Self-signed cert na iPhonu?

To ne dela več ?
https://discussions.apple.com/thread/77...

poweroff je 12. apr 2018 ob 14:56 izjavil:

Hmm, ne vem, kako ca.pem sploh inštaliram na iPhone.

BTW, fucking update na 11.3 mi je začel ob dohodnem klicu govoriti ime klicatelja???

How tha fuck to annoying zadevo izklopim?

Settings - General - Accessibility - Voice over - Always speak notifications?

Mogoce je zena to nastavla, al pa otroci :)

Mimogrede, ko poteče samopodpisani certfikat ali pa ga iz nekega drugega razloga zamenjajo z drugim, bo vajo potrebno ponoviti. Bi človek pomislil, da bo gumb "Trust" ponovno na voljo, pa ne bo.

1.) Accessibility settinga ti 100% niso sami vklopili ob posodobitvi. Lahko pa, da si ga nevede vklopil s kakšno accessibility bližnjico.
2.) Certifikat lahko naložiš na več načinov. En je preko maila, drug preko safarija, tretji preko apple configuration utila (mislim, da je osx only). Odstranjevanje in ponovno dodajanje accounta je verjetno najslabši možen način.
3.) Ja... za 0.001% uporabnikov, ki imajo mail account s self signed certifikatom je user experience slab...
4.) Zrihtaj si veljaven certifikat... če ne drugega, lahko letsencrypt posodabljaš na 3 mesece.

Od navadnega uporabnika se pričakuje da bo uporabljal samo iMessage, rekel vsej družini in vsem prijateljem brez iPhonov da jih noče več poznat. Potem se od njega pričakuje da bo kupil Apple Music, plačal za Apple iCloud, kupil Apple TV, kupil MacBooke in iMace in vso svojo vsebino kupoval z DRMjem zaščiteno na iTunesih in AppStoreih.

A ni očitno?

Cert jim pošlješ po mailu. Uporabnikov outlook ga sicer ne bo hotel odpreti, iPhone in ostale iNaprave pa brez težav. Vpraša te če ga želiš uvoziti in je to to.

Mikrohard je 12. apr 2018 ob 23:51 izjavil:

4.) Zrihtaj si veljaven certifikat... če ne drugega, lahko letsencrypt posodabljaš na 3 mesece.

Tudi self-signed je veljaven certifikat.

XS!D3 je 13. apr 2018 ob 10:28 izjavil:

Če neka public storitev, ki jo uporablja povprečen uporabnik, nima certov podpisanih s strani zaupanja vrednega CA, je to bolj problem te storitve kot pa user experiencea na telefonu. Edino pravilno je, da telefon takšnemu certu by default ne zaupa.

Ne, ni edino pravilno.

Pravilno je zgolj zato, ker to počne Apple. Če bi Microsoft ali bog ne daj Ubuntu, bi bil takoj ogenj v strehi.

poweroff je 13. apr 2018 ob 10:44 izjavil:

XS!D3 je 13. apr 2018 ob 10:28 izjavil:

Če neka public storitev, ki jo uporablja povprečen uporabnik, nima certov podpisanih s strani zaupanja vrednega CA, je to bolj problem te storitve kot pa user experiencea na telefonu. Edino pravilno je, da telefon takšnemu certu by default ne zaupa.

Ne, ni edino pravilno.

Pravilno je zgolj zato, ker to počne Apple. Če bi Microsoft ali bog ne daj Ubuntu, bi bil takoj ogenj v strehi.

Prvič slišim, da bi Ubuntu ali Microsoft privzeto zaupal certifikatu, ki ni podpisan s strani zaupanja vrednega overitelja digitalnih potrdil (kar sem napisal, da je edino pravilno, da mu ne...). Če bi to držalo, potem TLS sploh ne bi imel nekega smislna, vsaj dokler ne bo privzeto v uporabi še kak drug mehanizem preverjanja pristnosti digitalnih potrdil npr. s pomočjo zapisov TLSA.

jukoz je 13. apr 2018 ob 10:55 izjavil:

XS!D3 je 13. apr 2018 ob 10:28 izjavil:

poweroff je 13. apr 2018 ob 07:49 izjavil:

Kako od povprečnega uporabnika lahko pričakuješ, da si bo znal poiskati in spraviti certifikat v file?

