o čem je tahle přednáška já bych vám chtěl něco krátkosti říct
vice vlastně zapomněl jednoho dne já to mám do úraz nebo do kdy
ví někdo neumí bude další podprogramu jo není víme
do rukou
co je času tak to může volit pomalu klidně celé to se může bejt je
zle kecat to třeba se
tak jo takže ten letný úvod trošku protáhneme popovídáme se takové věci o kterým kterej
každé každý s ním pracuje ale málokdo o tom ví něco o něco podrobnějšího já
o tom také toho moc nevím ale přesto
je se pokusím to má se o tom vás sem začne za ten za ty
léta nasbíral
informací o tom jak fungují šifrované služby tells tak vám nějakým způsobem předat
pak bych vám taky nepředstavil takovou sice komerční společnost která se stará co se ale
má takový zvláštní přístup takže to může být zajímavé
a uděláme nějaké praktické ukázky
tak transformuje se kvůli ty všichni známe je to nejrozšířenější standard vůbec šifrování elektronického podpisu
to znamená a kdykoliv otevíráte jako strážce let je to pro se nemáte nechá používá
se šifrování typu ten les
je to teda ale nebo třeba tvrdíš posílat maily tak existuje
ne je taky můžete předávat ta pocit else diktáte to trošku složitější možná se k
tomu dostanou
ne to
jakási mezi vrstva která se dokáže vložit kamkoliv mezi plain text tedy ne šifrovaný text
a
za zabezpečuje ten ne šifrovaný disk je přenášen
šifrování je
a zabezpečeny proti nějaké upozornění
tak jsou že vás tam asymetrické šifrování
a používá se infrastruktura veřejného klíče co to je asi to si řekneme
říká zabezpečení tratí služeb obvykle slouží dá se selhal ssl je vlastně takový starý pojem
o už ne zde je který byl přejmenován právě na tele sil
a ale
takže můžeme barvu zobrazeny synonyma pro ten náš pro ten náš případ
a
je to jaké zabezpečení mailové komunikace pomocí protokol ty svoje hesla jenže
se k your úvod je pátej ten ex takže tady rozšíření její miluje komunikace o
cesty vše bezpečné posílání nebo zabezpečené posílají šifrování a elektronický podpis
tak co ta infrastruktura veřejného klíče no
je to vlastně hierarchický způsob jakým dědit důvěryhodnost z jedné větě která nějak tu důvěru
získala na další entity takže když to při přirovnávat nějakého fyzickému světu tak grafickém světu
máme třeba máme třeba stát rasa třeba vydává občanské průkazy
a
prostě ten stát je nějaká autorita které obecně věříme protože pokud nejsme úplný palici vyznavače
konspiračních teorií tak
jestli tak předpokládáme
že prostě když stát se po něco podepíše tak aspoň v naprosté většině případů bude
platné
takže
takže minule že ve stádu a protože stát vydává ty certifikát kde občanské průkazy zabezpečen
tak aby bylo jasně poznat že vydal o a nebylo snadné aby vydal někdo jiný
a napodobili je tak mi pak na základě ti lidi dokladů můžeme důvěřovat že
člověk který se nad tím občanským double neprokáže tak má to jméno a to příjmení
té
které je na tom průkaze napsáno
pokud vono to s podobným je podle té fotografie
ten systém
je může důvěřujeme nějaké instituci a ta distribuce produkuje předává té pravé bus ultra veřejného
klíče není to jediný možný způsob
druhý způsob který se používá p g p tak je
právě c důvěry známe postará s to znamená že
a nemá žádnou hierarchii ale všichni to tam si víceméně rovni
a té skupině lidí kteří jsou si rovni i některá osoba která je ňákým způsobem
důvěryhodná jako že veřejně známá třeba já vám tady řekl jsem ondřej caletka ten filtr
nemusíte věřit ale protože se vede je znáte pak mi to většina z vás bude
věřit
a tyhlety lidi kteří jsou důvěryhodní taky mluvil předávají vlastně jeden jednak jinému tím že
někomu jinému podepíšu klíč
tak tu vilu svěží na a
víš pak je nějaký franta novák si představí klíčem
u kterého je napsáno že ho podepsal ondřej caletka
tak si budete říkat no ondřej caletka to bude psát by asi nebude co je
tak nějaký tudíž takže asi toho frantu nováka z na
takže asi franta novák tak je ten franta novák ale nějaký obecný hardwarová
je to dost zamotané loužel já se
bohužel tady ty lidi přítele se vždycky to trošku z auta a
nějaké úplně základní pojmy s oblasti pí ty jo nebo opékání
infrastruktury veřejného klíče
tak privátní klíč
úplně ta nejzákladnější je
privátní klíč který bychom neměli neprozradit je to je to teda číslo ona podstatě veškeré
veškerá informace je číslo tak jakákoliv pošli že zpracovatele vazeb se dá číslo včetně celého
filmu to je taky jedno číslo třeba ale
je dají tom případě je to je to celkem je to celkem jako i blízko
té realitě ten privátní klíč i no nebo několik málo čísel
které umožní dvě věci rozšifrovat zprávu
která je zašifrovaná
a nebo
ověřit vytvořit elektronický podpis
jo
to je důvod proč teda privátní klíč lidský držíme tady hosty protože když nám někdo
