je doba, kdy bych mel na nekoho ukazovat prstem.
Sice chápu, že pochopení fungování akciové společnosti, podle jejíhož modelu je CZ.NIC řízen, není zcela triviální, ale dá se to zvládnout.
Tato odpověď Zuzany Durajové je v rozporu s odpovědí, kterou jsem od "Správa domény .cz" <info@nic.cz> dostal já:
Dobry den, datum expirace uvedene v prohledavani domeny neni datum zruseni domeny. Pokud vam prijde vyzva k platbe, budete mit na jeji zaplaceni 39 dni, stejne jako tomu bylo driv. Jakmile zaplatite poplatek za domenu, plati vam opet na rok. Pokud si nevyberete registratora a budete chtit zustat v LRR prijde vam vyzva k platbe od LRR. Poplatek zatim stale cini 800 korun.
s pozdravem, staudova Petra
(Zvýrazněno mnou.)