Diit.cz - Novinky a informace o hardware, software a internetu

Diskuse k Chrome označí HTTP stránky s kolonkami pro hesla či kreditky jako nebezpečné

Chrome bude označovat HTTP stránky jako nezabezpečené a to je také korektní chování. Současný stav, kdy není zcela nezabezpečené HTTP nijak označováno, ale při jakékoli chybě HTTPS browser řve, to je prostě na palici.
Ještě zbývá vymýtit v browserech některé nešvary, jako například přesměrování kvůli captive portálům.

HTTP je jeden z posledních široce používaných zcela nezabezpečených síťových protokolů a evidentně to nikoho moc nevzrušuje, přestože rizika nejsou úplně bezvýznamná. U webů, kde se uživatel přihlašuje, by mělo být HTTPS zcela dez diskuze a ze zřejmých důvodů všude na takovém webu a ne jenom u login formuláře.
HTTPS by ale mělo být úplně všude, i na webech, které neobsahují žádné citlivé informace a kde není utajení. HTTPS kromě utajení přenášených informací zaručuje i integritu přenáśeného obsahu a autentizaci serveru, se kterým komunikujete. Nasazením HTTPS se dá zabránit šmírování, injektování pro uživatele škodlivého obsahu (malware, reklamy, šmírovací, cookies...). Ti, kdo myslí, že injektování nežádoucího obsahu do HTTP je spíše teoretická a málo rozšířená hrozba, se mýlí. Masivně se to děje na různých free WiFi hotspotech, kdy je do stránek přidávána reklama. Americký Verizon a dva největší čínští ISP také do HTTP přidávají reklamu.
Proto by HTTPS mělo být všude, nehledě na mylné představy místního neználka PPK.

Nasazení HTTPS není nic složitého. Certifikát lze získat i zadarmo, konfigurace webserveru je jednoduchá a pak už jen stačí upravit samotné stránky, což také není problém.
HTTPS má pouze minimální overhead (podle statistik Googlu cca 1%).

Je ostuda, že DIIT ještě HTTPS nemá.

tl;dr: HTTPS by mělo být úplně na všech stránkách.

+1
-2
-1
Je komentář přínosný?

https vsude je nesmysl. Jen magori jako jako jsem Zpet maji mylne predstavy ze to necemu pomuze. Napriklad jeho uzasny priklad, ze to zabrani cinanum vkladat do stranek malware. Cinani ale nejsou zadny becka a poridili si certifikacni autoritu WoSign pomoci ktery si vydaji certifikat pro jakoukoliv adresu a nikdo jim v tom nezabrani. Prestoze uz tahle certifikacni autorita ma nekolik prusvihu na krku, tak vyvojari prohlizecu jen kecaj a nic proti tomu nedelaj.

+1
+2
-1
Je komentář přínosný?

Presne tak.

1) nezabezpecene != nebezpecne. Je spousta stranek ktere zabezpeceni nepotrebuji, protoze jsou read-only

2) cela bezpecnost HTTPS stoji a pada na CA, teda spis posledni dobou pada ;)

3) kdyz bude browser rvat na kazdou HTTP stranku na firemnim intranetu, tak ten browser asi lide poslou vcelku rychle tam, kde slunicko nesviti. Pripadne si nainstaluji nejakou extension, ktera celou bezpecnost zhorsi vic nez byla predtim ;)

+1
+3
-1
Je komentář přínosný?

@franzzz

1) Můžeš slovíčkařit, jak chceš, ale HTTPS všude je nutnost.

2) viz výše - Taky si nebudeš zamykat auto jenom proto, že existují lidé, co ho odemknou i bez klíče. HTTPS prokazatelně brání vkládání reklamy do stránek, jak se to děje na některých free WiFi hotspotech.
Pokud nedůvěřuješ CA, tak ti nic nebrání používat doplňky certificate patrol a certificate transparency databázi.

3) Předpokládám, že na uzavřené firemní síti používáš telnet, protože SSH je přece zbytečné.

Aktuální otázka je - proč HTTPS nenasadit?

+1
-3
-1
Je komentář přínosný?

Říká kdo, ty? Google??