zašifruje správu tak mi chce výnosy flotilami a nechceme aby přežil najít jiný takže rozšiřování
umožnili privátní klíč a o je to je slovo by se to přesně naopak elektronický
podpis když něco podepíšu
tak ať si to klidně ověří kdokoliv na světě že jsem to podepsal já ale
jenom já musím mít právo nebo piva vytvářet takže
u elektronického podpisu je to je to trošku naruby že u jednoho rozšifrovanou do tváře
veřejný klíč je přesný doplnit tenhle toho privátního klíče je to zase nějaké číslo a
je to číslo které
umožní naopak
zašifrovat zprávu
a nebo ověřit elektronický podpis to znamená
veřejný klíč
když má někdo můj veřejný klíč už je po sléze šifrovanou zprávu ať je to
uplně kdokoliv a mně nezajímá kdo to je ale
kdokoliv
není žádný problém když se ten klíč rozšíří komukoli
ještě taková praktická věc jak je to implementováno třeba stá
ten privátní nejsou dvě nějaká tajná prvočísla hodně veliká
a držení míče jejich součet
to znamená že je s toho si logicky je řeknete že vlastně ten veřejný klíč
se
povětšinou a většině lidí doplatí daleko šestou privátního
takže li privátní klíč znamená to automaticky že máte je veřejný klíč naopak
li jenom veřejný klíč tak
vy ste ten privátní výše je blízko místa pokud ano tak jeden šifrovací algoritmus špatný
a nedá se bůh ví takže třeba u toho je nezávislý na to že prostě
nejste schopni dostatečně veliké číslo rozložit na prvočinitele
ale jinak tomu nerozumim vůbec takže na další pokročilé otázky ohledně toho se mi prosím
vás nepijte
tak
a teď se dostáváme potom k těm
tak další entita které se objevují s tam bylo s a tou první se kterou
se jako hierarchicky potkáte když budete chtít nějaký certifikát tak je požadavek
neboli co server certifikaci celej je konec
to je dokument podle jakého standardu který se netají práce zde se to asi není
úplně důležité
ale to prostě nějaký dokument který obsahuje
váš veřejný klíč identifikaci subjektu kterou si do toho prostě vy sami vyplníte neptej vyroste
a případně do toho vyplnit ještě nějaká omezení využití certifikátu
takže když tak začít s šifrování začne vidím že vygenerujete privátní klíč
a veřejný klíč najednou nebo postupně
a teď toho veřejného ve vedení kýčovité do toho požadavků a přidáte k němu takové
informace o řeknete já jsem ondřej caletka vyvíjí záznam a ten ne když by chtěl
používat pouze pro elektronický podpis
no
pořadatelé požadavek slouží připravený k tomu abyste ho poslali certifikační autoritě certifikační autorita se nepožádali
podívá
něco s ním udělá
co záleží na tom se to za autoritu a
vydá následně certifikát
certifikát
je skoro ten samý dokument jako nebo hráli má podstatě ho skoro stejné položky
liší se pouze tím že elektronicky podepsaný je podepsaný právě nějakou autoritou certifikační
musel oznámit poté co je to certifikační autorita to je buďto instituce nebo software
záleží jak se na to díváme nebo obojí nebo nic toho
která právě podepisuje požadavky a vytváří certifikát je to znamená že ona dostane požadavek
něco si udělá takže já tam co vyplní
já jsem no já jsem ondřej caletka a vidím tam a tam a ten certifikát
chtěl pro šifrování
ze nevydržel ta rezerva podíváte
tak to jsi ale nepodporuje měla bejt maximálně vystavíme že ste nějaký ověřený uživatel ale
to že jste ondřej caletka dva nebo certifikát jedna nashle a videí certifikáty bude úplně
jiný za poslední slova dycky certifikační autorita která vystavit ten podepsaný dokumenty se kterým se
říká certifikát
certifikát může být a kisel sami self signed znamená že ten certifikát je podepsán tím
samým privátním klíčem pro který je ten certifikát vystavený takovou ní tam není ho zeptat
na nějakou věrnost a můžete tom chcete vydá tomuto věřit jako celku nebo jako celku
jako celek ho odmítnout
a nemůžete se není nikoho doptat protože prostě ten certifikát nemá nikde
stojí úplně samostatně mimo tu celou délky veřejného klíče
pevný bod úvěry
to je právě toho co má to je to že se hodně mluví silikonové certifikát
je ve třeba probudíš i
pro sou certifikát které jsou obvykle se les se ofsajd
a jehož věrohodnost byla nějakým způsobem jiným ověřena takže ten certifikát
ten certifikát obsahuje ten certifikát nějakým způsobem k sobě dostanete a nějakým způsobem dojde k
tomu že vy sami nebo aspoň váš počítač o tom certifikát utvrdí teda certifikát vím
že je ten správný a vydalo ta správná autorita
jak se to spratci jak stav praxe jistě no obvykle vám to příjde z instalaci
operačního systému nebo s instalací
ty instalací nebo jo pro výše třeba
není to úplně ideální protože samozřejmě pokud vám to přijde sou internetu a pokud ten
internet době to vám to přišlo byl nějak zkompromitoval me nebo tam byl nějaký útočník
