Banka poradi presne totez - mel sem tu cest narazit v pripade CSOB na neplatny (expirovany) certifikat ... jejich reseni "tak to odkliknete" ... Teprve po nekolika hovorech (a toho ze se ze me snazili udelat debila) to predali nejakymu technikovi, a ten se ( po pokusu ze me taktez udelat debila) zarazil, rek mi "zkuste to za 10 minut" a za tech 10 minut tam byl certifikat validni. Ale chci videt kolik lidi je ochotno se s nekym 1/2 den dohadovat.
Takze se vubec nedivim uredniku, kteri to maji "vprdeli", nehlede na to, ze u systemu statni spravy bych ucekaval, ze je to poreseno tak, ze v pripade neautorizovaneho certifikatu system prihlaseni vubec neumozni, protoze nechat neco takovyho na uzivateli, je v takovym pripade naprosto neakceptovatelny.
Dovolim si nesouhlasit. Pak totiz certifikaty efektivne ztraci jakykoliv smysl a zustane jen pocit falesneho bezpeci. Jen doufam, ze lidi uvazujici jako Vy jsou stale v mensine, i kdyz se obavam, ze je to prave ta "vladnouci". Jinak p. Peterkovi patri obdiv za to, ze o tom dokaze psat s nadhledem a chladnou hlavou. Ja z toho citim jen odpornou nekompetenci predrazene statni spravy.
neoverenie certifikatu sa podla mna da prirovnat nasledujucej situacii:
pridete si vybrat do banky peniaze z uctu/zariadit prepis v katastri a ako doklad ukazete ciernobielu kopiu obcianskeho preukazu..
a na udiveny vyraz cloveka za prepazkou odpoviete: 'ved to tam u vas odkliknite , to som predsa ja'
prijmout neznamy cert je podle me dost fatalni chyba, hlavne u takhle velkyho systemu . Dejme tomu poprve, ale kdyz se to bude opakovat casteji, coz pocitam ze bude, nene pak problem podstrcit falesny , aniz by si toho nekdo vsimnul , a pak uslysime , hackeri napadli to a to . Prdlajs, oni pak jen vyuziji "zakony" zpusob napadeni , jelikoz apps je nedostatecne ochranena. A problem c.2 bude na svete . Vy snad lezete do sve banky taky s nejaym radoby certem ?
Jiz 2.7. jste poslal upozorneni a cele 2 tydny se nic nestalo! Delam si srandu, ale ve skutecnosti je dobre, ze se tim zabyvate. I kdyz hlavni problem je momentalne jinde, ale jeho zdroje jsou stejne: nekompetentnost. Bohuzel pri urovni naseho vzdelavaciho systemu neni dostatek odborniku, ale co s tim? Alespon takovymto verejnym pranyrovanim odstranit ty nejvetsi nedostatky.
Pokud bude úředník nucen přihlásit se certifikátem na zabezpečeném prostředku,, bude vám heslo k ničemu.
A i kdyby to metodicky udělalo Ministerstvo správně, pořád tu bude možnost ba jistota, že to pár úředníků stejně udělá špatně. Takže systém by měl počítat, že do komunikačního kanálu se dostane někdo neoprávněně a bude odposouchávat.
Bavime se prave o tom, ze urednik odklikne (libovolny) certifikat => nabidnu mu libovolny certifikat, odpovidajici rozhrani a urednik mi posle svoje heslo, ktere necham probublat az do registru. Nasledne muzu samo totez heslo pouzit pro ziskani pro me zajimavych dat...
I kdyz otazka je, zda nebude jednodussi si registr sosnout z ulozto nebo podobne, pocitam ze je otazkou hodnin az dnu nez se to tam objevi.
Doporučuji se podívat na tyto analýzy:
https://www.ssllabs.com/ssltest/analyze.html?d=szrcr.cz
https://www.ssllabs.com/ssltest/analyze.html?d=web05.hosting.qcm.cz
To je zcela mimo mísu. Popisovaný web není součástí systému registrů!
