Minden nagyobb gyártó beállt a Let's Encrypt mögé

 ( trey | 2018. augusztus 7., kedd - 7:43 )

A Microsoft közvetlen támogatásával lett teljes a kép. A támogatók közt van a Microsoft, Google, Apple, Mozilla, Oracle és Blackberry. Részletek itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

ha az m$ benne van, akkor egy v. több hátsóajtó is benne van.

És ezen kijelentéseid arra a következő tényekre és bizonyítékokra alapozod:

...?

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

hogy beleszólsz.

Tehát semmi, csak ideböfögtél valamit.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

talán ha érvelnél, nem csak úgy beszólnál..
eszembe jutva valami. vagy... nem.

Öcsisajt, itt te próbálsz állítani valamit mindenféle érv nélkül. Neked kellene valami bizonyítékot iderángatni, hogy mégis mitől vagy hogy lenne benne hátsó ajtó, csak mert az MS is támogatja.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

de én nem vitatkozom, az te csinálod.
én kinyilatkoztatok, mint orbán viktor tusványoson. te vonod kétségbe amit mondtam, hát érvelj:))))))

Ja értem, hogy gyökér vagy és be is vallod. Ok, nincs több kérdésem.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

most közvetve lehülyézted a kedves vezetőnket, orbán viktort?

szoktam veled vitatkozni, de most kibaszott jol nyomod :D

Mit nyom jol? Fullba a kretent max.

bocsi, engem szorakoztat. De akkor majd szegyellem magam, hogy nem erem el a ti szellemi szinvonalatokat es en is kreten vagyok. :D

bocsi bocsi bocsi bocsi

Azert sajat velemenyem lehet ugye?

Azon túl, hogy közszereplő és az hülyézheti le, aki akarja, igazából rólad volt szó.

De látom, túl hülye vagy, hogy ezt felfogd.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Szabad ezt úgy értelmeznem, hogy ma már bárkinek lehet olyan tanúsítványa, ami gyakorlatilag nem tanúsít semmit, viszont ingyenes, és nem lesz tőle piros/áthúzott lakat a felhasználó böngészőjében?

eddig se volt ez másképp

Szerintem: pontosan XD

Csak ha ezt a kommentet szabad úgy értelmezni, hogy nem tudsz semmit a HTTPS-ről.

Facebook csalok pl. eloszeretettel hasznalnak let's encrypt tanusitvanyokat megteveszto boltok keszitesehez, ahol szerencsetlen felhazsnalok elkolthetik a penzt. A legtobb ilyen felhasznalo biztonsagban erzi magat ha ott a lakat es nem nez mondjuk whois recordot, hogy csak ket napja regisztraltak be az "adidas.store" webshopot, ahol minden 70%-os kiarusitassal megy.

De lehet, nem tudok semmit sem a HTTPS-rol.

DV cert. Azaz a certet kibocsátó azt nézi meg, hogy a www.mexivtad.tld-re kért cert igénylője a www.mexivtad.tld alatt el tud-e helyezni egy általa megadott információt. Csalópista el tud ott helyezni egy fájlt (merthogy az ő tárhelyére mutat a domain), úgyhogy megkapja a certet, hiszen valóban az kérte, aki a domain alatti tartalmat képes kontrollálni.
Az a felhasnzáló meg, aki a réjbenofficist0re.store oldalra ellátogat, és mindenféle kételkedés nélkül vásárol, az... Mondjuk úgy, jelentősebb edukációra szorul internet használat tekintetében.

arrol nem is beszelve, hogyha beleolt penzt, hogy csinaljon kamu weboldalt, hostolja egy serveren, stb, akkor az 50$ ssl cert sem volt nagy akadaly. most csak ebbol az 50$-bol lett "0$-os" kiadas. meg persze nagyonhasonlonevu domainhez volt nehez certet venni (pl visszadobta a a apple.shop akartal kerni), most a lse-nel nem tudom van-e valami ellenorzes ez ugyben.

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Ez a visszadobás nem inkább a domain regisztrátor feladata lenne?

Az egész let's encrypt arról szól, hogy a DNS-re bízza a rendszerbe vetett bizalmat, és nem az SSL tanúsítványkibocsátókra.

