Hallottam egy olyan dologról, hogy "Kormányzati Elektronikus Aláírás-ellenőrző Szolgáltatás (KEAESZ)". Rákerestem, és ez a honlap jött ki:
Elvileg van egy olyan állami ingyenes szolgáltatás, amivel ingyen, böngészőből lehet ellenőrizni egy elektronikus aláírás hitelességét. De nekem a fenti link tanúsítvány hibát jelez:
Your connection is not private
Attackers might be trying to steal your information from www.keaesz.gov.hu (for example, passwords, messages, or credit cards).
NET::ERR_CERT_AUTHORITY_INVALID
Linux alatt, Chromium böngészővel. De próbáltam Firefox-szal is, és azzal sem megy. Nálatok megy? Vagy nem is ez a szolgáltatás honlapja? Vagy ez már megszűnt azóta?
- 1265 megtekintés
Hozzászólások
It sem megy (Win, Chrome)
"Your connection is not private
Attackers might be trying to steal your information from keaesz.gov.hu (for example, passwords, messages, or credit cards). Learn more
NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED"
- A hozzászóláshoz be kell jelentkezni
Amúgy működik a dolog, mármint ha továbbkattintunk hogy az érvénytelen tanúsítvány ellenére is meg akarjuk látogatni az oldalt, akkor kijön egy működő űrlap, ahol fel lehet tölteni fájlokat. Kipróbáltam egy aláírt PDF-fel, feltöltöttem, és kiírta hogy érvényes aláírás, sőt egy teljes letölthető PDF-et is generál, ami bizonyítja a feltöltött fájl hitelességét: benne van az elektronikus aláírás adatai, az ellenőrzött fájl SHA256 lenyomata, valamint a hitelességet bizonyító PDF maga alá van írva a KEAESZ által elektronikusan, és még időbélyegezve is van.
Szóval hasznos szolgáltatás lenne ez, ha nem dobna már az elején tanúsítvány hibát. Nem tudok más ilyen szolgáltatásról, ami böngészőből megy minden platformon, ingyenes, és ilyen hitelességet igazoló, aláírt, időbélyegzett PDF-et generál.
Írtam nekik egy hibabejelentő emailt a megadott elérhetőségre, kaptam visszaigazolást, hogy megkapták a bejelentést. Majd megírom ide, hogy mire jutottak.
- A hozzászóláshoz be kell jelentkezni
Megjött a hivatalos válasz:
Az Ön által tapasztalt problémával kapcsolatban a következőről tudjuk Önt tájékoztatni. A Chromium alapú böngészők megkövetelik a certificate transparency szolgáltatást, mellyel a https://www.keaesz.gov.hu/ nem rendelkezik, ezért „Az Ön kapcsolata nem privát”-szövegű hibaüzenetet olvashat, amikor megpróbálja az oldal megnyitását ezen böngészőkben.
Megoldásként jelenleg vagy nem Chromium alapú böngésző használata javasolható (mint például Mozilla Firefox), vagy a „Speciális beállítások” -> „Tovább a webhelyre” opciókra kattintás.
Nem Chromium alapú böngésző használata: az dicséretes, ezek szerint a látogatók cirka 70%-a nem tudja használni a szolgáltatást, mert lásd: https://gs.statcounter.com/browser-market-share/all/hungary (kb. 70% használ Chrome-et Magyarországon)
Mozilla Firefox használata: azzal sem megy.
„Speciális beállítások” -> „Tovább a webhelyre” opciókra kattintás: szóval vakon bízzak meg benne, hogy a tanúsítvány hiteles és a kapcsolat titkosított? Aha, persze.
- A hozzászóláshoz be kell jelentkezni
"Mozilla Firefox használata: azzal sem megy." - Nekem működik - igaz,. a GOV CA-t hozzá kellett adni a böngésző cert. store-jához. Ez egyrészt érthető, hiszen nem igazán lenne jó, ha a közigazgatási oldalak certje egy magáncégtől függene, msárészt meg felveti azt a kérdést, hogy azzal alá lehet írni bármilyen website certjét, azaz állambácsi "simán" bele tudna nézni (és akár nyúlni is) bármelyik ssl-es site forgalmába.
"szóval vakon bízzak meg benne, hogy a tanúsítvány hitele" - nem kell vakon megbízni benne: https://hiteles.gov.hu/szabalyzatok
- A hozzászóláshoz be kell jelentkezni
> azzal alá lehet írni bármilyen website certjét, azaz állambácsi "simán" bele tudna nézni (és akár nyúlni is) bármelyik ssl-es site forgalmába.
Kérlek itt segíts egy kicsit: ha én mint CA adok neked egy cert-et [remélhetőleg az általad generált csr alapján] akkor bele tudok nézni a te SSL-forgalmadba?
- A hozzászóláshoz be kell jelentkezni
Ha van egy tetszőleges https://... site, a kliens meg megbízik az általam üzemeltetett CA certjében, akkor a forgalmat átfuttatva egy ssl-t átcsomagoló proxy-n, ami a kliens felé az általam üzemeltetett CA-val aláírt certet mutat be (aminek a kibocsátóját ugye megbízhatónak tekinti a kliens, ergo a lakat "zöld" lesz), az átcsomagolás során bizony bele lehet nézni/nyúlni a forgalomba.
