"A Google is megbízhatatlanná nyilvánította a Gattyán-féle Netlock egyik online tanúsítványát"

HUP cikkturkáló

https://telex.hu/techtud/2025/06/01/netlock-kiberbiztonsag-google-chrom…

"..A Netlock egyébként ugyanezzel a tanúsítvánnyal már az Apple-nél is belefutott ugyanebbe a problémába, a cég tavaly november közepével, hasonló okokból nyilvánította megbízhatatlanná sok más érintett mellett a magyar cég tanúsítványát..."

  • 3253 megtekintés

( mauzi v | 2025. 06. 01., v – 13:06 )

Szerkesztve: 2025. 06. 01., v – 13:11

Ha már itt tartunk: ajánljatok kérlek tanúsítványkiadót, amelyik képes elfogadható áron dokumentumok hitelesítésére használható aláíró tanúsítványt kiállítani:

  • Fokozott biztonságú tanúsítvány (eIDAS AES/AdES) elegendő, nem kell minősített tanúsítvány,
  • Szoftveres tárolású tanúsítvány legyen (pl. p12 fájl), hardver token nélkül (a meglévő dokumentumkezelő-, számlázó-, tömeges aláíró és egyéb rendszerek azzal működnek garantáltan)

A Netlock-nál ez tökéletesen megvalósul a 22.000 Ft+ÁFA éves díjú "EXPRESS / Nem-minősített üzleti aláíró / bélyegző tanúsítvány szervezeteknek" termékükkel. Hirtelen, amit találtam hasonlót másik (külföldi) tanúsítványkiadónál, az az éves 350-550 USD közötti ársávban van, ami mondjuk 6-10 szerese a mostaninak.

A történet a Netlock Gold főtanúsítványról (Root CA certificate) szól, amivel alá vannak írva a Netlock által kibocsátott tanúsítványok. Az aláíró tanúsítványok is.

Az aláírt PDF dokumentumok esetében ez a tanúsítványlánc:
  Netlock Arany (Class Gold) Főtanúsítvány -> NETLOCK Trust Advanced CA -> A végfelhasználó tanúsítványa

De ez csak akkor érdekes ha az OS-ekbol veszik ki.

Ez nem a jövő, hanem már történik, lásd: Apple.

Másrészt, ha a Google lép valami jelentősebbet, jelen esetben, valakitől megvonja a bizalmat, azt a korábbi tapasztalatok alapján a többi (birka?) is hamarosan követni fogja.

Harmadrészt, én is szeretnék tisztában lenni vele, hogy milyen alternatívák vannak a jelenleg igénybevett szolgáltatásokra, pláne, ha a technikain felül jelentősebb pénzügyi vonzata is van.

Dehogynem. Ha az aláíró tanusítványt kibocsátó tanusítványát kibocsátó tanusítványt (ejj de szép ez a magyar nyelv a dupla birtokos szerkezettel...) az OS nem ismeri/nem bízik meg, annak kihatása lehet az aláírás ellenőrzésére is (hiába passzol az aláírás, mivel nem hitelesíthető maga a tanusítvány, amihez az aláírás passzol, nem lesz hiteles). A trust chainnek meg kell lennie mindenféle tanusítvány alapú ellenőrzés esetén, különben egy támadó küldhetne neked egy digitálisan aláírt dokumentumot ami LÁTSZÓLAG a küldő tanusítványával van aláírva, kivéve, hogy azt a tanusítványt nem a NetLock hanem a LockNet írta alá mondjuk. Ha nem ellenőrzünk hitelességet az aláíró tanusítványt aláíró kibocsátó tanusítványon, akkor nem garantálható a trust chain konzisztenciája, így nem hitelesíthető a digitális aláírás - akkor sem, ha amúgy a dokumentum integritását igazolná az aláírás.

És ezen az se biztos, hogy segít, ha csatolják a CA főtanusítványt. Elvileg a legfölső (amúgy self-signed) tanusítványban az OS-nek magának kell megbíznia (épp azért, mert self-signed!), attól teljes mértékben függetlenül, hogy az csatolva van-e.

Mivel a Netlocknak a Gold a topmost főtanusítványa (azaz: ez egy self-signed tanusítvány), annak az invalidációja az összes Netlock által kibocsátott intermediate CA és normál tanusítvány érvényességét viszi magával.

Én is mocsok sokat küzdöttem mire megértettem a PKI logikáját, és most sem állítanám 100%-ra, hogy a fenti kocc nélkül megállja a helyét, de a tapasztalataim + a józan paraszti ész ezt diktálja.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Kis pontosítás:
Ha az alkalmazás az OS tanúsítványtárát használja, akkor igen, az OS tanúsítványtárából hiányzó CA-k okozhatnak ellenőrzési hibát a láncban.
Ha az alkalmazásnak saját trust store-ja van - lásd: Adobe Acrobat, Firefox -, akkor az OS tanúsítványtára semmit sem befolyásol.

Ahogy csardij fórumtárs írta: a jogi megbízhatóság egy megint másik, a technikaitól független kérdés.

Mondjuk az 1 jó kérdés, h. egy OS szintjén visszavont v. érvénytelenített, feketelistás Root CA használata utána egy alkalmazásszintű kivételkezeléssel miért oldható meg? Az h. hiányzik a Root CA az OS szinten, azt még el tudom fogadni h. alkalmazás szintjén jó dolog lehet képesnek lenni megoldani.