Už staří Římané říkávali "Kdo hlídá hlídače?". Jinými slovy, certifikační autority se svými servery někde v řiti v zahraničí tak budou mít dokonalý přehled, kdo kde surfuje, i možnost návštěvníkovi neověřit certifikát a tak mu znemožnit návštěvu webu = cenzura a likvidace nepohodlných webů - to je sakra hodně špatně!

A nezkoušej na mě trapnou policejní logiku, že kdo nic nedělá, tak se nemá čeho bát. V dnešní době se bojí nejvíc právě ti, kdo nic nedělají - bojí se, kdo co kde na ně zas vymyslí za další sviňárnu nebo udělí další povinnost, aniž by byla kompenzována nějakými právy.

+1
0
-1
Je komentář přínosný?

@PPK

Zajímavý názor... To je jako říkat, že si nezamykáš auto, protože je pár lidí, co si umí odemknout i bez klíče.
WoSign je soukromá firma a nemá majetkově nic společného s čínskými ISP. Průšvihy měla kvůli vlastnímu diletantství ne kvůli zlému úmyslu. A taky se velice rychle přišlo na to, že WoSign porušila pravidla. Takže tady má tvoje teorie další váźnou díru. Kromě toho, WoSign začal dávat všechny certifikáty, které vydá do Certificate Transparency, takže zase by se rychle přišlo na problémy. Nepopírám, źe by měl WoSign být vyřezen z trusted store, ale takový krok, nelze uspěchat, protože to pro autoritu znamená de facto konec. A adminům je potřeba dát čas na přechod k jiné CA.

Proti šmejdovi na free WiFi nebo proti tvému providerovi je pořád HTTPS nepřekonatelná zbraň.
Proti reklamám injektovaných Verizoneme a čínskými ISP HTTPS prokazatelně pomohlo!

Ale jo, jasně, chápu. Auto si taky nezamykáš, protože tam nevozíš nic ceného a zloději nejsou žádná béčka a stejně by ho odemkli.

Jenom mě udivuje, že se k tématu bezpečnosti vyjadřuje i člověk, který si neumí zabezpečit svůj vlastní web petr.kozelka.net.

+1
-1
-1
Je komentář přínosný?

Vydani certifikatu se slabym hash algoritmem co meli umyslne posunuty datum vydani do minulosti, aby pro ne aplikovali prohlizece vyjimku, neni umysl ? Mas zajimavy meritka... Ale to je presne ono. Moulove co tomu nerozumi rvou, jak je nutny to nasadit. A opakovany problemy, diky kterejm to neni bezpecny jak tvrdej, tak bagatelizujou. Co se tyce tebou furt omylanymu webu... trolliku ses celou dobu na spatnym miste :-D

+1
+2
-1
Je komentář přínosný?

@PPK

Certifikáty měli. Prohlížeče aplikovali. Ten češtin!

No já teda nevím, ale ihned se na to díky certificate transparency přislo. Je to problém, ale není to důvod pro zatracování PKI modelu.
Pořád nechápu tvoji logiku. Zatracuješ HTTPS, protože v jistém specifickém případě může poměrně úzký okruh lidí něco zneužít a místo toho říkáš, že je v pořádku používat HTTP, kde může škodit skoro každý.

Asi žádná technologie nezaručuje 100% bezpečí, ale HTTPS to bezpečí alespoň zvyšuje.

Dávej si pozor, o kom mluvíš:
Ondřej Surý z CZ.NIC a Ondřej Caletka z CESNET se aktivně doporučují HTTPS pro všechny weby. Velkým propagátorem HTTPS je i Bruce Schneier, ale to je asi taky jen moula.HTTPS naprosto všude doporučuje Google. Je doporučován i W3C. A je doporučováno spoustou dalších.

No nevím, ale všechny tyto organizace a všichni tito lidé toho dokázali mnohem víc než ty toho kdy dokážeš. Ty jsi jen ubohá nula a tvoje ubohé názory nikoho nezajímají. IT svět se naštěstí bude řídit doporučením kompetentních lidí.

+1
0
-1
Je komentář přínosný?