- A hozzászóláshoz be kell jelentkezni
> akkor a forgalmat átfuttatva egy ssl-t átcsomagoló proxy-n
Ja hogy ezt az apró kis részletet nem hangsúlyoztuk eléggé az előbb...
Kétségtelen, hogy előfordul ilyen a valóságban is, pl. vírusírtók szeretnek így beleékelődni a forgalmamba.
- A hozzászóláshoz be kell jelentkezni
nehez dolog ez a PKI, nem is sok ITs érti... ;)
Ajánlott szakirodalom a témában:
- A hozzászóláshoz be kell jelentkezni
Idézet a NISZ-től (https://hiteles.gov.hu/content/22/ca_certificates):
A NISZ Nemzeti Infokommunikációs Szolgáltató Zrt. mint minősített hitelesítés szolgáltató szolgáltatói tanúsítványait 2014. szeptember 29. óta a MS Windows operációs rendszer tanúsítványtára tartalmazza. Ez alól kivételt képez a Minősített Közigazgatási Tanúsítványkiadó, melynek a gyökértanúsítványa a Közigazgatási Gyökér-hitelesítésszolgáltató (KGYHSZ). Ezért a felhasználók ezen tanúsítványok használata esetén "az aláírás nem megbízható" hibaüzenetet kaphatják. Ennek kiküszöbölése érdekében javasolt telepíteni az alábbi leírás szerint a KGYHSZ Root tanúsítványát. A NISZ Zrt. az ellátotti köre számára telepítette a tanúsítványokat.
Ennek van bármi értelme? (ez nem költői kérdés)
- A hozzászóláshoz be kell jelentkezni
Ja hogy először nekem kéne kézzel telepítenem a tanúsítványt?
- A hozzászóláshoz be kell jelentkezni
Bingo. Ez ilyen.
- A hozzászóláshoz be kell jelentkezni
nem szeretnék flamewart kezdeni, sem offolni, de ennek egyébként van bármilyen értelmesen védhető, információbiztonság szempontjából fontos indoka? Vagy ez ilyen magyar internetre magyar rootcertet dolog?
- A hozzászóláshoz be kell jelentkezni
Igen és igen.
A magyar internetre magyar rootcertet dolog egy teljesen valid indok. Az osekklel / böngészőkkel szállított root ca-k használata ugyanis -- az elméleti síkon -- nem javít, hanem kifejezetten ront egy cert biztonságosságának megítélésén az ideálishoz képest. Ők megbízható harmadik felek a kommunikációban, és mint olyanok, szükséges rosszak. Ők azok, akikről a kommunikáló felek (már amelyiket érdekli a másik hitelesítése, ez klasszikusan csak a kliens) elhiszik, hogy amit ő állít, az igaz. Praktikusan azért van erre szükség, mert a random.com-mal nem tudod egyébként kényelmesen kideríteni, hogy ő van-e a cert mögött. De ha egyébként meg tudsz győződni arról direktben, hogy az a cert valóban a másik félnél van, akkor a biztonság jobb, nem kell hozzá 3rd party. Főleg, hogy az ő állításait ráadásul technikailag semmi nem kényszeríti ki, egyszerűen elhisszük, hogy amit állít az igaz, mert pl bemutatta a megfelelő működési szabályzatát, meg átment az auditon MSnél/mozzilánál/guglinál.
Na most a magyar állam és állampolgára közti hitelességi kérdésekben praktikusan is komoly biztonsági gap lenne, ha bevonnánk egy külső felet, aki pl amcsi (vagy orosz, vagy kínai, vagy bantu) fennhatóság alatt van, mint alapvető döntnökét a megbízhatóságnak. Teljesen jogos, hogy ezt a magyar állam saját hatáskörben csinálja. Mármint képzeld el, hogy Trumpli uraság úgy dönt, hogy mostantól a magyar államigazgatás dokumentumai nem hitelesek :)
Technikailag már kissé szarabb a helyzet, amit ugyanis a nisz javasol, az a gyakorlatban neked csücskös. Ugyanis -- csak úgy, mint a többi CA -- a nisz is pont azt ír alá azzal a root CAval, amit csak akar. Szóval ha beimportálod, akkor állam bácsi pont arról a kapcsolatodról hiteti el veled, hogy jó, amelyikről csak akarja. Mivel a technológia (a tls se jó, a browserek sem csinálnak dolgokat, amiket csinálhatnának [insert nem annyira konteo köcsög google gondolatok here]) sajnos nem teszi lehetővé, hogy te értelmesen megmondhasd, hogy pl ez a root CA milyen kapcsolatok tekintetében hiteles (tehát pl nem lehet olyat mondani, hogy állambácsi véleménye csak a *.gov.hu tekintetében érdekel, viszont a többieké meg erre nem érdekel). A szerver oldalnak van valamennyi esélye védekezni az ellen, hogy ne állítson ki olyan rá certet, akinek ő erre nem kért, pl a certificate transparencyvel és az Expect-CT headerrel (meg a deprecated public key pinninggel), de messze nem silver bullet, ráadásul csak HTTPSre jó in practice jelenleg. Uh én ezt nem javasolnám, marad az értem gomb nyomkodása. (Nagyon hasonlóan pl a céges belső root CAkhoz)
Persze ebben is van sajnos kockázat, mert a browserek abban sem jeleskednek, hogy legalább te mint kliens azt tudd mondani, hogy na, ebben a konkrét certben megbízom. Hol megjegyzik, hol nem, periodikusan baszogatnak újra stb, te meg jó eséllyel úgy se fogod minden alkalommal megolvasni a fingerprintet, szóval könnyen át tudsz baszódni.
