Pod svícnem bývá největší tma

ikonka certifikatu

Zdálo by se, že na akademické půdě a ješte k tomu na vysoké škole bude umět správce serveru správně nastavit a udržovat certifikáty. Opět jsem zjistil, že realita je trošku jinde než bych si přál.

Chápu, že se může stát, že někde vyprší platnost certifikátu, ale čekal bych, že si toho správce po pár dnech všimne a sám to opraví.

Jsem docela zklamaný, že ani po třech emailech adresovaných dvěma různým správcům a víc než půl roku po napsání prvního emailu a skoro měsíc od napsání posledního mailu se nic nezměnilo.

Na poslední z emailů jsem dostal ješte potrvzení o přečtení ale to je asi tak všechno.

chyba certifikatu na https://www.kam.vutbr.cz/

Podobný obrázek si můžete sami vychutnat na adrese https://www.kam.vutbr.cz/ (v době psaní tohoto zápisku do blogu)

Screenshot je udělaný v MSIE 7.0 en.

Minule se mi kolega divil jak můžu používat MSIE, že firefox je mnohem bezpečnější a lepší než nenáviděný produkt microsoftu.

Po porovnání chování obou z výše zmíněných prohlížečů jsem opačného názoru.

Problém s certifikátem v MSIE 7.0 en

Problém s certifikátem ve firefoxu

Na screenshotu z MSIE je jasně na první podled vidět, že je tam nějaký problém s certifikátem. U firefoxu se mi chvilce hledání v dialogu o bezpečnosti zjisit, že je na serveru použitý certifikát s koncem platnosti v roce 2004.

Taky vystraha zobrazena na prvním screenshotu mi příjde neodbytnější než zobrazení několika dialogů, které jsem tak nějak intuitivně odklikl.

Nechci shazovat ničí práci, naopak firefox je v mnoha ohledech opravdu lepší. A to, že jsem byl přistižen při práci s msie je víceméně náhoda. Nicméně si myslím, že by vývojáři firefoxu mohli v tomhle směru ještě zapracovat.

Facebooktwitterredditpinterestlinkedin

24 thoughts on “Pod svícnem bývá největší tma”

  1. Zkuste poslat bugreport do Firefox Bugzilly. Eh, jen tak žertuju, to to rovnou můžete poslat do /dev/null. A to jste si všiml, že ve Firefoxu jste naopak upozorněn na podezřelý certifikát, pokud je vystaven na více než jednu domému a ta, na kterou se právě přihlašujete není na tom správném místě? Rozuměj v určité verzi je to správné místo první a v jiné zase poslední v pořadí domén v certifikátu. Doufám, že v příští verzi to bude třeba pozice, která po přičtení dne od začátku lunárního cyklu je dělitelná třemi a v následující verzi čtyřmi. Fuck off Firefox.

  2. [2] Mne to nehlasi zadny problem. Mozna to bude tim, ze nemas nainstalovany certifikat certifikacni autority "CESNET CA".

  3. …U firefoxu se mi chvilce hledání v dialogu o bezpečnosti zjisit, že je na serveru použitý certifikát s koncem platnosti v roce 2004. …

    U mně se FireFox chová tak, že na zastaralost certifikátu mně upozorní dialogovým oknem ještě dříve, než stránku začne načítat. Intuitivní odklikávání dialogů – to snad ani nebudu komentovat, vždyť se mluví o zabezpečení!

  4. "chyba" je zrejme u teba, asi mas nejake ine ako default nastavenie alebo co.
    Ja pred pripojenim dostanem dialog s varovanim o expirovanom certifikate.

  5. [4] Intuitivni odkliknuti znamena bez cteni, takze vlastne nevim, ze se jedna o bezpecnost. Pokud prohlizec otravuje s varovanim pri kazdem druhem kliknuti, tak to spoustu nejen-bfu-uzivatelu dialog jen tak odklikne.

    Kdyz se bavime o nejake social engineringu, tak tak je imho varianta hlaseni od ms bezpecnejsi.

  6. [5] vsak pisu, ze dialog vyskoci (okonce nekolik), ale kdyz to odklepnu, tak na samotne strance budu tezko dohledavat, ze je neco spatne..

  7. Ten problém s certifikáty je celkem běžný i v poměrně velkých firmách, které se dokonce zabývají IT outsorcingem, takže tohle opravdu neřeším.

  8. mno problem neni ten ze by admini si nevsimli – oni na to proste mrdaji z vysoka a navic vic jak 90% skol jede na self-signed certifikatech takze je ti to stejne putna

  9. Jo koleje a menzy VUT je rektoratni zalezitost, tam umeji pocitac nevyse vypnout. Hur na to je jenom rektoratni Centrum Informacnich Technologii (CIT), ktere sveho casu provozovalo IS sportovnich aktivit ve vyuce a prihlasovani studentu do ni. Pan reditel CIT prohlasoval ze maji 99% dostupnost systemu. Pricemz to 1% tvorilo dny zapisu do sportu coz bylo 2x rocne. Server jim vzdy spadl a nekolik dni byl mrtvola….