IT svet ve smyslu odborniku se mozna bude ridit doporucenim kompetentnich lidi, ale normalni svet dal pujde cestou nejmensiho odporu. Takze dokud https nebude mit konkretni prinosy pro provozovatele webu, nebo ho k nasazeni nedonuti nejakej prusvih, pojede vetsina webu vesele na http bez s.

Lidem se proste nechce delat praci navic a to nasazeni https je, i kdyz uz se to ted vyrazne zlepsilo. Driv bylo treba za certifikaty platit a to se nikomu nechtelo. Pak sice byl StartCom zdarma, ale posilat nekomu do pryc fotky svych dokladu? Hmmm, ne. Teprve Let's Encrypt to dotahl do stavu, kdy jsou certifikaty snadno dostupny opravdu pro kazdyho, kdo o ne ma zajem. A vysledek? Stejne to lidem furt prijde pracny, slozity nebo nevim jaky a nechcou se s tim otravovat...

+1
+2
-1
Je komentář přínosný?

Let's Encrypt to dotahl do stavu, kdy certifikat muze snadno ziskat kazdy... a to i pro domenu, ktera mu vubec nepatri. Cimz se z bezpecnosti https stal docela dobry vtip :)

+1
0
-1
Je komentář přínosný?

@PPK
Tak jasně, že mu doména nemusí patřit, ale musí být pověřený správou domény od jejího vlastníka, jinak certifikát nezíská. Neoprávněná osoba nemá šanci certifikát získat.
Jinak způsob ověření, který používá LE není žádná novinka. DV nejčastější způsob ověření, akorát že LE používá standardizovaný protokol pro ověřování.

+1
0
-1
Je komentář přínosný?

Klid ... az stranky na http zmizi z google, tak budou vsichni na https hned dalsi den.

+1
-2
-1
Je komentář přínosný?

Ty nechapes moji logiku. Ja zas nechapu logiku vas https blaznu a jeji obhajovani tim, ze v jistych specifickych pripadech poskytovatel pripojeni zneuzil svoje moznosti k vlozeni nejakeho bonusu. Stejne jim v nicem nezabranite. Ale vsichni to odnesou zbytecnych zvysenim naroku na hw i linku.

+1
-1
-1
Je komentář přínosný?

@PPK
Logiku vás bláznů (= lidé, kteří definovali standard pro web, společnosti s mnohamiliardovým obratem, významné osobnosti, významné osobnosti...).

"ze v jistych specifickych pripadech poskytovatel pripojeni zneuzil svoje moznosti k vlozeni nejakeho bonusu."
Ty případy zase nejsou tak specifické, pro některé ISP to je denní rutina. No a pro infikaci tvého počítače stačí právě jeden takový specifický případ.

"Stejne jim v nicem nezabranite."
Mýlíš se, HTTPS prokazatelně zabránilo vkládání reklam do webů ve 100% případů (Verizon, čínští ISP, free WiFi), kdy se klient připojil přes HTTPS.

"Ale vsichni to odnesou zbytecnych zvysenim naroku na hw i linku."
To je hrůza, ustanovení HTTPS spojení má zvýšené nároky na linku o celých 8 kB, což se na průměrně rychlé lince přenese za několik málo milisekund. Rozdíly v rychlosti nacítání stránek jsou minimální, jak už jsi viděl v článku, který jsem ti minule odkazoval.
Ustanovení HTTPS spojení je nejkritičtější fáze, protože se v něm používá spousta asymetrické crypto. Pak se už ale používá jen a pouze symetrické šifrování. AES na strojích s instrukční sadou AES-NI dává několik GB/s a bez ní několik stovek MB/s, takže tady už skutečně rozdíl není.

Že jsem tak smělý, koulikrát jsi už nasazoval HTTPS?

+1
0
-1
Je komentář přínosný?

k tomu nezamykání auta:
jeden známý opravdu to auto nezamyká a budete se divit, dokonce to dává smysl!!!

Už 4x mu to auto někdo vykradl a pokaždé to zloděj vyřešil tak, že mu rozbil boční sklo. Sice zloděj nic neukradl (v autě prakticky nic neměl), ale škoda na bočním okně je na několik tisíc.
Jednou prostě známý přestal zamykat auto a je po problému. Zloděj přijde, prostě si otevře dveře a podívá se "tady nic neukradnu, protože v tom autě nic není" a jde dál. Žádná škoda.