Igazából az egész TLS/PKI modell elég szar (a revocationokbe még bele se mentünk :D)
- A hozzászóláshoz be kell jelentkezni
Ez a NISZ-es root cert pont nem, de magyar joghatóság alatti, magyar székhelyű CA cégek gyökér tanusítványai is megtalálhatók böngészők, OS-ek trust storejában. Lenne mit alkalmazni.
- A hozzászóláshoz be kell jelentkezni
Így van. És ők láthatólag elgondolkodtak azon, hogy az egyik esetében megfelelő kompromisszum egy ilyennel aláírni, a másik esetben meg nem. Ott van az idézetben, hogy be tudnak tenni tanúsítványt az MShez, szerinted lar-pur-lart nem tették be ezt is, vagy irnak alá azzal, vagy esetleg végiggondolták, hogy mik az igények "Minősített Közigazgatási Tanúsítványkiadó" esetében, és tudatosan nem tették?
- A hozzászóláshoz be kell jelentkezni
Nem értem mire gomndolsz. Van a portál, egy böngészős hozzáférés a szolgáltatáshoz. Ha magának a portálnak a tanusítványa minősített, azért mert úgy gondolta a tervező hogy ezzel a lekérdezésekben a http válaszban kiadott adatok minősített aláírásúak, akkor szerintem ez így nem jó. A https-re szerintem olyan cert kell, aminek a lánc végén egy böngésző szerint trusted root van. Ha pedig olyan adatot tölt le a kliens, aminek minősített aláírása szükséges mert a törvény ezt írja elő, akkor az meg legyen pl. minősített aláírással ellátott pdf, a megfelelő rootból induló lánccal. De ez két dolog, az egyik dolog a böngésző és a szerver közt a http transzport hitelessége, a másik meg a transzportált adat, a payload hitelessége, nem? Nem ismerem mélyen sem a kriptográfiát sem a vonatkozó magyar törvényeket, nem tudom hogy azzal hogy a portál certje minősített, akkor egyben az ott kiadott adatok minősített aláírása is oké-e. Nekem ez nem magától értetődik, de lehet hogy így van. Annyit tudodk, hogy ebben a témában semmi nem magától értetődő, vannak könyvelők az ügyfélkörben, abban már képbe kerültem, hogy egy e-személyis vagy AVDH-s aláírás elektronikus cégképviseletre miért nem jó hiába gondolják sokan hogy jó.
- A hozzászóláshoz be kell jelentkezni
Nekem mindegyik gov.hu-s szolgáltatás működik https-en alapból, csak ez a KEAESZ nem, és nem értem, hogy ennek mi az értelme. Egyáltalán hogyan lehet ezt működésre bírni? Valakinél megy egyáltalán a fenti link?
Még az AVDH is megy nálam alapból, nem kell hozzá tanúsítványt vadászni. Szerintem itt valamit elrontottak a KEAESZ-nél.
- A hozzászóláshoz be kell jelentkezni
Ott van a fenti idézet, mi lenne, ha megpróbálkoznál az értő olvasással?
- A hozzászóláshoz be kell jelentkezni
Elolvastam, de még mindig nem értem, pl. mi a különbség a KEAESZ és az AVDH között? Az AVDH megy gond nélkül, a KEAESZ nem megy. Mindkettő NISZ üzemeltetés és gov.hu-s.
A KEAESZ ezt írja alul (rányomtam, hogy fogadja el a tanúsítványt megbízhatónak):
A szolgáltatást az egyes, az elektronikus ügyintézéshez kapcsolódó szervezetek kijelöléséről szóló 84/2012. (IV. 21.) Korm. rendelet 4. k) pontja alapján a NISZ Nemzeti Infokommunikációs Szolgáltató Zártkörűen Működő Részvénytársaság – mint szolgáltató – működteti.
Az AVDH meg ezt írja:
Üzemelteti a Nemzeti Infokommunikációs Szolgáltató Zrt.
Egyik miért szar, másik miért jó?
- A hozzászóláshoz be kell jelentkezni
Kissé megkövetem magam, mert nem pont erről a tanúsítványról van szó az idézetben, ezzel együtt, az egyik azért "szar" a másik meg azért nem, mert nem attól függ, hogy jó-e, hogy ki üzemelteti, hanem attól, hogy milyen tanúsítványt mutat fel. A "szar" a nisz egy saját root tanúsítványát mutatja fel, a jó meg egy eszignosat. Az előbbi nincs benne a géped trust storejában, az utóbbi meg igen.
- A hozzászóláshoz be kell jelentkezni
Nem trust issueról van szó szeritnem (azaz nem azon a szinten, hogy a böngésző nem bízik a CA-ban :))
A hiba legalábbis Chrome alatt:
NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED
Itt valamiért nincs a most használt tanúsítvány:
https://transparencyreport.google.com/https/certificates?hl=en&cert_sea…
Amúgy a KEAESZ tanúsítványának a Kormányzati Hitelesítés Szolgáltató a rootja ami benne van a Megbízható legfelső szintű tanúsítványok közt.
Szerintem valami el van sz*rva. De nem vagyok CA. :)
U.i.: Használjatok IE-t az hiba nélkül berántja. ;)
- A hozzászóláshoz be kell jelentkezni
Elnézést, nekem simán csak invalidozott.
