Skip to content

Instantly share code, notes, and snippets.

@spaze
Last active Mar 15, 2018
Embed
What would you like to do?
Otevřená odpověd ssls.cz na e-mail s předmětem "Upozornění: Zabezpečení domény"

Provozovatelé ssls.cz poslali e-mail zákazníkům, kteří od nich dříve kupovali certifikáty, ale přešli na certifikáty od Let's Encrypt. Ukázku toho e-mailu najdete na https://twitter.com/parisek/status/802847950863011840, podobná srovnávací tabulka je i na https://www.ssls.cz/lets-encrypt.html. Napsal jsem ssls.cz otevřenou odpověď, kterou najdete v nezměněné podobě níže. (Opravil jsem jen překlepy a chybějící interpunkční znaménka, díky za jejich nahlášení.)

Dobrý den,

(tuto odpověď píšu jako otevřený dopis, publikoval jsem ji také na https://gist.github.com/spaze/e081b948b8cd7d06dddbe9e6fa65c5ac)

díky za e-mail, jsem Vaším bývalým zákazníkem a podobným textem, který obsahuje zavádějící i nepravdivé informace, si mě nezískáte zpět. Pro mě osobně je rovněž alarmující Váš přístup k zabezpečení webu, kdy ani část chyb, o kterých jsem Vás informoval na podzim roku 2015, nejsou opravené. Jde například o chybu, která se projeví na https://www.ssls.cz/ssltest/www.michalspacek.cz (mimochodem, SSL Tester nesprávně detekuje chybějící HSTS na mém webu). Aktualizace 2018-03-15, chyba byla již opravena, ale objevila se o kousek níž, ukázka na https://www.ssls.cz/ssltest/foo.veradesign.cz

K e-mailu samotnému mám několik otázek a několik připomínek:

Píšete že Let's Encrypt má diskutabilní podporu v prohlížečích, můžete to prosím upřesnit?

Píšete, že v souvislosti s použitím certifikátů Let's Encrypt pro je hrozba pro běžného uživatele velmi aktuální téma. Jakým způsobem je aktuální a o jakou hrozbu jde? Dovolil bych si připomenout, že certifikáty se pro podvodné weby používají nezávisle na Let's Encrypt, například Vámi propagované Comodo před nějakou dobou vystavilo certifikát pro podvodný web halifaxonline-uk.com, viz http://www.infoworld.com/article/2992605/security/phishing-sites-exploit-trust-in-valid-ssl-certificates.html

Dále píšete, že v zákulisí se navíc pomalu začínají objevovat hlasy volající po nedůvěřování certifikátům Let's encrypt. V jakém zákulisí? Máte prosím odkaz na relevantní diskuzi?

Dále mám připomínky ke srovnávací tabulce v e-mailu a rozšířené tabulce na https://www.ssls.cz/lets-encrypt.html, v obou případech uvádíte některé mylné informace:

Let's Encrypt podporuje:

Prosím, upravte zmiňovanou tabulku a neposílejte zákazníkům další podobné e-maily, háže to na Vaše služby spíše špatné světlo.

Předem díky za odpovědi na mé otázky, hezký den, a jen pro úplnost, certifikáty od Let's Encrypt hodlám používat i nadále.

Michal Špaček

@spaze
Copy link
Author

spaze commented Dec 1, 2016

@xnekv03 Ne, to bych minimálně tady zmínil, případně přetiskl, pokud by to dovolili. Všechno, co jsem napsal výše, zůstává bez odezvy.

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment