"A Google is megbízhatatlanná nyilvánította a Gattyán-féle Netlock egyik online tanúsítványát"

HUP cikkturkáló

https://telex.hu/techtud/2025/06/01/netlock-kiberbiztonsag-google-chrom…

"..A Netlock egyébként ugyanezzel a tanúsítvánnyal már az Apple-nél is belefutott ugyanebbe a problémába, a cég tavaly november közepével, hasonló okokból nyilvánította megbízhatatlanná sok más érintett mellett a magyar cég tanúsítványát..."

  • 4070 megtekintés

( mauzi v | 2025. 06. 01., v – 13:06 )

Szerkesztve: 2025. 06. 01., v – 13:11

Ha már itt tartunk: ajánljatok kérlek tanúsítványkiadót, amelyik képes elfogadható áron dokumentumok hitelesítésére használható aláíró tanúsítványt kiállítani:

  • Fokozott biztonságú tanúsítvány (eIDAS AES/AdES) elegendő, nem kell minősített tanúsítvány,
  • Szoftveres tárolású tanúsítvány legyen (pl. p12 fájl), hardver token nélkül (a meglévő dokumentumkezelő-, számlázó-, tömeges aláíró és egyéb rendszerek azzal működnek garantáltan)

A Netlock-nál ez tökéletesen megvalósul a 22.000 Ft+ÁFA éves díjú "EXPRESS / Nem-minősített üzleti aláíró / bélyegző tanúsítvány szervezeteknek" termékükkel. Hirtelen, amit találtam hasonlót másik (külföldi) tanúsítványkiadónál, az az éves 350-550 USD közötti ársávban van, ami mondjuk 6-10 szerese a mostaninak.

A történet a Netlock Gold főtanúsítványról (Root CA certificate) szól, amivel alá vannak írva a Netlock által kibocsátott tanúsítványok. Az aláíró tanúsítványok is.

Az aláírt PDF dokumentumok esetében ez a tanúsítványlánc:
  Netlock Arany (Class Gold) Főtanúsítvány -> NETLOCK Trust Advanced CA -> A végfelhasználó tanúsítványa

De ez csak akkor érdekes ha az OS-ekbol veszik ki.

Ez nem a jövő, hanem már történik, lásd: Apple.

Másrészt, ha a Google lép valami jelentősebbet, jelen esetben, valakitől megvonja a bizalmat, azt a korábbi tapasztalatok alapján a többi (birka?) is hamarosan követni fogja.

Harmadrészt, én is szeretnék tisztában lenni vele, hogy milyen alternatívák vannak a jelenleg igénybevett szolgáltatásokra, pláne, ha a technikain felül jelentősebb pénzügyi vonzata is van.

Dehogynem. Ha az aláíró tanusítványt kibocsátó tanusítványát kibocsátó tanusítványt (ejj de szép ez a magyar nyelv a dupla birtokos szerkezettel...) az OS nem ismeri/nem bízik meg, annak kihatása lehet az aláírás ellenőrzésére is (hiába passzol az aláírás, mivel nem hitelesíthető maga a tanusítvány, amihez az aláírás passzol, nem lesz hiteles). A trust chainnek meg kell lennie mindenféle tanusítvány alapú ellenőrzés esetén, különben egy támadó küldhetne neked egy digitálisan aláírt dokumentumot ami LÁTSZÓLAG a küldő tanusítványával van aláírva, kivéve, hogy azt a tanusítványt nem a NetLock hanem a LockNet írta alá mondjuk. Ha nem ellenőrzünk hitelességet az aláíró tanusítványt aláíró kibocsátó tanusítványon, akkor nem garantálható a trust chain konzisztenciája, így nem hitelesíthető a digitális aláírás - akkor sem, ha amúgy a dokumentum integritását igazolná az aláírás.

És ezen az se biztos, hogy segít, ha csatolják a CA főtanusítványt. Elvileg a legfölső (amúgy self-signed) tanusítványban az OS-nek magának kell megbíznia (épp azért, mert self-signed!), attól teljes mértékben függetlenül, hogy az csatolva van-e.

Mivel a Netlocknak a Gold a topmost főtanusítványa (azaz: ez egy self-signed tanusítvány), annak az invalidációja az összes Netlock által kibocsátott intermediate CA és normál tanusítvány érvényességét viszi magával.

Én is mocsok sokat küzdöttem mire megértettem a PKI logikáját, és most sem állítanám 100%-ra, hogy a fenti kocc nélkül megállja a helyét, de a tapasztalataim + a józan paraszti ész ezt diktálja.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Kis pontosítás:
Ha az alkalmazás az OS tanúsítványtárát használja, akkor igen, az OS tanúsítványtárából hiányzó CA-k okozhatnak ellenőrzési hibát a láncban.
Ha az alkalmazásnak saját trust store-ja van - lásd: Adobe Acrobat, Firefox -, akkor az OS tanúsítványtára semmit sem befolyásol.

Ahogy csardij fórumtárs írta: a jogi megbízhatóság egy megint másik, a technikaitól független kérdés.

Mondjuk az 1 jó kérdés, h. egy OS szintjén visszavont v. érvénytelenített, feketelistás Root CA használata utána egy alkalmazásszintű kivételkezeléssel miért oldható meg? Az h. hiányzik a Root CA az OS szinten, azt még el tudom fogadni h. alkalmazás szintjén jó dolog lehet képesnek lenni megoldani.

De olyan esetben, amikor explicit nyoma van h. baj van vele, és utána ezt az alkalmazás simán figyelmen kívül tudja hagyni, hát az nagy gondok későbbi forrása lehet.

Miért ne lehetne felülbírálni alkalmazás szintjén? Lásd pl.: Java truststore és Java alkalmazások. Az se az OS-ét használja - platformtól, OS verziótól függően.

Ha van egy saját alkalmazásom és megoldható, akkor meg simán én rakom össze a truststore-t mindentől függetlenül.

De ha saját magad gondoskodsz a Trust store-ról, akkor nem fogsz tudni róla ha közben történik valami a Pki világban. Pl kommunikálsz mindenféle külső remote host-okkal, akik mindenféle Root CA-t használnak, a te ráhatásod nélkül. Ha valamelyik megkotlik, és nem hagyod pl. az OS-nek h. automatán megkapja fél napon belül a letiltott root ca serial numberjét a feketelista részeként, akkor kompromittálódott remote host-okhoz fogsz csatlakozni, minden gyanú nélkül.

A saját truststore fenntartása egyben felelősséget is jelent. Ezt nem ússza meg senki.
Számomra is adott a lehetőség, hogy ugyanazokból a forrásokból tájékozódjak a CA-k állapotáról, mint az OS gyártók számára.

Hogy a remote host milyen CA-kat fogad el, az számomra irreleváns. Nekem csak a remote host tanúsítványait kell elfogadnom. Az meg általában elég szűk lista.

Elvileg erre való lenne az OCSP - eddig alig két-három dolgot láttam ezt implementálni. 

De igen, pont emiatt szokták köpködni azokat, akik régi Javát, stb használnak, mert annak a truststore-ja nem fog automágikusan frissülni. Részben ezért is jön folyamatosan ki a 8-as Javából új build, két dolog frissül benne biztosan, a cacerts store és a timezone adatbázis.