Nem a Let's encrypt, hanem a DV cert, és nem a dns-re bízza a dolgot, hanem arra, hogy az adott domainen lévő tartalom módosításának a képességét tanusítja, és a cert használatával biztosítottá válik, hogy harmadik fél (olyan, aki a kiszolgálói oldalon nem mókolhatja a tartalmat) út közben sem fogja tudni módosítani azt.
A DV cert röviden arról szól, hogy "igen, az a tartalom, amit nézel, az a tanusított domainről, módosítás nélkül érkezik a böngésződbe."

Igen. De - lásd a szál korábbi postjait - valahol a domain regisztrátor feladata, hogy megakadályozza a megtévesztő nevű domainek létrehozását. (lásd az említett "adidas.store" webshop).

Ha meg már van egy domainem (és jogosan az enyém, ha beregisztrálták), milyen alapon tagadják meg tőlem, hogy az adott DNS névre kérjek egy tanúsítványt?

"valahol a domain regisztrátor feladata, hogy megakadályozza a megtévesztő nevű domainek létrehozását"

És hol a határ a megtévesztő domain és a legális domain között? Miért pont ott van? Vagy parkoltatni legális, hátha megveszi majd valaki később? :)

--
https://iotguru.live

Ne erts felre senki sem mondta, hogy az SSL vagy a Let's encrypt rossz dolog lenne, csak arra vilagitottunk ra, hogy ez totalisan nem jelenti azt, hogy "biztonsagban vagyok", amit viszont kicsit talan allitani akar.

Sajnos megoldhatatlan problema jelenleg az, hogy valaki ne regisztraljon be kethetente *.store oldalakat, amiket egy webcrawler script dob ossze az eredetirol ollozva a tartalmat csalas miatt es ne kapjon arra tanusitvanyt.
Az egy hozadeka a let's encrypt egyszerusegenek es nagyszeruesegenek, hogy a fent emlitett csaloknak tok jol hasznalhato. Ettol meg nem rossz, ugyanug ahogy a konyhakes sem, megis jo sokan olnek vele.

Nem tudom, hogy lehetne a fenti problemat megoldani, ugyanugy ahogy a konyhakes hasnalatahoz sem gondolom, hogy jogositvany kelelene, meg erkolcsi bizonyitvany.

Amugy nekem ismerosom meselte (facebook dolgozo, support), hogy a facebook-on terjengo .store oldalak szinte mindegyike let's encrypt-es. Es hogy a szamuk iszonyatos mertekben megnott az utobbi idoben. Azt mar csak en dedukaltam ki, hogy azert mert a let's encyropt-el konnyebb nekik doglozni. De siman lehet, hogy nem igy van.
Az viszont biztos, hogy csomoan a zold lakat miatt biznak az ilyen oldalakban es nem fognak whoist nezni ha a lakat szepen zoldul.

"Sajnos megoldhatatlan problema jelenleg az, hogy valaki ne regisztraljon be kethetente *.store oldalakat, amiket egy webcrawler script dob ossze az eredetirol ollozva a tartalmat csalas miatt es ne kapjon arra tanusitvanyt."

Ez akkor is így volt, amikor csak EV tanúsítványok voltak... kicsit nehezebb volt, most alacsonyabb a küszöb, de ezt a küszöböt nem a Let's Encrypt tette alacsonyra, hanem a DV.

"Az viszont biztos, hogy csomoan a zold lakat miatt biznak az ilyen oldalakban es nem fognak whoist nezni ha a lakat szepen zoldul."

A lófaszt. Akik ezeknek bedőlnek, nem néznek semmilyen lakatot, nemhogy a színét... ha húsz vörösen villogó "vigyázz, ez egy csaló oldal" felugró ablakban kell okét nyomni, akkor húsz felugró ablakban fognak okét nyomni, hogy megvehessék az áhított szerszámkészletet 20 dollárért, aminek egyébként 2000 dollár lenne az ára. Az okosabbja előbb rákérdez egy csoportban, hogy igaz-e, a kevésbé okos ezek után a többiek intelme ellenére megpróbál rendelni, mert hátha mégis igaz, a balfasz pedig rendelni fog, mert ilyen bulit nem lehet kihagyni.