Jedná se o informační a propagační web bez jakýchkoliv soukromých či důvěrných informací.
Web neběží na SSL, https odkazy se nikde nezveřejňují (kdyby ano, tak vás ubezpečuji, že tam nainstaluji komerční certifikát pro danou doménu). Ta analýza ukazuje správně selfsigned certifikát daného webového serveru web05, což není nic v zásadě špatného.
Protoze kdyz je uz nekdo ma, tak je spis bude prodavat. Je to celkem vynosny business:
http://www.cekia.cz/magnusweb/
http://www.cekia.cz/en/bizguard
O velikosti cerneho trhu s daty lze jen spekulovat.
Ten dotaz je prave zcela chybnou implementaci a konfiguraci, urednik by takovy dotaz vubec nemel videt, maximalne tak upozorneni o neplatnosti certifikatu, bez jakekoli moznosti cokoli odkliknout.
Vuci vebu se pak lze autorizovat klientskym certifikatem, kde si webserver overi, ze je to platny certifikat a neni nasledne nutne pouzivat login/password (natoz to nekde na serveru ukladat - v provedeni registru v cr jisto jiste jako open text).
Nekontrolovat CN/SAN? Takze proto, ze existuje par statem sponzorovych utoku na CA, tak snizime bezpecnost tim, ze CN/SAN nebudeme kontrolovat vubec?
A kdyz vydaji novy certifikat po roku (nebo jak dlouha je platnost), tak preinstaluji/prekonfiguruji vsechny instalace, aby prijimaly nove seriove cislo?
Jenom doufam, ze kontrola serialu je _navic_ k validaci retezce certifikatu (nevidim to tam explicitne a mel bych obavy ze to tak neni, protoze kontrola CN/SAN je soucasti PKIX validace).
Kontrolovat hashu serveroveho certifikatu dava spis smysl, mozna lepsi by bylo kontrolovat hash certifikatu vydavajici CA nebo jeji SPKI (CA certificate/SPKI pinning).
Venkoncem, autorovi takové příručky nebo doporučení se nelze divit-on už má jen úkol udržet v provozu špatně navržený a provedený projekt. Tedy-byl by správně navržený a provedený včetně té bezpečné distribuce certifikátů.I to by mělo být součástí toho projektu-buď automaticky, nebo přímo krokem, který by stanovoval, že příslušný servisní technik má objet všechny počítače a certifikát tam nainstalovat-a nebo obraceně, že uživatelé si musí (ale skutečně musí) pro ten certifikát s fleškou někam dojít. Při takovém postupu by jediná správná rada při hlášení neznámého certifikátu byla "aplikace je nefunkční,ohlaste reklamaci a zastavte práci.."
Radit cokoliv jiného je hazard s bezpečností státu. Asi je to podobný případ, jako kdyby strážný při vstupu na atomovou základnu zjistil, že mu návštěvník překládá falešný doklad. A na "helpline " mu řekli "jó to se stává, tak to ignorujte a pusťte ho dál
Asi takhle-pokud by toto bylo součástí návrhu toho projektu, jeho bezpečnostní manažer se podepsal pod rozhodnutí "certifikáty budou rozesílány oprávněným uživatelům" přes datové schránky a toto bylo uvedeno v dodaných pokynech té aplikace a uživatelské dokumentaci, tak potom bych takovou cestu přijal. Jestli je tahle cesta bezpečná pro úřední a soudní dokumenty, tak i pro certifikáty.
Ono absolutní bezpečnost nebudete mít nikdy.i při jakémkoliv jiném postupu je jistá pravděpodobnost podvodu.Jestli to bude instalovat nějaký servisní technik, i ten může být podplacen, jestli si dojdu pro certifikát na Czech Point, může mi ten podvodný certifikát nakopírovat ta holka za počítačem (nakonec, ten podvodný certifikát může nějaký admin-hacker uložit na úložiště, odkud si ho uživatelé kopírují) , atd...Čili, vždy se pohybujete v nějakém procentu rizika, kalkulovávaném v tom projektu. Ale jestli projekt radí vlastní bezpečnostní pravidla ignorovat protože jinak nefunguje,,..to je pak na kriminál..
