Újabb mérföldkőhöz érkezett a Let’s Encrypt projekt - kiadták első tanúsítványukat

Titkosítás, biztonság, privát szféra

Tavaly novemberben jelentette be indulását a non-profit, Let’s Encrypt nevű hitelesítés szolgáltató projekt. Ma közölték, hogy újabb mérföldkőhöz értek: kiadták első tanúsítványukat. Mivel a Let’s Encrypt még nincs benne (folyamatban van) a böngészőkben megbízható hitelesítés szolgáltatóként, azt jelenleg igény szerint kézzel kell telepíteni. Ha ez megtörtént, akkor a https://helloworld.letsencrypt.org/ figyelmeztetés nélkül betölthető.

A Let’s Encrypt ma elküldte jelentkezését a Mozilla, Google, Microsoft és Apple root programjaiba.

További részletek a bejelentésben.

( hzsolt94 v | 2015. 09. 15., k – 23:21 )

Volt szó cross-signról. Ez nem oldja meg az elfogadást amíg a letsencrypt root trusted nem lesz?

( zrubi v | 2015. 09. 16., sze – 08:37 )

Érdekes ez a hatalmas naivitás azzal kapcsolatban, hogy egy AMERIKAI cég korrupció és/állami/NSA ráhatás nélkül képes lesz majd működni és életben maradni, netán kitűnni valamilyen szempontból a többi közül...

Számomra csak az n+1-dik tanúsítványkiadó. Miért bíznék bennük jobban, mint bármilyen másikban?

btw:
az a tény önmagában, hogy a böngészőbe előre telepített "megbízható tanúsítványkiadók" listája gyárilag érkezik, azt jelenti, hogy már döntöttek a nagyok helyetted, hogy melyik cégekben KELL! FELTÉTEL NÉLKÜL megbíznod. Az végfelhasználóknak ebbe nincs valós beleszólása.

Elég, ha azok közül EGYETLEN EGY korrupt/feltört/3betűs ügynökség/állami felügyelet.

--
zrubi.hu

+1
még régen szórakozásból megcsináltam a leghatékonyabb "web szűrűm" ... kiírtottam mindent a root ca/trusted/stb helyekről user/computer stb ... tehát mindent mindenhonnan, betettem a cégeseket, user nem importálhat, L7 szűrésnek húztam https onlyt acl-t, na most fészbúkózz meg társai ... :D
persze az mégviccessebb ha az untrustedbe qrnád be őket :D
aztán teljesen élesítve nem lett, de akinek van ideje az némi kalapálgatás után production-readyvé fejlesztheti az ötletet, szvsz leghatékonyabb :D lisszzennsssz sem kell, erőforráskimélő, stb ;-)

ők csak azt igazolják, hogy a publikus kulcs az OTP-é

Pontosan. De ez csak akkor működik, ha te feltétel nélkül megbízol a kiadóban.

Olyan ez mint a személyi igazolvány. Amíg csak egy állami szerv adhat ki olyat, csak abban kell megbíznod, hogy pl. "hamisakat" nem állít ki. És ez, ha az adott állam állampolgára vagy, elfogadható. Amint ez több cég is megtehetné, neked mindegyikben meg kellene bíznod teljes mértékben.

Azonban amint más ország is kiállíthatna magyar személyit, mi lenne??? Káosz. - Na ez van most a tanúsítványkiadók esetében ;)

--
zrubi.hu

A hitelesítés szolgáltatás domain validáció alapján annyit jelent, hogy a megcímzett fqdn használója azonosítva lett a hitelesítés szolgáltató által. Az EV státuszú validáció igényli, hogy a tanúsítási folyamatba bevonjanak olyan szerveket is, amelyek a való világban történő azonosítás tanúsításáért is felelnek. Attól hogy tudod, hogy elvileg ki adta ki a domain tanúsítványát nem kell megbíznod benne. Ahhoz, hogy fake legyen még be se kell ékelődni a hiteles szolgáltatók közzé, gépen belül megoldható.
Azért a support listát nézd meg. Érdemes.

Attól hogy tudod, hogy elvileg ki adta ki a domain tanúsítványát nem kell megbíznod benne

Ó, tényleg?
És mi akadályozza meg a tanúsítványkiadót, hogy egy ugyan olyan "névre" szóló tanúsítványt kiállítson, és odaadja másnak?