--
https://iotguru.live

> kicsit nehezebb volt, most alacsonyabb a küszöb

Még csak az sem feltétlenül igaz, 90 napos certeket eddig is lehetett igényelgetni, akár trial alapon, nem hinném hogy a phishereket visszatartotta volna, hogy ezeket nem szabadna pénzszerzésre használni. :D

Szerkesztve. (Úgy látszik, kétszer ment el)

"gyakorlatilag nem tanúsít semmit, viszont ingyenes" vs. "ezt a kommentet szabad úgy értelmezni, hogy nem tudsz semmit a HTTPS-ről"

Na en erre reagaltam egy peldaval, ami alatamasztja az elso hozzaszolast. Hogy a facebook-on hogy terjednek ezek a boltok es kit szivatnak meg engem meg nem erdekel. O bajuk. Edukacio hianyaval egyutt. Leszarom.

Lasd lejjebb, ahol megadtam azt a domain regisztartort is, ahol elszaporodtak az ilyen altalad is emlitett bejegyzesek. :D

Tanúsítja, hogy a tanúsítvány létrehozója hozzáfér az adott tárhelyhez. Ezenkívül titkosításhoz még jó...

Talan a Cloudflare-nek mintha lenne olyan szolgaltatasa, amivel meg ez sem biztos, hogy teljesul.

+1 Cloudflare-nek van saját aláíró certje, és front-end proxyként bármilyen site-hoz generál röptében, valid ssl certet, mellesleg úgy, hogy a cloudflare és a géped között marad a plain kommunikáció.
Ennyit a "biztonságról". Placebo security.
--
"Sose a gép a hülye."

A Géped - CF közti kapcsolat ugyanúgy titkosított, nem lesz ez placebo.

Egyébként lehet a saját szervered és a CF közti csatorna is HTTPS.

De, placebo, mert a cloudflare mindenre ad szemrebbenés nélkül valid certet, plusz a jelszavad meg a bankkártyád adatai a cloudflaretől a szerverig ugyanúgy átcsoszognak plaintextbe.

Lehet, de ez a kliens szempontjából teljesen mindegy, mert felé nem látszik, azaz az előző esetet nézve neki fogalma nincs arról, hogy a háttérbe mi megy.
--
"Sose a gép a hülye."

Mindenre? Igen, miután a domained hozzáadtad a CF-hez, és megerősítetted DNS-sel, mint bármilyen DV certet.

A jelszavad meg a bankkártyád a CF-től a szerverig akkor csorognak át, ha nem állítasz SSL-t a kettő közé, de a kettő közti kommunikációt jelentősen nehezebb MITM-elni, mint a user-CF köztit.

sub

Azt kihagytad, hogy ezzel megoldották, hogy rendszeres, extra adminisztrációs költsége legyen minden weboldalnak.

Ráhúztak +1 layer-t, amire figyelni kell.

Továbbá bizonyos eszközök a HTTPS-t nem tudják kezelni, így ezeket is cserélni kell.

Sakk-matt,
KaTT :)

A HTTP továbbra is működik, vagy lemaradtam valamiről?

He? Certbot? Néha rá kell nézni, de egyébként pont a LetsEncrypt megy magától is.

+1 Ezen kívül kérhetsz értesítést is, ami mondjuk e-mailt küld, hogy le fog járni a certi, így csak akkor kell ránézni, ha ezt megkapod. (Amennyiben egyébként be van állítva a certbot, csak valamiért nem futott le.)
-------
It is our choices that define us.

Az eddigiekhez képest max az ingyenességben hozott változást a let's encrypt.

Illetve abban sem, hiszen ha van valami sebezhetőség XY certtel "védett" húdehűha komoly, zöld lakatos oldalon, hekker jóska pontosan azt hostol a cert alatt, amit csak akar, ez így volt mindig is. Phishing oldallal volt is már dolgom, ami pontosan ezt csinálta. Himihumi egészségügyi cég oldalán volt sebezhetőség, amin keresztül hősünk tudott csinálni saját aloldalt, ami egy magyar weboldal bankkártya adatokat bekérő oldalának álcázta magát. Valid(nak tűnő) címről jött mailben a spam, hogy ZW kedvezményt kapsz, ha most ide kattintva megrendeled a terméket. Átlag netproli belekattint, ott a zöld lakat, örül, fizet, mindenki boldog. Egy ideig.

