Přepis řeči - Certificate Transparency: povinně zveřejněné certifikáty

0:00:15	dobré ráno
0:00:19	ne petr proč vás sem šéfredaktor se cz a zároveň jsem aktivní člen
0:00:25	lépe svým cz dává nějaké články zprávičky fouká s pane chytrý
0:00:33	a letectví cz je
0:00:40	estonskem zapsaný spolek prostě skupina lidí která si pro hlavně pro sebe vytváří virtuální infrastrukturu
0:00:48	pro virtuální tady členství je otevřený člen se může stát cokoliv a podílet se na
0:00:54	tomanicovi vpsku velkou pěknou nás shodě paměti a připojit se do komunity
0:01:01	budem si
0:01:02	povídat o něčem se unesete řek je transparency
0:01:06	protože asi víte že se šifrování rozšiřuje považujte to pro se už začíná být vlastně
0:01:13	neska mnou
0:01:14	půl před pár dny zveřejnil statistiky že v závislosti na zařízení na operačním systému se
0:01:20	pohybuje procento
0:01:24	strany načtený pohoda to pro se někde mezi šedesáti a osmdesáti procenty
0:01:30	to znamená že vlastně neska je normální šifrovat a s tím je spojená spousta dalších
0:01:35	věcí tahle přednáška a bez na co že na webu mě je tam nějaký archív
0:01:40	odkazy na videa je na další slajdy takže se můžete podívat jestli budete chtít nějaké
0:01:44	jsou tam nějaké odkazy takže se nemusíte opisovat ale prostě můžete si stáhnout tu prezentaci
0:01:51	začněme nějak obecně co to je certifikační autorita protože to budem potřebovat ke zbytku té
0:01:57	přednášky
0:01:58	když chcete s nikým komunikovat šifrování je potřebujete získat jeho veřejný klíč
0:02:04	to se osobním kontaktu dělá dobře se tady můžeme sejít s kolegou viníci ty klíče
0:02:09	na papírku nebo flaškou a sme si jistý že jsme si vyměnili s tím stranu
0:02:12	člověk se strany týče
0:02:15	o té doby komunity _m šifrovaný všechny pořád ovšem dyž otevřete v prchal cz
0:02:21	tak se za něj nemůžete za nikým přít prostě
0:02:24	ve za pepou a chtít po nějaké klíče takže musí místo nějaký jiný způsob vy
0:02:28	si totiž musíte být jistí že komunikujete se správnou protistrano opačném případě může mezi váma
0:02:34	a týmu server úprav autu stát někdo komu se říkáme lidem lidl a může předstírat
0:02:40	že ony open a vlastně to komunikaci
0:02:43	dostává on zašifrovanou svým klíčem
0:02:47	veřejným
0:02:48	on si dešifruje lidí a bude komunikovat za vás tím s tím serveru penaltu to
0:02:53	nechcete případě u penaltu
0:02:55	vy to nebo základ daně případně i mailů banky vyšoupnu tam dáváte kartu a dalších
0:03:01	služeb o už tragédie může být
0:03:04	takže vznikl nějaký systém autory co všechno miliony prostřední který vám vystaví
0:03:10	certifikát se ty cikány kteří dokument to je důležité který vám ten server při každém
0:03:17	kontaktu na začátku předá čili někdo občas se dočte na internetu že si chci někomu
0:03:24	ukrást jeho certifikát to jako není co krást _e veřejný dokument
0:03:29	a
0:03:29	a tom dokumentu je zapsána
0:03:32	kde je tam hlavní doménové jméno vašem co autor holt cz
0:03:36	a ten veřejný klíč
0:03:38	kromě toho je tam spousta dalších věcí já jsem o to měl samostatnou přednášku co
0:03:42	všechno certifikát jak to funguje to ty prázdniny důležité
0:03:46	ty dost to znamená ten certifikát propojuje doménu
0:03:50	s případě teda webovém certifikát doménu
0:03:54	a veřejný že to podobné jako občanka kterou vám vystavuje autorita ministerstvu vnitra se my
0:04:00	sme dneska
0:04:02	propojuje vaši fotku vašem ne o tak podobně tady certifikát propojuje váš veřejný víc vaším
0:04:07	domem
0:04:10	to je tím pádem protože ten certifikát digitálně podepsaný tak může ověřit že ho vydala
0:04:16	ta správná autorita že je platný a tak dále
0:04:18	a tím si jistý že
0:04:20	dostal ten správný klíč celé se to _m teďka ní
0:04:26	ne úplně skvěle
0:04:28	je to parádní věc
0:04:30	a že ty případy kdy to selhal
0:04:32	a
0:04:34	protože autority jsou s _e co univerzální důvěryhodné znamená každá autorita může vystavit
0:04:41	komukoli ten certifikát na jakékoli jméno je to podobné jako s těma občankama prostě pro
0:04:48	vás může falešnou občanku si na vaše méno může vystavit jakákoli teoreticky jakákoli
0:04:53	jakýkoli stát a ona bude platná ta občanka asi tak ten _e problém
0:04:58	bohužel se to stává tady jsou nějací hříšníci kterým se stalo že jim prostě nikdo
0:05:03	buď omylem nebo nějakou chybu nebo u nějaký útokem nebo zatim mohli třeba jistá nějaké
0:05:08	státní zájmy
0:05:10	prostě donutí vydat se to řikat třeba na velkou nebo na githubu tu chvíli ten
0:05:16	kdo ten certifikát se svým veřejným klíčem a
0:05:20	má k němu ten privátní klíč tak je schopen se za tu funguje dál
0:05:26	certifikační autority zhruba šedesát společností které to dělají ještě delegují různě na dnešek autority a
0:05:34	dohromady chase třinácet těch certifikačních autorit jako takových které mám importované co rodiče
0:05:42	problém je že není důležité je jak je silná ta nejlepší autorita ale když slabá
0:05:47	a nejhorší protože celé jedna smělého to zní se zničí celý košík
0:05:52	prostě malej na s těch autory bude schopná nikomu vystavit artuš
0:05:58	to bude nějakou chybu nebo tím útokem nebo jakkoli certifikát na neoprávněně certifikát na nějaké
0:06:03	jméno tak tu chvíli to celé selhává a důvěryhodnost
0:06:09	toho se bojí hlavně provozovatelé služeb
0:06:12	samozřejmě nej hlas nejhlasitěji se toho bojí ti velcí no jako google microsoftu apple
0:06:17	ste banky samozřejmě ty karetní společnosti
0:06:22	a
0:06:24	podobně ten systém je dobře navržený je velmi robustní funguje dobře ale stojí to na