  10. To [9]: Přesně tak. Nechápu co má vypršení certifikátu společného s bezpečností, když si ten certifikát stejně podepsala sama škola. Certifikát mi zaručuje, že komunikace, která bdue šifrována se nedostane někam kam nepatří, ale když já komunikuju s tím kdo certifikát podepsal, pak mi může být úplně putna jestli je certifikát starý 10 let.

    To [6]: K intuitivnímu odklikání:to si děláš srandu?

  11. [11] nedelam si vubec srandu, staci se rozhlidnout tady na tu diskusi – ty mi tady navic tvrdis ze kdyz je vyprseny certifikat, ze to je uplne v poradku a ze to neni zadny bezpecnostni problem. Tak mi rekni proc vlastne maji potom certifikaty nejakou dobu platnosti.

    Pri vytvareni certifikatu muzes nastavit dobu vyprseni certifikatu na 25 let a das tim jasne najevo jak se veci maji a uzivatele neotravuje zadne chybove hlaseni.

    To, ze se nejedna o certifikaty podepsane ICA nebo Verisignem to jeste neznamena, ze by byli nejak min bezpecne, ja bych se odvazil trvdit, ze dokonce opacne. Certifikat vygenerovany vlastni CA _MUZE_ byt bezpecnejsi, protoze muzes osobne overit identitu ucastniku komunikace (kdybys byl paranoidni tak si bezproblemu zajdes s flash diskem na rektorat, kdezto asi tezko poletis do ameru aby sis stahl verjny klic verisignu)

  12. [12] jsi mimo, certifikat verisignu mas v kazdem prohlizeci (snad kazdy browser nebo aplikace pouzivajici ssl je distribuovana s kopii nekterych nejdulezitejsich root certifikatu ala verisign,etc.) :-)

    Ze muze byt vlastni CA vic bezpecna je nesmysl – mas sice pravdu, ze muzu opravdu zajit na rektorat pro certifikat, ale to muzes i v pripade, ze bude podepsan nejakou duveryhodnou CA (certifikaty CA se podepisuji taky), takze v tom zadnom vetsi bezpecnost nevidim – naopak, pokud neni privatni CA podepsana nejakou vyssi, znamou CA (jejiz certifikat budes mit uz v pocitaci), prichazis o jednu moznost, jak si jeji identitu overit. Zajit si na rektorat pro kopii certifikatu muzes vzdycky :-)

    Ale co se tyka prosleho certifikatu, tak to samozrejme bezpecnostni chyba je…

  13. https://www.vutbr.cz je v pořádku – certifikát je platný a podepsaný CA CESNET. Jo, https://www.skm.vutbr.cz, to je ostuda.

    Pokud jde o Firefox, tak http://www.vutbr.cz skousl bez debat (CA CESNET mám mezi důvěryhodnými CA), u http://www.skm.vutbr.cz na mě vyhodil okno s poměrně srozumitelnou informací, že certifikát není v pořádku, informace o stáří, pro kontrolu vypsal lokální čas (jestli není chyba v tom) a zeptal se, jestli chci pokračovat. Co je na tom špatně?

  14. Taky jsem měl na serveru dlouhou dobu starý certifikát. Ale s poruchou osobnosti to nesouvisí, spíše s leností.

  15. [13] imho je bezpecnejsi kdyz:
    – muzu si certifikat privatni CA fyzicky overit
    – je certifikat privatni CA podepsany od root CA
    -> a potom mam certifikat webserveru podepsany privatni CA

    nez kdyz je mam primo certifikat webserveru podepsany root ca, kterou si nemuzu fyzicky overit.

    Mozna jsem zapomel uvazit nejake dalsi bezpecnostni riziko (zpusob uchovavani privatnich klicu, atd. atd.), ale kdyz se fakta shrnou takhle, tak mi to az tak nesmyslne neprijde.

    Bohuzel CESNET CA nema takto podpsany certifikat, ale i presto je to _IMHO_ bezpecnejsi ( imho bezpecnost (overeni_fyzicky) > bezpecnost (overeni_proti_root_ca) )

    [14] to ze se zobrazuji dialogy s bezpecnostnim varovanim je v poradku.

    MSIE navic zobrazuje NEUSTALE cervenou ikonku "pozor na tehle strance je bezpecnostni problem!". Tento postup je imho bezpecnejsi nez u konkurenciho firefoxu – nic vic, nic min.

