» »

Bodo SSL-certifikati veljavni le leto dni?

Bodo SSL-certifikati veljavni le leto dni?

vir: ZDNet
ZDNet - Včasih so imeli certifikati SSL, ki se uporabljajo za varovanje prometa prek HTTPS, privzeto osemletno življenjsko dobo. Kasneje se je ta skrčila na pet let in nato na tri in na zadnjega marca lani na dve leti. Proizvajalci brskalnikov si prizadevajo za čim krajšo življenjsko dobo, medtem ko so izdajatelji na drugem bregu. Lanska sprememba je tako kompromis med enoletnimi željami proizvajalcev brskalnikov in vztrajanjem izdajateljev pri treh letih. Poldrugo leto pozneje se vrača ideja o enoletni veljavnosti certifikatov.

Glavni zagovornik je Google, ki se je v preteklosti že neuspešno prizadeval za skrajšanje veljavnosti certifikatov. Sedaj predlaga, da bi ta znašala 397 dni, torej leto in dober mesec dni. O tem predlogu se še ni glasovalo, a je že jasno, da ga izdajatelji certifikatov ne podpirajo. Vidijo ga tudi kot način, kako želi Google na silo doseči to, kar je bilo pred letom dni na glasovanju zavrnjeno. Sprašujejo se, čemu obstaja forum CA/B, če želijo proizvajalci brskalnikov odločati kar sami. To je tudi srž problema, saj so ti v izrazito nadrejenem položaju. Če bodo brskalniki več kot leto dni stare certifikate označevali kot ne-varne, bodo uporabniki slej ko prej prisiljeni naročiti nove.

Argument za skrajšanje veljavnosti je hitrejša odstranitev zlorabljenih in ukradenih certifikatov, ki dandanes pogosto sploh niso preklicali ali pa njihov preklic ne pride na pravi naslov. Toda res je tudi, da večina strani, ki te zlorablja, deluje le kratek čas in želi škodo povzročiti (oziroma zaslužiti) hitro, ne pa z istim certifikatom še leta in leta.

19 komentarjev

Hermit Bob ::

...in google nadaljuje svojo vojno proti uporabnikom...

Hermit Bob ::

Je pa zanimivo, da se googlovega whistleblowerja ne omenja kaj dosti...

https://www.breitbart.com/tech/2019/08/...

Google Document Dump: https://www.projectveritas.com/google-d...

Sicer se oglasajo razni uporabniki, ki trdijo, da je projectveritas vprasljiv, ker so ze izdajali fake leake in da gre za smear campaign proti googlu... ampak po drugi strani gre pa lahko za googlov smear campain proti dumpu, kdo ima vec od tega je pa vprasanje. Ali pa tudi ne...

Looooooka ::

Call me crazy ampak a niso za namen teh zlorab izumili certificate revocation liste.
Se Google mal norca dela?
Jih ni niti sram več, ko pridejo navajat bullshit razloge?

starfotr ::

Google je itak izsili že marsikaj v "imenu večje varnosti", na primer certifikate SSL in s tem HTTPS na vsaki strani, drugače kar izgine iz zadetkov.

V ozadju so pa druge zadeve, kot je uporaba izključno google reklam ipd.

BigWhale ::

Skrajsanje veljavnosti na eno leto za samo varnost ne bo naredilo kaj dosti. Ce bi se slo za varnost, potem bi moral skrajsati veljavnost na en teden. Eno leto ali pa dve leti je pa v koncni fazi popolnoma vseeno.

borko ::

Hermit Bob je izjavil:

Je pa zanimivo, da se googlovega whistleblowerja ne omenja kaj dosti...

Kaj pa je razkril, da google uporabnikom noče servirati infowars zarot? Zares šokantno.

c3p0 ::

Morda jim je končni cilj veljavnost 3 mesece, kot to ponuja brezplačni LE.

BigWhale ::

Let's Encrypt ponuja brezplacne certifikate s precej enostavnim mehanizmom za podaljsevanje. Izdajatelji so jasno proti zato, ker bi jim to precej povecalo support requeste in povecal bi se jim obseg dela.

starfotr ::

Če se jim poveča obseg dela, lahko to zaračunajo. Saj če bodo vsi dvignili cene, sploh ne bo relativne razlike.

poweroff ::

Let's Encrypt lepo funkcionira. Naj se pač še ostali temu prilagodijo.

Mogoče je poanta tega v tem, da webadmin vsaj enkrat na lepo vrže oko na svojo spletno stran? ;)
sudo poweroff

Mercier ::

Meni se zdi enkrat na leto cele orožne vaje dat skoz malo dosti. Še OK, da za večino zadev, ne za web, lahko zgeneriraš certifikat sam.

darkolord ::

Looooooka je izjavil:

Call me crazy ampak a niso za namen teh zlorab izumili certificate revocation liste.
Se Google mal norca dela?
Jih ni niti sram več, ko pridejo navajat bullshit razloge?
Ne, nič jih ni sram.

To, kar oni počno, je v bistvu najbolj destruktivna varjanta monopola. Delajo kontra vsem smernicam because fuck you.

Hermit Bob ::

BigWhale je izjavil:

Let's Encrypt ponuja brezplacne certifikate s precej enostavnim mehanizmom za podaljsevanje. Izdajatelji so jasno proti zato, ker bi jim to precej povecalo support requeste in povecal bi se jim obseg dela.


Ne vem, jaz jim za https ne zaupam. Za test server ni problema, za vse ostalo pa ni sans. Vem, da je EFF zadaj ampak americanom pac certov ne dam v manipulacijo.

Zgodovina sprememb…

BigWhale ::

Cemu tocno pa ne zaupas? Saj oni ne manipulirajo s tvojim certifikatom. Kaj pocne certbot je pa javno dostopno in lahko pregledas kaj dela in kako dela.

c3p0 ::

Verjetno CA-ju. Bo dal tvoj cert še npr. NSA, da se bo po želji predstavljal kot tvoja spletna stran.

Poldi112 ::

Kako to misliš, "dal tvoj cert". Tvojega private ključa nimajo, kadarkoli pa lahko za NSA certifikat za tvojo domeno izda tudi katerikoli drugi CA. Si že pobrisal vse, do katerih ima NSA dostop, iz Trusted Root?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

BigWhale ::

c3p0 je izjavil:

Verjetno CA-ju. Bo dal tvoj cert še npr. NSA, da se bo po želji predstavljal kot tvoja spletna stran.


Ja, to ne dela tako kot si mislis, da dela. Tvoj certifikat lahko dobi prav vsak, se vec. Vsak, ki se hoce pogovarjat s stvojim spletnim streznikom, ga MORA dobiti. :)

c3p0 ::

Ne skakat v luft. Mišljeno je bilo, izdal drug cert za tvojo domeno, ki mu bodo brskalniki zaupali. Ampak to lahko naredijo v vsakem primeru, če si njihov user ali ne.

BigWhale ::

To lahko naredi katerikoli izdajatelj certifikatov, in?


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Bodo SSL-certifikati veljavni le leto dni?

Oddelek: Novice / Varnost
195049 (3520) BigWhale
»

Trustwave izdajal man-in-the-middle SSL certifikate, bojda je to "stalna praksa"

Oddelek: Novice / Varnost
2610215 (7800) kunigunda
»

Prijava z certifikatorm sigen-ca, custom

Oddelek: Izdelava spletišč
196541 (6177) jkreuztzfeld
»

Kateri SSL certifikat

Oddelek: Izdelava spletišč
234143 (3903) Poldi112

Več podobnih tem