0:06:30	té bezpečnosti těch autorit ho jakmile prostě jedna si autory nějak prostě selže tak máme
0:06:35	vážný problém všech
0:06:39	právě typicky ty velké firmy se bojí toho protože ve chvíli kdy windowsy udělal prostě
0:06:44	g velkou certifikát nemůže prostě číst veškerou poštu a
0:06:47	a krást po přihlašovací údaje přidávat si tam vlastní máme do těch stránek když bude
0:06:54	zastupovat a podobně
0:06:55	takže tihle ti hlavně hledají nějaké řešení
0:07:02	co to pekla existuje jsou různé snahy o nějakou vylepšit a z víc eště zabezpečit
0:07:10	je tady pár příkladů
0:07:12	do dockeru path linování klíče že vlastně přenesete tu
0:07:18	tu důvěry ne bluetooth
0:07:20	zvýšit _e důležitost ho samotného klíče
0:07:23	to je zajímavá věc je to hlavička html hlavička zlomí bude opouštět protože jako má
0:07:29	určitá úskalí taky mám potom samostatný článek nám to vidí jsou tam taky mluvil možná
0:07:34	i loni tady
0:07:36	o co se po lese se slouží k rychlejší nebo kecy klíče wifi zjistíte že
0:07:40	nebo certifikát když komouš
0:07:43	vám nikdy ty klíče ať si můžete něco dělá
0:07:46	třea záznam v doméně který
0:07:50	kterém jakoby deleguje tetu to právo vystavoval certifikát na nějakou konkrétní autoritu zase to má
0:07:55	nějaké nevýhody nesmí to validovat klient
0:07:58	ten se nesmí nejen má zakázáno se do té domény dívat a zjišťovat jestli je
0:08:02	ten certifikát dopravu vystavený to autoritou prostě je to problém
0:08:06	zase to není dokonalé řešení pak je tady spousta projektů které se zabývali tím že
0:08:10	sbírali certifikáty na webu nějakým robotem
0:08:14	vytvářeli si databázi aby bylo dohledat ale jaké certifikát existují a tak dále všechno to
0:08:19	jsou takové jako
0:08:21	malé krůčky ale
0:08:22	nic toho nefunguje úplně dobře nic slovo není stoprocentním řešením toho problému
0:08:28	děcka navíc romantický nějaké jako přináší to samo o sobě další problém jako takže capture
0:08:33	a petr stejný že vyšla nová revize smečka která se to pravila částky pole nové
0:08:37	přinesla takto
0:08:39	to je podobné prostě todle sice vyřeší kousek o problému ale další prostě ty další
0:08:43	pět kilo problém to přinese
0:08:46	takže to pořád máme to riziko to neoprávněného vydání to jako hafan hlavní problém certifikační
0:08:51	autority současné době
0:08:53	další problém je
0:08:55	že když už se to stane tak trvá strašně dlouho než se na to příde
0:08:58	prostě nikdo si toho samotnej časem všem _e jo minimální ty sbírat svírací roboti narazí
0:09:03	na to že tady nějaké čínské které se prostě validní statistika na rukou ale ne
0:09:08	ten byl by to chtělo vědět hned ideálního prostě strašně brzy aby mohl něco dělat
0:09:13	řešením je to celé otevři a udělat to všechno
0:09:17	transparentní a donutit všechny autority zveřejňovat všechny certifikáty které vydají
0:09:22	takže taková věc by umožnila
0:09:25	dělat
0:09:27	kontrolu toho co se vydává dělat i zpětně nějaké audity prostě hrabat se vtom je
0:09:32	to takový jako je dnes takové sto tak by to bylo tak jako takový ten
0:09:36	co se dneska probíralo názory mistr smluv prostě všechno je veřejné kdokoliv to může leda
0:09:41	problém
0:09:42	pokud někdo vydá něco neoprávněně já sám se to pak můžu hlídat může na to
0:09:47	reagovat spustí nějaký poplach můžu ten posun to autoritu co to jako je věci městě
0:09:52	že pře dvěma minutama se tady něco vydala jsem nežádal _e to prostě nekupujte a
0:09:57	tak dále je to prostě veřejně vědět
0:09:59	pak je přehled o všech certifikát jak jo čili on to nemusím se tam já
0:10:03	to svoje domény ale zkontrolovat
0:10:06	už potom všechno
0:10:08	a
0:10:09	kdokoliv židáckou
0:10:11	tam je z existuje menuje se takže ke transparency a vlastně oni ale přednášky
0:10:17	jsou to veřejné luky
0:10:19	pro ukládání certifikátu čili nějaká velká databáze která používáme kubešovi strom dá se to ně
0:10:27	přidá jakákoli změna je vidět když někdo to bude editovat něco upravovat něco mazat vyzkoušeli
0:10:33	mazat třeba s toho jeden certifikát testovacího na zkoušku tak samozřejmě
0:10:37	je vidět že tam ten certifikát chybí
0:10:40	_e
0:10:40	kdokoli do toho můžete certifikát je přidávat ale aby to nikdo ne doslova nějaký nesmysly
0:10:46	tak se tam přidávaj pouze certifikát jo těch uznávaných poli
0:10:53	další problém který to ještě řeší navíc té přímé že není možná teda to v
0:10:57	a certifikát je to dělala certifikační autorita mlsání protože
0:11:01	už dneska vlastně dobývají poslední certifikáty používající sha jedničku a oni chtěli ještě vystavit někomu
0:11:09	kdo je chtěl tak vlastně protože eště certifikát soustavě tak ještě rodiče uznávají aby ještě
0:11:14	rozběhli že oni ještě jako a teda to velice připravili ho dneska ale napsali voni
0:11:18	že rok a ústavní abys no co se myslí
0:11:21	a tady ten ta se tedy vás pane se mu sou ti brání
0:11:26	jsou tam nějaké funkce další někdo kdo je monitor kontrolujete logy hledá problémy ty tylovy
0:11:32	se tady o protimírová takže si můžete udělat i kupy
0:11:37	a pak je tu
0:11:38	auditor který cože typicky prohlížeč nebo je to součást rodiče který dokáže zkontrolovat to že
0:11:45	tam ten stejný certifikát je pokud chcete víc terezce šedesát dva tady je odkaz
0:11:52	definuje přesně chce předjet aspartic
0:11:58	prvního koše spustil google před
0:12:01	více než čtyřmi lety
0:12:02	pěti lety
0:12:04	a dědice už začal před čtyřmi lety vkládat certifikát že to je věc která všechno
0:12:09	běží
0:12:11	odporně ledna dva tisíce patnác vyžaduje chróm aby
0:12:15	_e certifikát je to jsou takové ty není vyšší certifikáty žádost docela vám nebo a