De nekem egyébként ezt mutatja: https://transparencyreport.google.com/https/certificates/RWdYQP4xpU7eqb… szóval bent van.
- A hozzászóláshoz be kell jelentkezni
Tényleg, akkor passzolom. Bár nem tudom loggolni mikor kell (azaz ahogy olvastam kiadáskor), lehet a két hét sok volt a googlinak. :)
CT Information (info source: crt.sh)
Log entries for this certificate: | |||
Timestamp | Entry # | Log Operator | Log URL |
---|---|---|---|
2020-12-03 09:56:46 UTC | 287833143 | https://ct.googleapis.com/logs/argon2021 |
- A hozzászóláshoz be kell jelentkezni
Alapvetően kiadáskor kellene, de hogy van-e erre technikai megkötés, azt nem tudom, ennyire még sose másztam bele. Az egész expect-ct meg az a signed timestamp izé azt célozza, hogy azt akarom, hogy legyen benne. Majd lehet feladom a tlshez tényleg értő kollégáknak játszani idebent :D
- A hozzászóláshoz be kell jelentkezni
https://www.ssllabs.com/ssltest/analyze.html?d=www.keaesz.gov.hu&hideRe…
Itt is azt írja, hogy nem megbízható a tanúsítvány. Egész pontosan a Mozilla, Apple, Android, Java trust store szerint nem megbízható, a Windows trust store szerint viszont megbízható.
De egyáltalán Windows alatt megy ez bárkinek? Ha meg csak Windows alatt menne, akkor is szar, mert ezek szerint nem platformfüggetlen a szolgáltatás. Nem elvárható, hogy vásároljak egy jogtiszta Windowst csak azért, hogy problémamentesen tudjam használni ezt a szolgáltatást.
- A hozzászóláshoz be kell jelentkezni
Ne haragudj, de az, sikerült már felfognod, hogy mi az a trust store?
- A hozzászóláshoz be kell jelentkezni
Maradjunk annyiban, hogy problémamentesen kellene működnie mindenféle böngésző figyelmeztetés nélkül Linux, Mac, Windows, Android, Chrome, Chromium, Edge, Safari, Firefox stb. alatt is. És anélkül, hogy nekem kelljen vadászni meg telepítgetni tanúsítványt.
Vagy szerinted teljesen életszerű, hogy átlag user meglátogatja az oldalt, látja a böngésző hibát, és azonnal fejből tudja mit kell csinálni, átmegy egy másik weboldalra, ahol azonnal megtalálja és letölti a megfelelő tanúsítványt, azt rutinból telepíti is a böngészőbe, aztán gond nélkül megy már neki a szolgáltatás, és még örül is neki, hogy milyen jó, hogy ezt valaki így oldotta meg, ez aztán a szuper munka!
- A hozzászóláshoz be kell jelentkezni
maradjunk :)
- A hozzászóláshoz be kell jelentkezni
Vagy szerinted teljesen életszerű, hogy átlag user meglátogatja az oldalt
Szerintem már az a felvetés nem életszerű, hogy az átlag user meglátogatja a Kormányzati Elektronikus Aláírás-ellenőrző Szolgáltatás weboldalt. :)
- A hozzászóláshoz be kell jelentkezni
Személyivel aláírni ősi magyar szokás. :)
- A hozzászóláshoz be kell jelentkezni
Lúdtollal, hagyományos téntával, pergamenen, utána pedig viaszpecséttel lezárni az az igazi... :)
- A hozzászóláshoz be kell jelentkezni
viaszpecsét. Lóf.
vérszerződés ugyi
- A hozzászóláshoz be kell jelentkezni
Hát igen, igazából sok általános cikk van a neten arról, hogy digitalizáció így, digitalizáció úgy, versenyképesség-növelés, elektronikus aláírás mert az olcsóbb meg jobb mint a papír, stb. buzzwordök, de ezeket szerintem olyanok írják, akik még életükben nem próbálták ki az elektronikus aláírást a gyakorlatban.
Merthogy az a valóság, hogy az elektronikus aláírás drága (nagyon sok esetben a papír sokkal olcsóbb), a gyakorlatban szinte sehol nem fogadják el (még akkor sem, ha jogszabály szerint el kéne), nem tudják, hogy mi az, nem tudják ellenőrizni, nem tudják befogadni sem mert nincs meg fogadói oldalon hozzá az infrastruktúra meg a hozzáértés sem. Nincsen archiválási szolgáltató, aki normális áron archiválna, tehát archiválást oldd meg saját magad.
Lehetne az europa.eu-n bevezetni szerintem egy normálisan működő elektronikus aláírási, időbélyegzési és archiválási szolgáltatást. Minden EU-s magánszemély és cég kapna ingyen minősített elektronikus aláírást, amivel a felhőben, böngészőből lehetne aláírni fájlokat az europa.eu-n (mint az AVDH, csak cégszerű aláírás is lenne, és saját névre szólna az aláírás). Esetleg lehetne kérni kártyán is a tanúsítványt, ha valaki nem bízik a felhőben.