Šlo mi o tu oficiální cestu, nebo úložiště kterým bude zajištěno, že ten konkrétní veřejný klíč je správný a nepodvržený. Prostě, tu informaci, "veřejný klíč je tam a tam", tak si ho touto oficiální a důvěryhodnou cestou zajistěte Toto by mělo být uvedeno v té příslušné uživatelské dokumentaci jako součást instalace.
Nikoliv že v dokumentaci bude uvedeno, že uživatel má ignorovat bezpečnostní hlášení systému o neznámém certifikátu.
Samozřejmě, druhá věc je, že ani do systému veřejných schránek, ani (natož) do systému veřejných registrů zase nemůže )vlézt kdekdo, prostě že brouzdá internetem a má zájem se podívat co je na tomhle serveru zajímavého, nebo ho nějakým primitivním způsobem hacknout. Pochopitelně že dovnitř mají přístup pouze oprávnění uživatelé,jejiž autorizace musí být provedena předepsaným způsobem. To, že by součástí procedury přidělení oprávnění mohlo být i předání veřejného certifikátu,, jakož i kontrola zabezpečení přístupu, by mělo být samozřejmostí. Ba dokonce, při státním projektu takového významu by měla být v uživatelské dokumentaci věta opačného významu "Uživatel je povinen si opatřit veřejný certifikát touto předepsanou oficiální cestou. Kdo místo toho pouze ignoruje hlášení o nedůvěryhodném certifikátu, dopustil se tím hrubým způsobem porušené bezpečnostních pravidel a za a) bude mu odebráno oprávnění přístupu za b) Bude souzen dle příslušných paragrafů trestního zákoníku..
Ta komunikace je přes webové služby a ty většinou běží ze serveru. To tam má být nainstalováno třeba 1000 certifikátů? Navíc jakou má tam úředníček kontrolu nad svým privátním klíčem? Ale jinak ano, řada systémů včetně Czechpointu má přihlášení certifikátem úředníka z jeho PC.
Nicméně se tady tak trochu směšuje certifikát pro komunikaci a certifikát pro přístup do aplikace. Ten se snad neřídí zásadou Chcete pokračovat Ano - vím o c o se jedná.
protoze jim to stale nefunguje, vsadim se, ze nez to zprovozni , zadost na nahradu skody bude daleko vyssi nezli cena za reseni , takze neber tento smejd za ty pracy, udelal bych to asi tak nasledovne, 38mil - vznikle skody , nakonec ta firma bude jeste rada , kdyz sama sebe posle do konkurzu
Upřímně řečeno ten systém certifikátů se dá snadno použít i na hlídání úředníků. Kdyby měl každý (což by měl mít) svůj vlastní certifikát, se kterým by se do systému přihlašoval, tak by šlo jednoznačně určit, kdo který úkon udělal.
Tahle instalace jednoho certifikátu pro celou kancelář si v podstatě automaticky říká o zřeknutí se odpovědnost. Já ne, to on. Když už jsou technické možnosti, měli by se využívat.
Častěji? Když jednou certifikát příjmu, podruhé už to opakovat nebudu. A nebezpečí - čí? Jak bylo konstatováno, pro úředníka težko. Nebo tam na něj někdo připraví registr s miliony falešných dat? Pan Peterka popsal řadu závažnějších prohřešků proti bezpečnosti a správné práci s certifkáty - nevím proč bazíruje pořád na tomto. Zase se tu budeme točit, že se může vystavit certifikát na web, ale ten také může být podvržený nebo, že se má úředník spoléhat na certifikační autority kdesi v Americe, protože je jeho windows považují za bezpečné. Ale dobře Ministrestvo rozešle všem OVM v zapečetěných obálkách certifikáy a každý úředník bude povnen si stažený certifikát byte po bytu zkontrolovat - dostane podrobný návod ke kontrole a istalaci, A všichni budeme spokojeni.