OS szinten egyébként láttam már tinkereléseket ezzel, hogy a java certstore-t az OS-é alapján rakják össze egy csomagkezelői hookkal. De ez se standard megoldás, és megvannak a maga hátulütői.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Ha java alkalmazást telepítenék biztos hogy konténerbe raknám és nem a hostra.
Ha már konténerbe rakom akkor a truststore-t úgy pimpelem fel ahogy nekem tetszik.
Legegyszerűbb esetben jó nekem mondjuk a temurin-21 default plusz belerakom a saját root-ca-mat.

zászló, zászló, szív

Van ahova nem tudok már OpenJDK -t felrakni, mert a disztróban nincs olyan verziós Java ami nekem kell, a külső OpenJDK csomagok meg nem mennek fel, mert függőségek, az OS frissítéssel meg a régebbi OpenJDK-kat veszteném el. Az Oracle JDK RPM-je elég jól működik ezeken a rendszereken is. Pl most kellett 17-es JDK-t felraknom oda, ahol 11 volt a disztróból a max, OpenJDK-ból 17-est meg erre a konkrét disztróverzióra már nem forgatnak, de az átmeneti időszakban 8-11-17-et kell támogatnunk, amíg minden oda nem ér a 17-eshez.

Igyekszem az Oracle-öst nem használni, mert seggfájás letölteni, seggfájás frissíteni, de néha muszáj.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

De itt nem az történik hogy a Netlock visszavonja a fő tanúsítványát, hanem azt, hogy a Google kiveszi a böngészőjéből. Az OS-ből jelenleg ez - még - nem került ki. Jogilag pedig teljesen mindegy hogy benne van-e az OS-ben vagy sem, az hogy nem neked kell telepíteni kézzel egy tanúsítványt az egy kényelmi, de semmiképp se egy jogi kérdés. 

De itt nem az történik hogy a Netlock visszavonja a fő tanúsítványát, hanem azt, hogy a Google kiveszi a böngészőjéből. Az OS-ből jelenleg ez - még - nem került ki.

Ha a Google kiveszi a böngészőjéből, akkor várhatóan előbb-utóbb a többi cert disztributor (OS vendor, browser vendor, stb.) is ki fogja venni.

az hogy nem neked kell telepíteni kézzel egy tanúsítványt az egy kényelmi, de semmiképp se egy jogi kérdés. 

Az lehet, csak akkor képzeld el azt a világot gyakorlatban, hogy pl. az összes, általad látogatott weboldal certjének főtanúsítványát neked kell telepítened, majd pedig periódikusan frissre cserélned. Dokumentum hitelesítésnél nagyjából az van, hogy elküldöd a partnernek a PDF-et, majd a partnernél Mancika megnyitja, és örül, ha azt mondja, az Acrobat Reader, hogy minden tanúsítvány érvényes, és hívja a supportot, ha nem.

Nem csak azokat. Ahogy elnéztem a fentebb linkelt Mozillás threadet... hát őszinte leszek, ha én holnap csinálnék egy tanusítványkiadót, is jobban kommunikálnék, ezeknek meg elvileg van 30 év tapasztalatuk... Mondom elvileg.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Aztán ahogy fentebb is írták, ki tudja azoknál is mekkora a munkaerő csere-bere. Aztán elég ha elmegy a topgun employee, nem tudnak a magyar piacról felvenni másik olyan embert, aki kívül-belül vágja a PKI folyamatokat ilyen szinten. Az új embernek meg elég 1 illegálisan kiadott "véletlen" cert (mondjuk egy wildcard a *.google.com-ra ;) és 60 másodpercen belül rájuk szakad az ég haragja. A 60 másodperc, és az ég haragja is szószerint.

Várj, most meg kellene sajnálnom őket? Szeeeeeggééééények.

Ez egy ilyen piac. Nem kell qrvának menni, ha nem bírod gyomorral ha b@sznak. Bocsánat, de erre már tényleg nem tudok szebbet mondani. Brókernek is nehéz lenni, mert elég egy mellékattintás, és milliárdok mennek a picsába.  Orvosnak is szar lenni, véletlen mellévág, és valaki meghal. Ezek ilyen szakmák.

Félreértés ne essék, emberként megértem a dolgot. De mint ügyfél és mint szenvedő alanya a hülyeségeiknek, engedtessék meg a morcosság joga, és hogy elvárjam a professzionalizmust egy ennyire agyonajnározott és túlárazott cégtől. 

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Jaa, én nem sajnálom a netlock-ot. Hanem egy lehetséges forgatókönyvét írtam le az esetnek. Ha ismeri valaki netlock-ost, aki nemrég ment el onnan, és pki oberstumpführer volt ott 10+ évig, kérdezzen rá. Lehet h. elmondja :D (amúgy biztos nem, az én szaros iparágamban is mindenki ismer mindenkit ahhoz h. fosson a volt munkáltatóitól, nemhogy egy pki munkakörös ember).

Olyan kicsi a magyar piac, hogy PKI területen kis túlzással ismer mindenki mindenkit. Fejlesztő, üzemeltető. Kb. 100, nagyon max. 200 emberről van szó. Belevettem azokat is, akik az utóbbi 10 évben PKI-val foglalkoztak.
Na persze a gittegylet szerű PKI-val machináló, magukat expertnek képzelő cégeket is ismeri minden szakmabeli. ;)

Utóbbi drágább.

A Netlocknál történetesen pont ugyanannyiba került a személyre szóló üzleti aláíró tanúsítvány, mint a bélyegző tanúsítvány.

Továbbá mennyi időbélyegre van szükséged.

Az időbélyegzés az aláíró/bélyegző tanúsítványtól független, külön szolgáltatás szokott lenni, külön árazással. (Plusz: vannak a piacon olyan CA-k, akik ingyen adják az időbélyegzést.)

Az időbélyegzés az aláíró/bélyegző tanúsítványtól független, külön szolgáltatás szokott lenni, külön árazással.

Igen, ez általában igaz.
Azért is kérdeztem, mert E-szignonál van olyan csomag, amiben benne van x darab időbélyeg per hónap. Ha abba beleférsz, akkor olcsóbban megúszhatod, mint 350-550 USD per év.
Pl:
- Fokozott bronz csomag - 42eFt + ÁFA / év - igaz, itt többféle tansit is kapsz, 600 darab időbélyeg / év benne van
- Szoftveres fokozott CA2 aláíró tansi - 23eFt + ÁFA / év - ehhez kell még időbélyeget venned (mondjuk 25eFt + ÁFA-ért vehetsz mellé 1500 darabot az e-Szignotól)

( bennyh | 2025. 06. 01., v – 13:15 )

Szerkesztve: 2025. 06. 01., v – 13:17

Mi az a konkrét mintázat? Mi a konkrét gyanú?

Más:

Nadrágongyuri most fog indulni? (tudom, a cert már nem az ő biznicbe)

Szörnyű hogy mennyire nem veszik komolyan/nem értik a CA felelősségét. Őszinte leszek: bár örültem, hogy van egy teljesen magyar CA (mert ez azért jó dolog, akkor is, ha ezt az érzést mindenki igyekszik elinflálni) de ez a fajta bénázás nem tűnik jónak úgy, hogy abszolút nem most kezdték ezt a dolgot. Egy frissen alakult CA-tól azt mondom, elmegy, de ők már évtizedek óta a piacon vannak. 

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Nagyon szomorú ami ott történik már évek óta. Számomra szakmai hitelessége már évek óta nincs a cégnek - tulajdonostól függetlenül. Tényleg nem tudom mit gondolnak a CA "üzletág" értékéről de a ticketek alapján nagyjából semmit.

Egy security-vel foglalkozó cégnek a legfőbb értékei a hitelesség és a stabilitás.
 

zászló, zászló, szív

- Nem tud magyarul :D
- Nem feltétlenül tudja fejből az összes kis tanusítványkiadó elérhetőségét
- Lehet, hogy indirekt módon derült ez ki, és mellékesen jelezték, hogy ez IS gond
- Lehet, hogy nem hivatásos Firefox tesztelő, hanem egy random felhasználó jelezte Bugzillában. Sokan mindent, ami a böngészőben történik, lejelentenek a böngészőre mint hiba, akkor is, ha mondjuk a Facebook reagál egy HTTP 502-vel. Nem választják szét

És ez csak 4 dolog ami a délutáni kávém szürcsölése közben eszembe jutott.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Azért nézzük végig a listát hogy mikbe futottak bele:

- a tanúsítvány pont aközben járt le ami alatt a tesztelő rendszert lecserélték: ez a tipikus erre nem gondoltunk helyzet
- Kiállítottak intermediate tanúsítványokat (ez baromira nem business as usual) ahol a négy szem elven plusz hibás doksin elcsúszott a történet: a ritkán végrehajtott üzleti folyamatokban azért előfordul hiba
- Weekly update nem történt meg: új kollégák + e2e processz helyett subprocessz oktatása

És akkor tegye fel a kezét az aki még nem futott bele hasonló történetekbe.