+1
0
-1
Je komentář přínosný?

No a jednou mu to auto nekdo ukradne a bude taky po problemu. I kdyz jestli je to trabant tak mozna nikdo nema zajem.

+1
0
-1
Je komentář přínosný?

To jste opravdu tak hloupý a nebo jenom trollíte??

Jestli vám někdo bude chtít ukrást auto, tak zamknuté dveře jsou ta nejmenší překážka...

+1
0
-1
Je komentář přínosný?

docela by mě zajímalo jak se Chrome postaví k intranetu, ve firemní síti se nikdo nebude snažit odposlouchávat hesla nebo injektovat do interních aplikací (správci sítě to je jedno a programátor dané aplikace má jiné možnosti), navíc při cenách Wildcard certifikátu (3 až 100 tis.) je pro majitele malého podniku, a tipuju i středního, investice navíc

+1
-1
-1
Je komentář přínosný?

@Asuan Nosferatu

Ve firemních sítích se většinou používají globálně nepřeložitelná doménová jména (např. ta s TLD .local) a pro to vám žádná CA certifikát nevystaví. Pokud jsou použita globálně přeložitelná doménová jména (např. ta s TLD .cz, .com, .net) a máte dané domény skutečně zaregistrované, je možné získat certifikát zdarma, třeba od Let's Encrypt, které se bude po vhodné konfiguraci samo starat o obnovu certifikátu po expiraci.

Nejjednodušší pro firmu je používat vlastní interní CA. U firemních počítačů není problém dodat vlastní kořenový certifikát takové CA do všech počítačů.

I v intranetu je vhodné používat HTTPS, protože existují rizika, kdy se může dostat někdo jiný k datům přenášeným přes HTTP (MAC flooding, APR cache poisoning...). Rizika vždy existují, ale HTTPS riziko sníží.

Nasazení HTTPS je snadné a není náročnější na HW prostředky než HTTP (podle statistik Googlu je overhead HTTPS pouze o 1% vyšší).

+1
-1
-1
Je komentář přínosný?

Ve firme je to jasne, da se firemni CA do certifikatu. Ale jak je to s verejnym webem? Co vim, tak je potreba fyzicky (asi bude stacit kreditka a tak) overit identitu atd a pak vam za nemale penize daji webovy certifikat. Fakt se to jako zmenilo a nekdo to vydava zadarmo? To by samozrejme bylo super. Je to i pro komercni pouziti? Jake jsou pravidla? Nema to nejake omezeni na technologie?
Vim, ze bylo to nejak, ze za xxx penez to melo https certifikat a za xxxx penez to ukazalo zeleny banner u adresy a tak. Kdyby byl svet v poradku, tak ma CR vlastni CA (coz ma) a pres datovou schranku me identifikuji a poslou certifikat zdarma ..... jenomze u nas se plati i jen za takovou kokotinu jako je "uznavany" elektronicky podpis nekolik tisic rocne.
Jinak by se urcite hodil navod ve stylu stareho dobreho CDR (utopie co?:), kde by si jednak HTTPS na strankach zapli sami a jednak by udelali step by step navod pro par nejrozsirenejsich webovych serveru a jak ziskat certifikat zdarma. Ale asi je to utopisticka myslenka;)

+1
-2
-1
Je komentář přínosný?

@BTJ
Už dlouhou dobu vydává certifikáty (nyní ne Příliš důvěryhodný StartSSL patřící pod StartCom), dříve pro vše, pak jen pro nekomerční použití a pouze na nahou doménu a na subdoménu www. Ověření je DV, tedy že žadatel může manipulovat s DNS a nebo vystavit určitý soubor na webu (možná šlo validovat i přes hostmaster mailovou adresu, ale tím si nejsem jistý). Podávala se CSR a pak byl vydán certifikát na 1 nebo 2 roky.