Kontrola kanonického jména je ve své podstatě buzerace, která přidává omezení na doménové jméno nebo IP adresu (nebo cokoliv jiného) a která dokonce může umožňit podvod, kdy jiná autorita vydá certifikát na stejné jméno (a že takových úspěšných útoků již bylo).
Kontroluje-li se sériové číslo a vydavatel nebo otisk certifikátu, tak lze dosáhnout stejné, ne-li lepší bezpečnosti (vizte předchozí odstavec). Problém jen nastane, když protistrana vymění certifikát a nikomu o tom neřekne.
Rada instalovat stejný klíč do více systémů může znít podivně, ale když vezmete v úvahu stěhování systémů (změna adresy) nebo rozložení zátěže do clusteru, tak dává smysl. Umožňuje totiž správci operativně přizpůsobovat svůj systém. Nebo byste chtěl, aby když stávající systém umře nebo vypadne hlavní připojení k Internetu, aby se musely schánět nové certifikáty? Dovedete si představit vzniklé výpadky, když úřad má třicetidenní lhůtou na vyřízení žádosti. Třeba na vydání nového certifikátu?
Tento systém je prakticky chráněn pouze jedním způsobem, propůjčím si termín z energetiky:
"Ochrana zábranou", což je ochrana před nebezpečným dotykem živých částí tak, aby došlo k zamezení nahodilého neúmyslného styku s nebezpečným napětím.
Tedy pokud už se někdo nepověřený dostane za úřednický stůl, nebude mít velkou překážku, aby se do systému dostal.
Jenom jedno nevím - má ta aplikace aspoň ochranu před uložením hesla do prohlížeče?
Chápu, že člověka, který se kolem certifikátů pohybuje, doporučení "přijmout i neznámý certifikát" pobuřuje, ale:
1) Z čistě praktického hlediska: (i) Drtivá většina chyb certifikátů je skutečně dána nějakou chybou v konfiguraci, ne nahrazením pravého certifikátu falešným. (ii) Troufnu si tvrdit, že velká většina uživatelů pravý certifikát od falešného nerozezná, takže stejně nemá moc na výběr. (iii) I kdyby dokázali pravý certifikát rozeznat, proč by to dělali, když náklady z nesprávného rozhodnutí ponese někdo jiný (občan, stát - určitě ne konkrétní úředník). (iv) Úředníka budou nadřízení hodnotit za to, že odvedl požadovanou práci, ne za to, že tři týdny neudělal ani čárku, protože se chtěl chovat bezpečně a odmítal neznámý certifikát.
2) Z bezpečnostního hlediska: Nevidím žádný zásadní rozdíl mezi tím, když a) potvrdím i neznámý certifikát, a b) budu důvěřovat certifikátům, které do mého systému nainstaloval admin a/nebo instalátor Windows. Správně bych si měl při každém přístupu ověřit, že používám správný certifikát.
Pak totiz certifikaty efektivne ztraci jakykoliv smysl a zustane jen pocit falesneho bezpeci.
Přesně tak. Právě proto říkám, že celý systém certifikátů je špatně. To, že je špatně i ve státní správě, je už jen důsledek.
ze lidi uvazujici jako Vy jsou stale v mensine
Myslíte ty, kteří vědí, jak systém certifikátů funguje, jaká má silná a slabá místa, jak se v praxi chovají uživatelé, a dávají si tohle všechno dohromady a racionálně hodnotí přínosy a náklady jednotlivých přístupů? To vás mohu uklidnit, jsem si sakra jistý, že jsme v menšině.
Doporučuji: Jsou uživatelé hloupí a líní? I když třeba nemusím s původní studií úplně souhlasit, podle mě dává velmi zajímavé náměty k zamyšlení.