 

- Eleve, gond volt az, hogy a "tesztelő rendszer" csak lejáratot néz, szignaturát nem. Nehogy már ez megbocsátható legyen egy tanusítványkiadótól... Még nyilván sosem hallottak kompromittálódó kiadókról...

- 5 vagy 6 kommenten keresztül nem bírt egyenesen válaszolni arra, hogy ők üzemeltetik a tesztrendszert vagy más, esetleg koprodukció van. Hallom, ahogy a főnök ott állt felette, és mondja, hogy ezt ne mondjuk meg. Közben meg okkal kérdezték. És a végén amikor válaszolt is olyan fura volt a válasz.

- Mi az, hogy az intermediate tanusítvány kiállítása egy tanusítványkiadó életében nem business as usual? Miért, mi az, a kávéfőzés? Középületek átadása? Vagy mit csinál egy tanusítványkiadó, ha nem tanusítványokat állít ki? Amúgy, pont tavaly v tavalyelőtt variáltak az intermedite tanusítványaikkal, szóval annyira még nem is volt régen egy intermediate CA cert kiadása... már ha nem Alzheimeres a fele cég.

- Weekly update nem történt meg: egy ekkora cégnél biztos van elég ember, hogy valaki odaüljön és gépelgesse ezeket az updateket. Ha nincs, akkor érdemes lenne felvenni egyet. A tanusítványok árait elnézve: futná rá.

Komolyan, nem az a bajom, hogy hibák vannak. Az a bajom, hogy hibát hibára halmoznak egy ilyen esetben, ebből nekem nem a professzionalitás az első 15 dolog ami eszembe jut.

Cserébe mocsok drágák, és kizárólag az ő tanusítványuk számít államilag is elismertnek, lehet, hogy egy kicsit több komolysággal kéne ehhez hozzáállni.

De persze én csak egy üzemeltető maci vagyok.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Az első ticket arról szólt hogy van egy rendszerük amely egy full statikus oldalt szolgál ki egy valid tanúsítvánnyal tesztelési célból (hogy más tudjon tesztelni), ami éppen egy adott időpillanatban nem volt valid. Miért nem volt? Mert a teszt endpointra nem futott le a monitoring mert éppen átkonfigurálták a rendszert ("No automated alerting or expiration monitoring system was in place for the test endpoint while the configuration was ongoing."). Oké, nem szép, de nem is érzem tragikusnak.

Intermediate tanúsítvány kiadása: azt ugye alá kell irni egy root certtel. Az tudod hol van minden CA-ban? Kb. egy széfben tárolva. Ez nem a normál folyamat ahol kiadnak egy tanúsítványt (amit napjában sok százszor megtesznek) hanem egy ritka folyamat és ahogy a ritkán futtatott folyamatoknál előfordul, hiba történt ("Due to an administrative error the intermediate CAs were interchanged and referred to a wrong root and cert.sh showed these intermediate CAs undisclosed."). Nem jó, de javították, meg a folyamatot is.

Weekly update nem történt meg: pont azt irják le hogy ez elvileg valakinek a feladata lett volna de a kevésbé sikeres folyamatok miatt ez nem történt meg, és ezen is javítottak.

Kizárólag az ő tanúsítványuk számít államilag elismertnek: ez azért érdekes mert az EU-s szabályozás alapján ez baromira nem igy van.

Cserébe mocskosul drágák: az első kommentben irja mauzi hogy annyira drágák hogy a nyugati cég ezt 6-10x annyiért adja. Igen, egy CA működtetése drága. 

Egyébként van itt még érdekesebb történet: https://bugzilla.mozilla.org/show_bug.cgi?id=1947691 ahol ahogy értelmezem a különböző szabályozások egymást ütik. Hát, nem lennék a helyükben.

Ebből mi következik? Az hogy egy CA működtetése baromira nem egyszerű, nem triviális, és nem a technikai részről (jó, az se egyszerű) hanem az elképesztően szigorú szabályozás és komplex folyamatok miatt. A gittegyleteket most nem is említem.

Csak afelett sikerült elsiklanod, hogy pont mostanában mókoltak az intermediate tanusítványokkal, tehát nem olyan régen VOLT intermediate kiadás. Ráadásul egy CA tanusítvány kiadását kétlem, hogy 1 ember végzi, azt azért legaláb 2-3 embernek át kellene nézni, hogy minden fasza-e. Nekem nagyon fura és lazy működésnek tűnik, ha egyszerre ennyi ember képes volt nem észrevenni a hibát.

"meg a folyamatot is" - kicsit ellentmondásosnak érzem, nem látom, hogy mi a garancia, hogy nem lesz a következőnél megint - valami másik - hiba. Ha ritkán futtatott, akkor gyakorolják, legyen félévente képzés belőle, vagy valami, erre vannak egész jó megoldások is. Amúgy, az intermediate CA-knak is (egy másik) széfben kéne tárolva lennie, mert ha kompromittálódik, az csak egy hajszállal rosszabb a root CA kompromittálódásánál. Ezért sem értem a dolgot, ma már a HSM-ek egész "barátságos" felületet adnak erre, egy bármilyen tanusítvány - CA-t is beleértve - kiadása néhány kattintásba kerül. Ha meg a Netlocknál még odáig se sikerült eljutni, hogy HSM-ben tárolják a certeket, az megint sokat elmond a technikai felkészültségükről.

Ettől eltekintve: maga az intermediate CA és a normál tanusítvány kiadása nem annyira eltérő folyamat. A CSR más, meg másik CA-val írunk alá, de technikai oldalról ennyi a különbség, illetve elvileg egy intermediate CA tanusítványt - logikusan - pár embernek át kellene néznie, mielőtt rákerül a "minden fasza" pecsét. Nem arról van szó, hogy papírrepülőt hajtogatni vs bronzszobrot készíteni. És tudván azt, hogy amúgy a normál tanusíŧványokat is el szokták bökni (voltunk ennek szenvedő alanyai), sokkal jobban oda kéne figyelniüik a CA-knál. Ha ez azt jelenti, hogy addig nem cserélnek monitoring rendszert amíg az intermediate CA tanusítványok ki nincsenek adva, akkor azt jelenti. A jó cégvezető ismeri az emberei korlátait.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Igen és nem. Kicsit ízekre szedem az írásod.

Nem csak CA, hanem a normál tanúsítvány kibocsátása is több emberen megy keresztül - lásd: a nyilvánosan elérhető szabályzatokat.
Megtörtént eset velem - nem bizalmi szolgáltatónál -, hogy én szúrtam ki a hibát a kibocsátásra kerülő tanúsítványban. Volt kolléga / kolléganő, aki picit hisztizett, hogy hát javítsam ki, ha látok benne hibát. Nyilván én nem javíthatom ki csak úgy. Azt meg kell beszélni, dokumentálni stb. Sajnos nem mindegyik kolléga / kolléganő volt mindig elég precíz - "jól van az úgy".