De olyan esetben, amikor explicit nyoma van h. baj van vele, és utána ezt az alkalmazás simán figyelmen kívül tudja hagyni, hát az nagy gondok későbbi forrása lehet.

Miért ne lehetne felülbírálni alkalmazás szintjén? Lásd pl.: Java truststore és Java alkalmazások. Az se az OS-ét használja - platformtól, OS verziótól függően.

Ha van egy saját alkalmazásom és megoldható, akkor meg simán én rakom össze a truststore-t mindentől függetlenül.

De ha saját magad gondoskodsz a Trust store-ról, akkor nem fogsz tudni róla ha közben történik valami a Pki világban. Pl kommunikálsz mindenféle külső remote host-okkal, akik mindenféle Root CA-t használnak, a te ráhatásod nélkül. Ha valamelyik megkotlik, és nem hagyod pl. az OS-nek h. automatán megkapja fél napon belül a letiltott root ca serial numberjét a feketelista részeként, akkor kompromittálódott remote host-okhoz fogsz csatlakozni, minden gyanú nélkül.

A saját truststore fenntartása egyben felelősséget is jelent. Ezt nem ússza meg senki.
Számomra is adott a lehetőség, hogy ugyanazokból a forrásokból tájékozódjak a CA-k állapotáról, mint az OS gyártók számára.

Hogy a remote host milyen CA-kat fogad el, az számomra irreleváns. Nekem csak a remote host tanúsítványait kell elfogadnom. Az meg általában elég szűk lista.

Elvileg erre való lenne az OCSP - eddig alig két-három dolgot láttam ezt implementálni. 

De igen, pont emiatt szokták köpködni azokat, akik régi Javát, stb használnak, mert annak a truststore-ja nem fog automágikusan frissülni. Részben ezért is jön folyamatosan ki a 8-as Javából új build, két dolog frissül benne biztosan, a cacerts store és a timezone adatbázis.

OS szinten egyébként láttam már tinkereléseket ezzel, hogy a java certstore-t az OS-é alapján rakják össze egy csomagkezelői hookkal. De ez se standard megoldás, és megvannak a maga hátulütői.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Ha java alkalmazást telepítenék biztos hogy konténerbe raknám és nem a hostra.
Ha már konténerbe rakom akkor a truststore-t úgy pimpelem fel ahogy nekem tetszik.
Legegyszerűbb esetben jó nekem mondjuk a temurin-21 default plusz belerakom a saját root-ca-mat.

zászló, zászló, szív

Van ahova nem tudok már OpenJDK -t felrakni, mert a disztróban nincs olyan verziós Java ami nekem kell, a külső OpenJDK csomagok meg nem mennek fel, mert függőségek, az OS frissítéssel meg a régebbi OpenJDK-kat veszteném el. Az Oracle JDK RPM-je elég jól működik ezeken a rendszereken is. Pl most kellett 17-es JDK-t felraknom oda, ahol 11 volt a disztróból a max, OpenJDK-ból 17-est meg erre a konkrét disztróverzióra már nem forgatnak, de az átmeneti időszakban 8-11-17-et kell támogatnunk, amíg minden oda nem ér a 17-eshez.

Igyekszem az Oracle-öst nem használni, mert seggfájás letölteni, seggfájás frissíteni, de néha muszáj.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

De itt nem az történik hogy a Netlock visszavonja a fő tanúsítványát, hanem azt, hogy a Google kiveszi a böngészőjéből. Az OS-ből jelenleg ez - még - nem került ki. Jogilag pedig teljesen mindegy hogy benne van-e az OS-ben vagy sem, az hogy nem neked kell telepíteni kézzel egy tanúsítványt az egy kényelmi, de semmiképp se egy jogi kérdés. 

De itt nem az történik hogy a Netlock visszavonja a fő tanúsítványát, hanem azt, hogy a Google kiveszi a böngészőjéből. Az OS-ből jelenleg ez - még - nem került ki.

Ha a Google kiveszi a böngészőjéből, akkor várhatóan előbb-utóbb a többi cert disztributor (OS vendor, browser vendor, stb.) is ki fogja venni.

az hogy nem neked kell telepíteni kézzel egy tanúsítványt az egy kényelmi, de semmiképp se egy jogi kérdés. 

Az lehet, csak akkor képzeld el azt a világot gyakorlatban, hogy pl. az összes, általad látogatott weboldal certjének főtanúsítványát neked kell telepítened, majd pedig periódikusan frissre cserélned. Dokumentum hitelesítésnél nagyjából az van, hogy elküldöd a partnernek a PDF-et, majd a partnernél Mancika megnyitja, és örül, ha azt mondja, az Acrobat Reader, hogy minden tanúsítvány érvényes, és hívja a supportot, ha nem.