Od začátku roku funguje Let's Encrypt, který dává SAN certifikáty pro komerční i nekomerční použití.
Validace je DV, tedy ověření, že žadatel o certifikát prokáže, že může manipulovat s DNS a nebo vystavit určitý soubor na webserveru. LE je navržené tak, aby šlo vše dělat skriptem. Platnost je 90 dní, ale validaci řeší automaticky skript. Reálně to tedy vypadá, že žadatel si vygeneruje žádost a potom se už o nic nestará. Obnovování certifikátu a reloady webserveru se dělají automaticky.

Po LE přišly i další autority s něčím podobným, třeba Zoner se Symantecem.

Pokud někdo potřebuje vyšší stupeň validace (OV, EV) musí samozřejmě platit. Ale obyčejné DV certifikáty, kde validaci provádí automat jde získat zdarma, je nesmysl za to platit.

Cetifikát se "zeleným adresním řádkem" se jmenuje EV. OV a EV cetifikáty jsou drahé, protože je nutné, aby tě ověřil člověk.
Není důvod, ab měla ČR vlastní státní CA. Navíc pleteš osobní certifikáty a serverové certifikáty. No a kvalifikovaný certifikát (pro zaručený elektronický podpis) nestojí několik tisíc ročně, ale pár stovek ročně.

Návody, jak nasadit HTTPS jsou a je jich plno, jen musí člověk hledat na kvalitních serverech. Třeba jeden český web, co má v názvu označení unixového administrátora se Let's Encryptem zabývá dost.

+1
+1
-1
Je komentář přínosný?

Aha, takze ty DV jsou vlastne jenom proto, aby nervaly browsery a byla jakas takas jistota, ze jsi na spravnem serveru (cili domene, co jsi vepsal do adresniho radku). Tak to dava smysl, ze aspon tohle je zadarmo. Ikdyz bych si predstavoval nejaky dozivotni nebo aspon na 10 let, aby se to nemuselo kdesi furt obnovovat s tim, ze kdyby majitel domenu prodal, tak zazada o revokaci.
Tak vim, ze osobni certifikaty jsou neco jineho, nicmene princip je stejny a sice, ze je presne urceny clovek, kdo je na druhe strane. Ale to je na delsi debatu. Proste bych cekal, ze kdyz uz me overili na poste v checkpointu a muzu se vsema uradama komunikovat overene pomoci datkove schranky, tak ze by stejnym zpusobem mohli vygenerovat osobni certifikat pro pouziti na podepisovani uplne vseho od dopisu, SSL az treba po code signing ..... ale co cekat od ceske posty, kdyz si berou takove prachy za provoz datovych stranek, ktere kazdou chvili prochazeji nekolikadenni udrzbou a dokazou udrzet datovou zpravu jen asi 3 mesice, pripadne si zaplatit naprosto bestialne uhozenou castku za datovy trezor pro par zprav ..... takze pak stoji tisice (nebo jak rikas stovky, mam pocit, ze to kdysi stalo 2k) blby certifikat, ktery je nestoji ani halir.
Cely ten business s domenama a certifikatama je proste ujety. Chapu, ze si firmy berou nejake penize za to, ze me fyzicky overi, ale pak ty ceny za udrzovani jsou vyslovene tristni zlodejina. Pritom by stacilo cloveka jednou overit a certifikat by fungoval na uplne vsechno. Dneska kdybys chtel podepsat ovladac, tak se proste nedoplatis a potrebujes dalsi extra certifikat atd atd atd .... to je IMHO strasne spatne.

Kazdopadne dik za info

+1
+2
-1
Je komentář přínosný?

Je to přesně, jak říkáš. DV certifikáty ti zaručují pouze to, že komunikuješ se serverem na určité doméně. O tom, kdo tu doménu vlastní certifikát neříká nic. Ověření dělá automat a proto je také nesmysl za DV certifikáty platit stovky a nebo v případě wildcard i tisíce ročně.

Existuje i alternativa ke standardnímu modelu CA a tou je protokol DANE. Sám si vydáš certifikát a jeho otisk vložíš do DNS. Je k tomu nutný DNSSEC a bohužel je ho nutné validovat přímo na klientském zařízení. V browserech zatím podpora není, jen skrze doplňky, ale na mailserverech se s úspěchem DANE používá.