0:12:20	lůzu tak vedle adresního řádku ne zámečku máte napsáno třeba fío banka a s nebo
0:12:26	něco takového
0:12:26	tak teprve certifikát a aby se tohle objevil musí ten certifikát být se třídě transparency
0:12:32	zveřejněny
0:12:33	tak se chová chroot ledna a tisíce patnáct
0:12:37	my se na to před nějakou dobou někdo ptal že je divné že má _mhm
0:12:41	certifikát duševně a že von se neukazuje prostě přesně tahle informace tak je to protože
0:12:47	nebyl pravděpodobně ten certifikát účes o tom budem povídat jak to funguje uvnitř dokonce vyžaduje
0:12:53	aby byl aspoň ve dvou pruzích
0:12:56	protože se si mám tak _e byly nějaké problémy také google
0:13:00	přidal do kroku že i jeho certifikáty musí být zveřejněné pokud mají být důvěryhodné musí
0:13:06	být zveřejněn fu transparency
0:13:09	a ty tam důležitá informace a proč vůbec tahle přednáška vznikla teď
0:13:12	protože od dubna dva tisíce osumnáct tam musí nic veřejně ne všechny certifikáty aby byly
0:13:19	aby byly důvěryhodné
0:13:22	dokonce už to mělo být teď voni plán počítal začínám sedumnáct čelit tuhle chvíli už
0:13:27	by sme se bavili o tom že už to tak je
0:13:29	ale protože byla ňáká velká konference k tomu šesti _m i s těmi autoritami a
0:13:34	to vlastně řekli že problém že na to ještě nejsou připraveni že ty utility nejsou
0:13:38	dobře jako do programované špatně se to integruje do těch jejich systému a tak
0:13:42	tak
0:13:45	tak s tou půl roku posunuli
0:13:47	ale platí tuhle chvíli aspoň že od dubna osumnáct to bude vyžadovat
0:13:53	krom dneska je mi používanějších lžeš takže po vlastně budou muset řešit stejně co my
0:13:59	všichni a hořela oznámila že taky chce že má taky plánu ale zatím neřekla termín
0:14:05	ale řekla že rozhodně chce se triky transparency podporovat tak
0:14:09	problém je že to bude fungovat jen s případě když to budou dělat všichni to
0:14:12	je jasné že prostě to nemůže být doma na dobrovolné bázi musí listovat pro na
0:14:16	ty autority nějaký donucovací mechanismu ten auto na ty provozovatele ti certifikát o to
0:14:22	to je jako vy
0:14:23	ta ten mechanismus je zabudovaný prohlížeče dělá to ten ta část která to umí kontrolovat
0:14:29	ten pro víš umí zkontrolovat že certifikát ty dostáváte jevů
0:14:34	od zavozí kontroluje
0:14:36	že ho vydala na autorita že podepsaný správně že tam je dá správná plat usnadnit
0:14:42	své platnosti že nejsme prostě že teďka _m
0:14:45	není
0:14:46	nezačne platit budoucnu našel
0:14:49	že není
0:14:50	nebo kovaný a tak dále ale k tomu se teď nově přidá dubnu
0:14:54	pokud co se neposune
0:14:56	kontrola toho že je vystavený phil septik je transparence u
0:15:01	jenom takový certifikát a bude důvěry
0:15:04	tím se vynutí to zveřejňování certifikát
0:15:24	to samozřejmě je taky dotaz dotazy asi tomu dostala dotazy jestli se dá ta databáze
0:15:29	vyčíst celý ten certifikát zamoří ano to je ten princip já si chci hlídat že
0:15:33	mi na obrazovce ze nikdo nevydává podobně certifikát
0:15:37	to je to je ten hlavní účel
0:15:41	ne je tam ten certifikát sem
0:15:43	je tam sem
0:15:50	je to tak a tomunshle vyrostla
0:15:54	_e
0:15:54	klient se přímo tomu ne tátovi ne škálu malou za prvé prostě kdyby se jako
0:15:58	čtyři miliardy to je tu začali ta nějakou jestli je tam certifikát prostě tak bylo
0:16:03	prostě u tam během deseti milisekund
0:16:06	a navíc by unikaly informace kdybyste otevírali úkoly stran kdyby se nějakýho dozvídal dobře si
0:16:10	se na to dívat tak to nefunguje
0:16:12	to důkazní břemeno jsou tvé nazval je přenesena na té server čele na toho uživatele
0:16:17	toho certifikátu
0:16:19	a ten vám musí aktivně no muži
0:16:22	že ten certifikát je volný
0:16:24	a proto taky
0:16:25	ta přednášky tady protože pokud něco jako spravujete tak co vy budete muset zajímat
0:16:31	jak jsem říkal ten certifikát můžeme položit úplně kdokoliv a ideální houšť skládá ta certifikační
0:16:37	autorita vpřípadě
0:16:39	že ho vystavuje tak to tam rovnou stačí to je ideální stav ale není to
0:16:42	úplně no to ne prostě pokud
0:16:44	po potřeba máte starší certifikát který vám litrů platí tak můžete sem že ta to
0:16:48	celé zařídit sami o nepozvete k tomu nikoho dalšího
0:16:53	vy tam ten certifikát strčíte
0:16:55	a
0:16:56	on vám ten blok vrátí zpátky něco k čemu se říká se co to neboli
0:17:00	sunset připoután stavem
0:17:03	to by se dalo přeložit jako podepsané časové razítko certifikát o
0:17:08	a jaký je to nějaký příslib zařazení certifikát pojišťovací ostrovů obvykle do dvaceti čtyř hodin
0:17:14	že se tam objeví ale vy už dostáváte to potvrzení okamžitě že s takže ho
0:17:18	viděl ona prostě říká
0:17:21	tady máš důkaz o tom že tento konkrétní certifikát máme
0:17:24	viděli jsme hodinou
0:17:26	a
0:17:27	server pak musí přitom
0:17:29	představování na začátku klientovi to sice to doručit
0:17:35	to odesílání dolu probíhá doma psa motorech céčku
0:17:39	prostém tady na tu na tuhle adresu jako čína či
0:17:44	je tam
0:17:45	je tam toho spousta stě můžete s tím logem mluvit o mám mít o sobě
0:17:48	na nějaké statistiky třeba jak vypadá
0:17:51	jeho veřejný klíč
0:17:53	jaký je hash to kořene toho stromu tuto chvíli
0:17:58	kolik lidi certifikát mysim a patnáct milionů databázi a tak dál a tak dále
0:18:03	vstup je že jsou certifikace znáte nadávek klasicky ve šedesát čtyři kódování je
0:18:10	když si tam nacpat
0:18:13	se celou tu cestu
0:18:15	chtěl všechny ty mezilehlé certifikáty a sem vám odpoví tím se co to
0:18:20	takle můžete oslovit chtělo by to doporučováno abyste měli víc těch se toto a prostě