Če neka public storitev, ki jo uporablja povprečen uporabnik, nima certov podpisanih s strani zaupanja vrednega CA, je to bolj problem te storitve kot pa user experiencea na telefonu. Edino pravilno je, da telefon takšnemu certu by default ne zaupa.

"Povprečen uporabnik", ki zna postavit svoj sistem s self-signed certi in iz nekih razlogov poleg tega še noče (brezplačno) podpisat certov pri zaupanja vrednem CA, bo pa vrjetno tudi cert nekako spravil na telefon. Če si pa zgolj user v nekem corporate okolju, pa pač pustiš, da ti vse skupaj zrihtajo za to zadolžene osebe.

Če je point samo jambranje nad Applovim ekosistemov, pa tako povej, bi lahko kr prejšnjo temo nadaljeval :)

Ker nimaš pojma kako to deluje ti bom razložil.

Smo zaupanja vredna finančna ustanova, ker smo bili ustanovljeni leta 1996 in ker vsi tako pravijo.
Če mi plačaš 200EUR bom vzel tvoje osebne podatke in potrdil da si tudi ti zaupanja vredna finančna ustanova.
Obstajajo tudi take ki to potrdijo zastonj. In občasno tudi za druge (zelo sumljive osebe) potrdim da so zaupanja vredne finančne ustanove:
https://security.googleblog.com/2017/09...

Tako delajo certifikatne agencije. Komu bolj zaupaš, sebi, svoji državi, svojemu IT administratorju, ali nekomu ki mu plačaš par EUR da prizna katerokoli stran da je zaupanja vredna?

Zelo dobro vem, kako delujejo overitelji digitalnih potrdil in mi je tudi kristalno jasno, kakšne so pomanjkljivosti te sheme. Ampak o tem sploh ni bilo govora, samo ti si se odločil, da boš šel druge žalit....

Dokler tvoj telefon poleg tvojemu ceritifikatu, ki si ga podpisal sam, zaupa še vsem ostalim, ki so podpisani z enim od 1000+ prednameščenih digitalnih potrdil "zaupanja vrednih" overiteljev, s tem nisi rešil popolnoma nič. Drugo je seveda, če uvedeš še nek dodaten mehanizem preverjanja pristnosti ala cert pining ali preverjanje TLSA in stem omejiš veljavne ceritifkate zgolj na tiste, ki si jih podpisal sam oziroma na točno določem cert/javni ključ. Ampak vprašanje je bilo zgolj, kako nastavit, da bo mail app zaupal self-signed certu (s čimer pa še ne rešiš problema, da zaupa tudi vsem ostalim).

Sploh pa nisem nikjer komentiral smiselnosti tega početja (uporabe self-signed certov), ampak sem samo napisal, da v primeru, ko se to greš, vrjetno nisi ravno povprečen user in boš nekako spravil tudi cert na telefon oziroma bo to storil IT admin, ki ta sistem pač upravlja. Neke public storitve, ki so namenjene splošni javnosti, pa ponavadi z razlogom uporabljajo podpisane certe z javnimi CA. Če pa že imajo drugače rešeno, ti pač dajo step-by-step navodila, da cert namestiš ali ti enostavno pošljejo profil, ki ga namestiš na telefon brez nekega ekstra znanja. Če ti pa na koncu user samo pritisne trust, ker nima pojma zakaj se sploh gre (pa ni pomembno na kakšni platformi), je pa itak še slabše, kot da uporabljaš certe podpisane z javnimi CA.

XS!D3 je 13. apr 2018 ob 10:28 izjavil:

... Edino pravilno je, da telefon takšnemu certu by default ne zaupa. ...

Spregledal si eno malenkost, iOS že nekaj časa ne omogoča več uporabniku, da bi nov certifikat označil kot zaupanja vrednega. Nihče ne pravi, da mu mora "by default" zaupati, ampak gumb "Trust" bi moral biti na voljo vedno, ne le prvič ko kreiraš account. Ko pa se naslednjič cert zamenja pa se lahko jebeš oz. brišeš in na novo kreiraš account.