tak je tam je tam jisté riziko
že byste mohli důvěřovat něčemu čemu nechcete
a to je jeden s těch problémů současného opékání modelu který se nějak snaží řešit
ale
ale obecně tenhle systém funguje poměrně dobře jo třeba když dojde ke vytipněte bys komentované
síti tak obvykle to není takže dost opereta jestli tě přijdete hnedka s novým počítače
ležela instalovat nezkoordinované síti a toho tam jsou jednotek úřad obvykle
většinu času ste na čistém internetu bez žádného bez žádné kompromitace a jenom jednou za
čas se dostanete někam do sítě kde nás někdo se snaží provést nějaký podvod
a pro ten účel
tak důvěra
chtěli pevné body je poměrně dobrá
tak a řetěz mluvili poslední pojem to už jste se asi odvodili to je ta
sekvence která začíná dejme tomu pevným bodem důvěry a tebe důvodů byli vystavil certifikát pro
nějakou mezi lehno autoritu
ta by stála certifikát pro nějakou další mezer to autoritu
a
na další neznáte tačová vystavila ten certifikát proto konečnou proto konečnou jestli tu se na
to co vás zajímá
takže adame celý řetěz musíte mít kompletně dispozici musíte ověřit všecky ty podpisy a když
eště si ověříte tak máte celkem dobrou jistotu
že za předpokladu toho že pevný bod důvěry opravdu je důvěryhodný tak máte dobrou představu
předpokládat že i ta koncová entita je dostatečně důvěryhodná
tak
a teďka se podíváme na to co ty autor je copy autority vlastně dělají nastěhovali
ten byznys
tak
autorita
ověřuje
tak
to jak to bylo vymyšlené systém legální je v tom že ta certifikační autorita ověřuje
že ta entita která se ten certifikát žádá tak opravdu existuje a je tou která
se vydal takže když došlo že když ale já jsem ondřej caletka chtěl bych certifikát
tak jo nějaké pořádné autority nějaký pořádný certifikát
tak oni po mně budou chtít budu chtít vidět aspoň dva nějaké doklady možná i
rodný list možná jedinej nějaký výpis z matriky že opravdu sem se narodil
a že jsem teda ten a že nejsem nikdo jiný
a provedou nějaké pocit že poměrně důkladné ověření když budete chtít čas certifikát vystavený na
organizaci
a budete chtít ten nejlepší se ten externí validation ten poznáte tak že vám zezelená
adresní proužek v prohlížeči tak
takový získání takového certifikátu není vůbec triviální protože
musíte předložit několik výpisů jako z hospodářské komory s obchodního rejstříku všude kde nás nějak
vedou ty všechny výpisy musí mít naprostém souladu může se vám třeba stát my sme
to nedávno řešili na u
že naše adresa dvě máme hlavní vchod
tak byla špatně zaměřená v mapách a některé organizace mě na uváděli adresu zikova dva
a některé zikova čtyři
a tohle je třeba nepřekonatelný problém je když nastane tak prostě ta autorita se zasekne
a nebude tohle si nejdřív spravte a pak vám vydáme certifikát pro tu správnou adresu
prostě musí vymýšlet lety
doklady v pohodě
a tak je logické že když taková autorita dělá takovéhle důkladné prověřování že to něco
stojí že s tím má nějaké náklady a že to je tím pádem bude něco
stát takže ten symbol tří eur
je tam naznačuje že to je ta nejdražší varianta
no nešlo by to levněji šlo
zběžně se nabízí menší stupeň ověření který se jmenuje organization validation
což znamená že se validuje pouze tak nějak letmo
že ta organizace takže ta organizace existuje obvykle se validuje jmenuje z jednoho zdroje není
potřeba tam mít víc těch je víc i nezávislých institucí který potvrdí že daná instituce
správně existuje
dvacet brigády jsou levnější
ale pro spoustu lidí stejně zbytečně drahé speciálně pro nějaké komunitní zájmové weby a takové
věci
stále zbytečně drahé takže
bohužel bych řekl
certifikační autority bohužel přišly s se třetí nabídkou která je super levná ale která podle
mého názoru a podle názoru spoustu dalších
podstatě podkopává celý smysl té infrastruktury veřejného klíče
a jsou takzvané doménu dominovaly pět certifikát
jsou nejlevnější
úplně nejlevnějšího získáte právě třeba zdarma od startssl nebo třeba za devadesát devět korun pokud
se po chcete pro komerční účely
a
takový certifikát
vlastně
potvrzuje ten se jeho validace probíhá pouze třeba automatizovaný zasláním mailu že na adresu hostmaster
zavináč doména pro tu chcete poslat
pokud chcete vystavit ten certifikát vám přijde nějaký autorizační kód který musíte někam napsat
nebo musíte vystavit nějaký speciální soubor na tom webu který chcete
který chcete registrovat a
přepnete při takovéhle validaci vlastně je
se neověřuje vůbec kdo na tom konci toho drátu stojí ověřuje se jenom že ten
člověk který žádá o ten certifikát je zároveň schopen
je zároveň schopen ovládat tu danou mailovou adresu tu danou doménu
to znamená že to znamená že tu chvíli
pokud
když se vrátíme zpátky k čemu ten certifikát je dobrý ten certifikát je dobrý k