0:18:26	mohli co white nebyli připravení zalyžovat jako infrastruktura certifikační autorita
0:18:30	aby jste získali aspoň jedno to se co to aby to fungovalo takže prostě oslovit
0:18:34	je třeba osum nacpete tom nich nebo štyři prostě nějaká hnusná nějaká set setup
0:18:40	na kolem sto bajtů propust to bajtů protože se používá
0:18:45	moderní algoritmy kritických křivek takže ty klíče jsou velmi malé takže z žádná extrémně velká
0:18:51	zátěž pro ten váš se to není prostě vy posíláte
0:18:55	tři kilo bajtový certifikát přidat se k němu zpomalit sto osu co to
0:19:02	dá čili jste získali se toto
0:19:05	ovšem dělaj končí
0:19:08	custom se co to je
0:19:09	je tam leze standardu tolik měl existuje myčka
0:19:13	je tam lokální čili veřejný klíč je to holubů
0:19:17	to je ten bod důvěry ty veřejné klíče máte větší zase
0:19:20	nebo vtom software který s tím pracuje
0:19:23	takže podobně jako u certifikační autorita se jako je to taková autorita
0:19:28	které věříte zase umí to uvěří že vydala správně ten
0:19:32	bluetooth
0:19:33	posad se to
0:19:34	je tam
0:19:36	ten popis samozřejmě chcete se a
0:19:39	a časová značka kdy
0:19:41	to bylo vydám
0:19:44	kdy vám dostanou to potvrzení
0:19:47	to je vlastně všechno a ten důležité ovšem jeden podpis
0:19:51	není to není podepsaný jakou certifikátu tak z ale ta informace to se co to
0:19:55	bylo k ničemu kdybys to byl jenom podepsaný část a lokální
0:19:59	ale do toho podpisu vstupuje hlavně celý ten certifikát no tam nějaká struktura popsaná že
0:20:05	vezmete prostě tady tu cestu přidáte k tomu nějaký čas nějaké další věci a tohle
0:20:10	podepíše to je výsledek
0:20:12	a
0:20:13	to je to hlavní co potřebujete dostat takže s tu chvíli když tohle dostane ten
0:20:16	ty je
0:20:17	tak mám certifikát na všecky ty informace má tu časovou značku lidi postará si to
0:20:22	zpátky a vlastně je schopen uvěřit že ten podpis který je součástí to se co
0:20:28	to sedí tomu certifikát účelem a kouká s offline ověřený nemusí sou nikoho dalšího ta
0:20:34	že ten
0:20:35	ten konkrétního o k o tom certifikátu ví viděl
0:20:40	takže to je to co dělá ten to je
0:20:44	to se co to vypadá například takle to sem si vzal z nějaké _e banky
0:20:48	se nějak která měl zrovna je ve certifikát tak prostě takle vypadá tady vidíte do
0:20:53	že jsou tady dva
0:20:55	dvě ty razítka jo vidíte verze
0:20:58	no každý
0:21:00	timestamp
0:21:01	je to bylo by ten blok to viděl a ten samotný podpis
0:21:05	to je tu máte
0:21:06	takhle to vypadá
0:21:07	dycky čitelné
0:21:10	jsou přizpůsobuje tomu klientovi můžete dát
0:21:13	první varianta součástí o co se to s teplým o co se to před co
0:21:17	o něm zmínil
0:21:18	je způsob jakým se mu denně blokují certifikáty funguje to tak že vy vlastně nebo
0:21:26	klient když dostane certifikát se může optat autority jestli ten certifikát ještě plat
0:21:31	to je zase problém že to neškáluje takže jsem myslel něco čemu se říká o
0:21:34	co se postupy
0:21:37	a
0:21:39	může takže ten server třeba
0:21:41	engine x
0:21:42	se sám připojí k té autoritě
0:21:45	zeptá se jednou za čas jestli ten certifikát platný autorita mu zase pošle nějakej jako
0:21:49	o co se podporuje kdo trochu podobné tomu co se to udělalo
0:21:54	a ty odpovědi napsáno ano tento certifikát je stále platný a tato informace platí přišli
0:21:59	a je to zase podepsat
0:22:01	a on
0:22:01	vám step link je takové to přiš příští papírů kanceláře
0:22:08	tak
0:22:09	mám vlastík tedy říkal takle při cvakne malé potvrzení od autority které platí tři dny
0:22:15	je to takové potvrzení obezita činnosti když jedete na tábor tak k tomu při cvakne
0:22:20	prostě potvrzení takže u se nemusí ten klient sám doptáte autority ale dostane toho moc
0:22:25	_e končí platnost toho
0:22:28	toho co se to potvrzení tak se ten server před názvu takže to funguje to
0:22:32	dobře
0:22:33	zároveň je možné do toho dávali pořád šíření do toho co se po
0:22:37	takže je možné se domluvit nebo ta autorita která provozuje ten o co se ta
0:22:43	responder se jmenujete věc ta věc které se ptáte tak může strčit dívám vystavit certifikát
0:22:49	strčil do lomu získá srdce to naleje ho do o co se po responder u
0:22:54	a ve chvíli kdy vy získáváte třeba na tom svém ženy chcu
0:22:58	toho co se po odpověď tak k ní dostanete roli to se co to a
0:23:01	takle to strčíte tomu klientovi a on má k dispozici tohle všechno
0:23:05	je to trochu složité nespolehlivé protože ne všechny prožít čumí o co se to tak
0:23:10	jako plus úvod ono se má na a tak dále je to první varianta řekl
0:23:15	bych tam která se mi bude úplně moc používat ale je to možnost druhá možnost
0:23:20	je
0:23:21	přidat to jako rozšíření do tý je les
0:23:25	to je
0:23:28	pro situaci kdy si to zařizujete sám
0:23:30	jo
0:23:31	k tomu nikoho nepotřebujete
0:23:32	vezmete dneska to může dodatek vezmete certifikát stačí toho dolu on má dva tisíce to
0:23:38	v jeho uložíte do souboru to srdce to a konfiguraci třeba lapače a von ženy
0:23:42	jsou přidáte prostě přidávají se co to co ho to souboru a začne se to
0:23:47	dít hello když se baví na začátku de komunikace předává se
0:23:52	certifikát server tak vám rovnou strčí prostě
0:23:55	_e
0:23:56	rozšíření které se _m sání se taky timestamp je tam napsané manuálně v něm stačí
0:24:02	to se co to nepotřebujete k tomu nikoho dalšího
0:24:04	jediné co potřebujete aby to uměl jsem
0:24:07	ne jenom jsem prostě ten sem
0:24:09	malými sampled jsem se mohli to se týkají zájmem jsem