Úgy működhetne, hogy először személyesen kell azonosítania magát a magánszemélynek vagy cégnek az adott tagállam megfelelő kirendeltségén. Személyes azonosítás után kapna hozzáférést a rendszerhez, megkapná a saját minősített tanúsítványát. Ezzel létre tudna hozni minősített elektronikus aláírást és minősített időbélyeget, továbbá a rendszer azonnal archiválná is az így aláírt fájlokat, és a felhőben tárolná archív időbélyeggel, szükség esetén automatikusan felülhitelesítve az aláírást, hogy végig hiteles maradjon.
Lenne egy küldés funkció is, amivel az egész EU-ban bárkinek el lehetne küldeni a felületen keresztül az aláírt fájlokat, a fogadásról pedig készülne egy e-tértivevény, ami automatikusan időbélyegezve és elektronikusan aláírva lenne, így letagadhatatlan, hogy valaki megkapott egy fájlt. A fogadói oldalon is lenne automikusan archiválás, tehát a fogadónak sem kéne aggódnia azon, hogy a befogadott elektronikus aláírt fájl hiteles-e lesz még 8-10 év múlva is, mert a rendszer a beépített automatikus archiválási szolgáltatással garantálná a hosszú távú hitelességet.
Az egészbe be lehetne vonni az összes EU-s állami szervet és önkormányzatokat is, tehát ezen a felületen keresztül tudna egymással kommunikálni minden EU-s magánszemély, cég, szervezet, állami szerv és önkormányzat.
Ez váltaná ki a papírt és ez növelné a versenyképességet.
A jogszabályi környezet már megvan hozzá (eIDAS rendelet, egész EU-ra érvényes).
- A hozzászóláshoz be kell jelentkezni
Szép álom.
Anno én olyat álmodtam, hogy az ENSZ készíthetne egy root cert-et azzal aláírja az összes országét az ország pedig a szervezeteinek és a polgárainak ad tanúsítványt ezzel aláírva. Persze így kimaradna a CA business.
A felhős EU szintű archiválással az a baj, hogy ezek a dokumentumok nem feltétlenül (sőt szinte soha) vannak titkosítva. Ha az archiválást odaadod egy kötelezően használandó központnak ott meglesz az összes magán és közokirat - ez túl nagy hatalom. Én eléggé bízon az EU-ban, de azért ennyire még én sem.
Kicsit más téma: Szerintem a személyi igazolványos digitális aláírás soha nem lesz használva ha így marad. A következők miatt:
- Nem adnak hozzá olvasót és amit ajánlanak az drága. Volt egy Szlovákiai magyar tanítványom, ő mutatta, hogy az ő személyi igazolványán nem csak tanúsítvány van, hanem adtak hozzá egy USB olvasót is.
- Az igazolványon levő tanúsítvány lejárata rövidebb, mint az igazolványé és digitálisan nem lehet hosszabbítani, be kell menni személyesen egy ügyintéző helyre. Kevesen fognak sorba állni egy egyébként sem használt szolgáltatás miatt.
- Az aláíró program finoman szólva nem az igazi. A Windowsos sem Linuxra meg csak ígérik Mac-ről mobil alkalmazásról nem tudok.
- A hozzászóláshoz be kell jelentkezni
A túl nagy hatalommal kapcsolatban igazad van. Esetleg akkor kliens oldali titkosítást is be lehetne építeni a rendszerbe. Azzal meg az a baj, hogyha a jelszó a privát kulcs, és valaki elfelejti a jelszavát, akkor elvesznek a dokumentumai is, mert nem fogja tudni őket dekódolni.
Az Elon Musk-féle chipbeültetés megoldás lenne, akkor tutira nem felejtenék el a jelszót az emberek :)
Az archiválást lehetne opciós szolgáltatássá tenni, aki nem kéri, annak nem tárolnák a dokumentumait a felhőben.
Az eSzemélyi aláírás tényleg szar. Miért nem lehet a hosszabbítási szerződést elektronikusan aláírni a még érvényes tanúsítvánnyal? Ez volna a logikus.
Én a felhőbe tenném át az egészet, a Netlocknál már van ilyen. Csak böngésző kell hozzá, semmi más (persze előtte személyes azonosítás kell egyszer, de utána minden megy a felhőben).
- A hozzászóláshoz be kell jelentkezni
"- Nem adnak hozzá olvasót és amit ajánlanak az drága." - Egyszer kell megvenni, ez igaz, de azt követően kifejezetten hasznos - pláne a mostani otthonmaradós időszakban.
"- Az igazolványon levő tanúsítvány lejárata rövidebb, mint az igazolványé és digitálisan nem lehet hosszabbítani, be kell menni személyesen egy ügyintéző helyre. Kevesen fognak sorba állni egy egyébként sem használt szolgáltatás miatt." - A lejárati idő nem gond, igaz, oda kell figyelni rá. A személyes megjelenés nem sorbanállós (lehet időpontot foglalni online), nekem 10 perc volt a megújítás, ebben benne volt a papírozás (szolgáltatási szerződés elfogadása, cert átvételének az igazolása, e-szig olvasóval történő maszírozása).
- A hozzászóláshoz be kell jelentkezni
"- Nem adnak hozzá olvasót és amit ajánlanak az drága."
Random NFC-s telefon és https://github.com/frankmorgner/vsmartcard . :)
- A hozzászóláshoz be kell jelentkezni
Ez működik a magyar e-személyivel és lehet vele aláírni?
- A hozzászóláshoz be kell jelentkezni
Oneplus 5-el és 7T-vel nekem ment. (igaz az utóbbival csak az azonosítást próbáltam mert lejárt a személyimen az aláírás :))
Annyit kellett nálam állítani, hogy a Delay for Card Presence Check és a Delay for Card Response értékeket maxra kellett állítanom.
Működni működik igaz, nálam nem a legstabilabb dolog a világon (e-azonosításnál van, hogy csak harmadjára sikerül :)) és a Windows-os drivere nincs aláírva így csak "teszt módba" lehet telepíteni.
- A hozzászóláshoz be kell jelentkezni
Ha ez tényleg működik, akkor én szívesen olvasnék róla egy tutorial-t.
- A hozzászóláshoz be kell jelentkezni
Pedig lehet, hogy NFC-képes mobilok esetén még az olvasót sem kéne megvenni.
- A hozzászóláshoz be kell jelentkezni
köszi a részletes okfejtést, nagyjából ezt sejtettem én is. Akkor valójában már csak az a kérdés, hogy miért nem azt használják itt is ami már benne van a trusted store-ban a böngészőkben.
Azért zavar ez engem igazából, mert vért izzadunk azzal, hogy a usereknek megtanítsuk, hogy nézd meg a kis zöld lakatot (igen, ilyen szinten vagyunk sokszor) és akkor mikor ezt a szolgáltatást használná akkor még tanítsak meg neki egy kivételt is, hogy igen én egész eddig a szádba rágtam, hogy csak a zöld lakat a jó, de itt most ez egy kivétel, kattints rá nyugodtan.
- A hozzászóláshoz be kell jelentkezni
Kicsit kevesebb sallang-angolt raknál bele, teljesen jól olvasható hozzászólás lenne, relevánsan a témában.
- A hozzászóláshoz be kell jelentkezni
Köszi, majd legközelebb igyekszem.
- A hozzászóláshoz be kell jelentkezni
Találtam egy másik szolgáltatást, ami tud ingyen elektronikus aláírást ellenőrizni böngészőből, elég részletesen riportot ad: https://ec.europa.eu/cefdigital/DSS/webapp-demo/validation
Hátránya, hogy nem ad ki olyan szép igazolást magyarul, mint a KEAESZ. Pedig az a KEAESZ igazolás hasznos tud lenni, ha valakinek meg kell mutatni, hogy márpedig érvényes az elektronikus aláírás.
- A hozzászóláshoz be kell jelentkezni
No, ilyesmi a RootCA cert eleje (szép ékezetes):
s: C=HU, L=Budapest, O=NISZ Nemzeti Infokommunikációs Szolgáltató Zrt., CN=Főtanúsítványkiadó - Kormányzati Hitelesítés Szolgáltató
i: C=HU, L=Budapest, O=NISZ Nemzeti Infokommunikációs Szolgáltató Zrt., CN=Főtanúsítványkiadó - Kormányzati Hitelesítés Szolgáltató
nb: Sep 13 10:27:04 2013 GMT
na: Sep 13 10:27:04 2033 GMT
Beállítottam a Firefoxnak, mint megbízható legfelsőbb szintűt, azóta nem panaszol.
Szerk(2021.02.04.)
Firefox-on működik (saját tanusítványtára van, abba beletettem), IE-ben és Edge-ben működik (Windows közös tanusítványtárát használják, abba is beletettem), Chrome nyünyög, hogy NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED
Saját házi RootCA-mat is próbáltam, arra nem nyünyög a Chrome, müxik. Mi lehet a különbség? És mi lenne ez a 'certficate transparency' egyszerűbb szavakkal? Valahányszor generálok egy cert-et, be kell jelenteni a google-nak? Vagy mi?
- A hozzászóláshoz be kell jelentkezni
Ez elég jól összefoglalja, hogy miért tag-eli a Chrome nem megbízhatónak: https://certificate.transparency.dev
Röviden: elérhetővé kell tenned az általad kiállított certificate-ekhez egy publikus log adatbázis service-t, aminek az elérhetőségét a böngészőnek ismernie kell.
Édekes, hogy a listában szereplő és a böngészők által ismert log service-ek jelentős részére már 404-et kapok, több közülük Google:
- A hozzászóláshoz be kell jelentkezni
Köszönöm, ezek szerint a lényeget eltaláltam: a Google böngészője elvárja, hogy minden kiállított certet jelentsenek be a Google-nak.
- A hozzászóláshoz be kell jelentkezni
Indirekt módon igen. :)
Nem teljesen értem, hogy a CRL és OCSP mellett ennek mi a hozzáadott értéke.
- A hozzászóláshoz be kell jelentkezni
Alma - körte.
A CRL és az OCSP a visszavont certekről szól, a transparency meg azokról, amit az ember alapvetően sosem akart validnak tekinteni.
Nekem is elég ambivalens érzéseim vannak egyébként vele kapcsolatban. Egyrészt nem tudom, mennyire jó ötlet ez a kiteregetés, másrészt nem látom, mennyi vannak kétségeim a hasznossága kapcsán (esetenként inkább káros), harmadrészt meg hoz új veszélyeket. Pl ha én malicsusz kisfiú lennék, és botnetet akarnék gyártani, biztos, hogy a transparency log tetején így kiderülő új szolgáltatásokat próbálgatnám gyorsan, mielőtt még rendesen bekonfigolják őket.
- A hozzászóláshoz be kell jelentkezni
"amit az ember alapvetően sosem akart validnak tekinteni"
Ezt kifejted?
