Dnes se v interní konferenci StartSSL WOT notářů objevil zajímavý tip. Na OS WIndows lze donutit Adobe Reader k akceptaci všech Trusted Root CA, které jsou uložené v systému. Jak na to?

Edit, Preferences…, Security, Advanced Preferences…, Windows Integration, zde zaškrtnout první checkbox a pak dle potřeby/úvahy též další dvě. OK, OK a hotovo.

Notářů tohoto programu je v ČR zatím jen 5, z toho většina “služebně” starší než já, takže tento příspěvek asi bude mít velikou čtenost, ale nevadí :) Těší mne fakt, že níže popisované nebrala hlava jenom mně, jelikož jsem popis od obdobného zoufalce našel i v interním mailing listu StartSSL WoT notářů.

Přišla mi e-mailem žádost o ověření. Potvrdil jsem ji na administračních stránkách StartSSL WoT a pak začal přemýšlet, jak vlastně tomu žadateli dám vědět, kdy a kde se potkáme. Ve své žádosti totiž neuvedl telefonický ani e-mailový kontakt. Řešení je tak prosté, že mne nenapadlo. More...

O tom, že se StartSSL WoT pořád vyvíjí, není třeba sáhodlouze diskutovat. Formulace pravidel nejsou zcela přesné, umožňují více výkladů, otevírají dosud nezodpovězené otázky. Dnes jsem v interním mailing listu WoT notářů objevil velmi zajímavou informaci, která v podstatě stírá jedinou nevýhodu StartSSL WoT oproti končící síti Thawte WOT(alespoň já jsem tuto nevýhodu vnímal).

Thawte WOT vyžadoval nasbírání min. 50 bodů od notářů (jeden mohl přidělit až 35 bodů). Podmínky StartSSL WoT oproti tomu byly postaveny (aspoň tak to bylo mnou chápáno) na jednoleté platnosti validace. Ta probíhá tak, že žadatele musí ověřit minimálně dva StartSSL WoT notáři. Při představě, že v ČR je v současné době 5 notářů a každý rok se budou hlásit opakovaně žadatelé o ověření, se mi udělalo krapet mdlo. Jeden z hlavních tvůrců StartSSL však v mailing listu uvedl: More...

Docela stupidní titulek, že jo? Plně však vystihuje realitu. Možná se vám už také stalo, že jste potřebovali vyexportovat z nějakého počítače certifikát, jehož záloha se kamsi zatoulala – a ouha – on nemá povolený export – příslušná volba je zašedlá a není možné ji zvolit. More...

Během dvou týdnů se stane síť Thawte WOT minulostí, o čem jsem již psal zde. Jako řada jiných jsem se poohlížel po jiné alternativě bezplatných e-mailových certifikátů a k mému překvapení jsem našel více než adekvátní náhradu – certifikační autoritu StartSSL a její produkty. Původně jsem chtěl podrobně popsat, co a jak, jenže času je málo a tak za mne tuto nevděčnou práci provedli jiní. V tomto příspěvku bych tak chtěl shrnout jednotlivé zdroje, případně upozornit na skutečnosti, které nejsou na první pohled patrné. More...

Od roku 2004 jsem notářem programu Web of Trust společnosti Thawte. O víkendu mne velmi nepříjemně překvapila zpráva ze 17.9. o zániku celého Thawte WoT a e-mailových certifikátů zdarma k 16. listopadu 2009. Ať se na stránce Web of Trust End of Life FAQ píše cokoliv, nemůžu se ubránit dojmu, že v pozadí stojí rozhodnutí silné matky (Verisign) a nemožnost/neschopnost se vypořádat s nekompatibilitou webové aplikace s novými verzemi operačních systémů/prohlížečů.

Takže si to zrekapitulujme. 16. listopadu 2009 budou revokovány všechny vydané certifikáty a zrušena možnost žádat o e-mail certifikáty. Jako náplast na tuto bolístku Thawte/Verisign nabízí možnost získat na jeden rok zdarma Verisign E-mail certifikát všem uživatelům s aktivním Thawte Personal Email certifikátem. Na rok, pokud mne paměť neklame, standardně Verisign Email certifikát stojí 19,95 USD/rok a trpí stejným neduhem jako Thawte Personal Email – vydávající ani root CA autorita nejsou implicitně přítomny v řadě operačních systémů. Navíc je v nabídce Verisignu malý háček – oznámení o zániku WoT se objevilo 17.9., některým uživatelům přišlo e-mailem (mně třeba ale ne). V podmínkách je napsáno, že nabídka platí pro všechny platné certifikáty existující k 24.9.2009. Takže pokud si toho náhodou někdo nevšiml a na začátku září mu expiroval certifikát, již se ani nemusí snažit jej obnovovat – neprojde mu to. More...

Koncem minulého roku proběhla zpráva o úspěšném podvržení certifikátu vystaveného certifikační autoritou, jež používá hash algoritmus typu MD5 (délka otisku 128 bitů). Hackeři (říkejme jim v tomto případě vědci :)) použili “ekonomicky výhodný” superpočítač tvořený gridem 200 Playstation 3. Nedávno jsem zaregistroval zprávu o teoretické nabouratelnosti též hash algoritmu SHA1, který používají všechny komerční certifikační autority, jež se chlubí tím, že jsou “více bezpečné” než ty, které zatím mají hash odvozený z MD5.

Když je jen otázkou času, kdy padne SHA1, nabízí se otázka, co s tím? Certifikační autorita na Windows Serveru 2008 nabízí vyjma MD5 a SHA1 též SHA256, SHA384, SHA512. Poslední tři uvedené spolu s SHA224 jsou nazývané pod souhrnným názvem SHA2. SHA1 vytváří otisk o délce 160 bitů, u ostatních je délka otisku patrná přímo z názvu. More...

Coby WOT notář dostávám hodně otázek, jak vygenerovat e-mailový certifikát na Vistách. Již jsem o tom psal zde, dokonce se pod tím článkem objevil komentář, kterého jsem si všiml až dnes :) Thawte ve své KB uveřejnilo postup, jak na Vistách opravdu certifikát získat. Je to příšerně dlouhé, spouštění Firefoxu v režimu kompatibility s WXP SP2, nedokážu si moc představit, že by toto zájemci o certifikát, kteří nepatří mezi počítačové nadšence, zvládli.

Na druhou stranu, ne každý má k dispozici (třebas virtuální) WXP či W2003. Aby to však nebylo tak jednoduché, nově platí ještě jedna podmínka – pokud je na WXP či W2003 nainstalován Internet Explorer 8, tak je výsledkem:

Version 8 of MSIE does not support these certificates. More...

Nainstaloval jsem si Visty, pak Windows Server 2008. Následně jsem zatoužil o Thawte Freemail certifikátu. Jak již jsem psal zde, na požádání o certifikát z Vist/W2008 můžu rovnou zapomenout. Takže jsem si certifikát vygeneroval na Windows Serveru 2003, uložil do PFX, soubor přenesl do W2008 a naimportoval. K mému překvapení jsem pořád nemohl podepsat e-mail ve Windows Mailu. More...

Skoro týden si hraju s RouterOS 3.xx a dnes jsem došel k dosud nenakonfigurovanému restu. Chtěl jsem zakázat nekryptovaný HTTP přístup na administrační webové rozhraní a místo toho spustit šifrovaný HTTPS přístup. Jelikož jsem si rozjel svoji vlastní certifikační autoritu na Windows, chtěl jsem pochopitelně použít certifikát vydaný touto CA. Jak na to? Při implementaci certifikátu je možné zvolit jednu ze dvou cest. More...