neprihlásený Pondelok, 9. decembra 2024, dnes má meniny Izabela
EÚ chce prehliadačom nanútiť vlastné koreňové certifikáty, odborníci protestujú

Značky: bezpečnosťwebový prehliadačSSL / TLS

DSL.sk, 8.11.2023


Viacero popredných IT spoločností, odborníkov a neziskových organizácií aktuálne v posledných dňoch vyzvalo Európsku úniu, aby zmenila navrhovanú podobu novej verzie legislatívy eIDAS kvôli vážnemu dopadu na bezpečnosť.

eIDAS v doterajšej podobe rieši najmä oblasť elektronického podpisu a elektronický podpis oficiálne používaný a podporovaný na Slovensku vychádza z tejto legislatívy.

Európska únia v súčasnosti schvaľuje novú verziu eIDAS, ktorá bude mať ale výrazný dopad aj na oblasť webu. Veľmi problematickým sú podľa expertov články 45 a 45a navrhovanej legislatívy, ktoré prinútia webové prehliadače používané v EÚ povinne podporovať všetky certifikačné autority a ich koreňové certifikáty schválené jednotlivými štátmi EÚ.

SSL / TLS certifikát od certifikačnej autority akceptovanej webovými prehliadačmi je potrebný pre prevádzku zabezpečených stránok, aby prehliadač neupozorňoval na problém so zabezpečením. Ak certifikačná autorita, napríklad úmyselne alebo kvôli nedostatočnej bezpečnosti, umožňuje získať certifikát pre doménu aj niekomu inému ako prevádzkovateľovi webu, umožňuje to podvrhnúť falošnú verziu webu respektíve získať komunikáciu prehliadača s týmto webom.

Najdôležitejšie webové prehliadače tak majú prísne technické a organizačné podmienky pre certifikačné autority, ktorých koreňové certifikáty akceptujú. Za týmto účelom tvorcovia prehliadačov a certifikačné autority spolupracujú v organizácii CA/Browser Forum stanovujúcej požiadavky pre certifikačné autority.

Nanútenie certifikačných autorít povinne akceptovaných prehliadačmi môže potenciálne ohroziť bezpečnosť používateľov prehliadačov, keď aj iba jedna problematická certifikačná autorita môže ohroziť bezpečnosť všetkých webov.

Podľa EFF sa má návrh novej podoby eIDAS schvaľovať práve dnes, nie je jasné v ktorej inštitúcii. V prechádzajúcich dňoch proti navrhovanej podobe vystúpili a vyzvali EÚ na zmenu viaceré významé IT spoločnosti a organizácie vrátane Google, Mozilly, Cloudflare, Linux Foundation a EFF a tiež stovky odborníkov v otvorenom liste.


      Zdieľaj na Twitteri



Najnovšie články:

Arctic má nový výkonný ventilátor, chladí ho ďalším malým ventilátorom
Digi TV vo vianočnej akcii sprístupnila všetkým 9 staníc
Raspberry Pi uviedlo nový kompletný počítač Raspberry Pi 500, vlastný monitor
SpaceX dokončila konšteláciu satelitov pre poskytovanie mobilnej siete z vesmíru
Nový trailer nového Star Trek filmu, príde čoskoro
Pripravuje sa nová verzia systému pre routery OpenWrt 24.10, k dispozícii kandidát na vydanie
HAMR disky sa majú začať konečne masovo dodávať
Linuxové jadro 6.12 označené za LTS, piatim LTS verziám skončí podpora naraz
NASA opäť posunula termín pristátia posádky na Mesiaci
Chrome na Androide za menej ako dva roky zdvojnásobil výkon


Diskusia:
                               
 

Tak musia tam dat priekazne nejake zadne vratka aby to zas nebolo take bezpecne.
Odpovedať Známka: 0.0 Hodnotiť:
 

nemusia, keď už tam sú
Odpovedať Známka: 7.3 Hodnotiť:
 

Musia dať svoje keď im nechcú dovoliť používať tie, ktoré tam už sú.
Odpovedať Známka: 8.8 Hodnotiť:
 

a jak viete ? ci ste bohuš ?
Odpovedať Známka: -5.0 Hodnotiť:
 

vsak lennpockajte , pridu raz tí mimozemstania a vsetky korenove certifikaty vam prelomia z vesmíru
Odpovedať Známka: 7.1 Hodnotiť:
 

Presne tak. Práve preto sa priekazne už deti v predškolskom veku učia ako mimozemšťanom povedať "Nemali ste si začínať".
Odpovedať Známka: 0.0 Hodnotiť:
 

štátne IT vo všetkých produktoch, svet tras sa IT sec apokalypsa prichádza
Odpovedať Známka: 6.2 Hodnotiť:
 

Ono to je tak, ked si niekto iba vykazuje cinnost a pritom sa tomu nerozumie.
Uz napriklad zavedenie LetsEncrypt vyrazne zhorsilo situaciu s falosnymi webmi, lebo bezny uzivatel pokial na neho nieco vyrazne nezablaci, tak sa nevenuje tomu, kto overil doveryhodnost daneho webu a potom mozu existovat kadejake falosne banky, posty a podobne.
Ludia si totiz z celej bezpecnosti zapamatali iba to, ze maju vidiet zatvoreny zamok a prehliadac nezablaci na nich, tympadom ak to vidia, tak dalej nebadaju po doveryhodnosti a uprimne ani vacsina nerozmysla nad dalsimi znakmi falosnych webov.
Takze zavedenie nanuteneho akceptovania root certov je sice nebezpecne, ale myslienka bezpecnosti sa vdaka vagnosti liberalizacie uz ajtak posunula na priecku nizsiu ako zem.
Odpovedať Známka: -2.0 Hodnotiť:
 

Mozes prosim vygenerovat za pomoci Let's Encrypt certifikat pre domenu dsl.sk? Prosim, ukaz nam tu zhorsenu situaciu. To ze tu je Let's Encrypt neznamena nic, uz aj predtym sme tu mali free certifikacnu autoritu ak si dobre spominam tak trebars startssl.com, len bola nutnost manualneho overovania a nebolo mozne si to zautomatizovat ak sa nepletiem. Let's Encrypt praveze dost napomohol k tomu aby sa zvysil podiel zabezpecenych webov a zaroven bol zakaznik odbremeneny od riesenia toho dokedy certifikat plati, alebo co ma vobec spravit, kedze tuto funkcionalitu webhostingove spolocnosti pekne integrovali do svojich systemov a jednym kliknutim zakaznik ziskal free certifikat.
Odpovedať Známka: 6.2 Hodnotiť:
 

LE má význam, ale ten zámok treba chápať tak, že neznamená, že určite komunikujem s legitímnym webom, len to, že nás zrejme nikto neodpočúva. V dnešnej dobe sa ten zámok ani nemal pre bežné certifikáty zobrazovať, keďže to je už prakticky štandard. Pre dsl.sk je asi ťažké získať LE certifikát, ale možno keď sa jedno písmeno v doméne prepíše na nejaký podobný znak, už to pôjde lepšie
Odpovedať Známka: 6.7 Hodnotiť:
 

aspon niekto vie citat s porozumenim a chape tomu, dakujem :)
2 zasadne problemy vdaka comu sa rozmohol a siri Phishing je to, ze ludia si vsimaju maximalne tak zamok a nenapadne ich, ze s1sp.sk nie je slsp.sk a su schopny tam zadat udaje, ved zamok je, tak preco nedoverovat. A druhy je, ze vela emailovych klientov nezobrazuje celu emailovu adresu, ale iba falosne meno z emailu a ked niekto posle email ako "danovyurad@drsr.sk" <phishinguser@fakedomena.tu>, tak su schopni uverit, ze maju nieco zaplatit na nejaky ucet, atd...

Kedysi ludia aspon trosku boli edukovany, teraz kazdy vie zriadit IG, WhatsApp a TikTok ucet, ale nema ani najmensieho ponatia s cim suhlasili a ani ze tiktok.name nie je to iste ako tiktok.com ... atd.
Odpovedať Známka: 6.0 Hodnotiť:
 