0:24:15	to je fajn že ta existuje právě proto že k tomu nepotřebuje nikoho dalšího že
0:24:19	budete mít nějakou autoritu která bude faustova nebude pršet to mám ještě tady máte dokument
0:24:24	na webu tady todle ty slajdu toho pána o tom mluví takle se to zařiďte
0:24:27	sami tak to tam můžete udělat ale nejpoužívanější bude pravděpodobně pocit dala třetí místo
0:24:33	a to je
0:24:35	že se ten
0:24:37	to co se to přidá hroznou
0:24:39	do toho certifikát
0:24:41	to na vás tím pádem neklade žádné nároky všechno se stane samo certifikační autorita vystavit
0:24:46	certifikát se čelu přidali jsem co to takle vám to dá a vy to budete
0:24:50	používat jak to používáte doteď
0:24:54	pravděpodobně to tak bude nakonec používá násilí častěji
0:24:59	ho to napadlo ta otázka
0:25:01	jak to ten ta autorita udělá a že bude mít se co to
0:25:05	něčemu co eště nevystavila a nebylo součástí toho co vystaví když to ještě nevystavila
0:25:10	že ho brejle se vezme špatně hledají
0:25:13	tak samozřejmě
0:25:15	to je logické otrapa nejsem to řekl
0:25:21	no to má samozřejmě řešení
0:25:24	takže se vytvoří něco čemu se říká prej certifikát který úplně stejný jako ten končil
0:25:29	koncový certifikát doporučuje se aby na to byla ještě vyřazena vyhrazena druhá autory tak podřízená
0:25:36	ten mě autoritě a touž jako jedno s ten řetězec prodlouží
0:25:40	a obsahuje jedovaté rozšíření
0:25:43	čili jeden byt který je ovšem
0:25:46	jakoby kritických nastavený má nastavený bit jako kritický
0:25:50	takže nemůže sednem prej certifikát použít normálně pro běžný provoz prostě ty protože tam je
0:25:57	ten jet
0:25:58	tak ten prohlížeč jste mu webu prohlížečů ten je častější použití hodný
0:26:03	že ta autorita vytvoří ale ten je nepoužitelný
0:26:06	stačí ho tě jakýsi záměr že bude jednou vytvořeno mám certifikát takového strčí
0:26:12	do speciální do speciální cesty
0:26:15	ad klíče
0:26:17	to je toho view
0:26:20	kolo to zkontroluje vydá na základě toho se co to
0:26:24	ale přitom vydávání
0:26:26	se
0:26:27	jak to vstupuje do toho podpisu proto se co to se zanedbá ten podpis který
0:26:31	pak řemen bude platným to certifikát u druhého bolí a ten je se za nebo
0:26:36	a
0:26:38	tak to vytvoří na západě to prej certifikát osa co to autorita to přidá do
0:26:43	toho certifikátu vypne ten jet a poli všechno znovu
0:26:46	a tu chvíli máte
0:26:48	podepsaný certifikát jehož součástí na metro šíření je se co teda to je zase podepsané
0:26:52	prosím autoritu
0:26:54	s tím že klient to holení
0:26:56	ten celá prohlížeč
0:26:57	a umí se to celé sestavy z no jo zase si umí s tam prostě
0:27:01	jakoby virtuální přidá ten je a
0:27:04	smaže podpis a zkusí si spočítat else co to a vyjde mu stejné funguje
0:27:11	a dotaz
0:27:22	jo přinese oba najednou při
0:27:25	pořád se provizorní přidali se a ten certifikát se vydáme
0:27:29	je to tak
0:27:31	jak to vypadá teď
0:27:34	tuhle chvíli chrom uznává patnáct
0:27:37	které provozují různé organizace ultra má čtyři sto z nějaké svoje testovací jeden má speciální
0:27:43	jenom dole centry další má pro jiné placen pěti letech vygeneruje strašně moc certifikátu
0:27:49	jsou různě velké které mají statisíce některé deseti miliony certifikátů ale předpokládá třída infrastruktura se
0:27:56	bude časem zaluštil
0:27:59	co je taky zajímavé přimotal vlastně ten strom bude pořád nekonečně růst
0:28:05	co s tím protože teďka by přibývá a přibývá
0:28:09	tak to má zaměřený řešení že ten strom nemusí mít jako nekonečný oni se můžou
0:28:14	kdykoli rozhodnout do něj přestat přidává a vytvoří se nový strom vedle
0:28:18	s tím že ten starý musí existovat stále proč není dokud je v něm platný
0:28:22	alespoň jeden certifikát jakmile ty certifikáty certifikát jakoby vytýkají všechny přečti padělat sem kdyby za
0:28:28	tři měsíce
0:28:29	tak se ten servis to může smazat že nikdo nepotřebuje protože mě nikdo nebude ověřovat
0:28:33	certifikáty které zamoření hoře můžeme s tím hromada pak si měl za sto let něco
0:28:37	hledat ale
0:28:38	nějakým výzkumem dělat ale s tohohle principu toho dokazováním že to jedno ten strom se
0:28:44	může zahodit a proč já jsem tomu
0:28:48	mobilem vizi k tomu i webové rozhraní už vám ukázal
0:28:55	show windows
0:28:57	znám windows jenom z doslechu takže von je tu používá
0:29:01	manželka se dá dělat vše chtěli do práci windows no neudělaj ani vypnout
0:29:08	a ten ajťák se bojíte na tom něco
0:29:11	se teda dobrý
0:29:13	_e normální použil ty windowsy
0:29:15	nefunguje klávesnice
0:29:17	aha jo
0:29:20	tak to
0:29:21	teď hned
0:29:27	takže vpravo
0:29:32	asi dobrej oddíl ten
0:29:34	čkej nějaký že
0:29:37	co to pomůže
0:29:44	jsme mladičkami hustě
0:29:46	tak tady vidíte vtom úlohu úhlu
0:29:51	že se uprchnout vystavoval nějaké certifikáty můžete se na ně podívat ten
0:29:56	kolik auta jsou že letenky od začátku toho tělu dál a tady vidíte že tady
0:30:01	ten certifikát je tady jo celé číslo je tady méno no jo vyplatí a ty
0:30:07	logy obsah tady jsou všechny domény s toho certifikátu
0:30:11	jsou na máňa livie tady žili si kliknete na cz tak to tady prostě viď
0:30:16	potom existuje druhá varianta co dotaz
0:30:20	je to tom
0:30:25	která jakoby funguje na příště milovy
0:30:29	a prohledává je a to takle tady vidíte všechny možné
0:30:34	certifikáty které kdy byly na doménu praotce list ale můžete si na ně kliknout
0:30:41	ten certifikát stojí můžete kompletně celý stáhnout
0:30:45	tak jak je na tom nemůže to jsou porovnat že vám senzor open half cz
0:30:50	dále a
0:30:53	dává
0:30:55	ten sám
0:30:57	pohodě informaci