Nem csak azokat. Ahogy elnéztem a fentebb linkelt Mozillás threadet... hát őszinte leszek, ha én holnap csinálnék egy tanusítványkiadót, is jobban kommunikálnék, ezeknek meg elvileg van 30 év tapasztalatuk... Mondom elvileg.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Aztán ahogy fentebb is írták, ki tudja azoknál is mekkora a munkaerő csere-bere. Aztán elég ha elmegy a topgun employee, nem tudnak a magyar piacról felvenni másik olyan embert, aki kívül-belül vágja a PKI folyamatokat ilyen szinten. Az új embernek meg elég 1 illegálisan kiadott "véletlen" cert (mondjuk egy wildcard a *.google.com-ra ;) és 60 másodpercen belül rájuk szakad az ég haragja. A 60 másodperc, és az ég haragja is szószerint.

Várj, most meg kellene sajnálnom őket? Szeeeeeggééééények.

Ez egy ilyen piac. Nem kell qrvának menni, ha nem bírod gyomorral ha b@sznak. Bocsánat, de erre már tényleg nem tudok szebbet mondani. Brókernek is nehéz lenni, mert elég egy mellékattintás, és milliárdok mennek a picsába.  Orvosnak is szar lenni, véletlen mellévág, és valaki meghal. Ezek ilyen szakmák.

Félreértés ne essék, emberként megértem a dolgot. De mint ügyfél és mint szenvedő alanya a hülyeségeiknek, engedtessék meg a morcosság joga, és hogy elvárjam a professzionalizmust egy ennyire agyonajnározott és túlárazott cégtől. 

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Jaa, én nem sajnálom a netlock-ot. Hanem egy lehetséges forgatókönyvét írtam le az esetnek. Ha ismeri valaki netlock-ost, aki nemrég ment el onnan, és pki oberstumpführer volt ott 10+ évig, kérdezzen rá. Lehet h. elmondja :D (amúgy biztos nem, az én szaros iparágamban is mindenki ismer mindenkit ahhoz h. fosson a volt munkáltatóitól, nemhogy egy pki munkakörös ember).

Olyan kicsi a magyar piac, hogy PKI területen kis túlzással ismer mindenki mindenkit. Fejlesztő, üzemeltető. Kb. 100, nagyon max. 200 emberről van szó. Belevettem azokat is, akik az utóbbi 10 évben PKI-val foglalkoztak.
Na persze a gittegylet szerű PKI-val machináló, magukat expertnek képzelő cégeket is ismeri minden szakmabeli. ;)

Utóbbi drágább.

A Netlocknál történetesen pont ugyanannyiba került a személyre szóló üzleti aláíró tanúsítvány, mint a bélyegző tanúsítvány.

Továbbá mennyi időbélyegre van szükséged.

Az időbélyegzés az aláíró/bélyegző tanúsítványtól független, külön szolgáltatás szokott lenni, külön árazással. (Plusz: vannak a piacon olyan CA-k, akik ingyen adják az időbélyegzést.)

Az időbélyegzés az aláíró/bélyegző tanúsítványtól független, külön szolgáltatás szokott lenni, külön árazással.

Igen, ez általában igaz.
Azért is kérdeztem, mert E-szignonál van olyan csomag, amiben benne van x darab időbélyeg per hónap. Ha abba beleférsz, akkor olcsóbban megúszhatod, mint 350-550 USD per év.
Pl:
- Fokozott bronz csomag - 42eFt + ÁFA / év - igaz, itt többféle tansit is kapsz, 600 darab időbélyeg / év benne van
- Szoftveres fokozott CA2 aláíró tansi - 23eFt + ÁFA / év - ehhez kell még időbélyeget venned (mondjuk 25eFt + ÁFA-ért vehetsz mellé 1500 darabot az e-Szignotól)

( bennyh | 2025. 06. 01., v – 13:15 )

Szerkesztve: 2025. 06. 01., v – 13:17

Mi az a konkrét mintázat? Mi a konkrét gyanú?

Más:

Nadrágongyuri most fog indulni? (tudom, a cert már nem az ő biznicbe)

Szörnyű hogy mennyire nem veszik komolyan/nem értik a CA felelősségét. Őszinte leszek: bár örültem, hogy van egy teljesen magyar CA (mert ez azért jó dolog, akkor is, ha ezt az érzést mindenki igyekszik elinflálni) de ez a fajta bénázás nem tűnik jónak úgy, hogy abszolút nem most kezdték ezt a dolgot. Egy frissen alakult CA-tól azt mondom, elmegy, de ők már évtizedek óta a piacon vannak. 

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Nagyon szomorú ami ott történik már évek óta. Számomra szakmai hitelessége már évek óta nincs a cégnek - tulajdonostól függetlenül. Tényleg nem tudom mit gondolnak a CA "üzletág" értékéről de a ticketek alapján nagyjából semmit.

Egy security-vel foglalkozó cégnek a legfőbb értékei a hitelesség és a stabilitás.
 

zászló, zászló, szív

- Nem tud magyarul :D
- Nem feltétlenül tudja fejből az összes kis tanusítványkiadó elérhetőségét
- Lehet, hogy indirekt módon derült ez ki, és mellékesen jelezték, hogy ez IS gond
- Lehet, hogy nem hivatásos Firefox tesztelő, hanem egy random felhasználó jelezte Bugzillában. Sokan mindent, ami a böngészőben történik, lejelentenek a böngészőre mint hiba, akkor is, ha mondjuk a Facebook reagál egy HTTP 502-vel. Nem választják szét

És ez csak 4 dolog ami a délutáni kávém szürcsölése közben eszembe jutott.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Azért nézzük végig a listát hogy mikbe futottak bele:

- a tanúsítvány pont aközben járt le ami alatt a tesztelő rendszert lecserélték: ez a tipikus erre nem gondoltunk helyzet
- Kiállítottak intermediate tanúsítványokat (ez baromira nem business as usual) ahol a négy szem elven plusz hibás doksin elcsúszott a történet: a ritkán végrehajtott üzleti folyamatokban azért előfordul hiba
- Weekly update nem történt meg: új kollégák + e2e processz helyett subprocessz oktatása

És akkor tegye fel a kezét az aki még nem futott bele hasonló történetekbe.