HSM-ek "barátságos" felülete: ez jó, ezt felírom magamnak. 😂🤣
Nem magát a szűken 5-10 parancsot kiadni nehéz. Hanem a teljes folyamatot, a körítést összerakni. Az meg simán áll 150-200 lépésből. Elcseszed a 75. lépést, de csak a 130.-nál jössz rá. KO a köbön.
Egy bizalmi szolgáltatótól nyilván elvárható, hogy hosszú évek munkájával ezeket kidolgozta. Csak hát jönnek a gittegyletek - CCADB, Google, Microsoft, NMHH stb. -, akik mindig imádnak valamit kavarni. Ha az adott cégnél még fluktuáció, elvándorlás is fellép, akkor nem csoda, ha esik-kel minden folyamat. Ez is táptalaja a hibáknak.

De, az intermediate CA és a normál tansi kibocsátása nagyon is eltérő folyamat. Teljesen másképp kell dokumentálni, nyilvántartani, kezelni. Egy normál tansinál a lejárat előtt elegendő a megújítás és megy tovább az élet. Viszont egy intermediate-nél új intermediate-t kell kiadni már évekkel korábban - praktikusan 3-5 évvel korábban, mint hogy a régi intermediate lejárna. Amíg az új subCA bekerül a "vérkeringésbe", az is idő - addig nem lehet élesben használni.

Itt a folyamatok voltak elcseszve. Egyszerűen nem volt hatásvizsgálat, hogy mit jelent a monitoring rendszer ilyen hosszú (több napos-hetes) karbantartása.
Rosszmájúan azt is el tudom képzelni, hogy fentről jött az ukáz: nem baj, jó lesz az úgy.

Viszont egy intermediate-nél új intermediate-t kell kiadni már évekkel korábban - praktikusan 3-5 évvel korábban, mint hogy a régi intermediate lejárna. Amíg az új subCA bekerül a "vérkeringésbe", az is idő - addig nem lehet élesben használni.

Ezt kifejtenéd, hogy itt mire gondolsz, miért kell éveket várni? Mintha összekevernéd a Root CA-val az intermediate-et. Ha létrejön egy új intermediate, és az intermediate aláír egy normál tanúsítványt, akkor rögtön használható a normál tanúsítvány azok által, akik amúgy megbíznak a Root CA-ban.

Sajnos nem keverem össze. A Root CA és sub CA között csak a hierarchia szintjében van különbség.

Az új intermediate CA-nál is rengeteg feladat van. Néhány a listáról:
- Cégen belül tisztázni kell, hogy 1-1 veszi át az új sub CA a feladatot, netalán átalakításra kerül a hierarchia - pl: lehet, hogy X, Y és Z tansikat 2025-től már nem 1, hanem 3 új sub CA adja ki.
- eIDAS hatálya alá tartozik vagy sem? Más protokoll vonatkozik rá.
- Ki kell dolgozni az új intermediate CA technikai paramétereit. Ez alapos kutatással, RFC olvasással, szakmai fórumokról való tájékozódással és egyeztetésekkel jár. Ha pl: kivezetik az RSA-t, változtatnak a hashelésen, akkor ezt az már tudni kell az új sub CA kibocsátásakor.
- Ki kell dolgozni az átállás időpontját és menetrendjét. Nagyon nem triviális - bármennyire is annak tűnik. Ezt kommunikálni kell az ügyfelek felé is.
- A céges processzeket, doksikat hozzá kell igazítani az új intermediate CA-hoz. Mindez megfejelve auditokkal.
- Fel kell venni a kapcsolatot az illetékes szervekkel az új intermediate CA kibocsátása miatt. Ők kérhetnek módosításokat a folyamatokban, plusz biztonsági elemeket stb. Ezekre fel kell készülni.
- El kell intézni, hogy az új sub CA bekerüljön a megfelelő helyekre. Továbbá ők visszaigazolják, hogy befogadják az új sub CA-t.
- Figyelni kell a tanúsításokra. Ha pl: az XY HSM nem tanúsított EC-re vagy lejárna a tanúsítása még az intermediate CA lejárta előtt, akkor ezt kezelni kell. Akár új HSM beszerzésével még az új intermediate CA kibocsátása előtt.
- Tesztelni, tesztelni és tesztelni még ügyfelek felé élesítés előtt. DR teszt is természetesen része ennek.
- Teszt CA-kat, teszt hierarchiákat építeni - főleg algoritmus váltás (RSA -> ECC) előtt. Picit egyszerűbb csak, mint az éles, nem sokkal.

Mindezek mellett fenn kell tartani a napi működést is egy hitelesítés szolgáltatónál.
Igen, lehet olyan rendszer, ahol egy intermediate CA csak pár hónapig él (találkoztam ilyennel). Ott nyilván sokkal gyorsabban le kell futniuk a fenti feladatoknak. Nem is SSL / TLS intermediate CA volt.

A Root CA és sub CA között csak a hierarchia szintjében van különbség.

Ez a "csak" nem tudom, nálad mit jelent, de szerintem ez pont, hogy egy óriási különbség. Ha új Root-ot akarsz bevezetni, az nyilván sok idő, hiszen jó előre el kell intézni, hogy mindenki bízzon benne. Az intermediate-ben meg egyből bízik mindenki, aki a Root-ban amúgy bízik.

Ezt kommunikálni kell az ügyfelek felé is.

Ez miért is fontos? Engem mint ügyfél miért kell, hogy érdekeljen, hogy milyen intermediate írt alá? Ez egy kb. implementation detail a CA részéről, legalábbis én így gondolom. Az ügyfél oldaláról milyen teendő van, ha eddig 'A' intermediate írt alá, és mostantól 'B' fog aláírni?

Ha ez mind ennyi kézi munkával járna, ahogy írod, akkor az AWS pl. hogyan implementálhatta ezt? https://aws.amazon.com/blogs/security/amazon-introduces-dynamic-interme…

Az intermediate-ben meg egyből bízik mindenki, aki a Root-ban amúgy bízik.

Ez szerintem már végpont-implementáció kérdése, és nem feltételnélkül igaz mindig és mindekire, amit írtál. Van, ahol az intermediate CA cert-et is ugyanúgy be kell importálni (mint a root CA cert-et), különben nem lesz sikeres a teljes trust-chain validation.

Egy bizalmi szolgáltatónál ahogy fent is le van írva nem az a nagy fájdalom hogy csinálj egy új tványt. Az a fájdalom hogy azt a 35 folyamaton végigmenj, minden klapppoljon, minden dokumentálva legyen, az összes hivatal, állami szerv, gittegyletnek le legyen jelentve, és a többi. Ez az ami az igazi nehézség, és a kiadás a történet kb 5%-a.

Ez már olyan, ahogy zeller szokta írni, kb. hallom, ahogy betűzi, hogy l-e-h-e-t-e-t-l-e-n. Aztán mégis linkeltem az előbb, hogy az AWS pl. dinamikusan állítja elő az intermediate CA-kat, és mégis benne van az általános elfogadott Root CA-k közt.

Nyilván lehetnek olyan speciális felhasználási módok, ahol más a követelmény, de most csak onnan indultunk, hogy általánosságban miből áll egy intermediate CA kibocsátása.

Én nem állítottam, hogy az lenne, és most nem is érdekes. A szál onnan indult, hogy miből áll egy intermediate CA kiadása. Látszik, hogy olyan Root CA-k esetén, amik általában elfogadott a browserek és oprendszerek által, mint pl. az AWS, tehát elég szigorú követelményeknek amúgy megfelelnek, ez nem annyira bonyolult, mint ahogy te állítod. Az egész topic arról szólt, hogy a NetLock ennek nem tudott megfelelni. Nem pedig az eIDAS-nak.

Azt próbáljuk elmondani hogy itthon egy CA-nak meg kell felelnie az összes EU-s (EIDAS) és magyar szabályozásnak és még e mellett meg kell felelnie a különböző egyéb szabályozásnak IS (a jelek szerint ez az ami elmaradt), együttesen. Ezért kell a fent leírt 30 lépés. Az AWS ilyen szempontból azért nem jó példa, mert nekik az EU-s szabályozásnak (se a magyar szabályozásnak) nem kell megfelelnie, hanem csak az amerikai - egyébként nagyon laza - szabályozásnak. 