0:31:00	ano ve cinkne to tam dává automaticky ale zatím ne jiné nepřidává nikam to se
0:31:05	co to
0:31:07	to nic samozřejmě to je seznam věcí který mike plán tak je tam prostě nějakým
0:31:12	způsobem určovat sice to
0:31:14	a s tím že asi to budou teda dávat taky do toho certifikátu ale nemají
0:31:17	tu infrastruktura to ještě připraven to jeden z důvodů proč se to odkládá
0:31:22	ale od začátku tam ty certifikáty dál
0:31:26	pokud tebe nějaké dalším podrobnější informace tak je existuje pěkná stránka certifikaci transparency doktork na
0:31:31	které je prostě jsou jako aktuální informace přesně o tom kde sou které logy
0:31:36	podívat se tam majetek zimě klíče
0:31:40	_e všechny podrobnosti které k tomu budete potřeba
0:31:45	funguje to push teď i když tak ještě není nasazeného povinně tak push jsou výsledky
0:31:50	o dalo se přestože čas
0:31:52	si máte klid vystavil neoprávněně
0:31:56	tak fikané minut google com o bylo se na ty dva tisíce certifikátu na neexistující
0:32:01	domény
0:32:02	odhad se problémy autority v osách a tak dále takže
0:32:06	funguje toho štětce vtom vidět prohrávají a nevěděla hlavně ty firmy
0:32:11	je google si povídal jsem o tom neděli nějaké nepravosti
0:32:15	a za moře to hlavní při do toho
0:32:17	kde tom vidím
0:32:18	to je zajímavé když se podíváte na se co to
0:32:22	přímo stromů co vlastně můžu ukázat
0:32:25	vypnu zde stůl s je oddělení se kvality a tam si najdete
0:32:30	podíváme se někam kde to teda jo tady je ve certifikát tady todle by tam
0:32:34	co mohlo být
0:32:35	tady jde štůs tady se k věci
0:32:38	příkazů stránky znova nač
0:32:39	jíst
0:32:41	a tady mají voliči na a tady vidíte se co to
0:32:45	jo
0:32:46	google kde git se jsou tam tři
0:32:50	i starost kliknete tak tady uvítejte detaily ty popisy
0:32:54	vidíte že tam jsou
0:32:59	víš co jsou to už divoce
0:33:02	tady by to mělo být taky vidět
0:33:05	fu rozšíření že to padne do terénu show tom certifikát asi dělají
0:33:10	to je první varianta je to uvidíte
0:33:13	no potom fofr
0:33:14	vzhled internals
0:33:17	kdysi ve hledáte dyž máte otevřené nějaké spoj nějaký server a začněte tam leda semence
0:33:21	tak vám to tam najde že si že máte otevře štyry tři spojení s touto
0:33:27	doménou takový certifikát a jsou ty
0:33:29	co se to
0:33:31	a potom
0:33:34	na tom webu co je to se to tam doporučuju se podíváte
0:33:37	pěkná věc
0:33:39	pak existuje služba cets potter tráva umí posílat maily případě nikdo vystaví certifikát na nějakou
0:33:45	vámi danou doménu
0:33:47	je to nejenom služba ale je to i nástroj který si můžete stáhnout změnám úkoly
0:33:51	s tou odkazů
0:33:54	do nenajdete to vede
0:33:56	prezentaci máte tak
0:33:58	ssl najít cestu to víte
0:34:01	a potom na chcete všechny transparency o sou lomeno i s tam jsou různé nástroje
0:34:07	různých knihovnách
0:34:08	existuje třeba takový jakoby hlavní nástroj který se linku který mít rádi komunikovat s těmi
0:34:15	logy a když chcete získat ten pro ten svůj server
0:34:20	ten to sice to tak vezmete ten pomocí něj s na to budu souboru ten
0:34:26	ten certifikát a on tam
0:34:27	stačí a na výstup vám vyhodí to se co to
0:34:31	ona totiž ta
0:34:33	ten holky když už ten certifikát známýho tam strčíte smlouvu
0:34:37	tak honza nebo je tím že vám zase vydáte se co to jsou můžete děkuju
0:34:40	je znova jako v žádném to samé
0:34:43	a open ssl to nějaké verze
0:34:46	jedna nula dva má podporu pro se to takže i s tím si můžete hrát
0:34:50	tvrzení neviděl článek kde který byl teda mluvím hodně
0:34:54	a chlapík tam popisoval jak lze se co to uvěřit ručně
0:34:59	jako že je to má prosím dvacet sedm
0:35:02	takže stahujete ty certifikáty dáváte k sobě prování tyto nějakýma filtrama
0:35:07	aby to bylo bejt šedesát čtyři aby to bylo zde vládla a pak sou vypadne
0:35:11	nějaký když ne někam strčit a tak
0:35:13	ale finále jako věříte že ten takže se to dá postup je pěkně vůdcem co
0:35:18	bude tohle destičku to nějak nekoukáte ale
0:35:21	ten člověk to umožňuje praktické na výzvu
0:35:24	slyšel jsem taky který je další věc kterou známe z doslechu tak prý má nějaký
0:35:28	vlastní taky monitorovací nástroj
0:35:30	takže docela taky ho to trápí ten problém se
0:35:34	editačně autory sami takže na
0:35:38	vlastně jaký nástroj ověření kam který vám ostatní
0:35:44	má to samozřejmě nějaké nevýhody
0:35:47	vznikla nějaká další komplikované infrastruktura autorit na autoritami
0:35:52	problém je že
0:35:54	jak se tam kolega ptal prozrazuje té nějaké interní domény to se spoustě lidí jako
0:35:58	ne že tam někde vystavujete
0:36:01	tuhle chvíli jsou spíše řešení vod že máte vlastně autoritu a nebo _e že použijete
0:36:05	válka certifikáty znamená když budete mít nějaké zákazníky zákazník tečka moje služba tečka c z
0:36:13	tak prostě může hvězdičkoví certifikáty vám to pokryje
0:36:17	a nemusí to vždycky stači navrhuje se několik variant nějakého redigování
0:36:23	jeden z návrhu je že byste tam ho požádali o zakrytí části toho jména typicky
0:36:28	žlutou toho
0:36:31	třetímu něco tečka
0:36:33	něco tečka c
0:36:35	že vlastně lobby zveřejnil zacechovanou část toho jména a vy byste klientovi poslali
0:36:42	nějak jako podepsanou nějaký klíč který by byl schopen někde něco dešifrovat mapování cíl nebo
0:36:48	vycestoval postupech ten klient si může opravdu toto reálné jméno trestané tvaru prožít řezáčova slovo
0:36:54	zkontrolovat si že to je ono a ták
0:36:58	pak je to ještě názor že byste mohli vytvořit zelený certifikát poprvé