 

- Eleve, gond volt az, hogy a "tesztelő rendszer" csak lejáratot néz, szignaturát nem. Nehogy már ez megbocsátható legyen egy tanusítványkiadótól... Még nyilván sosem hallottak kompromittálódó kiadókról...

- 5 vagy 6 kommenten keresztül nem bírt egyenesen válaszolni arra, hogy ők üzemeltetik a tesztrendszert vagy más, esetleg koprodukció van. Hallom, ahogy a főnök ott állt felette, és mondja, hogy ezt ne mondjuk meg. Közben meg okkal kérdezték. És a végén amikor válaszolt is olyan fura volt a válasz.

- Mi az, hogy az intermediate tanusítvány kiállítása egy tanusítványkiadó életében nem business as usual? Miért, mi az, a kávéfőzés? Középületek átadása? Vagy mit csinál egy tanusítványkiadó, ha nem tanusítványokat állít ki? Amúgy, pont tavaly v tavalyelőtt variáltak az intermedite tanusítványaikkal, szóval annyira még nem is volt régen egy intermediate CA cert kiadása... már ha nem Alzheimeres a fele cég.

- Weekly update nem történt meg: egy ekkora cégnél biztos van elég ember, hogy valaki odaüljön és gépelgesse ezeket az updateket. Ha nincs, akkor érdemes lenne felvenni egyet. A tanusítványok árait elnézve: futná rá.

Komolyan, nem az a bajom, hogy hibák vannak. Az a bajom, hogy hibát hibára halmoznak egy ilyen esetben, ebből nekem nem a professzionalitás az első 15 dolog ami eszembe jut.

Cserébe mocsok drágák, és kizárólag az ő tanusítványuk számít államilag is elismertnek, lehet, hogy egy kicsit több komolysággal kéne ehhez hozzáállni.

De persze én csak egy üzemeltető maci vagyok.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Az első ticket arról szólt hogy van egy rendszerük amely egy full statikus oldalt szolgál ki egy valid tanúsítvánnyal tesztelési célból (hogy más tudjon tesztelni), ami éppen egy adott időpillanatban nem volt valid. Miért nem volt? Mert a teszt endpointra nem futott le a monitoring mert éppen átkonfigurálták a rendszert ("No automated alerting or expiration monitoring system was in place for the test endpoint while the configuration was ongoing."). Oké, nem szép, de nem is érzem tragikusnak.

Intermediate tanúsítvány kiadása: azt ugye alá kell irni egy root certtel. Az tudod hol van minden CA-ban? Kb. egy széfben tárolva. Ez nem a normál folyamat ahol kiadnak egy tanúsítványt (amit napjában sok százszor megtesznek) hanem egy ritka folyamat és ahogy a ritkán futtatott folyamatoknál előfordul, hiba történt ("Due to an administrative error the intermediate CAs were interchanged and referred to a wrong root and cert.sh showed these intermediate CAs undisclosed."). Nem jó, de javították, meg a folyamatot is.

Weekly update nem történt meg: pont azt irják le hogy ez elvileg valakinek a feladata lett volna de a kevésbé sikeres folyamatok miatt ez nem történt meg, és ezen is javítottak.

Kizárólag az ő tanúsítványuk számít államilag elismertnek: ez azért érdekes mert az EU-s szabályozás alapján ez baromira nem igy van.

Cserébe mocskosul drágák: az első kommentben irja mauzi hogy annyira drágák hogy a nyugati cég ezt 6-10x annyiért adja. Igen, egy CA működtetése drága. 

Egyébként van itt még érdekesebb történet: https://bugzilla.mozilla.org/show_bug.cgi?id=1947691 ahol ahogy értelmezem a különböző szabályozások egymást ütik. Hát, nem lennék a helyükben.

Ebből mi következik? Az hogy egy CA működtetése baromira nem egyszerű, nem triviális, és nem a technikai részről (jó, az se egyszerű) hanem az elképesztően szigorú szabályozás és komplex folyamatok miatt. A gittegyleteket most nem is említem.

Csak afelett sikerült elsiklanod, hogy pont mostanában mókoltak az intermediate tanusítványokkal, tehát nem olyan régen VOLT intermediate kiadás. Ráadásul egy CA tanusítvány kiadását kétlem, hogy 1 ember végzi, azt azért legaláb 2-3 embernek át kellene nézni, hogy minden fasza-e. Nekem nagyon fura és lazy működésnek tűnik, ha egyszerre ennyi ember képes volt nem észrevenni a hibát.

