ZDNet - Včasih so imeli certifikati SSL, ki se uporabljajo za varovanje prometa prek HTTPS, privzeto osemletno življenjsko dobo. Kasneje se je ta skrčila na pet let in nato na tri in na zadnjega marca lani na dve leti. Proizvajalci brskalnikov si prizadevajo za čim krajšo življenjsko dobo, medtem ko so izdajatelji na drugem bregu. Lanska sprememba je tako kompromis med enoletnimi željami proizvajalcev brskalnikov in vztrajanjem izdajateljev pri treh letih. Poldrugo leto pozneje se vrača ideja o enoletni veljavnosti certifikatov.
Glavni zagovornik je Google, ki se je v preteklosti že neuspešno prizadeval za skrajšanje veljavnosti certifikatov. Sedaj predlaga, da bi ta znašala 397 dni, torej leto in dober mesec dni. O tem predlogu se še ni glasovalo, a je že jasno, da ga izdajatelji certifikatov ne podpirajo. Vidijo ga tudi kot način, kako želi Google na silo doseči to, kar je bilo pred letom dni na glasovanju zavrnjeno. Sprašujejo se, čemu obstaja forum CA/B, če želijo proizvajalci brskalnikov odločati kar sami. To je tudi srž problema, saj so ti v izrazito nadrejenem položaju. Če bodo brskalniki več kot leto dni stare certifikate označevali kot ne-varne, bodo uporabniki slej ko prej prisiljeni naročiti nove.
Argument za skrajšanje veljavnosti je hitrejša odstranitev zlorabljenih in ukradenih certifikatov, ki dandanes pogosto sploh niso preklicali ali pa njihov preklic ne pride na pravi naslov. Toda res je tudi, da večina strani, ki te zlorablja, deluje le kratek čas in želi škodo povzročiti (oziroma zaslužiti) hitro, ne pa z istim certifikatom še leta in leta.
Sicer se oglasajo razni uporabniki, ki trdijo, da je projectveritas vprasljiv, ker so ze izdajali fake leake in da gre za smear campaign proti googlu... ampak po drugi strani gre pa lahko za googlov smear campain proti dumpu, kdo ima vec od tega je pa vprasanje. Ali pa tudi ne...
Call me crazy ampak a niso za namen teh zlorab izumili certificate revocation liste. Se Google mal norca dela? Jih ni niti sram več, ko pridejo navajat bullshit razloge?
Skrajsanje veljavnosti na eno leto za samo varnost ne bo naredilo kaj dosti. Ce bi se slo za varnost, potem bi moral skrajsati veljavnost na en teden. Eno leto ali pa dve leti je pa v koncni fazi popolnoma vseeno.
Let's Encrypt ponuja brezplacne certifikate s precej enostavnim mehanizmom za podaljsevanje. Izdajatelji so jasno proti zato, ker bi jim to precej povecalo support requeste in povecal bi se jim obseg dela.
Call me crazy ampak a niso za namen teh zlorab izumili certificate revocation liste. Se Google mal norca dela? Jih ni niti sram več, ko pridejo navajat bullshit razloge?
Ne, nič jih ni sram.
To, kar oni počno, je v bistvu najbolj destruktivna varjanta monopola. Delajo kontra vsem smernicam because fuck you.
Let's Encrypt ponuja brezplacne certifikate s precej enostavnim mehanizmom za podaljsevanje. Izdajatelji so jasno proti zato, ker bi jim to precej povecalo support requeste in povecal bi se jim obseg dela.
Ne vem, jaz jim za https ne zaupam. Za test server ni problema, za vse ostalo pa ni sans. Vem, da je EFF zadaj ampak americanom pac certov ne dam v manipulacijo.
Cemu tocno pa ne zaupas? Saj oni ne manipulirajo s tvojim certifikatom. Kaj pocne certbot je pa javno dostopno in lahko pregledas kaj dela in kako dela.
Kako to misliš, "dal tvoj cert". Tvojega private ključa nimajo, kadarkoli pa lahko za NSA certifikat za tvojo domeno izda tudi katerikoli drugi CA. Si že pobrisal vse, do katerih ima NSA dostop, iz Trusted Root?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Verjetno CA-ju. Bo dal tvoj cert še npr. NSA, da se bo po želji predstavljal kot tvoja spletna stran.
Ja, to ne dela tako kot si mislis, da dela. Tvoj certifikat lahko dobi prav vsak, se vec. Vsak, ki se hoce pogovarjat s stvojim spletnim streznikom, ga MORA dobiti. :)
Ne skakat v luft. Mišljeno je bilo, izdal drug cert za tvojo domeno, ki mu bodo brskalniki zaupali. Ampak to lahko naredijo v vsakem primeru, če si njihov user ali ne.