Vagy hogy egy olyat kiállítson, amit már másik tanúsítványkiadó is kiadott??

--
zrubi.hu

A saját megítélése. Mert ha egyszer egy ilyen kiderül, akkor repül minden jóérzésű tanúsítvány-tárolóból.

A második miért gond? Újfent ők csak azt igazolják, hogy ellenőrizték, hogy az adott domain valószínűleg az igénylőhöz tartozik.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

ők csak azt igazolják, hogy ellenőrizték

Pont ezért kell feltétel nélkül megbíznod a kiadóban.
Ha nem bízol bennük miért hinnéd el, hogy igazat "mondanak" ?

És ha bármelyik kiállíthat egy (a böngésződ szerint) érvényesnek tűnő otp.hu-ra szólót, akkor MINDEGYIKBEN meg kell bíznod. Hiszen Te más alapján sajnos nem tudod eldönteni, hogy melyik igazi és melyik "hamis".

Röviden összefoglalva:
A tanúsítványkiadók "trust modell"-je miatt ez csak egy zárt és hierarchikus rendszeren belül működthet. A világ meg nem ilyen.

--
zrubi.hu

Nem akarlak elkeseríteni, de azt pl. tudod, hogy hogyan működik a DNS? Pl. hogy ha a NIC úgy dönt, egyszerűen átírják az otp.hu rekordjait és átirányítják. Technikai akadálya nincs, jogi van. Nem lehet mindenre technikai megoldást adni, történet vége.

Vannak hibái a mostani PKI rendszernek? Vannak. Monopóliumok kialakítása nélkül lehetne garantálni, hogy ne kelljen elhinned tetszőleges szolgáltatóról, hogy betartja a törvényi előírásokat és a saját folyamatait? Ja, valami p2p rendszerrel, nézd meg milyen jól működik a gpg, milyen egyszerű elkezdeni azzal kommunikálni.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Az SSL key pinning nagy tételben nem működik, eleve ismeretlen weboldalhoz nem fogsz tudni csatlakozni.
Ezért van hierarchikus tanúsítványkezelés.
Amit a weboldalon leírnak, pedig faszszág, két okból: 1. a certificate-k idővel változnak. 2. első alkalommal is lehet a cert átverés.
Ez csak rossz biztonságérzet így. Rendesen megcsinálva az SSL key pinning, az nem skálázható.

Mert trust-on-first-use.
Es: "The single largest strength of any TOFU style model is that a human being must initially validate every interaction. "
Es pont ez a legnagyobb weakness is, mivel minden r=1 user csak fogja es siman leokezza a dolgokat. Aztan kesz is a baj.
Ha meg tenyleg a usernek mindig rendesen validalnia kene a certeket elso hasznalatkor, akkor az annyira kurva sok idot elvesz (es a user nem is erti, miert kell ezt csinalnia), hogy nem eri meg, ott fogja hagyni a weboldalt.

Az egesz problema a PKI infrastrukturak biztonsagos kulcscsere problemajaban a kulcs azonositasi problemara vezetheto vissza, arra pedig nincs jo megoldas.
"In principle, the only remaining problem was to be sure (or at least confident) that a public key actually belonged to its supposed owner. Because it is possible to 'spoof' another's identity in any of several ways, this is not a trivial or easily solved problem, particularly when the two users involved have never met and know nothing about each other."

Érdekes ez a hatalmas naivitás azzal kapcsolatban, hogy egy AMERIKAI cég korrupció és/állami/NSA ráhatás nélkül képes lesz majd működni és életben maradni, netán kitűnni valamilyen szempontból a többi közül...

Nos, lehet hogy ők mégiscsak ki tudnak tűnni:

"We are dedicated to transparency in our operations and in the certificates we issue. We submit all certificates to Certificate Transparency logs as we issue them. You can view all issued Let’s Encrypt certificates at crt.sh."

Igaz, hogy ez a Certificate Transparency még nem igazán kiforrott, és kérdéses hogy széles körben elterjed - ám ez az első olyan életképesnek tűnő próbálkozás, ami véleményem szerint is jó irány, és megoldást hozhat a hítelesítő intézmények hitelesként való elfogadására...

https://www.certificate-transparency.org/

--
zrubi.hu