"meg a folyamatot is" - kicsit ellentmondásosnak érzem, nem látom, hogy mi a garancia, hogy nem lesz a következőnél megint - valami másik - hiba. Ha ritkán futtatott, akkor gyakorolják, legyen félévente képzés belőle, vagy valami, erre vannak egész jó megoldások is. Amúgy, az intermediate CA-knak is (egy másik) széfben kéne tárolva lennie, mert ha kompromittálódik, az csak egy hajszállal rosszabb a root CA kompromittálódásánál. Ezért sem értem a dolgot, ma már a HSM-ek egész "barátságos" felületet adnak erre, egy bármilyen tanusítvány - CA-t is beleértve - kiadása néhány kattintásba kerül. Ha meg a Netlocknál még odáig se sikerült eljutni, hogy HSM-ben tárolják a certeket, az megint sokat elmond a technikai felkészültségükről.

Ettől eltekintve: maga az intermediate CA és a normál tanusítvány kiadása nem annyira eltérő folyamat. A CSR más, meg másik CA-val írunk alá, de technikai oldalról ennyi a különbség, illetve elvileg egy intermediate CA tanusítványt - logikusan - pár embernek át kellene néznie, mielőtt rákerül a "minden fasza" pecsét. Nem arról van szó, hogy papírrepülőt hajtogatni vs bronzszobrot készíteni. És tudván azt, hogy amúgy a normál tanusíŧványokat is el szokták bökni (voltunk ennek szenvedő alanyai), sokkal jobban oda kéne figyelniüik a CA-knál. Ha ez azt jelenti, hogy addig nem cserélnek monitoring rendszert amíg az intermediate CA tanusítványok ki nincsenek adva, akkor azt jelenti. A jó cégvezető ismeri az emberei korlátait.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Az elképzelhető egyáltalán, hogy ez menedzsment probléma? Én eddig azt hittem, hogy egy üzletágban van egy szakmai vezetés, amelynek dolga, hogy ilyesmi ne fordulhasson elő, azért kapja a fizetését ui. Jó lenne tudni, hogy egy felelőtlen faszkalapra volt-e bízva ez az üzletág, aki nem törődött a szakmai normákkal, vagy valamilyen vezetői döntés megszüntette azt a felelősséget, amellyel ez a helyzet elkerülhető lett volna.

Mondjuk azt el tudom képzelni, hogy sose fogjuk megtudni. De tényleg jó lett volna, ha van ilyesmire korrekt magyar tulajdonú megoldás. Gyanítom valakit megintcsak valagba kellene rúgni, hogy elszálljon a Holdig.

Azt kell látni hogy egy CA működése elképesztően komplex és szabályozott és ehhez nagyon komoly technikai és folyamatbeli fejlettségre van szükség (másik topicokban ezt már hosszasan kifejtettük). Ahhoz meg nagyon sok pénzre, a pénzt meg az ügyfelektől lehet előteremteni akiktől viszont nehéz beszedni (lásd még hajbi sírását hogy miért olyan drága a tanúsítvány magánszemélynek. hát pontosan ezért.)

Ehhez jöjjön hozzá esetleg egy olyan cégcsoport ahol a vezetőség a prioritásokat nem úgy határozza meg amelyek a megfelelőek egy ilyen cég működése szempontjából és el is jutunk idáig. És akkor még nem beszéltünk arról hogy mennyire tudja egy ekkora cég megtartani a szakembereket amikor ott a DÁP-ot fejlesztő Qualysoft aki valószínűleg nagy örömmel veszi át a szakembereket, lévén hogy PKI-hoz ilyen szinten értő embereket három helyről lehet itthon szedni:Netlock, Microsec illetve a NISZ-nél dolgozó, vagy korábban dolgozottak.

Igy van, vannak cégek akiknek van PKI tapasztalatuk, viszont ahogy én ismerem ezek jórészt belsős PKI rendszereket építenek ahol nincs szükség olyan szintű audit megfelelésre mint amire egy CA kényszerül: nem kell common criteria alapján termék auditot csinálniuk, nem kell EIDAS és egyéb nemzeti jogszabályok alapján folyamat és működés auditokat csinálniuk, nem kell ezer külső szereplővel (lásd a fenti mozilla postot) kommunikálniuk. Egy CA működése nem csak a technikai részek miatt nehéz, hanem a működésbeli / folyamatbeli elvárások miatt.

Ott van például a CCADB nevű gittegylet - csak egy a sok közül.

Hogy valami szakmait is linkeljek: https://www.encryptionconsulting.com/capabilities-for-47-day-certificat…
Ezzel jön el az igazi rémálom. Fokozatosan leviszik a TLS tansik élettartamát 47 napra 2029. márciusára. Lesz itt anyázás mindenki részéről.

Az a baj, hogy a Google / CCADB-nél is idióták ülnek. Életükben nem foglalkoztak IT üzemeltetéssel.
Konkrét példa: Ha nekem van egy elszigetelt IT rendszerem, aminek nincs Internet kapcsolata, akkor hogy a búbánatban fogom automatikusan (mondjuk ACME) megújítani a tansikat? Főleg, ha ennek még vonzatja is van - pl: truststore / keystore / trust chain módosítás, több rendszerbe / szerverre / alkalmazásba is be kell tenni ugyanazt a tansit + láncot.
Nem lehet mindent automatizálni vagy csak óriási erőforrás befektetéssel és kockázattal.