- A hozzászóláshoz be kell jelentkezni
Persze. A CT a fent már többször is emlegetett bármelyik CA bármit ki tud állítani problémára próbál valamilyen technikai megoldást hozni. Mert ugye technikailag egy CA olyan certet állít ki, amilyet csak akar, nincs szüksége semmi technikai proofra, hogy azt tőle akárki kérte. Szóval a példánál maradva, a nisz a "mindenkinnél" a trust storeban levő certtel nyugodtan aláírhatja a te kis endomainem.hu oldalaadhoz a certet. Ez után már "csak" bele kell állni a domained fele menő forgalomba, és azt csinál, amit akar. Bár NevemTeve odafent ezt ironikusan apróságnak nevezte, FYI ma az összes magyar szolgáltatónak szűrnie kell az állam szerint blokkolandó oldalakat a KHETA alapján, aminek az ajánlott kiépítése az, hogy routeold be a forgalmat állam bácsihoz, és majd ő DPIzik. (vajon ki üzemelteti :) )
Nyilván egy sima CAnak ennél kisebb játszótere van, de kontroll továbbra sincs felette. Ha van egy nagy, nyilvános adatbázis, ahol látszik az összes kiállított cert, akkor arra lehet reagálni. Te is tudod figyelni a saját érdekeltségeidet, illetve generikusan is lehet nézni azt, hogy nincsenek-e anomáliák pl valamelyik CAban. (Pl olyan certeket állít ki, amire valaki másnak még van bőven érvényes certje). A chrome pedig azért sipákol, ha nincs benne valami cert, hogy legyen kényszerítő erdő, hogy a CAk részt vegyenek ebben. Különben ugye lehet vállvonogatni, a user tudni se fog róla, az ügyfélnek a saját valódi CAjának basztatására nincs igazából szüksége, és ha még elvből basztatná is, hogy miért nincs, a CA még mindig mondhatja, hogy dehát ha más se csinálja, akkor neked no gain, és extra risk a publikussá tett infó.
Szóval az, hogy egy cert benne van a logban, az igazából közvetlenül nem állít semmit annak "jóságáról". Ha állambácsi beleírja a megkérdezésed nélkül kiállított certet a logba, akkor a chrome nem fog sipákolni. (Közvetve természetesen igen, azt, hogy a szolgáltató dolgai ott vannak, van esély belelátni a kiállító működésébe)
Mint látszik, ez alapvetően egy reaktív folyamat, és nyilván van hozzáadott értéke, cserébe lesz egy szép nagy, periodikusan frissülő adatbázis az interneten elérhető oldalakról, in detail a tieidről is, még ha nem is akarod (és azért lássuk be, a googlenek -- meg a többinek -- ez elég hasznos), tovább nehezedik saját trust domain kialakítani lokálisan anélkül, hogy belekevernéd ezt az egészet, akkor is, ha erre egyébként baromira nincs rá szükség, és ilyen félmegoldásokkal próbálja épp a saját működését kicsit jobbá tenni :) meg ilyesmi.
- A hozzászóláshoz be kell jelentkezni
A log-ot ugyanaz a szolgáltató tartja karban, aki a certificate-et kiállította, én ettől nem érzem megbízhatóbbnak a validálási folyamatot.
SSL inspection esetén az összes lecserélt certificate-t is tárolnia kell egy publikus adatbázisban?
- A hozzászóláshoz be kell jelentkezni
> A log-ot ugyanaz a szolgáltató tartja karban, aki a certificate-et kiállította, én ettől nem érzem megbízhatóbbnak a validálási folyamatot.
Nem. Az adatbázis egy nagy közös blockchain. Szóval append only, és (elméletileg) nem dedikáltan üzemel.
> SSL inspection esetén az összes lecserélt certificate-t is tárolnia kell egy publikus adatbázisban?
Ez nyilván a guglitól/mozzilától/egyéb böngészőtől függ, de jelenleg ha a CA publicly trusted (vagyis a vendor magától szállítja, hogy te ebben bízol), akkor kell(ene) neki, ha locally-trusted (vagy te, vagy a rendszergazdád tette be kicsi kezével), akkor nem. Szóval most még az van, hogy a szokásos enterprise bontás menni fog publikálás nélkül, mert ahhoz van egy céges trusted CA, állambácsinak viszont be kellene küldeni.
(Persze a teljességhez hozzátartozik, hogy ameddig nem terjed el rendesen az encrypted SNI, addig bontás nélkül szűrni tud domain alapon)
- A hozzászóláshoz be kell jelentkezni
Ha össze kellene foglalnom az első gyorskeresés eredményét, azt mondanám, hogy 'Sajnáljuk, de az internet a Google magánterülete, örülj, hogy egyáltalán bejöhetsz. Most még.'
- A hozzászóláshoz be kell jelentkezni
Mennek azok:
curl -s "https://ct.googleapis.com/logs/xenon2021/ct/v1/get-entries?start=0&end=1"
Amúgy nem lehet, hogy az a baj, hogy a 2020-as certes a 2021-es logba küldték?
- A hozzászóláshoz be kell jelentkezni
Ezeket a tanusitvanyokat NISZ Root certtel irtak ala, amit innen lehet letolteni, ez a magyar allami tanusitvany szolgaltato:
https://hiteles.gov.hu/cikk/22/szolgaltatoi_tanusitvanyok
A dolog pikanteriaja, hogy a magyar allami tanusitvany szolgaltato weboldala NetLock altal kiadott tanusitvanyt hasznal, mert ugye kulonben ugyanarra a sorsra jut, mint a fenti oldal.