Ono koren problemu nebude v dostupnosti ssl. Preklepove domeny su nesvar od nepamati, isty cesky reg si na tom vybudoval karieru... Problem je, ze banky retardovane informovali. Oni sami v ukazkach zobrazovali zeleny zamok, ze "takto to ma vyzerat". Asi bol vtedy vacsi problem spoofing a na domenovu slepotu sa nemyslelo... A ludia si zvykli sledovat zamok a uz ich nikto nenaucil, ze to vobec nestaci... LE tu je len preto, lebo google s kolegami zacal ktovie preco systematicky tlacit weby do pouzivania ssl... naprv len ked bol na stranke formular a potom vsetky. Aj tie, kde je uplne zbytocny. A aby to bolo mozne spravili/zaplatili LE, lebo vacsina webov by si cert nekupila. Ale preklepove domeny s ssl by tu boli aj tak, bol to logicky dalsi krok...
Odpovedať Známka: 6.7 Hodnotiť:
 

S akym porozumenim, ty tu splietas dve na tri, ze Let's Encrypt zhorsilo situaciu, tak chcem vediet ako. Free SSL certifikaty bolo mozne generovat aj predtym, to ze ludia su v zakladnych veciach na internete negramotne stvorenia je uplne iny problem a nie, ze je tu nejaky Let's Encrypt, na ktory to zvalime, lebo treba ospravedlnit nejakym sposobom ludi, co by mali za taketo zakladne pochybenia vratit rodny list a vzdat sa hlasovacieho prava :-) Ak niekto skoci na to, ze sa prihlasuje do "svojho" IB a pritom si nevsimne preklep v domene, bez ohladu na to ci tam je nejaky zamok, alebo zaplati niekomu nieco v domneni ze plati nieco co by mal lebo nejaka autorita mu poslala upozornenie, za ktorou je niekto schovany je opat problem dotycnej osoby. To je asi to iste ako sa niekto necha napalit a zaplati tucny obnos penazi za nieco co nikdy neuvidi a potom obvinuje banku ze chce tie peniaze vratit :-) za blbost sa plati, ale v tomto pripade nie je na vine ani nejaka banka a ani Let's Encrypt.
Odpovedať Známka: 6.0 Hodnotiť:
 

Preto hovorím že je to cielené, už len tie oyeby na ľudí v rôznych propagovaných bazároch z msm re:klám.
Otvorili bránu zahraničným zkurvysynom miesto toho aby vnadili ľuďom vzdelanie a obozretnosť pred možnými dierami. Lenže nié, budú to viac komplikovať a ako v threade originálny koumak sk píše, tvária sa že tomu soudruzi európsky rozumejú no hľa kam to muselo dôjsť, stovky cert. expertov google, fcc, mozilla, linux foundation aj ten priekazne najotravnejší jehovista webu, cloudflare bijú na poplach. Ľuďom to aj tak nepomôže lebo ako sa hovorí, kto chce kam pomôžme mu, tam.
Odpovedať Hodnotiť:
 

EV obsahuje organizaciu a predpokladam ze zjavne kazda banka EV certifikat ma (skusil som pozriet tri nahodne a kazda ho mala) a to si vie dotycny vzdy skontrolovat ci je na nejakom podvrhnutom webe alebo tam kde by mal byt, je to jedno kliknutie na zamok. Dokonca aj taka financna sprava ho ma ako som zistil. Ano, dnes uz je SSL standard a velku zasluhu na tom ma prave Let's Encrypt.
Odpovedať Známka: 10.0 Hodnotiť:
 

Môžeme to interpretovať i ako že je pred nás pokladaná obrovská ľudská dilema, či používatelia túžili po koreňových certifikátoch natoľko, že im tie aktuálne viacero popredných IT spoločností, odborníkov a neziskových organizácií nenanútilo, podľa čoho krok EÚ priekazne buď je alebo nie je karmickým prejavom na úrovni horizontálneho podobenstva dedičného hriechu.
Odpovedať Známka: -2.0 Hodnotiť:
 

Pracovníčka by mala od každého koreňa vyžadovať pre aktom certifikát!
Odpovedať Známka: 8.2 Hodnotiť:
 

Pracovníčky to už vedia, boli na školení...
Odpovedať Známka: 10.0 Hodnotiť:
 

Čím viac koreňových certifikátov, tým viac eIDAS...
Odpovedať Známka: 8.5 Hodnotiť:
 

eAIDS?
Odpovedať Známka: 7.8 Hodnotiť:
 

to uz je individualne, koren od korena
Odpovedať Známka: 10.0 Hodnotiť:
 

eIDAS - to je lepsie ako Adidas?
Odpovedať Hodnotiť:

Pridať komentár