Pa ne gre se le za samopodpisane certifikate, enako se zgodi tudi, ko hostname v certifikatu ni enak kot hostname strežnika. Saj je logično, da se takemu certifikatu ne zaupa privzeto, a morala bi obstajati opcija, da mu uporabnik po lastni izbiri zaupa. Pri poštnih strežnikih je namreč zelo pogosto tako, da ima poštni strežnik en veljaven certifikat (mail.hostname_streznika.si npr.) , stranke pa za IMAP, POP3 in SMTP dostop uporabljajo personalizirane naslove (mail.domena_stranke.si npr.).

Striktno gledano iOS ne dela nič narobe. Pač smatra, da so uporabniki iOS-a bebci in da nimajo kaj pritiskati na "Trust" gumb, hkrati pa prehiteva ustaljene postopke pri uporabi spletnih storitev in smatra, da se to ne bi smelo več uporabljati na tak način. V osnovi ima prav, ampak kombinacija obojega (naši uporabniki so bebci in poštni strežniki so za časom) že nekaj časa dela kup težav ljudem.

XS!D3 je 13. apr 2018 ob 11:25 izjavil:

Ampak o tem sploh ni bilo govora, samo ti si se odločil, da boš šel druge žalit....

Nikogar nisem žalil, sem pa izrazil mnenje, daj je uporabniška izkušnja iOSa slaba.

Če pa Apple produkte jemlješ kot podaljšek svoje osebnosti, se pa opravičujem.

Ales je 13. apr 2018 ob 11:39 izjavil:

XS!D3 je 13. apr 2018 ob 10:28 izjavil:

... Edino pravilno je, da telefon takšnemu certu by default ne zaupa. ...

Spregledal si eno malenkost, iOS že nekaj časa ne omogoča več uporabniku, da bi nov certifikat označil kot zaupanja vrednega. Nihče ne pravi, da mu mora "by default" zaupati, ampak gumb "Trust" bi moral biti na voljo vedno, ne le prvič ko kreiraš account. Ko pa se naslednjič cert zamenja pa se lahko jebeš oz. brišeš in na novo kreiraš account.

Nisem spregledal, samo napisal sem, da je edino pravilno, da mu by default ne zaupa, za čimer še vedno stojim.

Ales je 13. apr 2018 ob 11:39 izjavil:

Pa ne gre se le za samopodpisane certifikate, enako se zgodi tudi, ko hostname v certifikatu ni enak kot hostname strežnika. Saj je logično, da se takemu certifikatu ne zaupa privzeto, a morala bi obstajati opcija, da mu uporabnik po lastni izbiri zaupa. Pri poštnih strežnikih je namreč zelo pogosto tako, da ima poštni strežnik en veljaven certifikat (mail.hostname_streznika.si npr.) , stranke pa za IMAP, POP3 in SMTP dostop uporabljajo personalizirane naslove (mail.domena_stranke.si npr.).

Odličen recept, da uporabnika navadiš, da enostavno klikne trust vedno, ko se obvestilo pojavi, in bo enako storil tudi pri MITM napadu. Zaradi takih šalabajzerjev se res vprašaš, če le ni tako neumno, da se tisto obvestilo pojavi samo prvič, čeprav se sicer strinjam, da bi se moglo ob vsaki spremembi in je trenutna rešitev ravno v Matthaijevem primeru precej nerodna, ker vrjamem, da bo on dejansko pogledal fingerprint, ki se takrat izpiše....

XS!D3 je 13. apr 2018 ob 11:51 izjavil:

poweroff je 13. apr 2018 ob 11:47 izjavil:

XS!D3 je 13. apr 2018 ob 11:25 izjavil:

Ampak o tem sploh ni bilo govora, samo ti si se odločil, da boš šel druge žalit....

Nikogar nisem žalil, sem pa izrazil mnenje, daj je uporabniška izkušnja iOSa slaba.

Če pa Apple produkte jemlješ kot podaljšek svoje osebnosti, se pa opravičujem.

Amm ni letelo nate, ampak na @jukoz, ki mi je "razložil", da nimam pojma (glej citat, na katerega sem odgovorjal).

Sveta krava, nisem vedel da sem te tako hudo užalil in se seveda opravičujem za svoje besede.
Glede na to kar si kasneje napisal očitno le veš kaj govoriš, samo Matthai-u si malo sral naj ne bo tako beden in naj si le kupi en cert ter neha stokat nad iNapravami.