0:37:02	on na základě jeho by byl vytvořen ten koncový certifikát tom mezilehlém byste zapli rozšíření
0:37:09	nějaký by ti kterým byste řekli další certifikát už nemusí vymlouvat stejně říct jako tu
0:37:14	cestou ukončení dřív
0:37:16	to sou zatím návrhy a eště úplně nevím jestli ty prohlížeče něco takového řidiče
0:37:21	google jestli něco takového bude jako ostatní
0:37:25	král to nedělá uplně sám o tom se tak jako
0:37:28	debatu je nějakých pracovní skupina a tak to je to je věnován otevřeně
0:37:33	jestli vůbec nějaký stě nám bude akceptovat tuhle chvíli prostě jediným rozumným řešením prostě používat
0:37:39	k a certifikát
0:37:41	jinak jako a ten problém může být že vám
0:37:45	prostě budou unikat dominována
0:37:51	to je dál
0:37:53	o drogách jsem říkal to bude povinné že to budou řešit vlastně certifikační autority
0:37:58	trochu jako správci
0:38:01	jsem možná
0:38:03	předpokládám že většina čehokoli to bude strkat do těch certifikát takže jako
0:38:09	nebo docela s tím nic dalšího dělá
0:38:11	předpokládá se že vznikl další logy postupně vznikají vidíte
0:38:16	že vzniknou nějaké další monitory další nástroje
0:38:19	takže prostě opravdu budou ňáké
0:38:23	další služby které vám budou hlídat vaše domény a posílám maily já
0:38:27	a nebo vás nějak modifikovat a tak dále je možné že někdo vymyslí na tím
0:38:31	ještě něco dalšího nějakou další
0:38:34	monitorovací službu která bude
0:38:36	co dáš ověřovat není je to je to úplně otevřená platforma všechny ty údaje jsou
0:38:41	tam vlastně veřejné kromě těch je tu dělo
0:38:44	takže
0:38:45	můžete vesele dělat na nějaké další věci
0:38:51	otázky
0:38:54	jsem se snažil pusť všechno přednášce
0:38:57	mikrofon máme distribuovat nebo
0:38:59	není potřeba jo
0:39:01	tak a to distribuuje mikrofón generic
0:39:05	já chcem sestru tam
0:39:07	se za
0:39:14	při na kocovinu co
0:39:18	já jsem se chtěl zeptat jak jste mluvil o těch brýlích nevyspělí
0:39:23	proč si prostě nevídaný ten certifikát normálně
0:39:28	tak jak ty
0:39:30	snadněji se prosinec zřetězí ty příslušné sekce teplice to z mýho pohledu řeší složitě tím
0:39:36	třicet čtyři táty
0:39:38	protože to takle protože to zavede ale to vlastně děláte tom tiles ale jako za
0:39:43	certifikát
0:39:44	jako nic nejde jen tak přilepit to musí být součástí toho tam jsou extrémní žel
0:39:49	se rozšíření tam certifikát kam se dá přidat zásadě cokoli ale to celé příbuznou digitálně
0:39:54	podepsaná se nemůžete jako někam za teďka cokoli přidat pár bajtů a doufat že to
0:39:58	projede k tomu klientovi
0:40:00	standardy jasně definovaným prostě certifikát jako certifikát to je prostě konkrétní formát
0:40:05	když ani chcete něco přidává nebo z něco udělat
0:40:08	tak to děláte umí zkoumat té struktuře ale ten certifikát je celý podepsaný takže prostě
0:40:14	z nemůžete si prování libovolné změny mě na předávat silně extenze proto se to dělá
0:40:18	takový se to a musím si přidat apod
0:40:22	že by se chtěl zeptat s tím netolice kryt ještě tak aby se ty certifikáty
0:40:26	stihli proto či tom příliš si čím cyklu ta dobrá otázka
0:40:32	a já ne jenom odpovědět oni mají oni mají vystavený ty nevím jestli tam je
0:40:37	konkrétní termín nebo není dobrý to chtěj stihnou
0:40:41	a jako tam je problém ani to do toho udávají nebo do těch logů ale
0:40:46	ne zveřejnění kde ten
0:40:48	ose co to takže já doufám že to tak bude že to opravdu stihnou že
0:40:52	přesně se proto či za tři měsíce
0:40:54	ty certifikáty že to stihnou to znamená budu držet do měli ideálně začít teda dělat
0:41:00	nějakém ale třeba push and
0:41:03	doufám že jo
0:41:05	nebudem se všichni ručně jakoby dává dotace se bude asi
0:41:10	že prostě dvacet milionů certifikátů ty děti vázané
0:41:16	tak já jestli sem to pochopil dobře tak ta implementace dřív blížící by mělo by
0:41:19	taková naše to bude vyšetřovat se dvě ty s c téčka to teď je proto
0:41:24	pro ten recept
0:41:26	a zaručuje se jakoby nic abych tam byl my jsme si dám ale jako nemluví
0:41:31	se o tom že by to bylo povinně pro ty pro ty jdeme certifikát že
0:41:36	by byly dvě je možné že to převezmou a ten princip nechají aspoň dvě
0:41:40	to je taky ne říc ale tuhle chvíli _e platí aspoň do
0:41:45	ale oni říkají že by to tak mělo být každém případě že by se to
0:41:48	mělo strkat aspoň do dvou tří několik aut
0:41:52	mně se jednou to když ten prohlížeč nebude nijak aktivně ověřovat sereš těch loga přímý
0:41:57	ten certifikát straně nebyli jen tak to znamená že dyž se dostanou dejme zlomí dva
0:42:02	ty logy do nějakých náhodných rukou tak
0:42:05	je to potom
0:42:06	stejně
0:42:09	no to je taky ten důvod proč řikaj že to máte dávat že to máte
0:42:11	auto tráva nový celou když se prostě může stát že
0:42:15	nebo bych chtěl třeba podvádět nebo prostě dělat s tím nějaké jako další věci a
0:42:20	podepisoval nějaké nesmysly exam řekli mi to je takle oddělené v různých organizací co vozila
0:42:25	mohla ještě nebo někdo takový jako ještě velký otevřeným provozovat další silově to by bylo
0:42:30	fajn a doufám že dostane
0:42:33	tak vlastně
0:42:34	když to stačí té prostě do několika takovýhle důvěryhodných veřejných rostou tak tím minimalizovat riziko
0:42:40	že nikdo z nich
0:42:42	zazlobí jako neviditelný takže prostě zase místa služba která budete logy porovnávat jestli nich třeba
0:42:47	z je to totéž
0:42:49	samozřejmě to se to je přímo to bereš céčku je doporučován použila němcům je
0:42:56	správci tech kluků budoucna ti největší provést tři sužuje popřípadě rusů může se stát že
0:43:03	by dceři k čemu to líto si vytvořil luk
