Skip to content

Instantly share code, notes, and snippets.

@spaze

spaze/ssls-letsencrypt.md

Last active Mar 15, 2018
Embed
What would you like to do?
Otevřená odpověd ssls.cz na e-mail s předmětem "Upozornění: Zabezpečení domény"

Provozovatelé ssls.cz poslali e-mail zákazníkům, kteří od nich dříve kupovali certifikáty, ale přešli na certifikáty od Let's Encrypt. Ukázku toho e-mailu najdete na https://twitter.com/parisek/status/802847950863011840, podobná srovnávací tabulka je i na https://www.ssls.cz/lets-encrypt.html. Napsal jsem ssls.cz otevřenou odpověď, kterou najdete v nezměněné podobě níže. (Opravil jsem jen překlepy a chybějící interpunkční znaménka, díky za jejich nahlášení.)

Dobrý den,

(tuto odpověď píšu jako otevřený dopis, publikoval jsem ji také na https://gist.github.com/spaze/e081b948b8cd7d06dddbe9e6fa65c5ac)

díky za e-mail, jsem Vaším bývalým zákazníkem a podobným textem, který obsahuje zavádějící i nepravdivé informace, si mě nezískáte zpět. Pro mě osobně je rovněž alarmující Váš přístup k zabezpečení webu, kdy ani část chyb, o kterých jsem Vás informoval na podzim roku 2015, nejsou opravené. Jde například o chybu, která se projeví na https://www.ssls.cz/ssltest/www.michalspacek.cz (mimochodem, SSL Tester nesprávně detekuje chybějící HSTS na mém webu). Aktualizace 2018-03-15, chyba byla již opravena, ale objevila se o kousek níž, ukázka na https://www.ssls.cz/ssltest/foo.veradesign.cz

K e-mailu samotnému mám několik otázek a několik připomínek:

Píšete že Let's Encrypt má diskutabilní podporu v prohlížečích, můžete to prosím upřesnit?

Píšete, že v souvislosti s použitím certifikátů Let's Encrypt pro je hrozba pro běžného uživatele velmi aktuální téma. Jakým způsobem je aktuální a o jakou hrozbu jde? Dovolil bych si připomenout, že certifikáty se pro podvodné weby používají nezávisle na Let's Encrypt, například Vámi propagované Comodo před nějakou dobou vystavilo certifikát pro podvodný web halifaxonline-uk.com, viz http://www.infoworld.com/article/2992605/security/phishing-sites-exploit-trust-in-valid-ssl-certificates.html

Dále píšete, že v zákulisí se navíc pomalu začínají objevovat hlasy volající po nedůvěřování certifikátům Let's encrypt. V jakém zákulisí? Máte prosím odkaz na relevantní diskuzi?

Dále mám připomínky ke srovnávací tabulce v e-mailu a rozšířené tabulce na https://www.ssls.cz/lets-encrypt.html, v obou případech uvádíte některé mylné informace:

Let's Encrypt podporuje:

Prosím, upravte zmiňovanou tabulku a neposílejte zákazníkům další podobné e-maily, háže to na Vaše služby spíše špatné světlo.

Předem díky za odpovědi na mé otázky, hezký den, a jen pro úplnost, certifikáty od Let's Encrypt hodlám používat i nadále.

Michal Špaček

@michalzobec

This comment has been minimized.

Copy link

@michalzobec michalzobec commented Nov 28, 2016

Dobrý den, díky za tuto zprávu. Měl bych prosbičku/připomínku. Tato věta se mi zdá taková kostrbatá: "Píšete, že v souvislosti s použitím certifikátů Let's Encrypt pro hrozba pro běžného uživatele velmi aktuální téma.", můžete ji prosím přeformulovat do srozumitelnější podoby?
Nesrozumitelnou část jsem označil kurzivou.

Děkuji.

@spaze

This comment has been minimized.

Copy link
Owner Author

@spaze spaze commented Nov 28, 2016

@michalzobec Díky, je tam překlep, mělo být Let's Encrypt je hrozba pro běžného uživatele velmi aktuální téma, chtěl jsem to původně nechat beze změny, ale opravdu to nedává moc smysl.

@vrana

This comment has been minimized.

Copy link

@vrana vrana commented Nov 28, 2016

Pár překlepů:

--- ssls-letsencrypt.md~	2016-11-28 09:33:02.550424075 +0100
+++ ssls-letsencrypt.md	2016-11-28 09:33:17.620876910 +0100
@@ -7,9 +7,9 @@
 https://gist.github.com/spaze/e081b948b8cd7d06dddbe9e6fa65c5ac)
 
 díky za e-mail, jsem Vaším bývalým zákazníkem a podobným textem, který
-obsahuje zavádějící i nepravdivé informace si mě nezískáte zpět. Pro mě
+obsahuje zavádějící i nepravdivé informace, si mě nezískáte zpět. Pro mě
 osobně je rovněž alarmující Váš přístup k zabezpečení webu, kdy ani část
-chyb, o kterých jsem Vás informoval na podzim roku 2015 nejsou opravené. Jde
+chyb, o kterých jsem Vás informoval na podzim roku 2015, nejsou opravené. Jde
 například o chybu, která se projeví na https://www.ssls.cz/ssltest/www.michalspacek.cz
 (mimochodem, SSL Tester nesprávně detekuje chybějící HSTS na mém webu).
 
@@ -37,7 +37,7 @@
 - vystavení certifikátu bez instalace software CA na server https://certbot.eff.org/docs/using.html#manual
 - ECC od února 2016: https://letsencrypt.org/upcoming-features/
 - IDN od října 2016: https://letsencrypt.org/upcoming-features/
-- možnost získat certifikát před spuštěním serveru, např pomocí ověření přes
+- možnost získat certifikát před spuštěním serveru, např. pomocí ověření přes
 DNS https://tools.ietf.org/html/draft-ietf-acme-acme-03#section-7.4
 - neomezený počet vystavených certifikátů, pouze je omezen počet certifikátů
 pro jednu doménu na 20 týdně, ale lze použít SAN, více viz
@spaze

This comment has been minimized.

Copy link
Owner Author

@spaze spaze commented Nov 28, 2016

@vrana Díky!

@xnekv03

This comment has been minimized.

Copy link

@xnekv03 xnekv03 commented Nov 30, 2016

Predpokladam ze na mail doposud neodpovedeli?

@spaze

This comment has been minimized.

Copy link
Owner Author

@spaze spaze commented Dec 1, 2016

@xnekv03 Ne, to bych minimálně tady zmínil, případně přetiskl, pokud by to dovolili. Všechno, co jsem napsal výše, zůstává bez odezvy.

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
You can’t perform that action at this time.