tomu aby když vám někdo vůbec se postaví mezi vás a zbytek internetu
a začne dělat útok typu prostoto člověk uprostřed
a bude vám bude váš šifrovaný provoz přesměrovávat někam jinam
je pro tu danou doménu
pokud takovýhle útočník na vás otočí
a je schopen takovéhohle přesměrování provozu což není vůbec jednoduché ale za účinností to je
možné udělat
tak pravděpodobně takový útočník nebude mít problém stejným způsobem přesvědčit i tu certifikační autoritu že
ovládá tu danou doménu případně že ovládá tu danou mailovou schránku
takže on si klidně může nechat vystavět naprosto platný doma invalidy certifikát od libovolné certifikační
autority která nabízí
jo
to je asi největší a ten zásadní problém je
že většina uživatelů vůbec nepozná rozdíl mezi domy kvality tohle zjišťovali ty externí kvality certifikátem
mimochodem
kdo poznáte extended valí certifikát ruce
ano zelený pruh správně tak si všimněte až votevře nějakou banku jestli má zelený pruh
a tak visela na přímo napíše název té instituce
mám ukázat
ukážu jestli pude internet tak já ukážu
co máme třeba
prostýho
to je možná neplacená reklama
ale jakási celá ta léta
jo tak si ho má
vlevo
aspoň vidíte že rozhodně jsem zákazníkem takže to nemůže byte
a vidíte takže tohle externí dva lišíme že víte že ten pomůže takle zelená a
jede přímo identifikace to souvisí s tou
kdežto vy se podíváme na normální dobrým kontrolovali ty certifikát
třeba
tady ve s certifikát o jean to tak s
dobře
open a to je lepší nápad
je tam ušli staví se říká
to vyzkoušíme
možná ve vile ještě
no
tak ty různý názor zrovna ty přesměrujete tak nevíte takle vypadá úplně normální chcete certifikát
ale s touhle ceny vydá teďka vůbec nepozná potom vidět
tohle certifikát vůbec nepoznáte jestli je
do bejvali ty nebo odlišovali nebo něco jiného aby se to poznali tak musíme podniknout
ani tak leda spojení
ve spojení není velení
informace o certifikátů a tady vidíte že organizace je to máš s
prostě takže vidíte že to je zřejmě ňáký certifikát kdybychom nazval h a personál a
identity validity kvality pojmy jsou si měla k tom našem rozdělení je to takové certifikát
a
tohle je tohle věc kterou nikdo nedělá při si do to zvláštní viděla že byste
se takle dívali jak je ten certifikát vystavený
no dobře no tak se světlá vyjímka málokdo to dělá podstatě jako rozhodně
zato naopak spousta je legitimní služeb prostě ji mít rádi těch devadesát devět korun za
ten by dobejval jede certifikát nemají validní certifikát vůbec žádný takže ještě mnohem horší situace
protože přitom ten pro lidi žádná
a pak je tady ještě ta úplně speciálně stejný situace že máme české certifikační autority
které jsou dokonce státem
akreditované k tomu aby vydávali aby vydávali certifikát je pro českou jako cena jejich podmínky
sou
v některých ohledech možná jestli jejichž ještě obecně podmíněně certifikační audit vydávají validní certifikáty nicméně
styl státní lety autority nejsou schopné dostat se mezi ty důvěryhodné to neboli důvěry takže
pak když přistupujete i na státní věznice
jak oni mají ty certifikáty které
na první pohled nejsou důvěryhodné aby byly musíte si mi
sami jako uživatele nainstalovat do svého pro mě že nějaký jejich kořenový certifikát autority a
ještě na internetu nejsou návod jak takovou věc dá bezpečně protože stáhnout pořádný certifikát uvedete
po to samozřejmě rozhodně není něco co by se dal doporučit
nahoře letos z nějakého jiného certifikát to už trochu lepší
tak teď se dostanem tom představení startssl tečka com to je
nízkonákladová certifikační autorita nestihnete izraeli
je zařazena mezi důvěryhodné autority uhozené i jinde to znamená že na pros
naprosté většině platforem není vůbec žádný problém s tím používat její certifikáty aby se tváří
jako důvěryhodné jsou důvěryhodné jsou důvěryhodné na linuxu jsou důvěryhodné defakto suma windows všude
pro nějaký obskurní mobile celej taky
kromě nějakých školních
speciální platforem kde občas ty konec certifikát jsou nějaké staré verze tam teda existujou dva
tisíce tři
teď už má nějakou story za sebou
pro obchodní model hele autority
spočívá v tom že oni reflektují náklady na ten daný úkon a
to znamená že se platí nikoliv za certifikát protože vydání certifikát úplně podstatě žádné náklady
nepředstavuje
vydání certifikátu je
operace má jsem kluci já se prostě já jsem to takhle udělá certifikát cíle
ne je i co projednávat náklady představuje tak je validace
protože validace je to co to co je stejný víc peněz
nicméně pokud chceme jenom ten d v certifikát nejjednodušší je tam ta validace je tak
je možný provádět plně automatizovaně bez asistence lidského slovy a tu chvíli je jsou jiná
tady taky blízké nule