Egyébként onnan is látszik hogy gittegylet hogy a kisebb CA-kra mutogatnak miközben ilyen van az egyik alapítónál:

Failure to Revoke in 5 Days, az érintett tanúsítványok száma: 100 millió! felett
 
https://bugzilla.mozilla.org/show_bug.cgi?id=1965612

Nem kritikus, értem én, de na...

75 milliót kell visszavonni én úgy olvasom, de a crl túl nagy lenne. Ebben a történetben "poén" az utolsó kommentben van, amiben arra kérdez vissza az ember, hogy ha a clr particionálást év végére vállalja az MS, akkor hogy lehet, hogy régebbi OS-ben benne van és miért nem vezették be PKI területen.

Elég kellemetlen, amikor kívülről auditálgatja így a "közösség" a belső "folyamatokat". ;)

Amúgy mindent lehet automatizálni, és még csak nem is olyan sok erőforrás megcsinálni, inkább ott szokott elbukni a dolog, hogy a cégek sajnálják az emberi erőforrást és a pénzt rá, mert nincs közvetlen hasznuk belőle. Ha ők 8 órában fizetik az üzemeltetést, akkor nekik tökmindegy, hogy te egyesével mész át 100 gépen és cserélgeted a tanusítvány, vagy automatizmust fejlesztesz, csak a kettő közül az egyiket értik a másikat meg nem. 

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Timeline

Date & Time (UTC) Event
2025-04-05 07:46 Certificate for https://valid.ev.tanusitvany.hu/ expired
2025-04-21 20:30 Email received from community; NETLOCK became aware of the issue
2025-04-22 07:06 We replied to the community report
2025-04-24 We opened a preliminary incident report
2025-04-28 14:47 New certificate issued
2025-04-28 16:12 New certificate deployed to test website
2025-04-30 Full incident report

Tehát hat napra volt szükség, hogy egy statikus oldal alatt kicseréljenek egy certet?

Nincs egyvalaki a cégnél akinek a naptárába felírják a certjeik lejáratát egy olyan cégnél aminek ez a fő feladata? 

NER szempontból teljesen kettészakadt az ország. Középvezetőtől felfelé a "másik világ" gyakorlatilag bezáródott neked, nincs átjárhatóság.
Ez aztán lassan a senior szakértő szintre is leér szerintem.

A cég - amennyire kívülről látom - több éve próbál fontos szakmai pozíciókat betölteni, legalábbis hirdetéseik régóta fent vannak.
Hogy ez miért nem sikerül azt nem tudom - de eléggé beszédes a szitu.

A Root-CA korrekt üzemeltetése rutinfeladat kéne legyen, hiszen megvan minden x éve.
Úgy néz ki erre se jut elég erőforrás és/vagy figyelem.

Aztán mindenki magának eldönti hogy a fenti 3 dolog összességében mit mond neki.

zászló, zászló, szív

Személyes véleményem az hogy függetlenül a politikai helyzettől a magyar piac túl kicsi ahhoz hogy több CA is megéljen rajta, egyszerűen annyira kevés a témához értő szakember (technikai, üzleti ÉS jogi részről is). Nagyon speciális domain tudás kell ami 2-3 év mire felszed valaki alapszinten, magas szinten meg 5-10 is lehet.

Ugye itt látszik a külön nehezítés: felelj meg a folyamatosan változó magyar szabályozásnak is, az EU-s szabályozásnak is, és mindezek mellett mindenféle egyéb olyan szabályozásnak amelyre törvény ugyan nem kötelez viszont a különböző termékfejlesztő cégek rákényszerítenek. 

Nagyon nem hálás terület a CA világa, és hosszú távon én azt látom hogy az állam megcsinálta a saját CA-ját és ezzel fedik le az összes állami és államközeli szervezetet (de innentől kezdve nem kell harmadik féllel foglalkozni) és megmarad egy piaci szereplő aki pedig az összes többit viszi, olyan áron, ahogy akarja.

Hogyan veszed észre hogy lejárt a tanúsítványod ha kézzel kell cserélni? Hát úgy, hogy szólnak, hogy figy. nem megy a weboldal :D Sokkal-sokkal nagyobb cégek is belefutottak már ilyenbe, ez pedig pont egy lényegében senki által nem használt teszt weboldal volt. Persze, valakinél ez föl lehetett irva, kérdés, hogy észrevette-e. Nem jó, nem tragikus. 

Az hogy miért kellett egy hét ennek a cseréjére, az itt egy jó kérdés.
 

A Netlocknak ez a core business, nehogy már egy excelt kelljen kézzel töltögetni és lesegetni, nyilván kell lennie ott egy automata riportnak, amiben benne vannak a lejáratok. Az, hogy egy akármilyen cég belefut ilyenbe, az még csak-csak elképzelhető, de ha ebből élnek, akkor legyen a riasztás automatizálva (ha a rootCA offline, akkor pedig induljon be egy processz még a lejárat előtt jóval, úgy, hogy még legyen idő a rendszereken is kicserélni mielőtt eléri a lejárati dátumot). 

