EÚ chce prehliadačom nanútiť vlastné koreňové certifikáty, odborníci protestujú

Značky: bezpečnosťwebový prehliadačSSL / TLS

DSL.sk, 8.11.2023

Viacero popredných IT spoločností, odborníkov a neziskových organizácií aktuálne v posledných dňoch vyzvalo Európsku úniu, aby zmenila navrhovanú podobu novej verzie legislatívy eIDAS kvôli vážnemu dopadu na bezpečnosť.

eIDAS v doterajšej podobe rieši najmä oblasť elektronického podpisu a elektronický podpis oficiálne používaný a podporovaný na Slovensku vychádza z tejto legislatívy.

Európska únia v súčasnosti schvaľuje novú verziu eIDAS, ktorá bude mať ale výrazný dopad aj na oblasť webu. Veľmi problematickým sú podľa expertov články 45 a 45a navrhovanej legislatívy, ktoré prinútia webové prehliadače používané v EÚ povinne podporovať všetky certifikačné autority a ich koreňové certifikáty schválené jednotlivými štátmi EÚ.

SSL / TLS certifikát od certifikačnej autority akceptovanej webovými prehliadačmi je potrebný pre prevádzku zabezpečených stránok, aby prehliadač neupozorňoval na problém so zabezpečením. Ak certifikačná autorita, napríklad úmyselne alebo kvôli nedostatočnej bezpečnosti, umožňuje získať certifikát pre doménu aj niekomu inému ako prevádzkovateľovi webu, umožňuje to podvrhnúť falošnú verziu webu respektíve získať komunikáciu prehliadača s týmto webom.

Najdôležitejšie webové prehliadače tak majú prísne technické a organizačné podmienky pre certifikačné autority, ktorých koreňové certifikáty akceptujú. Za týmto účelom tvorcovia prehliadačov a certifikačné autority spolupracujú v organizácii CA/Browser Forum stanovujúcej požiadavky pre certifikačné autority.

Nanútenie certifikačných autorít povinne akceptovaných prehliadačmi môže potenciálne ohroziť bezpečnosť používateľov prehliadačov, keď aj iba jedna problematická certifikačná autorita môže ohroziť bezpečnosť všetkých webov.

Podľa EFF sa má návrh novej podoby eIDAS schvaľovať práve dnes, nie je jasné v ktorej inštitúcii. V prechádzajúcich dňoch proti navrhovanej podobe vystúpili a vyzvali EÚ na zmenu viaceré významé IT spoločnosti a organizácie vrátane Google, Mozilly, Cloudflare, Linux Foundation a EFF a tiež stovky odborníkov v otvorenom liste.




Najnovšie články:



Diskusia:

5znak Od: XMen | Pridané: 8.11.2023 12:03 Tak musia tam dat priekazne nejake zadne vratka aby to zas nebolo take bezpecne. Odpovedať Známka: 0.0 Hodnotiť:

Re: Sznak Od: ničnové | Pridané: 8.11.2023 12:30 nemusia, keď už tam sú Odpovedať Známka: 7.3 Hodnotiť:

Re: Sznak Od: aaa111 | Pridané: 8.11.2023 12:44 Musia dať svoje keď im nechcú dovoliť používať tie, ktoré tam už sú. Odpovedať Známka: 8.8 Hodnotiť:

Re: Sznak Od: nezmar | Pridané: 8.11.2023 13:35 a jak viete ? ci ste bohuš ? Odpovedať Známka: -5.0 Hodnotiť:

Re: Sznak Od: 6aaaaaa | Pridané: 8.11.2023 16:16 vsak lennpockajte , pridu raz tí mimozemstania a vsetky korenove certifikaty vam prelomia z vesmíru Odpovedať Známka: 7.1 Hodnotiť:

ultraumiernený pacifizmus Od: syntaxterrorXXX, . Y | Pridané: 8.11.2023 21:53 Presne tak. Práve preto sa priekazne už deti v predškolskom veku učia ako mimozemšťanom povedať "Nemali ste si začínať". Odpovedať Známka: 0.0 Hodnotiť:

bezpečnostná čierna diera Od: expert01 | Pridané: 8.11.2023 12:59 štátne IT vo všetkých produktoch, svet tras sa IT sec apokalypsa prichádza Odpovedať Známka: 6.2 Hodnotiť:

vykazovanie cinnosti Od: OriginalnyKoumakSK | Pridané: 8.11.2023 13:07 Ono to je tak, ked si niekto iba vykazuje cinnost a pritom sa tomu nerozumie. Uz napriklad zavedenie LetsEncrypt vyrazne zhorsilo situaciu s falosnymi webmi, lebo bezny uzivatel pokial na neho nieco vyrazne nezablaci, tak sa nevenuje tomu, kto overil doveryhodnost daneho webu a potom mozu existovat kadejake falosne banky, posty a podobne. Ludia si totiz z celej bezpecnosti zapamatali iba to, ze maju vidiet zatvoreny zamok a prehliadac nezablaci na nich, tympadom ak to vidia, tak dalej nebadaju po doveryhodnosti a uprimne ani vacsina nerozmysla nad dalsimi znakmi falosnych webov. Takze zavedenie nanuteneho akceptovania root certov je sice nebezpecne, ale myslienka bezpecnosti sa vdaka vagnosti liberalizacie uz ajtak posunula na priecku nizsiu ako zem. Odpovedať Známka: -2.0 Hodnotiť:

Re: vykazovanie cinnosti Od: tralala98797 | Pridané: 8.11.2023 13:22 Mozes prosim vygenerovat za pomoci Let's Encrypt certifikat pre domenu dsl.sk? Prosim, ukaz nam tu zhorsenu situaciu. To ze tu je Let's Encrypt neznamena nic, uz aj predtym sme tu mali free certifikacnu autoritu ak si dobre spominam tak trebars startssl.com, len bola nutnost manualneho overovania a nebolo mozne si to zautomatizovat ak sa nepletiem. Let's Encrypt praveze dost napomohol k tomu aby sa zvysil podiel zabezpecenych webov a zaroven bol zakaznik odbremeneny od riesenia toho dokedy certifikat plati, alebo co ma vobec spravit, kedze tuto funkcionalitu webhostingove spolocnosti pekne integrovali do svojich systemov a jednym kliknutim zakaznik ziskal free certifikat. Odpovedať Známka: 6.2 Hodnotiť:

Re: vykazovanie cinnosti Od: Rado2 | Pridané: 8.11.2023 17:20 LE má význam, ale ten zámok treba chápať tak, že neznamená, že určite komunikujem s legitímnym webom, len to, že nás zrejme nikto neodpočúva. V dnešnej dobe sa ten zámok ani nemal pre bežné certifikáty zobrazovať, keďže to je už prakticky štandard. Pre dsl.sk je asi ťažké získať LE certifikát, ale možno keď sa jedno písmeno v doméne prepíše na nejaký podobný znak, už to pôjde lepšie Odpovedať Známka: 6.7 Hodnotiť:

Re: vykazovanie cinnosti Od: OriginalnyKoumakSK | Pridané: 8.11.2023 19:57 aspon niekto vie citat s porozumenim a chape tomu, dakujem :) 2 zasadne problemy vdaka comu sa rozmohol a siri Phishing je to, ze ludia si vsimaju maximalne tak zamok a nenapadne ich, ze s1sp.sk nie je slsp.sk a su schopny tam zadat udaje, ved zamok je, tak preco nedoverovat. A druhy je, ze vela emailovych klientov nezobrazuje celu emailovu adresu, ale iba falosne meno z emailu a ked niekto posle email ako "danovyurad@drsr.sk" <phishinguser@fakedomena.tu>, tak su schopni uverit, ze maju nieco zaplatit na nejaky ucet, atd... Kedysi ludia aspon trosku boli edukovany, teraz kazdy vie zriadit IG, WhatsApp a TikTok ucet, ale nema ani najmensieho ponatia s cim suhlasili a ani ze tiktok.name nie je to iste ako tiktok.com ... atd. Odpovedať Známka: 6.0 Hodnotiť:

Re: vykazovanie cinnosti Od reg.: miggg | Pridané: 8.11.2023 21:00 Ono koren problemu nebude v dostupnosti ssl. Preklepove domeny su nesvar od nepamati, isty cesky reg si na tom vybudoval karieru... Problem je, ze banky retardovane informovali. Oni sami v ukazkach zobrazovali zeleny zamok, ze "takto to ma vyzerat". Asi bol vtedy vacsi problem spoofing a na domenovu slepotu sa nemyslelo... A ludia si zvykli sledovat zamok a uz ich nikto nenaucil, ze to vobec nestaci... LE tu je len preto, lebo google s kolegami zacal ktovie preco systematicky tlacit weby do pouzivania ssl... naprv len ked bol na stranke formular a potom vsetky. Aj tie, kde je uplne zbytocny. A aby to bolo mozne spravili/zaplatili LE, lebo vacsina webov by si cert nekupila. Ale preklepove domeny s ssl by tu boli aj tak, bol to logicky dalsi krok... Odpovedať Známka: 6.7 Hodnotiť:

Re: vykazovanie cinnosti Od: tralala98797 | Pridané: 8.11.2023 22:57 S akym porozumenim, ty tu splietas dve na tri, ze Let's Encrypt zhorsilo situaciu, tak chcem vediet ako. Free SSL certifikaty bolo mozne generovat aj predtym, to ze ludia su v zakladnych veciach na internete negramotne stvorenia je uplne iny problem a nie, ze je tu nejaky Let's Encrypt, na ktory to zvalime, lebo treba ospravedlnit nejakym sposobom ludi, co by mali za taketo zakladne pochybenia vratit rodny list a vzdat sa hlasovacieho prava :-) Ak niekto skoci na to, ze sa prihlasuje do "svojho" IB a pritom si nevsimne preklep v domene, bez ohladu na to ci tam je nejaky zamok, alebo zaplati niekomu nieco v domneni ze plati nieco co by mal lebo nejaka autorita mu poslala upozornenie, za ktorou je niekto schovany je opat problem dotycnej osoby. To je asi to iste ako sa niekto necha napalit a zaplati tucny obnos penazi za nieco co nikdy neuvidi a potom obvinuje banku ze chce tie peniaze vratit :-) za blbost sa plati, ale v tomto pripade nie je na vine ani nejaka banka a ani Let's Encrypt. Odpovedať Známka: 6.0 Hodnotiť:

Re: vykazovanie cinnosti Od: GážduI'o | Pridané: 9.11.2023 7:33 Preto hovorím že je to cielené, už len tie oyeby na ľudí v rôznych propagovaných bazároch z msm re:klám. Otvorili bránu zahraničným zkurvysynom miesto toho aby vnadili ľuďom vzdelanie a obozretnosť pred možnými dierami. Lenže nié, budú to viac komplikovať a ako v threade originálny koumak sk píše, tvária sa že tomu soudruzi európsky rozumejú no hľa kam to muselo dôjsť, stovky cert. expertov google, fcc, mozilla, linux foundation aj ten priekazne najotravnejší jehovista webu, cloudflare bijú na poplach. Ľuďom to aj tak nepomôže lebo ako sa hovorí, kto chce kam pomôžme mu, tam. Odpovedať Hodnotiť:

Re: vykazovanie cinnosti Od: tralala98797 | Pridané: 8.11.2023 23:05 EV obsahuje organizaciu a predpokladam ze zjavne kazda banka EV certifikat ma (skusil som pozriet tri nahodne a kazda ho mala) a to si vie dotycny vzdy skontrolovat ci je na nejakom podvrhnutom webe alebo tam kde by mal byt, je to jedno kliknutie na zamok. Dokonca aj taka financna sprava ho ma ako som zistil. Ano, dnes uz je SSL standard a velku zasluhu na tom ma prave Let's Encrypt. Odpovedať Známka: 10.0 Hodnotiť:

ultraradikálny konsenzualizmus Od: syntaxterrorXXX, . Y | Pridané: 8.11.2023 13:18 Môžeme to interpretovať i ako že je pred nás pokladaná obrovská ľudská dilema, či používatelia túžili po koreňových certifikátoch natoľko, že im tie aktuálne viacero popredných IT spoločností, odborníkov a neziskových organizácií nenanútilo, podľa čoho krok EÚ priekazne buď je alebo nie je karmickým prejavom na úrovni horizontálneho podobenstva dedičného hriechu. Odpovedať Známka: -2.0 Hodnotiť:

Je to dobré opatrenie. Od: Baltazár Kokoschka | Pridané: 8.11.2023 14:43 Pracovníčka by mala od každého koreňa vyžadovať pre aktom certifikát! Odpovedať Známka: 8.2 Hodnotiť:

Re: Je to dobré opatrenie. Od: ChatBot GPT-3 | Pridané: 8.11.2023 15:17 Pracovníčky to už vedia, boli na školení... Odpovedať Známka: 10.0 Hodnotiť:

Tu dám nejaký text nech je chlievik titulok aspoň využitý Od: Tyler Durden | Pridané: 8.11.2023 14:43 Čím viac koreňových certifikátov, tým viac eIDAS... Odpovedať Známka: 8.5 Hodnotiť:

Re: Tu dám nejaký text nech je chlievik titulok aspoň využitý Od: ... | Pridané: 8.11.2023 15:42 eAIDS? Odpovedať Známka: 7.8 Hodnotiť:

Re: Tu dám nejaký text nech je chlievik titulok aspoň využitý Od reg.: KillerM | Pridané: 8.11.2023 17:23 to uz je individualne, koren od korena Odpovedať Známka: 10.0 Hodnotiť:

eIDAS Od: eIDAS | Pridané: 9.11.2023 16:31 eIDAS - to je lepsie ako Adidas? Odpovedať Hodnotiť:

Pridať komentár