Értem, hogy mit próbáltok, ezért is írtam ezt: "Nyilván lehetnek olyan speciális felhasználási módok, ahol más a követelmény..."

Csakhogy. A szál arról szól, hogy általában miből áll egy intermediate CA kibocsátása. Az egész topik arról szól, hogy a böngészők és oprendszerek trust store-jából rakták ki a NetLock-ot, nem az eIDAS-ból. És az AWS az arra példa, ami az oprendszerek és böngészők trust store-jában van. Ami ezek alapján ráadásul egy "lazább" követelményrendszer, mint az eIDAS, és ezek szerint ezt sem sikerült megugrania a NetLock-nak.

Nyilván lehetne még rengeteg elképesztően szigorú szabályrendszert idehozni, hogy de ott máshogy van, mert teszem azt még az elnököt is le kell pippantani, hogy új intermediate-et adhassak ki. Csak én ezeket most itt kevésbé érzem relevánsnak.

Ez inkább a hibás implementáció, ráadásul a szerver oldalon, nem a kliensen. Ha be kell importálnod az intermediate-et a kliensbe, akkor rosszul van konfigurálva a webszerver (vagy bármi, pl. aláírás, ahol megjelenik a leaf certificate). Aki felmutatja a cert-et, most a példa kedvéért a webszerver, annak kötelező az intermediate-et is felmutatni, tehát effektíve ott kell lennie a konfigjában. Nyilván az intermediate-hez nem lesz privát kulcsa, de az nem is kell. És a kliens így már látni fogja a teljes láncot, és tudja validálni a root-ig.

Ha igénylek egy cert-et, azt tipikusan úgy kapom meg, hogy az intermediate-tel együtt, azzal nem is foglalkozok, hogy mi a konkrét intermediate, csak simán azzal együtt rakom be a webszerverbe.

Amit te írsz, az nem "teljes trust-chain validation", hanem az intermediate-et fogadod el trusted root-ként a kliensen, a tényleges root-ot már nem is vizsgálja. Ez nem a helyes megközelítés.

Az intermediate-ben meg egyből bízik mindenki, aki a Root-ban amúgy bízik.

Ahogy írtam: itt nem a bizalom a kérdés. Az megvan. Hanem a körítés. Ha a körítés hibás, hiányos, akkor a bizalom is gyorsan elvész.

Ez miért is fontos? Engem mint ügyfél miért kell, hogy érdekeljen, hogy milyen intermediate írt alá?

Hát például amikor az alkalmazás truststore-ját rakod össze, akkor az új intermediate CA-t is bele kell tenned.
Vagy épp a webszervernél állítod be a trustchaint. Ha az rossz, akkor könnyen hibába fogsz futni.

AWS: eIDAS compliant vagy sem? Van hozzá köze a CCADB-nek, Microsoftnak, Google-nek, NMHH-nak vagy sem?

Hát például amikor az alkalmazás truststore-ját rakod össze, akkor az új intermediate CA-t is bele kell tenned.

Ez tévedés. A kliens nem az intermediate-ben bízik, hanem a root-ban. Részletek a másik kommentemben: https://hup.hu/comment/3193443#comment-3193443

Vagy épp a webszervernél állítod be a trustchaint. Ha az rossz, akkor könnyen hibába fogsz futni.

Lásd ugyanez. Amikor cert-et igénylek a webszerveremhez, nem érdekel, hogy konkrétan melyik intermediate írta alá. Amelyik aláírta, azzal konfigolom a webszerveremet. Eleve ez a folyamat jó esetben automatizált, úgyhogy nem is kell vele foglalkozni.

AWS: az eIDAS-hoz nem hinném, hogy van közük. Viszont mivel böngészők és OS-ek által általánosan elfogadott Root CA, ezért vélhetően ugyanazoknak a követelményeknek sikeresen megfelel, amin a NetLock elbukott, tehát CCADB-nek, Microsoft-nak, Google-nak megfelel.

Ez tévedés. A kliens nem az intermediate-ben bízik, hanem a root-ban.

Ez így nem igaz. A kliensnek meg kell bíznia mindkettőben. Ellenőrzéskor végig kell tudnia mennie a láncon hiba nélkül. Ráadásul nem csak 3 szintű lehet a hierarchia.

Amikor cert-et igénylek a webszerveremhez, nem érdekel, hogy konkrétan melyik intermediate írta alá.

Hiba. Ki kell tudnom szúrni, ha véletlenül rossz intermediate CA írja alá a tansit. Tudom, az emberek 99%-a ezt sose ellenőrzi. Üzemeltetők is sokszor elsiklanak efelett.

AWS: az eIDAS-hoz nem hinném, hogy van közük.

A hit egy nagyon erős dolog. Ezért nem is szoktam vele vitatkozni.
Próbaként megnéztem ezt az AWS root CA-kat (https://www.amazontrust.com/repository/). Windows tanúsítványtárban csak 1 van benne (CN = Starfield Services Root Certificate Authority - G2). Az is RSA-s. Valószínűleg nem véletlenül. Tippre itt kereszthitelesítés lesz a háttérben. Azt meg ugye nem szeretjük (okkal). Lásd: https://www.cpacanada.ca/webtrustseal?sealid=11652

Ez így nem igaz. A kliensnek meg kell bíznia mindkettőben. Ellenőrzéskor végig kell tudnia mennie a láncon hiba nélkül. Ráadásul nem csak 3 szintű lehet a hierarchia.

Hát ez már értelmezés kérdése. A kliens azért bízik az intermediate-ben, mert bízik a root-ban. Nem pedig azért, mert úgy különösen ismerné az intermediate-et jó előre, ahogy sugallni próbálod. A webszervernek kell az összes intermediate-et bemutatnia. Ha több, mint 3 szintű, akkor kettőt vagy többet is. És ha a kliens akkor látja először az intermediate-et, akkor is fel tudja építeni a láncot a root-ig, és megbízik mindenkiben útközben a root-ig, a leaf-től kezdve az intermediate-eken át.

véletlenül rossz intermediate CA

Mit tekintünk "rossznak"? Bármelyiket választja a Root, attól a leaf certificate érvényes lesz. Nyilván lehet olyan, hogy a kliens konkrétan az egyik intermediate-et szeretné választani, ha olyan a CA-nál az aláírási folyamat, hogy lehet válogatni. Ekkor nyilván ellenőrizheted a végén, hogy tényleg azzal írta-e alá, amelyikkel gondoltad.

A hit egy nagyon erős dolog. Ezért nem is szoktam vele vitatkozni.

Azért írtam, hogy "nem hiszem", mert az egész állítás sorozaton nem változtat az sem, ha eIDAS-nak megfelelnek, meg az sem, ha nem felelnek. Így nem néztem utána. Kérdezhetted volna azt is, hogy a bíboros megáldotta-e őket. Arra is azt mondanám, hogy nem hiszem, ugyanúgy nem változtat semmi ha igen, meg az sem, ha nem. Továbbra is állítom, hogy sokkal egyszerűbb intermediate CA-t kiállítani, mint azt írtad, amennyiben az a feltétel, hogy benne legyél az oprendszerek és browserek trust store-jában.

Windows tanúsítványtárban csak 1 van benne

És te biztos azt nézted, amire gondolsz? Ezekre vess egy pillantást:

https://learn.microsoft.com/en-us/security/trusted-root/participants-li…

https://ccadb.my.salesforce-sites.com/microsoft/IncludedCACertificateRe…

Azt érdemes tudni, hogy a Windows úgy működik, hogy a Root CA-k listája lusta ( https://community.letsencrypt.org/t/microsoft-windows-root-certificate-… ), bizonyos elemek csak akkor kerülnek fel a gépeden lévő listába, ha a géped találkozik egy még ismeretlen root-tal, akkor megpróbálja frissíteni a listát a Microsoft-tól letöltve. Amellett, hogy az Amazon a saját jogán is ott van, mint Root, közben ahogy írtad is valószínűleg cross-sign-olva is van, így nem szükséges letöltenie semmit a Windows-nak az ellenőrzéskor, mert egy másik root-ig fel tudja építeni a láncot. Ezért nem is jelenik meg, ha mondjuk az mmc-ben nézed a certificate manager-t.