A cert lopásokat, kelet-ázsiai dzsunka certeket már csak így lábjegyzetben fűzném hozzá a témához.

Ennyit a nagy zöld lakat mítoszról, amit most majd jól tönkretesz a let's encrypt.

A lets encrypt is csak akkor ad neked certet ha bebizonyítod hogy hozzáférsz a domain mögötti resource-okhoz, tehát te vagy a gazdája.

--
debian,libreelec,openmediavault,ubuntu,windows,arch,lineageOS
zbook/elitebook/rpi3/nexus5_hammerhead

https://www.namecheap.com/ - a legjobb csalo oldalak mind ide vannak bejegyezve. Kethetente :D
Es mindegyiknek van let's encrypt tanusitvanya.

És lets encrypttel könnyebb csalni mint tetszőleges pistuka bt-vel?

--
debian,libreelec,openmediavault,ubuntu,windows,arch,lineageOS
zbook/elitebook/rpi3/nexus5_hammerhead

Én nem igazán értem ezt a csaló témát - nem mindegy, ki állítja ki nekik a certet?

Idézet a LetEncrypt FAQ-ból:

"Let’s Encrypt offers Domain Validation (DV) certificates. We do not offer Organization Validation (OV) or Extended Validation (EV) primarily because we cannot automate issuance for those types of certificates." (kiemelés tőlem).

Amennyire én tudom, az összes "nagy" CA a DV certet úgy adja, ahogy a LE. IMHO tök mindegy, milyen DV certet tesznek ki a csalók, ha GoDaddy cert lenne, attól még ugyanúgy csaló lenne, csak elköltött volna 20 USD-t, és 1 évig élne a cert...

Ez igy aze' o'ccsobb am!!! Miert fizetne 20$-t egy evre, meg akkor is, ha ket hetig megy a csalo site es bejon neki tobb ezer dollar???? Nem ertem? Miert baszna el a hasznat? :D

Számára ez egy üzlet. Az nem nagyon szokott összejönni, hogy valaki befektetés nélkül lesz sikeres. Beleöl néhány órát/napot, hogy elkészítse a webshopját. Ehhez képest a $20 már elhanyagolható.

Nagyon sok kezdő vállalkozó (a legális is!) úgy hiszi, hogy van egy jó ötlete és minden befektetés nélkül dőlni fog hozzá a lé. Ezek a vállalkozások általában nem sokáig működnek.

Spec. nem a 20USD-ről (vagy legyen 50, tök mindegy) van szó.

Arról van szó, hogy mindegy, hogy a cert a LetsEncrypt által lett kiállítva, vagy XY más CA által. Ha Domain Validated (DV), akkor "ennyit is ér".

Tök felesleges nevesíteni az LE-t.

(Egyébként mókás az az "összefüggés", hogy "bejon neki tobb ezer dollar" vs. "Miert fizetne 20$-t egy evre" ill "Miert baszna el a hasznat". :))

A nem kell fizetni resz miatt, meg nehezebben kovetheto.

(Bankoktol en elvarom az EV certet.)


Amit nem lehet megirni assemblyben, azt nem lehet megirni.

és nem banktól, csak sima "pénzügyi szolgáltatótól" a nem lejárt certet?

https://www.coinizy.com/

:)

a fintech jócég, so 2018, nebáncsda innovációt, very secure, much trust

Ja, és a Revolut ingyen adja, amit ez pénzért XD

Mert mit tanusít a nagy gyártók drága tanusítványa?

A valódi tulajdonost, ha céges regisztráció esetén kérnek hivatalos dokumentumokat és nem bízzák a DNS regisztrátorra.

Az nem DV. Az már EV.

Mert mit tanusít a nagy gyártók drága tanusítványa?

