"Ukazuje se totiž, že není zcela v kapacitách každého majitele webu věnovat dostatečnou pozornost všemu, co se zrovna děje na trhu s digitálními SSL/TLS certifikáty, a pružně na všechny změny reagovat."
Tak to je chyba majitelů webu, pokud nevěnují dostatečnou pozornost zajištění a bezpečnosti vlastních webů, ne?
To je jako svěřit správu svého výrobního areálu lídrovi na trhu, a pak rok ignorovat či nečíst zprávy o průšvizích tohoto správce a o tom že mu jiní přestali důvěřovat (a že to na vás bude mít velmi konkrétní dopad, např. ztrátou ISO certifikace, aby analogie s nedůvěryhodnými weby více seděla).
Já jsem netvrdil nic o tom, zda to lez nebo nelze. Psal jsem, zda to odkážete vy. Zabezpečení totiž není binární, že něco zabezpečené je nebo ní. Je to celá škála – můžete se zabezpečit proti slabším (a levnějším) útokům, ale silnější útok neodrazíte. A nebo se můžete zabezpečit i proti silnějším útokům. Předpokládám, že ve dveřích od bytu také máte nějaký zámek – přestože váš argument by zněl „každý zámek lze překonat, takže nemá smysl mít na dveřích žádný zámek“.
Buď nám předveďte, že máte privátní klíč od certifikátu vystaveného důvěryhodnou certifikační autoritou na doménu www.google.com, nebo se budete muset smířit s tím, že na zabezpečení proti vám je i tohle podle vás slaboučká zabezpečení více než dostatečné.
Buď nám předveďte, že máte privátní klíč od certifikátu vystaveného důvěryhodnou certifikační autoritou na doménu www.google.com, nebo se budete muset smířit s tím, že na zabezpečení proti vám je i tohle podle vás slaboučké zabezpečení více než dostatečné.
Nepochybuji o tom ze umite cist, tak jeste jednou jako pro male dite. Vite co dela kazdy antivirus? Zjevne nikoli. Generuje tisice "duveryhodne" podepsanych cerifikatu pro zcela kazdou domenu kteru dotycny ve svem browseru otevre. Procpak to browseru vubec nevadi? Vzdyt kdokoli cestou mohl obsah zmenit? Uplne stejne funguji vsemozne firemni proxy a nekonecny zastup "duveryhodnych" CA.
Myslite? Schvalne, k cemu provozovatel webu potrebuje ssl, a co mu prinese posveceni pripadneho certifikatu jakousi ca.
Az to zodpovite, muzeme pokracovati. Tataz otazka z druhe strany - uzivatel.
Nez zacnete vypravet cosi o bezpecnosti, tak si znovu (a pak jeste jednou) prectete clanek pod kterym reagujete. O bezpecnost totiz vubec nejde. S bezpecnosti to nema a ani nemuze miti nic spolecneho. Kdyby miti melo, tak dotcena ca neexistuje jiz nekolik let a sni mnohe dalsi.
Co je asi tak bezpecneho na tom, ze si kdokoli muze nechat podepsat certifikat napriklad od LE. Na libovolnou domenu. Protoze je to otazka nejakeho souboru na nejakem webu, pripadne nejakeho zaznamu v tom (neduveryhodnem)* DNS systemu.
*Neduveryhodnem neboot pry neni dostatecne duveryhodny na to, aby otisk certifikatu byl primo v nem, ale zjevne je dost duveryhodny na to, aby na zaklade zaznamu v nem CA certifikat podepsala, coz je obzvlaste vesele, nebot ona CA muze libovolny certifikat podepsat na zaklade sve libovule. Kdezto otisk do DNS muze vlozit pomerne velice omezene mnoztvi subjektu (a drzitel ci provozovatel se o tom velice snadno dozvi).