Másik oldalról: Te vevőként itt fogsz tanúsítványokat venni, ha ne kap(hat)sz riportot tőlük rendszeresen a lejáratokról (és hogy be tudd tervezni a lejáratkori budget-be a megújítás költségeit), akár beépítve az árba, akár opcióként? 

És ha elolvasod pont volt is monitoring rendszer, csak éppen átkonfiguráció volt és nem működött. 

 

The certificate expired on 05th April. Monitoring was re-enabled on 22th April, so no monitoring message was received for the certificate expiration. A new certificate was issued on 28th April and implemented in the system. Since the monitoring signals only before and upon expiration, the certificate issued on 28th April was valid, so no monitoring message was received.

Elég sokáig tarthatott ez az átkonfigurálás. Ha mondjuk egy hét a tanúsítvány-megújítás (ez derül ki az idősorból), akkor illik legalább két héttel a lejárat előtt szólnia a monitoring rendszernek, tehát valamikor március 20-22. táján. Azaz kb. egy hónapig nem ment a monitoring. Szerintem ez nagyon sok idő.

Amíg nem kezdtem el nagy IT-profilú multiknál dolgozni, én is egy álomvilágban éltem. Ahol azt feltételeztem h. ezeknél a cégeknél minden flottul működik. A tudás össze van gyűjtve, nagy, up-to-date, és jól kereshető knowledge base-k vannak a belsős alkalmazottak részére átadva. Amikben minden folyamat, minden ügyfél tudnivaló ott van könnyen érthetően, egyértelműen, kényelmesen használható módon. Ha pedig mégis bármi kérdésed volna, ott van az article mellett az aktuális józsi neve és telefonszáma, akitől az év 365 napján, 0-24-ben mindig mindent meg lehet kérdezni. És ő készségesen mindig válaszol is minden kérdésre, ráadásul releváns módon, nem tahón, nem lekezelően, nem frusztráltan, a lényeget elhallgatva. Nincsenek 1-man-show emberek, akik azzal csináltak maguknak 10-15-20 év alatt jobszekuritit, h. az általuk felügyelt rendszerek minden részletét titkolják a belső külvilág felé, hogy ha kirúgnák akkor borul az egész tech stack, vagy az a department-je a nagycégnek.

Aztán elmentem 3 különböző nagy multihoz dolgozni, és megtapasztaltam saját bőrömön azt az őskáoszt, és rosszindulatot ami mérettől és éves árbevételtől függetlenül mindegyiknél ott van. Részlegenként tucatnyi példányban egymással párhuzamosan, hosszú évek óta, az esély leghalványabb nyoma nélkül h. bármelyik is érdemben változna (a jó irányba).

Egyes területeken káosz minden nagyobb szervezetnél előfordul (így a multinál is). Rosszindulat viszont nem feltétlenül. Egyes személyek persze lehetnek rosszindulatúak, meg az is előfordul, hogy az eltérő kultúrából adódó más hozzáállás meg nem értést, súrlódásokat szül. Nálunk volt olyan szervezeti felépítés, hogy az egyes csoportok jellemzően egy adott céghez/országhoz tartoztak a multin belül, ilyenkor kialakul egyfajta patriotizmus, vagyis országok közti rivalizálás (mi vs. ők), ez nem feltétlenül jó, aztán volt olyan is, hogy a csoport vegyes, ez sem az igazi, mert a csoport egyik része elég könnyen arra jut, hogy ők csak másodrendűek (nem lehet kávészünetben megbeszélni egy-két szóval a dolgokat a managerrel, kimaradnak egy csomó információból, stb. Érdekes módon home-office esetén ez enyhébb, ott senki nem fog a kávészünetben beszélgetni :)).

Érdekes módon home-office esetén ez enyhébb, ott senki nem fog a kávészünetben beszélgetni :)).

Ezért megy mindenhol a return to office kampány kovid vége óta, egyre keményebb és erőszakosabb feltételekkel. Most 2025 közepén a munkáltatók vannak előnyben hosszú idő után (ld. a nemzetközi IT piacon, ill usa-ban évtizedes csúcson van a kirúgási hullám az AI-elmebaj miatt), így addig és úgy geciznek a dolgozókkal ameddig csak akarnak.

Pl. figyelem valami monitoring eszközzel az oldalt, ami szól, hogy esedékes a megújítás. Vagy cert igényléskor a megújítás esedékességét felírom egy naptárba. (egyéb eszköz is képes figyelni, az F5 loadbalanceren beállítható, hogy az ott tárolt certificate-ek közeli lejáratáról menjen SNMP trap). Szóval vannak eszközök a kézi megújításnál is emlékeztetőre.

És ha megnézed volt is monitoring rendszer, csak éppen állt, amikor meg újraindították akkor nem jelzett mert két dolog volt beállítva: ha x nap múlva lejár, vagy ma járt le a tvány. Arra senki nem gondolt hogy oké, mi van ha pont az allatt áll a rendszer amikor a tancsi lejár. 

Milyen usecase az, amikor egy használatban lévő cert vizsgálatakor nem kell riasztás, ha már le van járva?

Vagy azt nem nézik, hogy az adott cert használva van-e, hanem csak egy táblázatból veszik, hogy elvileg mik léteznek, de azt nem figyelik, hogy a kiszolgálóik miylen certtel működnek? Fura.