pokud odečteme nějaké režijní náklady že to tak a proto a to je právě ta
velikánská míra starce sedl starce s nabízí tyhle ty domy invalidy ty certifikáty zdarma
takže můžete mít potom máte nějaký komunitní ne
můžete na něj mít klidně se zvolením certifikátem byť jenom dominovaly ale rozhodně lepší než
aby tam byl nějak mě důvěryhodný je potřeba se ofsajd certifikát
jaké jsou podmínky té smlouvy nabídky zdarma takže pouze komerční účely pouze
pro držitele doménu druhého řádu to protože tam
a ještě ne úplně všem dovedu řádu ale některé je z některých to pro nové
to protože taky tam probíhá automatizovaná
o validace pomocí databáze takže
třeba víte že cz nic státy novej cz provozuje vůli s tečka nic tečka c
z nemá dispozici informace o tom dobrý tu danou doménu a tam se taky automatizovaně
kontroluje že věc soudu ten popis žádáte tak jste vlastně zároveň nějaké vztahu k té
doméně
a protože všechny to provede takové různé nabízejte všechny
tak není možné použít libovolnou to byl lomeno ale takovou která tohle nabízí
ta nabídka je tak nějak omezená možné technicky ale
víceméně s komerčních důvodů aby se lidi nekupovali něco co je na peníze ale nepoužil
to zlomilo takže je prostě komerčních omezení je že
máte k dispozici pouze jednou nového méno třetího řádu jako třeba ve v tečka
moje doména dneška cz
a plus ta celá doménu druhého řádu device triatlonista na dvě jména na ve moje
doména cz a na moje doména cen
a žádné další příklady můžete přidat
těch certifikátu si můžete byl vyrobit neomezené množství to je poměrně nízké
a ale já jména nemůžou vina stejně jméno
a pak os toho certifikátu
je jeden rok
tak důležitá vezmete je potřeba upozornit
de vo praci certifikát o pokud ten certifikát ztratit oni privátní klíč
ahoj kde se že by open tím páni neumí r v obraze stojí dvacet pět
dolarů je to se přesně ten obchodní model nízko náklonnost k i kde se reflektují
náklady kolik je a nebo práce
je asi nejnákladnější operaci filtrace vy víte že jo to je tam musí provádět protože
musí udržovat servisem opačnými seznamy které mají poměrně velkou návštěvnost velký trafik generují a čím
vyšší ideu naší seznamy sou tím s a je tam ten problém horší takže ano
přesně tak pokud ho ztratíte sami tak stejně byste ho sháněl evokovat jo ale
ten jeden důvod proč vlastně ta demokracie je drahá spousta lidí kuli tomu jakoby dělaní
gating a takhle pusu u jak si můžu dovolit nechat si zaplatit za demokracii ale
o to prostě přesně reflektuje ty náklady na kvalitu tam opravdu a jsou poměrně opodstatněné
jiná věc je že
ano
jasně dotaz zněl jestli je možné jest nemožné vystavit certifikát ještě před koncem před koncem
platnosti toho původního
je tam nějaký interval myslím že týden před koncem to původního je možné vystavit na
stejné jméno líbí certifikát
ale všimněte že varovat si sem nikdy nezkoušel takže tam je to přesně funguje
deregulace ale pokud na sebe navazují na certifikát i tak čtrnáct dní před koncem platnosti
ten certifikát vaším jménem upozornění a když to stejně přesně tak vyrážíme to upozorníme to
eště vy je znáte ten certifikát ještě platný
ale když si počká ten týden tak týden před koncem už to de
vyzkoušeno levně takže to jako tady provozovat
tak to se týkalo nabídky ssl certifikáty pro nějaké ty webové služby pak je tam
ještě druhá nabídka pro a jestli má jen suše to šifrování elektronické pošty a podepisování
elektronické pošty která ještě trošku benevolentnější tam je to funguje pro držitele libovolný mailové adresy
prostě zrádnej mejlovou adresu
a oni vás ověřil automatizovaný len a následně vám vystaví ten certifikát na tom ímejlu
adresu ale bez jakéhokoliv ověření totožnosti
praze na jeden rok
ano si můžete mi je libovolné množství pro různé adresy
tady ještě zajímavá ta věc ve které se říká web of která ste který je
takový jejich vynález
takže
vy můžete
potkat nějaké notáře
nějaké notáře startssl je nyní jsem spoluvlastní třeba já
když potká a ty na ty mentální se před dataset je mi se dvěma úředně
vydávání mi doklady totožnosti
a se voni vlastně se píšou s vámi notářský zápis a potvrdí ve nějaké webové
znamená webové stránce ztrácet co židé
že jste to skutečně vy a pokud takle navštívit je dvanáctá
a garáže odpovědí se tak skutečně jmenujete tak
si můžete takhle svůj certifikát vystavený na jinou adresu sami dva tak aby pro něj
minule mně se obsahovali vaše jméno příjmení
téhož
zase
otázka kdo se do vás je někdy podíval podepsanou bylo to komu patří ten certifikát
pověst a málokdo
ale když se někdo podívá jakou no certifikát najdeš vestaven na nějaké jméno a příjmení
kde je to pro ně rozhodně vod nich informace když pokud měli najde že byl
vystaven pro mailu adresu
protože
