Proč Seznam.cz používá u některých domén Let's encrypt ?

Re:Proč Seznam.cz používá u některých domén Let's encrypt ?
« Odpověď #15 kdy: 06. 03. 2019, 16:35:08 »
Já myslím, že jsem ve skutečnosti uváděl na pravou míru to, jak reálně certifikační autority validují vlastnictví domény. Nereálné představy, jak si teoreticky ohlídáte všechny e-maily, přes které je možné validovat doménu, jste tu psal vy.

No a jsme na začátku: DV certifikát je bezcenný: nic nezaručuje, jen si prostě "zašifrujeme" (co tedy "certifikuje", heh?). OV certifikát nedává smysl - není viditelný rozdíl od DV certifikátu, aspoň z pohledu koncového uživatele ne. EV certifikáty lidi taktéž nevnímají. Kdyby měla banka jeden den EV certifikát a druhý den jen DV, dovolím si tvrdit, že jen nepatrný zlomeček zákazníků by se obrátil na banku, jestli je to v pořádku.

Celý účel certifikátů, aby byly jen od toho že "jen budeme šifrovat" je uhozený. K tomu, abychom jen šifrovali, nepotřebujeme certifikovat. Pokud něco slovo "certifikace" znamená, tak to, že je někým ověřená nějaká skutečnost. U EV certifikátů je toho celý seznam, u OV certifikátů se ověřuje totožnost subjektu (a osoby, která jej zastupuje). U DV certifikátů je účelem ověřit, že se dostal do ruky toho, kdo má právo k doméně.

A jsme u toho, co to znamená "právo k doméně". Pokud to vyložíme extenzivně, můžeme dojít k tomu, že by se měl vystavit certifikát komukoliv kdo má na doméně e-mail.  ...Takže hledáme méně extenzivní způsob, jak ověřovat oprávněnost osoby a její spojitost s doménou.

Teď jde jen o to, jestli už dnes nejdeme moc vstříc tomu, aby DV certifikát získal kde kdo, třeba jen v důsledku chyby nějakého nastavení, nebo v důsledku toho, že už ve firmách nelze pohlídat přístup k e-mailům. Kdyby to nešlo uhlídat, jak píšete, lítaly by tu miliony certifikátů @seznam.cz, @gmail.com a dalších. Tyto firmy si naopak musí pohlídat všechny e-maily, přes které je možné certifikát získat.


Re:Proč Seznam.cz používá u některých domén Let's encrypt ?
« Odpověď #16 kdy: 06. 03. 2019, 22:14:32 »
Kdyby to nešlo uhlídat, jak píšete, lítaly by tu miliony certifikátů @seznam.cz, @gmail.com a dalších. Tyto firmy si naopak musí pohlídat všechny e-maily, přes které je možné certifikát získat.
Psal jste, že vás nezajímá, jak by to mělo být, ale zajímá vás současná realita. Takže jistě máte odkaz na průběžně aktualizovaný seznam e-mailových schránek, které si firmy musí pohlídat. Podělíte se o ten odkaz?

Re:Proč Seznam.cz používá u některých domén Let's encrypt ?
« Odpověď #17 kdy: 07. 03. 2019, 04:58:23 »
Psal jste, že vás nezajímá, jak by to mělo být, ale zajímá vás současná realita. Takže jistě máte odkaz na průběžně aktualizovaný seznam e-mailových schránek, které si firmy musí pohlídat. Podělíte se o ten odkaz?

To právě neexistuje. Proto je pro firmy (a např. vládu USA) daleko zajímavější spolupracovat s jednou certifikační autoritou, ať už s ní existuje dohoda či ne, a mít tuto cestu pohlídanou.

V minulosti jsem se dost podivoval, proč se rozjela honba proti StartSSL, které sice porušilo zvyklosti ve vystavování certifikátů, ale ve skutečnosti to mělo daleko menší dopad, než uvolnění kriterií pro DV certifikáty.

Dnes je v podstatě na certifikační autoritě, kterému e-mailu bude věřit, že je dostatečný pro autorizaci požadavku. Bohužel, v marasmu, který dnes platí, nedá se očekávat, že by někdo někomu sebral důvěryhodnost kvůli špatnému vydávání DV certifikátů.

Re:Proč Seznam.cz používá u některých domén Let's encrypt ?
« Odpověď #18 kdy: 07. 03. 2019, 07:24:57 »
Chtělo by to, abyste byl konkrétnější. Jaké zvyklosti, jaké uvolnění kritérií, co je podle vás „špatné vydávání DV certifikátů“. Pokud vím, oba známé (z poslední doby) případy odebrání důvěryhodnosti – StartSSL a Symantec – byly založené právě na chybně vydaných DV certifikátech.

Re:Proč Seznam.cz používá u některých domén Let's encrypt ?
« Odpověď #19 kdy: 07. 03. 2019, 09:05:55 »
Co chcete konkrétnějšího? StartSSL byl potrestán za porušení pravidel. Nikdo se ale nezabýval, že to porušení bylo ve skutečnosti dost okrajové.

Pravidla pro vydávání certifikátu = chráněný zájem.
Pravidla jsou dost volná (jak jste sám upozornil) = chráněný zájem není moc "chráněný".
Porušení StartSSL bylo víceméně formálního charakteru, protože ve faktické rovině do chráněného zájmu moc nezasáhlo.

Jinými slovy, StartSSL do té doby vydalo snad miliony certifikátů, včetně OV, ke kterým odváděli poměrně solidní práci (ověřovali totožnost, delegaci k úkonu, ...). Místo toho bylo ale (víceméně politicky) rozhodnuto, že mají zmizet. Zmizelé místo pak fakticky zaujal nejvíc Let's Ecnrypt, kterému, jako mnoha jiným, stačí k vydání DV certifikátu opravdu málo.

Tedy: mnohé certifikační autority sice formálně plní pravidla na 100 %, ale ve faktické rovině se snaží, aby urvaly co největší podíl trhu a laťku jen snižují.


Re:Proč Seznam.cz používá u některých domén Let's encrypt ?
« Odpověď #20 kdy: 07. 03. 2019, 10:26:03 »
Co chcete konkrétnějšího?
Psal jste, že se uvolnila kritéria pro DV certifikáty. Zajímalo by mne tedy, kdo konkrétně ta kritéria uvolnil (CAB fórum?) a jaká kritéria uvolnil.