Ne haragudjon már a világ de nekem a saját kis belső dolgaimra is van librenms monitoringom, ami a konkrét URL-eket nézegeti.
Kívülről, mintha user lenne.

Nyilván hanyattesik akkor is ha lejár a certificate. Rendes helyen ez max. a második védelmi vonal lenne.
Első védelmi vonal az konkrétan beleolvashatna a certificate-be hogy mikor jár le és szól előre x idővel (minden nap).

Valszeg librenms-sel is meg lehetne csinálni de nekem annyit nem ér, a certificate-ek eddig mindig megújultak szépen.

zászló, zászló, szív

Azért az régen rossz, ha valakinek szólnia kell emiatt.

Néhány primitív megoldás - SSL/TLS tansikra:
- Kössük be az egész weboldalt monitoringba. Egy Zabbix, Icinga etc. már a lejárat előtt akár 60 nappal képes szólni.
- Pár soros Bash / Openssl parancsot összerakni még egy kezdőnek is legyen egy fél délután. Felteszi a szerverre, helyben lefut. Riasztást meg küldi emailben. Nem nagy ügy. Utána ez 5 perc alatt adoptálható más weboldalakra, szerverekre is. Na jó, ha Windowsra kell átvinni, akkor esetleg picit faragni kellhet még. 😀

Alkalmazások által használt nem SSL / TLS tanúsítványnál van az igazi rémálom: valaki letesz egy .pfx-t, beírják az alkalmazás konfigba, aztán mindenki elfeledkezik róla. "Működik, ne nyúlj hozzá!". Aztán 1-2-3 év múlva meg lehal az alkalmazás. A logokból túrják ki - ha normálisan logol egyáltalán az alkalmazás -, hogy a tansi lejárt. Láttam már sok ilyen sztorit.

Miért kellhetett 1 hét (nem dolgozom a Netlocknál, csak ismerem a céges folyamatokat általában): simán túl sok emberen megy át az információ. A döntéseket is valakinek meg kell hoznia - általában nem ő kezeli a jegyeket, nem ő adja ki a tansit stb. Minél nagyobb egy cég, annál lassabbak az ilyen folyamatok.

( SkyNET | 2025. 06. 01., v – 14:11 )

Miért az idézőjel, ha nem ez a cikk címe. 

Tiltja a vallásod (meg a tűzfalad :D) a telexes linkek megnyitását?

"Cikkünk megjelenése után a Gattyán György vezette Docler cégcsoport is reagált a cikkre. Mint írták, a cégcsoport 2024-ben úgy döntött, értékesíti a Netlock Kft-ben megmaradt tulajdonrészét, a beérkezett ajánlatokból pedig egy volt számottevően értékelhető: a Columbus Magántőkealapé, amely elővásárlási joggal is rendelkezett. Így végül el is adták nekik a Netlockot, a tranzakció idén január végén zárult, így azóta a Docler cégcsoportnak a működésre nincs rálátása."

"A COLUMBUS Magántőkealapot azzal a céllal hozta létre az EXIMBANK Zrt. és a CARION Holding Zrt." ...
 

Az állami hátterű Magyar Export-Import Bank Zrt. (Eximbank) 1994 óta, nemzetközi kereskedelemre, külpiaci befektetésekre, illetve külföldi beruházásokra szakosodott banki szereplőként működik. A bank Külügyminisztérium tulajdonosi felügyelete alá tartozik. 2014-ben Puskás Andrást, Rogán Antal korábbi helyettesét nevezték ki a bank vezérigazgatóhelyettesének, ezt követően az EXIM belföldre kihelyezett hiteleinek jelentős részét kormányközeli szereplők kapták meg.

https://adatbazis.k-monitor.hu/adatbazis/cimkek/magyar-export-import-ba…

Carion:

https://444.hu/2017/03/28/rogan-antal-lekotelezettjei-nem-akartak-hogy-…

https://444.hu/2023/11/01/a-rogan-antal-fele-lakaslotto-cege-a-raktar-a…

Szerintem nincs több kérdés.
 

Az eddig is világos volt, hogy a "kormányközeli" kifejezés definíció szerint azokat jelenti, akik az állammal kötnek üzletet (van aki színre, szagra, hajszínre is meg tudja mondani, hogy ki hitelképes). A kérdésem, ami szerinted nincs, azért mégiscsak van. Ki a kutyafaszát érdekli a szóban forgó esetben, hogy a Netlock kinek a tulajdonában van és akinek a tulajdonában van szőke-e vagy nagyorrú, NER-es vagy nem NER-es? Lehet, hogy van a témához kapcsolódó összefüggés, csak én nem értem.

Ez valamiféle berágódás nálatok, a rövid nyomozás szinte mindig fölösleges, ha egy vállalkozás sikeres, akkor NER-es, ennyi, nincs több kérdés. Bizonyos esetekben ha sikertelen, attól NER-es, nincs több kérdés.

Köszi, kínos ez a trehányság a telexnek (meg persze nekem, hogy a dőlt betűs részt csak most olvastam el a cikk végén), főleg hogy @marczi kommentje alapján ( https://hup.hu/comment/3191787#comment-3191787 ) ennek döntésnek sem az ex sem az aktuális tulajdonoshoz nincsen köze.