Eleinte sajat tanusitvanyt hasznalt, akkor a bongeszom kozolte, hogy a https://hiteles.gov.hu nem hiteles :)
Szoval van egy allami tanusitvanykiadonk, amit kb semmilyen bongeszo nem fogad el, ezert a sajat weboldalat kulso "mockosz kapitalista" ceg altal kiadott tanusitvannyal szolgalja ki.
- A hozzászóláshoz be kell jelentkezni
A NetLock is úgy indult, hogy nem volt benne a böngészőkben (sem), meg mondjuk az akkor még talán nem is T, hanem W900 wap gateway is prüszkölt amiatt, hogy a wap-szolgáltatásunk alá anno NetLock-os certet raktunk - de csak kikalapálták működőre a túloldalon...
Egyébként meg - ha belegondolsz - korrekt, hogy egy megbízható(nak tekintett) 3. fél CA-ja hitelesíti a letöltési site-ot, nem pedig saját maguk mondják magukról azt, hogy "bízz bennünk, itt a ca certje, töltsd le - megbízható, hiszen ezt az oldalt is ezzel írtuk alá" :-)
- A hozzászóláshoz be kell jelentkezni
És akkor honnan tudod, hogy a hiteles.gov.hu-n tényleg azok a tanúsítványok vannak fent, amik szükségesek a KEAESZ szolgáltatáshoz? Ezek szerint ehhez meg kell bízni a Netlock-ban. De akkor már nem lett volna egyszerűbb ha a Netlock hitelesíti a KEAESZ oldalát?
A másik , amit még mindig nem értek, hogy az AVDH, amivel aláírni lehet, az meg ugye gond nélkül megy mindenféle cert telepítés nélkül. Ez a KEAESZ meg csak ellenőriz, aláírni nem lehet vele. Akkor minek bonyolítják a dolgot, miért nem mehet ugyanúgy a KEAESZ, mint az AVDH?
A végén csak az jön ki, hogy van a KEAESZ, amit az átlagpolgár nem tud használni, akkor minek fejlesztették le?
Továbbá megjegyezném, hogy a témában kikértem a hivatalos ügyfélszolgálat véleményét, és egy szóval sem említették, hogy töltsek le bizonyos tanúsítványt a hiteles.gov.hu-ról, és azt telepítsem. Tehát még az ügyfélszolgálat felkeresése után sem világosodik meg az ember, hogy hogyan is kell használni ezt a csoda KEAESZ-t.
- A hozzászóláshoz be kell jelentkezni
Ilyen üfsz-on sokeves tapasztalat alapján fogalmatlanok ülnek. Vmi releváns embert kellene talalni abban a szervezetben, es tőle megkérdezni.
- A hozzászóláshoz be kell jelentkezni
"De akkor már nem lett volna egyszerűbb ha a Netlock hitelesíti a KEAESZ oldalát?" - Magáncég ne hitelesítse az államot.
- A hozzászóláshoz be kell jelentkezni
OT
Igazad van, bőven elég, ha egy magáncég (*) csak hitelteleníti az államot.
(*) olyanokra gondolok, mint amelyik csak a szádban olvad, nem a kezedben
/OT
- A hozzászóláshoz be kell jelentkezni
Egyébként meg nem a Microsec az udvari szállító? A múltkor például kitalálták, hogy 'adj uram isten, de rögtön át kell állni RSA-ról ECC-re, mert az ETSI ez írta elő', amikor pedig rákérdezett valaki, hogy az ETSI tulajdonképpen nem írta elő ezt, akkor az volt a válasz, hogy 'de a Microsec is áttér ECC-re'.
Szerk: most hogy ezt leírtam, gyorsan szétnéztem, és láttam, hogy újra nekifutnak: https://hiteles.gov.hu/cikk/96/ECC%20alap%C3%BA%20teszt%20tan%C3%BAs%C3…
(Ez volt a korábbi 2018 novemberben: https://hiteles.gov.hu/cikk/73/V%C3%A1ltoz%C3%A1sok%20a%20szolg%C3%A1lt… )
- A hozzászóláshoz be kell jelentkezni
Szövegnek jó, de adódik a kérdés: miért ne? Fennkölt elvek miatt?
Mellesleg a gov.hu oldalakat magáncég hitelesíti, az usa.gov oldalt szintén. Vagyis ez esetben is magáncég hitelesíti az államot.
- A hozzászóláshoz be kell jelentkezni
Az okmányok/okiratok hitelesítését viszont nem.
"Fennkölt elvek miatt? " - például azért, hogy ne fordulhasson elő az, hogy a magáncég besomja CRL-re az állami okmányaláíró weboldal certjét...
- A hozzászóláshoz be kell jelentkezni
Az okmányok/okiratok hitelesítését viszont nem.
Erről valami információ?
"Fennkölt elvek miatt? " - például azért, hogy ne fordulhasson elő az, hogy a magáncég besomja CRL-re az állami okmányaláíró weboldal certjét...
Előfordult már ilyen? Mi a feltétele annak, hogy valakit CRL-re tegyenek? Ha valakit CRL-re tesznek indokolatlanul, annak mi a következménye a cég felé, aki CRL-re tett valakit tévesen?
- A hozzászóláshoz be kell jelentkezni