co už znamená že tam došlo k nějakému ověření totožnosti
to je živej těma dvěma notáře
ale eště možná jak se stát notářem tak a minutka si natáhne se může stát
jedině takže si zaplatíte validaci právě osa co se o tu se udělal třeba já
protože mně to přišlo nějakého důvodu výhodné
když si zaplatíte validaci to stojí od nich šedesát momentálně co jako dvanácet sou a
pak máte odstraně to omezení na pouze jedno jméno certifikát mezi stavy certifikát i pro
více jiné na ulici vystavil konci certifikát na hvězdičku
to se může hodit a město třeba hodilo právě provede vyšší ceny který používá nějaké
subdomény u nějakých testů bude dnes a tam prostě by bylo nepraktické mít pro každou
sudou samostatný certifikát
tak praktický postup jak s tím startssl pracovat takže úplně první co musíte udělat je
získat sme certifikát pro
svůj vlastní mejlovou adresu protože pomoci to vezme certifikát ze přihlašujete k tomu jevovému rozhraní
používají takové to přihlášení certifikát když naznačil že to jménem a heslem jako do všech
ostatních jevů
to musíte zvažovat vývojové protože má menší automatický myl který povel psala o zadáte na
tebe
papež sama že získáte ten svůj vlastní osobní je svém certifikát
tak
uděláte validaci doménové jména to znamená že zadáte doménu pro kterou chcete dobře lomeno pro
ten chcete vystavit certifikát
a vono vám velemíně kam chcete tu kazetu to validační jiného poslat na ulici vrat
se davídek hostmaster post vás nebo ve dvanáct zavináč doména
případně eště pokud najdete můj s ňákou další adresu ne vámi nebaví mě taky a
rozhodně si můžete sami účet tam to ukradený a pošle po zlatu zásadní problém bezpečnosti
toho systému
další krok třetí je že nějakým způsobem vydělit žádost o certifikát
můžete to dělat na tom webu přímo užíván podmíněný privátní klíč a pak vám ho
pošlou a tvrdí že oni než oni neukazují ale provokuješ ty měli byste jim věřit
no ale
dobře no mně připadá
po něco bezpečnější a ty jednodušší vygenerovat si žádost lokálně na počítači tady klíčový dělejte
přímo to místě kdo bude chtít používat ty víš nikdy neopustí ten počítač na kterém
vygenerovat
jo odešlete tu žádost
a zpátky se vám vrátí certifikát
je to ten systém je takový ne úplně deterministický takže
nestejnými podmínkami se vám může stát že pošlete žádost a certifikát snaze spát opravdu obratem
a nebo se vám můžou úhlu napsat že provádí nějaké lepší nevím vaše vaší žádosti
a že ten certifikát vystavený do několika hodin
takže obojí je možné
a je to připálit že tydle návaly velice volal jsem paušální
já du jako
posloupnost
nebo ňáký vzor
pravidlo
tak jak vygenerovat žádost takže pouště svůj oblíbený postup
takže byste žádnou líbení nemějte kerej je tady dole na tom slajdu který používám já
je to
použití nastoupil co se o ten na hromadu možností hash šulc možná ale
jen tak ve zkratce tak procesor rekul je vlastně aktivace toho uzlu který dělá requesting
neboli požadavky
nějaký znamená chtěl bych věnovat nový klíč
jaký klíč ale základní ještě za vosum taková dneska standardní volba vadí když něco sumy
původní nesá klíč
mínus nové střední rizika nepřeji si aby ten klíč byl šifrován standardně ten privátní víš
ještě zašifrovat asymetrickou šifrou
a chce po vás heslo abys to rozšifrovali
to je sice hezký bezpečné let praxe je to celkem nepoužitelné pokud byste chtěl pro
webový server nebo jiný server který většinou startujeme sou slušně protože
většina web se buďto to vůbec nepodporuje šifrovaný privátního klíče a duše vodpoledne to znamená
že při startu sem tam musíte uměj se je a za tomu plesko konzole
jo ale takže se vyučuje používá takže já generuje ten klíč od nuly šifrovaný do
upřímně všechno dnes
přepínač tý aut potom bootuje tam vypadne ten privátní klíč jako sou úpravy teďka pojem
a přepínač a říká kam vypadne ten požadavek
a
během toho generování touhle ze salz vás užije stojí udělali docela takže ta takové to
jako
jaké z jaké jste státě v jakém ste městě jak se jmenujete a takle tak
tam doporučuju the project international to přestane protože to je úplně jedno jsou přesně ty
volby té si vyplníme té žádosti lze technika
ale stát se slzy ste žádosti lze tedy dát vezmeme ten veřejný klíč a všechny
ostatní věci zahodí
takže vy si tam klidně můžete krásně vyplňovat jak ste prostě ředitel zeměkoule já nevím
co všechno a prostě stejně jako máte není úplně stejný vliv jako vy budete držet
render
tak nainstalování certifikát takže pak dyž projdete timletim kolečkem u toho tak zase o taková
vypadnou tři soubory jeden se menuje privátní klíč je ten který střeží a nikomu nedáme
je žádost o už nepotřebujeme že bychom potřebovali někoho sme si mírnou jmenovat s tou
privátního klíče existujícího