0:43:05	jako dyby do určité míry si přímo kryl záda
0:43:08	to tak je některé ty logy provozu přímo tu certifikační autority to znamená nestane potom
0:43:13	se to že zase bude víceméně snaha dostat s útok do daný ho prohlížeče
0:43:20	tak jak je třeba teďka set většinou tudy tomu že vlastně před vytočil to je
0:43:23	to bude za to bych tady prudíš byla před zase nemusí bojovat nemusí bojovat a
0:43:27	my normální schvalovací proces stejně jako u certifikační autoritu znamená že vy si můžete založit
0:43:32	no
0:43:33	a tím se můžem se dalo nic společného ty sebe nákup na a prostě můžeme
0:43:38	požádat o zařazení tou mezi důvěryhodného ni a půjčím kolečkem aha jako stát se dalšímu
0:43:44	to není jako dá se děje překážka předpokládám eště ho budou nakonec až desítky a
0:43:50	budou se sám sebou měl
0:43:52	ta infrastruktura ještě úplně tak neexistuje by měla existuje poptávka
0:43:57	ne je věc ale ti miliony zařazený do toho programu je patnáct
0:44:01	ale předpokládat že se to za ústí že prostě bude hromada těch služeb od různých
0:44:05	jako společností a budou si mezi sebou ty objemy a
0:44:11	já jsem se chtěl zeptat ohledně těch logů oni mají nějaký veřejný klíč traktory podepisují
0:44:17	ten certifikát to jsou no neblbni prostě vzniká tím tam nějaký ten nadpis
0:44:23	a to znamená že vlastně oni mají veřejný klíč a ten veřejný klíč s importuje
0:44:27	tu prohlížeče přesně ták podstatě tak jak muset tři krčních autor že snědla to znamená
0:44:32	že teď máme
0:44:35	existují certifikační autority doživotně které jsou v prohlížeči a mimo to tam eště vlastně silní
0:44:41	ty veřejné křičí těch logovacích se vybuildí co světa
0:44:46	ty na patnác _e maestro zpomalit už že by z hlediska přání velikosti to není
0:44:51	žádný problém
0:44:52	máte tam je napůl kilobajtů jako čísel
0:44:56	ten kóty mnohem větší sou řekli to
0:45:03	anketa komu se to líbí nemyslela přednáška by se ten princip se ty řekne transparency
0:45:10	něčem komu se to fakt jako hodně
0:45:18	ten obraz nebo neví
0:45:20	li a může vědět proč jako
0:45:24	a ty z města že tak to se ti duplikuje to co uškrtili certifikační autority
0:45:29	akorát že akorát se třicet krát chcete z jeden za druhý ale jinak je tam
0:45:33	ten starý problém se tam je úplná a ta stromy
0:45:36	na ty čtyři sta mít když _e
0:45:38	může přidat je ten certifikát teto dvou z nich a pak jsme tam jsme byli
0:45:43	ne tak ale ten princip není vtom dávat si jako nějaké podpisy a prostě předávací
0:45:48	jaké nesmysly ten hlavní ten hlavní smysl je vtom že se to zveřejní posily nedělá
0:45:53	nebo aspoň většina autorit to nedělá nedělaj to povinně když se prostě letenky rozhodla že
0:45:58	prostě zrovna dneska mají blbej den a dnešní certifikát je to logo ne nacpou tak
0:46:02	to prostě nebudu
0:46:03	je to na dobrovolné bázi ty táhni prostě této můžou tohle nám se rozbila linka
0:46:07	do mobilu tak mi to tam neska spadne budem zase bude návštěvu zítřka a prostě
0:46:11	tam bude chybět prostě půl milionu certifikát to bylo to jako nevadí to se nic
0:46:16	nestane
0:46:17	principech tom že
0:46:19	ty to děláš autoritě tam všecko dávaj jak trest já jsem _e tak je k
0:46:23	tomu nucený
0:46:25	ale všichni ostatní ještě ne kromě těch ale certifikátu ale ten princip je že od
0:46:30	dubna by tam měl byt fakt všechno to znamená já
0:46:33	si pak můžu pustit toho
0:46:35	toho klienta u sebe na serveru kterými prostě jednou denně se mi spustí kolem projede
0:46:40	mi všechny doména které mám vystavené vystavený certifikát
0:46:44	a zkontroluje že se nic nebylo vystaveno klidně masa napíšu skripty mi porovná s těmi
0:46:49	skutečnými certifikát jestli
0:46:51	jestli sem to vystavoval já když uvidím že mi prostě pomoci letenky po někdo vystavil
0:46:55	certifikát na moje doménové jméno tak na to prostě přídu
0:47:00	o tom to je ten princip to je to proto chci
0:47:04	měl přehled o tom kdo si vystavujete přidat teda moje domény
0:47:08	úste odpověděl na otázku právě ten krom tady co jsem se chtěl zeptat že music
0:47:12	vlastně aktivní nějakým způsobem ověřovat soukromé si jestli to co na to ty služby udělat
0:47:17	to zvyklá kam se prostě přihlásíte nasypete tam seznam domem tohle měl je a nemáte
0:47:21	musíte mi nic
0:47:22	anebo je na githubu prostě ten software který si můžete nestane provozovat sám rostou tylovy
0:47:28	budu procházet
0:47:28	to je ten to je to hlavní kvůli čemu se to celé dělat
0:47:31	aby to bylo možný
0:47:33	na ty otázky jedna krátká to je teda jenom pro se rozhodli certifikát
0:47:38	tu chvíli je to pro u něhož nějak řešený když alternativu si někdo zastavil certifikát
0:47:45	na mě jak se to bude to řešit
0:47:47	no musím zavo autoritou a které protože tady jde to po vystavil a prostě jako
0:47:52	dotázat se prostě začíná jako
0:47:56	nejde o tom že musí ho tečkou
0:47:59	a je mi to usnadní tu zjistit samozřejmě jde o to že se okamžitou tak
0:48:04	principech tom že by se okamžitě a vždycky dozvíte o tom problém jo že prostě
0:48:09	to není že někdo vás upozorní hele tady byste jak jsem tady něco vás a
0:48:13	nesl za půl roku ze to můžete automatizovaně dozvěděl prostě teď hned
0:48:17	že někdo vystavil neoprávněně certifikát nějaké vaše
0:48:23	ale pak musí být za to autoritou a prostě nechápe certifikát o tom kině dost
0:48:28	výbušnin
0:48:28	zveřejnit to prostě tady podělit což dělají a tak dál
0:48:34	tak jo
0:48:36	děkuju za otázky užijte si zbytek dne

Certificate Transparency: povinně zveřejněné certifikáty

Neděle 5.11.2017 - D105

Petr Krčmář (Root.cz)