Ampak to je moje razumevanje =)

XS!D3 je 13. apr 2018 ob 11:56 izjavil:

Odličen recept, da uporabnika navadiš, da enostavno klikne trust vedno, ko se obvestilo pojavi, in bo enako storil tudi pri MITM napadu. Zaradi takih šalabajzerjev se res vprašaš, če le ni tako neumno, da se tisto obvestilo pojavi samo prvič, čeprav se sicer strinjam, da bi se moglo ob vsaki spremembi in je trenutna rešitev ravno v Matthaijevem primeru precej nerodna, ker vrjamem, da bo on dejansko pogledal fingerprint, ki se takrat izpiše....

Uporabnik bo vedno kliknil "trust", ne glede na to kaj mu razlagaš in kaj ga učiš. Tudi ti boš v enem momentu, ko boš moral nekaj nujno, ampak res nujno naredit. In uporabniku je tako z večino stvarmi, ki se tičejo varnosti in IT-ja. Jaz sem jim začel razlagat da je to tako kot s ključavnicami za dom, avto, pisarni, bicikelj. A ni bolj fino če jih ne uporabljamo, to odklepanje je tako zoprno...

Včasih zadostuje.

jukoz je 13. apr 2018 ob 12:28 izjavil:

Sveta krava, nisem vedel da sem te tako hudo užalil in se seveda opravičujem za svoje besede.
Glede na to kar si kasneje napisal očitno le veš kaj govoriš, samo Matthai-u si malo sral naj ne bo tako beden in naj si le kupi en cert ter neha stokat nad iNapravami.

Ampak to je moje razumevanje =)

Nisem užaljen, samo dejstva sem napisal. In nisem nič sral, ker tega sploh nisem napisal. Vprašanje je bilo, kako lahko od povprečnega uporabnika pričakuješ, da si bo znal poiskati in spraviti certifikat v file. Moj point pa, da povprečen uporabnik tega ne bo počel (ker mu v večini primerov niti ne treba), oziroma bo za njega to opravil ali pa mu vsaj dal navodila/config profile/wathaever tisti, ki je zadevo tako nastavil, in ima svoje razloge, da uporablja self-signed certe (ali v končni fazi certe podpisane z internim CAjem).

jukoz je 13. apr 2018 ob 12:28 izjavil:

Uporabnik bo vedno kliknil "trust", ne glede na to kaj mu razlagaš in kaj ga učiš. Tudi ti boš v enem momentu, ko boš moral nekaj nujno, ampak res nujno naredit. In uporabniku je tako z večino stvarmi, ki se tičejo varnosti in IT-ja. Jaz sem jim začel razlagat da je to tako kot s ključavnicami za dom, avto, pisarni, bicikelj. A ni bolj fino če jih ne uporabljamo, to odklepanje je tako zoprno...

Jah v tem primeru, ko se mu obvestilo sploh več ne pojavi, ne bo mogel :P Je pa jasno problem iz drugega vidika.... Še najboljše bi bilo, če bi lahko v config profileu dovolil za mail samo določen interni CA, pa nisem ziher da to gre. Najmanj kar lahko nardiš pa je, da ima config profil tudi (interni) CA cert zraven in se uporabniku ni potrebno ukvarjat z ročnim nameščanjem, le-tega.

Še vedno imaš problem, da večino odjemalcev (če govorimo o mail klientih in podobnih zadevah) težko omejiš, da se ne bodo kasneje vseeno povezali na nekaj MITMjanega, ki je od CAja dobil podpisan certifikat. Prvič boš dobil obvestilo in kot vesten uporabnik ročno preveril, če fingerprint ustreza. Ko boš pa enkrat kliknil Trust, boš pa težko vedel ali se naslednič povezuješ na strežnik, ki ima ta isti cert, ali se ti je mogoče nekdo drug predstavil s certom, ki je podpisan od javnega CA, če je recimo prišlo do zlorabe. No v določenih klientih (npr v browserju) lahko pogledaš, ampak vprašanje če boš vedno gledal tudi takrat ko bo "ključavnica" zelena....

Tole se sliši kot resna varnostna luknja v iPhonovem klientu.

PaX_MaN je 13. apr 2018 ob 14:38 izjavil:

harmony je 13. apr 2018 ob 09:27 izjavil:

Tudi self-signed je veljaven certifikat.

Samo tebi.

No pa razlozi svoje videnje, zakaj naj bi bil self signed slab certifikat?