Ez alapvetően így van. De a chain kétféleképpen lehet meg a rootig: vagy benne van a kliens tanúsítványtárában a root és a(z összes) intermediate, vagy a server biztosítja a teljes láncot (nem kizáró vagy). Szóval ha a teljes lánc fent van a server tanúsítványában és azt átadja a kliensnek (és persze a kliens bízik a rootban), akkor rendben lesz a dolog.

Ez így nem teljesen igaz. Bármilyen meglepő is.
A kliensnek a kapott láncot egyedül is fel kell tudnia építenie, majd a végén a 2 láncot (a szervertől kapottat és a kliensen felépítettet) kell összehasonlítania. Ennek biztonsági és teljesítmény okokból is célszerű így működnie. Sajnos sokszor a fejlesztők sincsenek ezzel teljesen tisztában.
"Sose bízz a kliensben."
"Sose bízz a szerverben."

Persze el lehet működni úgy is, ahogy írod.

De, ez így teljesen igaz. A kliens egy dolgot vizsgál, hogy a webszerver leaf tanúsítványtól el tud-e jutni a root-ig. Nem láncokat hasonlít, hanem legalább egy útvonalat (láncot) keres. Ehhez a webszerver mellékeli a saját, és az összes intermediate tanúsítványt, amikor bemutatikozik. Ha nem mutatja be az összes intermediate-et, akkor az hibás szerver konfignak tekintendő, nem várható el a kliensektől, hogy az intermediate-eket ismerjék. Ráadásul több útvonal is lehet, pl. cross signing esetén, és ebből következik, hogy nem is az issuer-t, mint sztringet hasonlítja, amikor az útvonalat keresi, hanem az aláíró nyilvános kulcsokat nézi, hogy azok mentén fel tudja-e építeni az útvonalat bármelyik root-ig.

Igen. Ezért van az, hogy helyes konfigurálás esetén a webszerver mellékeli az intermediate-et a saját cert-je mellé. És a kliens ez alapján tudja az egész láncot ellenőrizni. A kliensek (oprendszer, broswer) trust store-jában a Root CA-k vannak, nem pedig az összes létező intermediate.

Az elképzelhető egyáltalán, hogy ez menedzsment probléma? Én eddig azt hittem, hogy egy üzletágban van egy szakmai vezetés, amelynek dolga, hogy ilyesmi ne fordulhasson elő, azért kapja a fizetését ui. Jó lenne tudni, hogy egy felelőtlen faszkalapra volt-e bízva ez az üzletág, aki nem törődött a szakmai normákkal, vagy valamilyen vezetői döntés megszüntette azt a felelősséget, amellyel ez a helyzet elkerülhető lett volna.

Mondjuk azt el tudom képzelni, hogy sose fogjuk megtudni. De tényleg jó lett volna, ha van ilyesmire korrekt magyar tulajdonú megoldás. Gyanítom valakit megintcsak valagba kellene rúgni, hogy elszálljon a Holdig.

Azt kell látni hogy egy CA működése elképesztően komplex és szabályozott és ehhez nagyon komoly technikai és folyamatbeli fejlettségre van szükség (másik topicokban ezt már hosszasan kifejtettük). Ahhoz meg nagyon sok pénzre, a pénzt meg az ügyfelektől lehet előteremteni akiktől viszont nehéz beszedni (lásd még hajbi sírását hogy miért olyan drága a tanúsítvány magánszemélynek. hát pontosan ezért.)

Ehhez jöjjön hozzá esetleg egy olyan cégcsoport ahol a vezetőség a prioritásokat nem úgy határozza meg amelyek a megfelelőek egy ilyen cég működése szempontjából és el is jutunk idáig. És akkor még nem beszéltünk arról hogy mennyire tudja egy ekkora cég megtartani a szakembereket amikor ott a DÁP-ot fejlesztő Qualysoft aki valószínűleg nagy örömmel veszi át a szakembereket, lévén hogy PKI-hoz ilyen szinten értő embereket három helyről lehet itthon szedni:Netlock, Microsec illetve a NISZ-nél dolgozó, vagy korábban dolgozottak.

Igy van, vannak cégek akiknek van PKI tapasztalatuk, viszont ahogy én ismerem ezek jórészt belsős PKI rendszereket építenek ahol nincs szükség olyan szintű audit megfelelésre mint amire egy CA kényszerül: nem kell common criteria alapján termék auditot csinálniuk, nem kell EIDAS és egyéb nemzeti jogszabályok alapján folyamat és működés auditokat csinálniuk, nem kell ezer külső szereplővel (lásd a fenti mozilla postot) kommunikálniuk. Egy CA működése nem csak a technikai részek miatt nehéz, hanem a működésbeli / folyamatbeli elvárások miatt.

Ott van például a CCADB nevű gittegylet - csak egy a sok közül.

Hogy valami szakmait is linkeljek: https://www.encryptionconsulting.com/capabilities-for-47-day-certificat…
Ezzel jön el az igazi rémálom. Fokozatosan leviszik a TLS tansik élettartamát 47 napra 2029. márciusára. Lesz itt anyázás mindenki részéről.

Az a baj, hogy a Google / CCADB-nél is idióták ülnek. Életükben nem foglalkoztak IT üzemeltetéssel.
Konkrét példa: Ha nekem van egy elszigetelt IT rendszerem, aminek nincs Internet kapcsolata, akkor hogy a búbánatban fogom automatikusan (mondjuk ACME) megújítani a tansikat? Főleg, ha ennek még vonzatja is van - pl: truststore / keystore / trust chain módosítás, több rendszerbe / szerverre / alkalmazásba is be kell tenni ugyanazt a tansit + láncot.
Nem lehet mindent automatizálni vagy csak óriási erőforrás befektetéssel és kockázattal.

Egyébként onnan is látszik hogy gittegylet hogy a kisebb CA-kra mutogatnak miközben ilyen van az egyik alapítónál:

Failure to Revoke in 5 Days, az érintett tanúsítványok száma: 100 millió! felett
 
https://bugzilla.mozilla.org/show_bug.cgi?id=1965612

Nem kritikus, értem én, de na...

75 milliót kell visszavonni én úgy olvasom, de a crl túl nagy lenne. Ebben a történetben "poén" az utolsó kommentben van, amiben arra kérdez vissza az ember, hogy ha a clr particionálást év végére vállalja az MS, akkor hogy lehet, hogy régebbi OS-ben benne van és miért nem vezették be PKI területen.

Elég kellemetlen, amikor kívülről auditálgatja így a "közösség" a belső "folyamatokat". ;)

Amúgy mindent lehet automatizálni, és még csak nem is olyan sok erőforrás megcsinálni, inkább ott szokott elbukni a dolog, hogy a cégek sajnálják az emberi erőforrást és a pénzt rá, mert nincs közvetlen hasznuk belőle. Ha ők 8 órában fizetik az üzemeltetést, akkor nekik tökmindegy, hogy te egyesével mész át 100 gépen és cserélgeted a tanusítvány, vagy automatizmust fejlesztesz, csak a kettő közül az egyiket értik a másikat meg nem. 

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Aztán meg szokott olyan lenni, h. más szervezeteknek kell szolgáltatni, amik belsőnek számítanak (legalábbis routing szempontból). Szervezetileg meg teljesen különállók, és IT / szeku szempontból nem lehet rájuk hatni. Ezért nem hajlandóak az én internal root CA-mat trusted-ként elfogadni (sem beimportálni a saját rendszereikbe), így muszáj vagyok mégis csak public CA-tól megvenni a fizetős cert-et belül futó szolgàltatásra is.