  16. [12] Je jasné, že o určité bezpečností riziko jde, tady jsem asi přestřelil, ale nepřijde mi tak velké. Certifikát je vydáván na omezenou dobu, protože hrozí jeho prolomení (podvržení), které s delší dobou narůstá, ale především asi proto, že daná instituce může přestat být důvěryhodná, nebo může svou doménu někomu prodat, a ty pak předáš heslo (nebo něco jiného důvěryhodného) na server, kam jsi nechtěl (alespoň tak tomu rozumím). Můžete mi však někdo vysvětlit jak může dojít k zneužití v případě uvedené stránky. Já nevím. Přihlašuji se na https://www.kam.vutbr.cz/. Vyskočí na ěm okno s certifikátem (vypršel) nevadí klidně ho použiji. Se serverem si vyměníme klíče a pak už komunikujeme šifrovaně. Kde je to místo, kde mě může někdo napadnout moji komunikaci se serverem? A proč se tak za poslední rok ještě nestalo, když už je ten certifikát nějakou dobu neplatný?

    S tou srandou jem měl na mysli to proklíkání. Jestli máš tak rád bezpečnost, pak nechápu jak můžeš něco intuitivně proklikat, když ti to říká něco o bezpečnosti.

    Chápu, že chceš upozornit na to, že by měl mít Firefox na dialogovém okně červený blikající vykřičník, že certifikát vypršel. Autoři to asi za tak velký problém nepovažují, když ho tam nedali. Znovu se vrátím k tomu, co se může stát. Podle mě ta informace o vypršeném certifikátu říká pouze to, že ten s kým komunikuješ nemusí být tím za koho ho považuješ.

  17. Tak jsem si to zkusil, a autor by se mel naucit cist, neni tam certifikat s koncem platnosti 2004, ale zacatkem platnosti 2004. Konec platnosti je nekdy v 2005. To ze se jedna o neplatny certifikat ktery je mimo dobu platnosti jsem zjistil z okna, ktere na me vyskocilo po kliku na link smerujici na ty stranky.. a jsou tam jen 2 vety, to si snad kazdy precte, hlavne kdyz normalne nic nevyskakuje.

  18. [17]
    > A proč se tak za poslední rok ještě nestalo,

    ja bych s takovou jistotou netvrdil, ze se takove neco nestalo..

    > tou srandou jem měl na mysli to proklíkání

    to si ale taky vubec nedelam srandu. Bezpecnostni dialog se prakticky nelisi od ostatnich dialogu, ktere se bezne odklikavaji (chcete odstranit polozku z oblibenych polozek? stahnout soubor na plochu?)

    Je to stejny pripad jako s blikajicim vykricnikem. Vyvojari firefoxu to zrejme nepovazuji za problem, ktery stoji za to aby mu venovali pozornost. Vyvojari MSIE to povazuji za dulezite a ja to hodnotim jako krok spravnym smerem.

  19. [19]
    Bezpečnosti moc nerozumím, proto nevím co se může stát 1. uživateli, 2. serveru, když bude komunikovat s https://www.kam.vutbr.cz/ a pro základ komunikace použije neplatný certifikát. Můžeš uvést nějaký příklad?

  20. [20] kdyz nejsi schopen overit pravost serveru, tak to znamena, ze nevis jestli komunikujes se serverem s kterym chces komunikovat nebo s jinym. Potom bys nemel vyplnovat zadne formulare (login/heslo, cislo kreditky pro zaplaceni kolejneho (-; )

    Fantazii se meze nekladou, ale vykonstruovavat tady nejake konpiracni teorie nema smysl. Chtel jsem rict jenom tolik, ze na serveru kam je neco spatne nastaveneho, coz je v tomto pripade spis ostuda nez nejaky zavazny prulom bezpecnosti.

  21. [18] to ze jsem napsal 2004 misto 2005 nebyl zamer – proste jsem se prepsal. Vzhledem k tomu, ze ted je r. 2007, tak to neni tak dulezite.

    Uznavam, ze v tom firefoxu je to taky pomerne dobre udelane, ale v msie se mi to proste jevi jako o 1-2 rady lepsi.

  22. [10]
    1] Jen pro presnost, servery koleji a menz nemaji s rektoratem (a CVISem) nic spolecneho, koleje si je spravuji samy.
    2] zapis sportu byl kdysi problematicky (jeden rok se experimentovalo s oracle portalem a ten se vubec neosvedcil), ale to je tri roky zpatky. Posledni tri roky to az na par problemu s odstartovanim (max par minut zpozdeni) jedou zapisy svizne a obslouzi 3500 lidi behem 3-4 minut. Takze pokud mozno, uvadejte prosim uplne informace

    Nikdy nezustal server tuhy vice nez par minut ci hodin pokud slo o ten jeden rok se zapisy (kdy sice fungoval ale obsluhoval pozadavky velmi pomalu)

Comments are closed.