nebo s certifikátu protože potvrdí neznáte vás nezajímá ten veřejný klíč
a
pak je na ten certifikát ten nám ta certifikační autorita mu to návratem nebo jsou
stále později a ten já se veřejný ten kdo si ho stáhnete úplně jedno
a ten bude taky potřebovat a teďka
co bude potřebovat navíc pokud nám tady vystavovat přímo nějaká autorita která je zároveň pevným
bodem důvěra což se nestane téměř nikdy
budem potřebovat ještě mizerné certifikáty které doplníte cestu o toho pevného úvěry k tomu našemu
koncový certifikát
případě starce sou je to jedna ve zlém autorita která se jmenuje start tak po
vás vám
hele certifikát normálně stáhnete s například zikova stránek
a
pak ten cel jsem certifikát obecného důvěry
většinou nepotřebujete ten nemusíte posílat přitom jen šiku
protože tím že ho pošlete tomu klientovi tak ty úvěru něm jako nezvýší té bud
touž předem objednat a blázna
a nebo mu nedůvěřuje tak nemožné a pak ho nepřesvědčí dědinů pošlete myslel jsem
takže tady nemáte za pozornost zvětšujete se léčit
ale já to online testů které si ukážeme zabil s navijákem mínus o webový takže
všude po s
no a
důležité co bych chtěl jako asi dá se něco jsem zde odnést
pokud tedy nenapatinovali jeden web server a device tak dále všechno fungovalo správně
tak to neznamená že to dítě od když neexistuje jednotný postup je takovou té instalaci
brigádu provést
každý den každý ten software se konci bude trochu jinak a pokud budete používat jen
postupy se synu naučili na všechny lexémy tehdy budete konfigurovat
skončit je přinejmenším s tím že nebude váš besedu posílat celou cestu těch certifikátu a
tím pádem
vaše stránka nebude úplně důvěryhodná takže proto filtr případně news do firmy google první software
jenom příklady abyste viděli je jaká tak estrády mě jako jaké jsou tam rozdíly
takže a pak teprve po server potřebuje tři různé soubory jednou soubory privátní klíč
do souboru certifikát to je koncové typy a ve třetím souboru certifikát nic nikde je
ze mluvili
tohle jsou textové takže když potřebujete video souborů spojení dva certifikát jak je prostě capers
půjde za sebe textově
není je to nic složitého
asi že si život vybrat jsou dva soubory a sice jeden soubor svírá tím klíčem
a druhý soubor se všemi certifikát znamená jak s certifikátem koncovým tak s těmi mezilehlými
certifikáty
tak asi konfigura třeba ten ženich spoustu jízda vchod prosody
a pak ještě specializace mladí petr
sem používal úplně takovou podivnou konstrukci kdy má jednoho souboru privátní zkuste taky stáhnete je
tomu provádí lupiči a byla souboru takže děs běs takže vidíte že každý za ten
to má nějaký na
a vždycky když tam se teda podle mně stačí prostě tam nasypat nějaký klíče ale
vždycky to chce se podívat do návrhu kam patří která část nehledě
je ty dat které máte
tohle je něco co by chtěl hodně já se jako na to bych kladl velký
důraz
takže vydaný všechno to že máte validní certifikát
ještě nic neznamená výchozí nastavení pil jsem nejsou bezpečná se nedá se tajně ten incident
s tím publikem
viďte rádio zásah nebyl příliš velký
tak ale je potřeba říct že
když tam spustíte když ten nakonfigurujete ráda toho ssl jenom certifikát je a jinak to
necháte
žít vlastním životem
tak tam pravděpodobně budete mít
otevřenou podporu pro zastaralé algoritmy krátkej klíče jako například ssl ve tři která potom jsou
zde u možné zneužít právě nějakými útoky jako je tenhleten pohled
taky standardně není vynucována forvard cítili si
a skoro nikdo tomu rozumí já sem jezdí co tomu nerozumí takže není
není prostě v silách běžného administrátora
nastavit ssl bezpečně svépomocí
musí tomu hodně rozumně
a proto existuje taková pěkná kuchařka na stránkách ve ten typ bečka o
lidé
jednak je tam strašně složitý odborný něco to proč
je dobré nastavit to tak jak voni doporučují a pak tam jsou přímo
názory které se dají koupit kristova do konfigurací různých vepředu a jiných snímků
takže vy to vůbec nemusíte rozumně a oni vám před volili takový rozumný kompromis mezi
bezpečností a použitelnosti samozřejmě když pudete po té nejvyšší bezpečnosti
tak se vám často stane že oddýchneme třeba staré systémy a tím stále mysim třeba
internet spoje šest a window říct ale
otázka jestli tohle ještě dvacet let ty čtrnáct nikoho trápit
eště tomhle taková cyklisty nebo upřesněno poláci kde si
jakým způsobem to funguje ta asymetrická kryptografie se používá pouze pro úvodní výměnu klíčů
mezi
mezi těmi ty tam je ale následně dojde k výměně
jednoho
klíče pro symetrickou šifru který se pak že bude celé to spojení problém je že
u standardního jen čechů který se používá protože rychlík něco dns či ten víš následně
nikdo pozdní získá privátní jsem tak si může rozšifrovat zpět předem nahrané za nadlidi komunikací