Timeline

Date & Time (UTC) Event
2025-04-05 07:46 Certificate for https://valid.ev.tanusitvany.hu/ expired
2025-04-21 20:30 Email received from community; NETLOCK became aware of the issue
2025-04-22 07:06 We replied to the community report
2025-04-24 We opened a preliminary incident report
2025-04-28 14:47 New certificate issued
2025-04-28 16:12 New certificate deployed to test website
2025-04-30 Full incident report

Tehát hat napra volt szükség, hogy egy statikus oldal alatt kicseréljenek egy certet?

Nincs egyvalaki a cégnél akinek a naptárába felírják a certjeik lejáratát egy olyan cégnél aminek ez a fő feladata? 

NER szempontból teljesen kettészakadt az ország. Középvezetőtől felfelé a "másik világ" gyakorlatilag bezáródott neked, nincs átjárhatóság.
Ez aztán lassan a senior szakértő szintre is leér szerintem.

A cég - amennyire kívülről látom - több éve próbál fontos szakmai pozíciókat betölteni, legalábbis hirdetéseik régóta fent vannak.
Hogy ez miért nem sikerül azt nem tudom - de eléggé beszédes a szitu.

A Root-CA korrekt üzemeltetése rutinfeladat kéne legyen, hiszen megvan minden x éve.
Úgy néz ki erre se jut elég erőforrás és/vagy figyelem.

Aztán mindenki magának eldönti hogy a fenti 3 dolog összességében mit mond neki.

zászló, zászló, szív

Személyes véleményem az hogy függetlenül a politikai helyzettől a magyar piac túl kicsi ahhoz hogy több CA is megéljen rajta, egyszerűen annyira kevés a témához értő szakember (technikai, üzleti ÉS jogi részről is). Nagyon speciális domain tudás kell ami 2-3 év mire felszed valaki alapszinten, magas szinten meg 5-10 is lehet.

Ugye itt látszik a külön nehezítés: felelj meg a folyamatosan változó magyar szabályozásnak is, az EU-s szabályozásnak is, és mindezek mellett mindenféle egyéb olyan szabályozásnak amelyre törvény ugyan nem kötelez viszont a különböző termékfejlesztő cégek rákényszerítenek. 

Nagyon nem hálás terület a CA világa, és hosszú távon én azt látom hogy az állam megcsinálta a saját CA-ját és ezzel fedik le az összes állami és államközeli szervezetet (de innentől kezdve nem kell harmadik féllel foglalkozni) és megmarad egy piaci szereplő aki pedig az összes többit viszi, olyan áron, ahogy akarja.

Mert mondjuk személyes azonosításra van szükség, és Németországból nem fognak eljönni ide. Vagy ha van videó azonosítás akkor folyamatosan nézni kell hogy a modern ai technikákkal nem lehet-e megtörni. Erről pedig nagyon komoly hatástanulmányokat kell csinálni. Volt itthon olyan magyar cég aki a másik oldalról, AI-jal próbálta megmondani hogy valaki az-e akinek mondja magát, be is zárt az egész mert csúnyán elbukott a dolog.

Egyedül az SSL az ahol lehet nemzetközi piacra dolgozni.

Elvileg igazad van.
Gyakorlatilag meg ahogy sz332 fórumtárs is írta: elég korlátozottak a lehetőségek. Már olyan helyzetben is, ha egy EU-n belüli CA mondjuk EU-n kívüli országban lévő entitásnak akar mindenben megfelelő tanúsítványokat kiadni. Piszok nehéz mindenki követelményének egyszerre megfelelni.

Hogyan veszed észre hogy lejárt a tanúsítványod ha kézzel kell cserélni? Hát úgy, hogy szólnak, hogy figy. nem megy a weboldal :D Sokkal-sokkal nagyobb cégek is belefutottak már ilyenbe, ez pedig pont egy lényegében senki által nem használt teszt weboldal volt. Persze, valakinél ez föl lehetett irva, kérdés, hogy észrevette-e. Nem jó, nem tragikus. 

Az hogy miért kellett egy hét ennek a cseréjére, az itt egy jó kérdés.
 

A Netlocknak ez a core business, nehogy már egy excelt kelljen kézzel töltögetni és lesegetni, nyilván kell lennie ott egy automata riportnak, amiben benne vannak a lejáratok. Az, hogy egy akármilyen cég belefut ilyenbe, az még csak-csak elképzelhető, de ha ebből élnek, akkor legyen a riasztás automatizálva (ha a rootCA offline, akkor pedig induljon be egy processz még a lejárat előtt jóval, úgy, hogy még legyen idő a rendszereken is kicserélni mielőtt eléri a lejárati dátumot). 

Másik oldalról: Te vevőként itt fogsz tanúsítványokat venni, ha ne kap(hat)sz riportot tőlük rendszeresen a lejáratokról (és hogy be tudd tervezni a lejáratkori budget-be a megújítás költségeit), akár beépítve az árba, akár opcióként? 

És ha elolvasod pont volt is monitoring rendszer, csak éppen átkonfiguráció volt és nem működött. 

 

The certificate expired on 05th April. Monitoring was re-enabled on 22th April, so no monitoring message was received for the certificate expiration. A new certificate was issued on 28th April and implemented in the system. Since the monitoring signals only before and upon expiration, the certificate issued on 28th April was valid, so no monitoring message was received.

Elég sokáig tarthatott ez az átkonfigurálás. Ha mondjuk egy hét a tanúsítvány-megújítás (ez derül ki az idősorból), akkor illik legalább két héttel a lejárat előtt szólnia a monitoring rendszernek, tehát valamikor március 20-22. táján. Azaz kb. egy hónapig nem ment a monitoring. Szerintem ez nagyon sok idő.

Amíg nem kezdtem el nagy IT-profilú multiknál dolgozni, én is egy álomvilágban éltem. Ahol azt feltételeztem h. ezeknél a cégeknél minden flottul működik. A tudás össze van gyűjtve, nagy, up-to-date, és jól kereshető knowledge base-k vannak a belsős alkalmazottak részére átadva. Amikben minden folyamat, minden ügyfél tudnivaló ott van könnyen érthetően, egyértelműen, kényelmesen használható módon. Ha pedig mégis bármi kérdésed volna, ott van az article mellett az aktuális józsi neve és telefonszáma, akitől az év 365 napján, 0-24-ben mindig mindent meg lehet kérdezni. És ő készségesen mindig válaszol is minden kérdésre, ráadásul releváns módon, nem tahón, nem lekezelően, nem frusztráltan, a lényeget elhallgatva. Nincsenek 1-man-show emberek, akik azzal csináltak maguknak 10-15-20 év alatt jobszekuritit, h. az általuk felügyelt rendszerek minden részletét titkolják a belső külvilág felé, hogy ha kirúgnák akkor borul az egész tech stack, vagy az a department-je a nagycégnek.

Aztán elmentem 3 különböző nagy multihoz dolgozni, és megtapasztaltam saját bőrömön azt az őskáoszt, és rosszindulatot ami mérettől és éves árbevételtől függetlenül mindegyiknél ott van. Részlegenként tucatnyi példányban egymással párhuzamosan, hosszú évek óta, az esély leghalványabb nyoma nélkül h. bármelyik is érdemben változna (a jó irányba).

Egyes területeken káosz minden nagyobb szervezetnél előfordul (így a multinál is). Rosszindulat viszont nem feltétlenül. Egyes személyek persze lehetnek rosszindulatúak, meg az is előfordul, hogy az eltérő kultúrából adódó más hozzáállás meg nem értést, súrlódásokat szül. Nálunk volt olyan szervezeti felépítés, hogy az egyes csoportok jellemzően egy adott céghez/országhoz tartoztak a multin belül, ilyenkor kialakul egyfajta patriotizmus, vagyis országok közti rivalizálás (mi vs. ők), ez nem feltétlenül jó, aztán volt olyan is, hogy a csoport vegyes, ez sem az igazi, mert a csoport egyik része elég könnyen arra jut, hogy ők csak másodrendűek (nem lehet kávészünetben megbeszélni egy-két szóval a dolgokat a managerrel, kimaradnak egy csomó információból, stb. Érdekes módon home-office esetén ez enyhébb, ott senki nem fog a kávészünetben beszélgetni :)).

Érdekes módon home-office esetén ez enyhébb, ott senki nem fog a kávészünetben beszélgetni :)).

Ezért megy mindenhol a return to office kampány kovid vége óta, egyre keményebb és erőszakosabb feltételekkel. Most 2025 közepén a munkáltatók vannak előnyben hosszú idő után (ld. a nemzetközi IT piacon, ill usa-ban évtizedes csúcson van a kirúgási hullám az AI-elmebaj miatt), így addig és úgy geciznek a dolgozókkal ameddig csak akarnak.

Engem már nem érint, de a volt kollégákat még nem hallottam erről panaszkodni, pedig tartjuk a kapcsolatot. Szóval úgy néz ki, még él az átlagban heti két nap irodai jelenlét minimum. Ami szerintem megfelelő. Mondjuk pont a vegyes team miatt (a csoport fele nem Magyarországon van, és még a külföldi rész is legalább két helyszínen) a kávészünetes beszélgetések meglehetősen ritkák.

Pl. figyelem valami monitoring eszközzel az oldalt, ami szól, hogy esedékes a megújítás. Vagy cert igényléskor a megújítás esedékességét felírom egy naptárba. (egyéb eszköz is képes figyelni, az F5 loadbalanceren beállítható, hogy az ott tárolt certificate-ek közeli lejáratáról menjen SNMP trap). Szóval vannak eszközök a kézi megújításnál is emlékeztetőre.

És ha megnézed volt is monitoring rendszer, csak éppen állt, amikor meg újraindították akkor nem jelzett mert két dolog volt beállítva: ha x nap múlva lejár, vagy ma járt le a tvány. Arra senki nem gondolt hogy oké, mi van ha pont az allatt áll a rendszer amikor a tancsi lejár. 

Milyen usecase az, amikor egy használatban lévő cert vizsgálatakor nem kell riasztás, ha már le van járva?

Vagy azt nem nézik, hogy az adott cert használva van-e, hanem csak egy táblázatból veszik, hogy elvileg mik léteznek, de azt nem figyelik, hogy a kiszolgálóik miylen certtel működnek? Fura.

Ne haragudjon már a világ de nekem a saját kis belső dolgaimra is van librenms monitoringom, ami a konkrét URL-eket nézegeti.
Kívülről, mintha user lenne.

Nyilván hanyattesik akkor is ha lejár a certificate. Rendes helyen ez max. a második védelmi vonal lenne.
Első védelmi vonal az konkrétan beleolvashatna a certificate-be hogy mikor jár le és szól előre x idővel (minden nap).

Valszeg librenms-sel is meg lehetne csinálni de nekem annyit nem ér, a certificate-ek eddig mindig megújultak szépen.

zászló, zászló, szív

Azért az régen rossz, ha valakinek szólnia kell emiatt.

Néhány primitív megoldás - SSL/TLS tansikra:
- Kössük be az egész weboldalt monitoringba. Egy Zabbix, Icinga etc. már a lejárat előtt akár 60 nappal képes szólni.
- Pár soros Bash / Openssl parancsot összerakni még egy kezdőnek is legyen egy fél délután. Felteszi a szerverre, helyben lefut. Riasztást meg küldi emailben. Nem nagy ügy. Utána ez 5 perc alatt adoptálható más weboldalakra, szerverekre is. Na jó, ha Windowsra kell átvinni, akkor esetleg picit faragni kellhet még. 😀

Alkalmazások által használt nem SSL / TLS tanúsítványnál van az igazi rémálom: valaki letesz egy .pfx-t, beírják az alkalmazás konfigba, aztán mindenki elfeledkezik róla. "Működik, ne nyúlj hozzá!". Aztán 1-2-3 év múlva meg lehal az alkalmazás. A logokból túrják ki - ha normálisan logol egyáltalán az alkalmazás -, hogy a tansi lejárt. Láttam már sok ilyen sztorit.

Miért kellhetett 1 hét (nem dolgozom a Netlocknál, csak ismerem a céges folyamatokat általában): simán túl sok emberen megy át az információ. A döntéseket is valakinek meg kell hoznia - általában nem ő kezeli a jegyeket, nem ő adja ki a tansit stb. Minél nagyobb egy cég, annál lassabbak az ilyen folyamatok.

( SkyNET | 2025. 06. 01., v – 14:11 )

Miért az idézőjel, ha nem ez a cikk címe. 

Tiltja a vallásod (meg a tűzfalad :D) a telexes linkek megnyitását?

"Cikkünk megjelenése után a Gattyán György vezette Docler cégcsoport is reagált a cikkre. Mint írták, a cégcsoport 2024-ben úgy döntött, értékesíti a Netlock Kft-ben megmaradt tulajdonrészét, a beérkezett ajánlatokból pedig egy volt számottevően értékelhető: a Columbus Magántőkealapé, amely elővásárlási joggal is rendelkezett. Így végül el is adták nekik a Netlockot, a tranzakció idén január végén zárult, így azóta a Docler cégcsoportnak a működésre nincs rálátása."

"A COLUMBUS Magántőkealapot azzal a céllal hozta létre az EXIMBANK Zrt. és a CARION Holding Zrt." ...
 

Az állami hátterű Magyar Export-Import Bank Zrt. (Eximbank) 1994 óta, nemzetközi kereskedelemre, külpiaci befektetésekre, illetve külföldi beruházásokra szakosodott banki szereplőként működik. A bank Külügyminisztérium tulajdonosi felügyelete alá tartozik. 2014-ben Puskás Andrást, Rogán Antal korábbi helyettesét nevezték ki a bank vezérigazgatóhelyettesének, ezt követően az EXIM belföldre kihelyezett hiteleinek jelentős részét kormányközeli szereplők kapták meg.

https://adatbazis.k-monitor.hu/adatbazis/cimkek/magyar-export-import-ba…

Carion:

https://444.hu/2017/03/28/rogan-antal-lekotelezettjei-nem-akartak-hogy-…

https://444.hu/2023/11/01/a-rogan-antal-fele-lakaslotto-cege-a-raktar-a…

Szerintem nincs több kérdés.
 

Az eddig is világos volt, hogy a "kormányközeli" kifejezés definíció szerint azokat jelenti, akik az állammal kötnek üzletet (van aki színre, szagra, hajszínre is meg tudja mondani, hogy ki hitelképes). A kérdésem, ami szerinted nincs, azért mégiscsak van. Ki a kutyafaszát érdekli a szóban forgó esetben, hogy a Netlock kinek a tulajdonában van és akinek a tulajdonában van szőke-e vagy nagyorrú, NER-es vagy nem NER-es? Lehet, hogy van a témához kapcsolódó összefüggés, csak én nem értem.

Ez valamiféle berágódás nálatok, a rövid nyomozás szinte mindig fölösleges, ha egy vállalkozás sikeres, akkor NER-es, ennyi, nincs több kérdés. Bizonyos esetekben ha sikertelen, attól NER-es, nincs több kérdés.

Köszi, kínos ez a trehányság a telexnek (meg persze nekem, hogy a dőlt betűs részt csak most olvastam el a cikk végén), főleg hogy @marczi kommentje alapján ( https://hup.hu/comment/3191787#comment-3191787 ) ennek döntésnek sem az ex sem az aktuális tulajdonoshoz nincsen köze.