Certifikáty na 10 let jsou potencionální bezpečnostní problém. Za 10 let klidně může někdo lousknout SHA256 a takové certifikáty by byly nebezpečné. A také nikdo nemůže garantovat, jak to bude s držitelem domény. Co když ji majitel nechá expirovat, koupí si ji někdo jiný a původní majitel pak může dělat s validním certifikátem MITM.

Používat jeden certifikát na více věcí je bezpečnostní riziko (z kryptografického i technického hlediska). Zvlášť pokud se jeden klíč používá současně na autentizaci a na podepisování. Proto třeba takové PGP má v jednom certifikátu 3 různé klíče (podpis, autentizace, šifrování/dešifrování souborů).
Pro některé certifikáty je navíc žádoucí bezpečné uložení, tzn. v HW tokenu. A asi není úplně dobré používat kvalifikovaný certifikát současně k podepisování a současně ho mít na webserveru.

No a code signing certifikát? Dají se koupit od $ 10 na rok.

Souhlasím, že datové schránky od ČP jsou průser. Daleko lepší model mají v Německu, ale holt se potřebovala najít nějaká činnost pro ČP, aby se ospravedlnile její existence.
A na archivování datové schránky můžeš použít třeba software od CZ.NIC a nemusíš platit za datový trezor.

Ceny OV a EV certifikátu jsou adekvátní. Nejde jen o ověření. Autority vydávají nemalé peníze za bezpečnost. OV a EV se až na výjimky dávají pouze a jenom firmám a organizacím. Pro prosperující firmu není problém zaplatit si OV nebo EV certifikát.

+1
+1
-1
Je komentář přínosný?

Existuje ještě více důvodů proč používat HTTPS i na webech, které zdánlivě neobsahují "citlivá data" (Ale i to je při pokročilém data miningu zpravidla omyl. Citlivá data jde najít i na velmi nečekaných místech).

Jedním z důvodů je nepřímé zvýšení ochrany těch ostatních webů, které citlivá data obsahují. Už pouze plošným používáním HTTPS se sníží efektivita vytěžování citlivých dat prolamováním šifrování u dat skutečně citlivých. Protože přibude spousta balastu i v rámci HTTPS komunikace a prolamování šifrování již nebude ekonomicky výhodné jako donedávna... Kdy dávalo větší ekonomický smysl rozbíjet šifry k citlivým datům, než plošně analyzovat nezabezpečené data (Rozbíjení HTTPS byla prakticky sázka na jistotu, že tam citlivá data jsou).

To že HTTPS je zcela bezpečné, na to zapomeňte. Jen je to prolamování drahé. Ale o peníze v tomto jde až na prvním místě.

+1
+5
-1
Je komentář přínosný?

Kdy bude HTTPS na DIIT a CDR?

+1
0
-1
Je komentář přínosný?

hezký článek... a připojím se tady k obecnému názoru:
na DIIT/CDR se uživatelé přihlašují, tak kdy už konečně přidáte HTTPS pro zabezpečení??

+1
0
-1
Je komentář přínosný?

Meli by si poridit let's encrypt certifikat a vydat clanek ukazujici, jak i naprosty amater jako oni muze snadno a rychle zabezpecit server.

... az na to, ze by si asi pak chudaci museli koupit vic IP adres, uz by nemohli mit vsechny domeny na 178.238.38.116 ...

+1
0
-1
Je komentář přínosný?

Co je SNI asi netušíš, že ne?

+1
0
-1
Je komentář přínosný?

PS: Navíc LE umí i SAN certifikáty.

+1
0
-1
Je komentář přínosný?

U SNI neni dulezite jestli o tom vim ja ale jestli o tom vi client a server. (Ale jo, od te doby co jsem na to koukal naposledy se podpora zlepsila. Pomaha, ze XP uz nejsou relevantni.)

SAN .... hmmm, mel jsem nejak zafixovano, ze je to dobre jen na pomerne maly pocet domen, ale to mozna bylo jen u komercnich poskytovatelu. Podle vyhledavani na webu je teoreticky unlimited a v praxi by nemel byt problem treba se stovkou, takze to by asi bylo rozumne reseni ...

Alespon by meli v tom clanku o cem psat :-)

+1
0
-1
Je komentář přínosný?

Pro psaní komentářů se, prosím, přihlaste nebo registrujte.