Nem tudom mi volt a céljuk az SSL tolásával de sikerült csinálni egy full átláthatatlan piacot tonna SSL certifikációt áruló céggel. És még van, hogy a telepítése se sima liba. Frankó. Hogy a témához is hozzászóljak. Használom a Let’s Encrypt működik elégedett vagyok vele. De mikor a múltkor az egyik általam üzemeltetett étterem honlapjára telepítettem többször megkérdeztem magam, full statikus html az egész mi a francnak kell a https? No mind.

--
honlapom http://dyra.eu/

full statikus html az egész mi a francnak kell a https
Ezt még nekem se sikerült megértenem - bár tegyük hozzá, nem vagyok egyáltalán szakértő.

> full statikus html az egész mi a francnak kell a https?

Erre valami olyasmi szokott az official válasz lenni, hogy a hotel/kávézó/pistike feltört routere ne tudjon észrevétlenül kriptovaluta-bányász javascriptet beleinjektálni.

Jogos érvnek tűnik mostanában.

Annak tunik, de a rosszindulatu JS kodhoz semmi koze nincs annak, hogy http, http-n html + script tag inject vagy https az endpoint. A valosagban ez a fajta MITM talan az egyik legritkabb valoban kihasznalt malicious JS code execution tipus.

Mikozben malvertising siman atmegy https-en.

A semminel tobbet er, az teny. de kb. -221-rol -219-re emeled a biztonsagi szintet.

Azért annyira mégsem ritka.

Meg szerencse, hogy van helyette egy npm, ahova annyira "nehez" rosszindulato kodot publikalni eszrevetlenul egy update-ben :P

"full statikus html az egész mi a francnak kell a https"

Pölö például azért, hogy a szolgáltatód ne tudja újrakódolni a képeket, ne tudjon agresszíven gyorstárazni... Netflix tért át azért HTTPS-re, mert akkor a szolgáltatóék nem tudják a jó minőségű videót újrakódolni szar minőségű videóra, ami miatt aztán a Netflix-nél verték az asztalt. Meg aztán statikus oldal esetén sincs köze a szolgáltatónak ahhoz, hogy konkrétan mi a statikus tartalom.

Mert ugyanúgy a privát szférád része, hogy a statikus oldalakban milyen tartalmat olvasol / fogyasztasz.

--
debian,libreelec,openmediavault,ubuntu,windows,arch,lineageOS
zbook/elitebook/rpi3/nexus5_hammerhead

szolgáltatód
Mármint az internetszolgáltató?

Bárki aki hozzáfér a forgalomhoz szerver és a kliens között.

Legálisan ez az internetszolgáltató (ha jól értem).
És ha _Franko_ hozzászólását jól értelmezem, akkor ha https-en keresztül megy a történet, akkor az internetszolgáltató (legális úton) nem tudja, hogy mit tölt le az adott oldal, így nem tud gyorstárazni se (vagy pl. butítani a videót).

/Bocs, de az ilyen irányú tudás, amire biztosan tudok alapozni, az kb. ott kezdődik, hogy a házamba bejön az internetkábel. Néhány dolgot "házon kívül" is tudok, de az igen elenyésző - legalábbis a ti tudásotokhoz képest. Érdekelne a dolog, de valahogy sose visz rá a lélek, hogy elkezdjek ilyen irányú irományból okosodni./

"Legálisan ez az internetszolgáltató (ha jól értem)."

Neked van egy szolgáltatód. A szolgáltatódnak is van szolgáltatója. Egy egész hálózat szolgáltat neked mindenféle minőségben. Általában tucatnyi szereplő van közted és a szerver között. És az a legenyhébb beavatkozás, hogy a képeket/videókat újratömörítik nagyobb veszteséggel vagy az elérendő tartalom típusa szerint priorizálnak. Vagy ugye saját cache szolgálja ki a kérést, ami esetleg jóval lassabb, mint a szerver, a weboldal fejlesztői pedig vakarják a fejüket, hogy mitől vannak bizonyos ügyfeleknek panaszaik. Egy csomó ilyen problémát megold a HTTPS protokoll és okoz más problémákat.

Hm. Gondolom, a cache-t azért csinálják, hogy a sávszélességet ne zabálja ugyanaz a kép ugyanarról az oldalról százezerszer, így az ügyfelek kéréseit (összességében) gyorsabban tudják kiszolgálni.
Lehet, hogy naív vagyok, de ha a tartalom valóban statikus, akkor ez akár még jó is lehet - a CDN-ek lényege is ilyesmi.

és okoz más problémákat
Miket? Gondolom, az átlag felhasználó számítógépe már olyan sebességgel bír, hogy az esetleges lassulást nem veszi észre (vagy eleve nagyságrendekkel több ideig tart letölteni, mint a https használata miatti időnövekedés).

"Gondolom, a cache-t azért csinálják, hogy a sávszélességet ne zabálja ugyanaz a kép ugyanarról az oldalról százezerszer, így az ügyfelek kéréseit (összességében) gyorsabban tudják kiszolgálni."

Igen. A probléma az, amikor ezt nem jól csinálják. Nehéz eldönteni, hogy egy tartalom mikor és meddig tárolható anélkül, hogy a szerver erről tudomást szerezne. Ha frissül a szerveren a tartalom, akkor inkonzisztens lehet a böngészőben a tartalom, mert ami cache-ben volt, az a régi tartalom, ami nem volt benne, az meg az új. És időnként a statikus oldalak is frissülnek, olyan statikus oldal nem igazán van, ami évek óta statikus.

A CDN is ilyen, de a CDN kontrollálható a weboldal üzemeltetői által. A böngésző kontrollálható a felhasználó által. A kettőjük közötti csövet a szolgáltatók szeretnék okosítani, a két végpont viszont azt szeretné, ha az egy cső lenne: pont az jönne ki belőle, amit a másik végén beletettek.

A HTTPS nem a lassulással okoz problémát, mert a handshake a lassú, utána már szimmetrikus kulcsok vannak, az gyors... ha nincs beállítva jó keep alive érték, akkor viszont problémák lesznek. És vannak egyéb mellékhatásai, amelyek részben abból adódnak, hogy nem látni bele a protokollba. Például ugye ilyen a cache hiánya. Az ember áttér HTTP protokollról HTTPS protokollra és hirtelen többszöröse lesz a forgalma, mert kiesnek az eddigi transzparens cache rétegek. Erre fel kell készülni, vagy bővíteni kell vagy pedig CDN-t beüzemelni.

Szerencsére a nagyobb kiszolgálók a HTTPS-től függetlenül saját maguk cachelnek a lokális ISP-nél... Lásd Google szerverek tucatjai az összes hazai szolgáltatónál. :)

Ha viszont nem vagy annyira nagy kiszolgáló, mint a Google, de azért közepesen nagy forgalmad van, akkor esetleg meglephet, hogy sokkal nagyobb lesz az adatforgalom, mint amire számítottál, ha áttérsz csak HTTPS protokollra.

Visszaolvasgatva a hozzászólásokat, ahogy azt az előző "Chrome mostantól nem biztonságosnak jelöli a http-t topic" ban kifejtettem.

Ez az egész egy bullshit lesz. Pont azért, mert a böngészők elkezdik majd nagyban "ződ jellel" kommunikálni a siteokat, mert hát https, az egy biztonságos oldal!!! de jó !

Ez baszottul félrevezető lesz - már most is az - , de a későbbiekben ha a chrome a sima http-t így jelöli majd meg hogy "nem biztonságos" akkor bőven sokkal inkább félreérthető lesz...

nem nekünk akik tudjuk hogy mi az SSL hogy is műxik, stb... A sima usernek. ujuj http aszonta nem biztonságos. ujuj itt egy ZÖLD jel! ez biztonságos!

Ez a baj ezzel ... :/

De fixme.

ps.: félreértés ne essék nem az SSL / https ellen vagyok .. magam is használok letsencryptet szerveren, routeren, stb.

Ha nem írna ki semmit a böngésző, sőt még zöld lakat se lenne, akkor sem lenne jobb a helyzet. Így viszont azok, akik veszik a fáradtságot, hogy megnézzék mit jelentenek ezek a jelzések, azok majd tudják helyesen értelmezni.

Hogy legyen autós hasonlat is :-)
Ha valaki úgy ül be az autóba (vezetni), hogy fogalma sincs a KRESZ-ről, az valószínűleg nagyon gyorsan balesetet fok okozni. De erről nem a KRESZ tehet, nem azt kell hibáztatni.

nem jó az autós hasonlat, mert ott senki nem mondja neked hogy bizony a http (autó kresz fogalom nélkül) nem biztonságos, de ha zöld vagy és ismered a kreszt, akkor már bizony az! mert tudsz mindent.

Félrevezetést :( mmint a chromenak a szarja hogy http -> nem biztonságos | https meg kurvabiztonságos és az a jó. Egyszeri user azt nézi mi a zöld.

Egyszeri user azt nézi mi a zöld.
nem jó az autós hasonlat
Hát persze, hogy nem jó! Hiszen a hasonlat úgy lenne jó: ha zöld az autó, akkor nem fog elütni, mert biztonságos. Ha nem zöld, akkor viszont érdemes vele vigyázni :)

Nincs olyan, hogy egy hasonlat minden szempontból megfelel az alapesetnek. Csak abból a szempontból kell „jónak” lennie, amire fel szeretnénk hívni a figyelmet.

Most arra akartam utalni, hogy használatba veszel egy „eszközt”, aminek a használati szabályait, esetleg a működését sem ismered. Ilyenkor szinte borítékolható a kudarc, vagy a kár.

Ha már a hasonlatok jóságán lovagolunk: az autó létezhet kresz nélkül is, mint ahogy a kezdeti időkben így is volt. Aztán az első szabályok egyike az volt, hogy egy gyalogosnak zászlóval a kezében kellett mennie az autó előtt, ezzel felhívva a figyelmet a veszélyre. Azonban a http/https-nek semmi értelme internet nélkül. Tehát az autó és a http/https között nem húzhatunk párhuzamot. Én az autóvezetés és az internet használata közötti hasonlóságra hívtam fel a figyelmet.

De miért nem? Ha a legfrissebb króm aszongya a sima http -re hogy nem biztonságos, még a XY httpsre zölden jelzi hogy már pedig ez biztonságos... Akkor nem tudom mivel kellene párhuzamot vonnom, de hogy ez így nem kóser az tuti :/

Oh, noice!
Gondolom, ez jelzés akar lenni a különféle szakhatóságok felé, hogy náluk lehet bejelentkezni a kulcsokért...
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Ha én is támogatóvá válok, akkor én is megkapom a kulcsokat?

Nem hiszem, hogy így működik... :)

Neem, ez itt két külön pályás játék. Egyik oldalon felszopás a techcégek felé, hogy mindenki csakis egy és kizárólagos cert-et használjon, hogy legyen eladható infótömeg. A másik oldalon a szakhatóságok és egyéb életformák felé az üzenet, hogy megfelelő apróért "véletlenül" kikerül pár kulcs. (Természetesen n+1 napal később, minden kiderül és új kulcsok lesznek kiadva...)
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Ha nem nehézpályás a target, akkor nem kell ilyenekkel bohóckodni. A "szakhatóság" valamelyik másik "saját" vagy "közeli" CA segítségével előállít egy számára megfelelő "trusted" tanúsítványt és MITM beékelődik a forgalomba. A böngészők/levelezők/alkalmazások jórésze úgyse vizsgálja, hogy korábban is ugyanaz a tanúsítványkiadó adta-e ki a certet, vagy nem, így könnyen kivitelezhető a támadás.

Természetesen ezek kiszűrésére jött létre a Certificate Pinning és mindenféle böngésző kiterjesztések, amelyek próbálják észrevenni, ha gyanús CA változás történik a domaineken a korábbiakhoz képest. A probléma viszont az, hogy a webes kiszolgálás annyira bonyolult manapság, hogy nehéz ezt kivitelezne széleskörűen. A Google néhány saját domainjére bekapcsolja az ellenőrzést a chrome böngészőjében, egy jópárra viszont már nem, amelyekre viszont szintén rengeteg hivatkozás történik mindenhonnan, így továbbra is meglehetősen sérülékeny az egész PKI koncepció.

Ez is egy mellékhatás, hogy ha nem látnak bele, akkor nem tudják cenzúrázni, tehát az egészet blokkolják.