dopředu si
pomocí znalosti do privátního klíče se mu dokáže zpětně rozšifrovat ten session tý nezná ten
šifrovací klíč ten ta
sezení bylo šifrovaný
když máte perceptronové cítit si používají se jí ne algoritmu to výměnu klíčů je potřeba
vyklínované ty
a takový algoritmus sice dlouhý je pomalejší ale naše popisu líp než angličtinu dělají
ale ten neumožní vyzradit to vyzrají ten privátní být ani když později lituje ten privátní
cenu nemůže není možné prostě dešifrovat
mně je náhradou přehnanou konverzaci prostě vůbec nejde s tím vychýleném protože
to je společně domluvený tajní klíč pro tu session ten symetrický klíč prostě nikdo jiný
ještě dvě děti které se umí vyznají to je princip toho dětí hromada
tak
dobře poslyš známku za sekundu ty pět minut nebo kolik
dvě minuty
máme má menší přestávka tak
tak já jsem si naprosto co
takže
signál pro tebe kde ten problém že lidi píšou to teprve když lezou do banky
a měli psát dotaz vládnout to je psát to když tam vzít tvůj těžko dělníka
nikomu se nechce
očekávají že když je to něco důvěryhodného tak je to samo upřesňuje jo jenomže vono
je to přesně o nenosit vyšel přesně dal přesměrování
to k němu lokální dešifrovaným kanálem takže původního nerušte přesměrování je třeba ho neudělá
tak dochází k ničemu čemu se říká hesel striping se tak to znamená že
se ssl zestárne normální let do pro uživatele z toho video nevšimnou
a
a dochází k velkým problém
takže první řešení je přesně nalezen provedete to se mi se to na dobrá stránku
dobrý den naše sliby to můj náhled do posl jestli je a takže se tam
prosím napište database kdybychom a to nás docela jdou víte co jsme my za i
když my sme které šifrovaný
druhá varianta je ve se to se to vše hlavička která se přidal tohleto to
pro se je to hned do hlavička já řekne prohlížeči že
tahleta stránkách mám této chvíle dále být pouze dostupná pomocí represe a proliješ a znáte
to automaticky předělá všichni lidi dopadnete posl a dyž na validace potom někdy selže tak
on to dokonce ten uživatel nemá dobrou sezonu můžete nedovolí obejít nemění tam už nenašlo
takové to vím a zase jiná pokračovat
tak
jak to všechno testovat rozhodně nebojím pro v něčem nemám ňákou základní test respektive když
to ani pro mě že funguje to špatně a musí to spravit ale toho doporučí
funguje tak nevíte nic
protože technický problém nejčastější nebo si dáte celou cestu certifikátu takže pronásledovaný jako důvěryhodné ale
pro jiné lidi se tváří jako nedůvěryhodné protože nemají naučené ve svém bezpečnému ještě ty
certifikáty mezilehlé takže
celej nástroje a webový tester ssl a zkoušce je výborná věc dostane známku váš šéf
podle toho je bezpečně to máte a případně je typ jako zprávy
přepněte certifikát jenom upozorní
taková věc určitě jste slyšeli jo donese se ku určitě jste slyšeli něco o tom
že byl se ku je možné přidávat else záznamy prověřování se tele se na takže
tohle můžete soudit a tím vlastně zní si začít domluvili jo to napsaný krásný článek
tady o petr proč máte
tak nám to vydrží se tam špekové dětem denise přivydělat si certifikát
závěrečné rady šifrování nikde soužití znamená že
šifrování rozhodně že nejvíc procesorů že neví baterku tím pádem uvolní zařízeních
stěžuje použitelnost pro předsedu
když máte třeba autobus my máme kvalitní připojení a má pro při se bude když
máte toto se o tak ten pro sebe nebude fungovat protože
nepoznali se tři lidí ve na stejný nevyšel jsou každý má svůj šifrovanou verzi
a
a nebo u nefunguje také vole optimalizátor jako třeba chromá mobilních rovná optimalizátor že ten
chodí přes procesem viď úlety ten server nějak ten mbed obsah nějak zmenšují aby byl
lépe použitelné mobilu no a
podle mého názoru nemá se zobrazovat else na tak jaké jsou neperova zavázané
a nemají žádné osobní údaje
jako třeba linux nejste naopak
tak protože tam je podle mě vod heaviside bude prosazovat jestli ste doprovod dotaz
aby fungovaly obě varianty jo bezproblémů je dobré používat odkazy které mají silný začátků tím
pádem vlastně se automaticky provizorní buďto schéma hned po se pokud je na to prosela
nebo budete po
aha už sem říkal vy zkontrolujte jestli posílat chci říci že ty zuby tak to
je horní eště asi jsme trochu přetáhli takže úplně jestli máte nějaký dotaz tak přičte
jestli je stejně účinné zastihnete
přednáška ušije teďka dispozici na webu a ne selinux že jste nás normálně moje adresa
ou co to bylo by to zas vo jo já jsem do škol něco špatně
tady arabela nemá je ondřej liška celé které přehled přednášek a pan pelta se taty
pdfka puse dokonce i záznam z mínus dataset lety říkal
trochu jinými slovy ale v zásadě totéž
takže
jo tady zóny klikací může se na ně podívat jestli si
jako ji
děkuji