dobré odpoledne moje méno je petr proč vás
jsem šéfredaktor serveru root cz co vše nějaký zpravodajský server který vydává články a zprávičky
a
na kráse vesele von tam máme a
plné zábavy a
zároveň jsem aktivním členem sdružení nakreslit cz které
pro své členy
budu infrastrukturu virtuálních serveru je to neziskovku a máme tady stánek můžete se
při zeptat na spoustu podrobností
tahle přednáška už tetě ta prezentace na webu ona je dražší roku a pěkná a
tady je složku s pouštěla to až tak nevadí můžete se podíváte tam nějaký archív
co tam
jsou starší přednášky odkazy na vede a podobně
budeme se zabývat celé přednášce za to prosela
čili to teprv
tele stunnel
proč vlastně nasazovat dřív sem měl za to že toto pro se dobré tak akorát
pro banky a možná přihlašování na mail ale že to je taková zbytečnost
neska čím dál tím víc vidíme různé útoky vodposlechy sítí
zásahy do provozu
přijedete na letiště tam se vám místním žena která jako že zadarmo snaží cpát reklamy
do provozu to nechcete možné super koupí s sledování
takže si vlastně neska na tomu klasické metod oko nemůžete být uplně jistěže dostáváte informace
o toho se do kterého
to očekáváte
čili chcete zajistit autenticito těch dat že prostě když se nikdy hlásíte nebo něco čte
takže to je
všechno tak jak to má být na wikipedii nechcete aby vám
ruské agentury s zakazovali některé stránky které se nepohodlné podobně suse bohužel jako děje nebo
teď už ne protože má wikipedia toto pro se
bylo deklarováno herečce vedle sebe sama padesát osum že i monitorování útok
takže
prostě je snaha neska tohleto pro sanaci pokud možno všude
samozřejmě primárně tam kde probíhá nějaké osobní údaje nějaké přihlašování já třeba jsem přihlášený na
ubuntu a se jako bych nebyl rádi by mi někdo na nějaké síti třeba tady
která dozadu na ně okolností ta síť obrany šifrovaná
takže byste mohli odposlech no můj koupí a trochu si jako editovat článkem to a
tak tohle se nebylo úplně fajn takže toto pro se
takže mi nemůžete unést session kluky například
a
další varianta nebo další výhoda která tam je dneska moderní chlap serverů a moderních prohlížečů
že můžete nasadit a toto pro dva
cože nějaký optimalizovaný protokol
pavel satrapovi měl krásný článek na růstu
který umožňuje zrychlit přenáší tam výrazně bohužel právě se kvůli tomu že na síti jsou
možné krabičky které zasahují do provozu takže toto pro dva funguje vlastně jenom uvnitř toho
šifrovaného tunelu kde žádná krabička to nemůže po změňovat
a třeba kdyby tady byla nějaká diverzní proxi tak vám to na potom osumdesát nepustí
nic jiného než klasické na to se to pokud byste snad snažili cpát něco tady
toto pro tak vám to nebude fungovat proto bylo rozhodnuto
kluci prohlížeč už budu toto pro dva podporovat jenom mě číslovaného milda do tam do
to nemůže nikdo zasahovat
takže
to je další důvod proč to chcete
no a nakonec taková jako otázka k zamyšlení se sáčku je normální nezkoušej si ho
nepoužíváte let to nebo proč by to dělal takže asi tak jako je normálně se
za áčko
pro
přenos souborů na server terminálové sezení z ale na serveru tak by se mělo stát
jako to toto se postupně prostě normální věcí na webu
když se mě já jsem o tom někomu povídal jakékoliv práci že mu někde přednášek
o to pro se on říkal že vůbec neví co to co to je že
vůbec jako netuší své sem říkal to je tady taková ta ten zelenka zelená věci
ti objeví vedle adresy tom řádku
ona říkala no to znám ale obecném s to znamená tak sem říkal to je
za nákupní taška
a když uvidíš nějakého vyšlo pozor nákupní tašku že můžeš bezpečně nakupovat a že to
funguje prosím vás není to z mojí hlavy tomu za ty držky říká michal špaček
velký bezpečnostní odborníkem splnit účel ten nápad
takže abyste měli zelenou nákupní tašku
dostáváme se k ten certifikát u kterých se mluví neska a o kterých je vlastně
tahle přednáška nebo budeš se k tomu dostaneme
čemu to je mi neska umíme šifrovat bezpečně prostě si vyměníme klíče tady mezi sebou
jak se na vždycky posílat šifrované podepsané maily paráda případě webu a jiných služeb narážíme
na to že těžko můžeme zajít do googlu a říci tam na vrátnici jedna vytiskou
zřejmě klíčkem sedum
takže musíme tento protistraně autentizovala pokud bychom to neudělali jste někdo na síti může říct
já sem byl komunikují se mnou krásnější slova ně vy to budete posílat jemu a
ty informace vám někdo účely potřebujete nějakým způsobem autentizovat
toho že veřejný klíč který dostáváte o té služby
patří opravdu té službě
jo čili přichází tady ten problém důvěryhodného předání veřejného klíče tady nastupuje autority se vymyslelo
takle co sou nějací prostřední chci
kteří předtím
dostanou cena
veřejný klíč odtáhl
server o té služby a vystaví certifikát je nějaký veřejný dokument se dá ukrást nemám
přeneseme dycky podáváte jo tam ten při na začátku do hospody
a nimi napsáno že autorita x
k tomuto nové doménového jménu přiřazuje tento veřejný klíč
vy jelikož té autoritě důvěřujete nebo měli byste aspoň teoreticky
máte ve svém softwaru zabudovanou to autoritu jako důvěryhodnou
tak
ten váš software třeba pro víš prohnat na serveru root cz dostane o to autority
letenky ten certifikát v něm je ten veřejný klíč a váš prožít si řekne ano
této autority věří mám jiném portováno databázi důvěryhodných autory
a
ověří se elektronický podpis tom certifikátu a viz tam souši další věci jako odkdy dokdy
platí ten certifikát a podobně já jsem měl na středisku unixových technologie o kterém tady
dneska byla řeč přednášku pohled dovnitř certifikát už ho prodá zajímá co tam je všechno
tak se podívejte na tu tady tak proč máš cz zatím potom si můžete dozvědět
jak přesně ten certifikát
uvnitř vypadá je to dvouhodinová přednáška samostatnosti na to není úplně prostor ale to není
pro nás není úplně můžete
vděčnosti důležité že tam je
doménové jméno
veřejný klíč
ad autorita tam podepsal
říkám nějaký teda řetězec důvěry obvykle totiž to není takže přímo ta autorita které věříte
vystavuje ten koncový certifikát s praktických důvodů by se dal měnit certifikát rychleji nešáhnul aktualizaci
prohlížeče je víc nějaký kořen
pod ním teprve já tam aspoň jedna mezilehlá autorita která se jmenuje jinak mají název
a ta teprve vystavuje ten koncový certifikát tomu se říká řetězec důvěry a pokud to
tak to sedí že ta jedna autorita todle by další slevy většinou stejně jedna firma
to jenom technicky ještě udělá ne případě že by mi uniklo ten
klíč od toho prostředního privátní výhodou prostě měl certifikát u tak sou schopni ho zahodit
nebo taková abyste vytvoří si novou autoritu která se brát autorita ve pro budou mít
autoritu c autoritu kde je to jedno protože pořád vychází s tou kořene který vám
k počítači zůstal a je pořád stejně bezpečný
cache potom ten koncový certifikát potvrzuje identitu protože ten řetězec sally sedí navozuje to na
sebe o toho mluvili který máte zabudovaných ten mezilehlém třeba další mezilehlého pak tomu koncovému
tak je klíč předán a komunikace může začít existuje zhruba tisícovka těch autorit
těch technických těch mezilehlých certifikátu ale ve skutečnosti to je zhruba šedesát firem
o skutečných identit které
mají ty svoje krabice které je vedou ty certifikáty
ty podpisy
takže
když od některé z nich bude mít ten server certifikát vystavený přes ten řetězec tak
můžete věřit
největší překážky nasazení
sou s většinou ty technické
vy musíte když se rozhodne teda na svůj web server data pro sebe musí svěřovat
klíče vygeneroval žádost v najít si autoritu pošle dej tu žádost i musíte zaplatit kromě
toho že to stojí peníze tak jako vás to obtěžuje že musíte a kartu nebo
něco kredit nabíjet
třeba je to i device to dvě stě korun což není žádná jako raketa ale
prostě push to je problém prostě řešit musíte to krok navíc
musíte se ohlídá
a ten certifikát skončení nebo před tím než vám skončil nesmí skončit že tak pak
musíte to jako obnovovat
je s tím strašně práce takže ve finále se na to většina lidí prostě vykašle
a to proto se ne nasazuje
nedávno vyšla studie český košík roku cz by byla spousta různých dát ale sem sis
to vybral tuhle jednu podstatnou informaci
že
nám
vyšoupli poměrně začali masivně nasazovat toto se zatímco před rokem bych měl jenom šestnáct procent
jo šifrované spojit dneska je to víc než polovina
což ale taky nakonec není žádný velký zázrak protože
protože todle sou vybrané jenom vyšoupli yum obchody cože
podle mě na úrovni banky
čili
by to mělo být skupina která by měla by na tom co nejlíp a i
ta která je vidíte co nejlíp
tak má pořád jenom polovinu každý druhý show prosím posíláte bude pes
rozšifrovanou spojení vlastně nevíte komu je posíláte takže ta situace se zlepšila není dokonalá
ano
ano
aha jestli jsou to výchozí jestli výchozí nastavení nebo volitelné to neumím číst to nevím
sem studia nedělá
ne netuší o tom ještě další varianta že sis a může si můžete
jakoby rušena toto se že vás a mne přesměrujete sem což mysim dělajou penaltu ve
že musíte se tam včera na to toto se netuším si té výchozí stav nebo
volitelný
ano víme a voni vypršel certifikát s
tak takže se to se to měnilo
takže víte že ta situace se dramaticky zlepšil a za rok ale není to pořád
zdaleka dokonale
proto aby se to zlepšilo aby to dokonale bylo říkal projekt let semkly to cože
nějaký projekt je electronic floating foundation musela von lišák a mající sklo a další hromady
partnerů ty hlavní partnery tady vidíte dole kteří na to přispívají velké peníze
byla představená před vlastně přesně před
dvěma lety
a
beta vyšší běžela rok
nebo pak už to
teď už to beta není ale teda zhruba rok ta autorita vydá a certifikát i
a
přispívají jednotlivci tady bylo to když komu do se snažilo zaregistrovat dodatečně ochrannou známku let
sem kryt což bylo za moře považováno za velkou
jak to říct slušně nechutnost
tak se objevil lidi tady řekli super přispěl jsem na provozovat sem klid děkuju komodu
že mě na ně upozornili takže to mělo přesně opačný efekt a komu do potom
řekl že už to dělat nebude
že si tou ochranou známku registrované bude
let sem klid se snaží dělat ty věci jinak takže ten certifikát získáte zdarma získá
toho automatizovaně to je důležité protože tím se překonávají ty technické překážky kolem toho
je to průhledné
vše všechny vystavené certifikáty jsou od začátku zveřejňovány a je to otevřené jak ta serverová
strana taky klienti i ten protokol všechno je to maximálně otevřené
vlastně dělat co neznáme sou ty prváky klíče
ovšem není to zadarmo
rozpočet mají tři miliony dolarů ročně
a teď mají spuštěnou veřejnou kampaň se dá přispívat cesty paula tak takže pokud máte
třeba nějaké vyšší řešení a používáte tak by bylo fajn bystrém poslaneckou pár dolarů
pro ne protože musíte ale protože je fajn že to existuje
tohle je graf si statistik počty vystavených certifikátu
víte že to roste velmi rychle dokonce tam jsou jako velmi dramatické jako skoky nahoru
když to nasazuju třeba velké velkého stykové firmy stejné české jako
zahraničního pro velké tak pak to hodně vyskočí protože neska i ty české firmy umí
vám vlastně ten jejich certifikát třeba celý zařizovat prostě se zaškrtnete že to chcete a
máte to jde všechno vyřídí takže pro uživatele parádní věc ty bys automatizovalo tak nemusí
často udělat vůbec nic
to je denní počet certifikátu tam právě vidíte nějakou velkou špičku kdy nějaká veliká firma
postihována se z o
no vy vystavený chcete fikátů
to mám špatně titulek to je kolik se webových stránek za den načte toho toto
prosím vás do s wifi stole metry
takže vidíte že
vlastně polovina skoro dneska stránek reálně na světě je načtena pohled o to prosil
jeden den je to bylo třináctého října to bylo dokonce přes padesát procent
zobrazení stránek prohlížeči firefox lidi kteří mají ste statistiky zapnuté tak se načítá čili
že každá druhá stránka se načítá dneska posouvat _e logickém že když si vezmete wikipedie
vezmu
byl tu
google tak vlastně na tydlety weby chodí prakticky denně téměř každý z nás a
komunikuje s těmi sedmi pohledu to pros
ale realita zas není až tak úžasná
protože samozřejmě průměr denní nižší než ta realita podle google transparence portu čerstvého
nemá sedmdesát devět cesta nejnavštěvovanější strany kdo to tu pro se jako výchozí
šedesát sedum stihla zastavit zastaralé nebo žádnej šifrování
a ta stovka tvoří dvacet pět procent provozu
vidíte že to je hodně koncentrované několika
třetina stránek na
zobrazený na první stránce googlu ve vyhledávání
na toto pro sem
před dvěma lety to velmi sebou proces
že tady vidíte že ten také dramatický nárůst
a podle alex ad řešit která měří nejvíce je větší milion stránek na světě tak
má deset procent jo toto pro se podle nějaké jiné statistiky je to třináct procent
čili
běžně se můj se o ty kde se těch čtrnácti procentech
s těch sto milionů
strany na světě
a za poslední rok se ta čísla zdvojnásobil takže trend je fajn že přes devadesát
procent toho dvojnásobení má za na svědomí hacen klid
takže s skutečně jako drtivá většina certifikátu vystavených pro nás let sen kryt se vystavuje
provedli nebo domény které nikde žádné a toto pro se neměli
jako přes devadesát pět procent
set se vytváří se jako by
tohleto to posouvá zájmové weby leoš ne jenom málo s toho je přechod od jiných
autorit klacek
i s trošku historie co se stalo za ten rok
v lednu rvačce šestnáct byla spuštěna validace pomocí dns druhá možnost běžně používá nejčastěji používané
validace pomocí
roztažení souboru z webu
řekneme si víš únoru byla spuštěna po porážce desá klíčů takže si můžete nechat podepsat
od nich lidské
pryč eliptickým křivka velmi moderní věc
co byly maličké klíče stejně silná jako velké usa klíče
dobře znova jste šestnáct změnili ve zelený certifikát takže televize sto praxi stalo
poli windows vista je protože oni tam dřív měli v zeleném certifikátů rozšíření nikomu string
s které říkalo že nesmí vydávat certifikát i pro doménu tečka mail
jako my litery vojenskou ale x péčka to špatně interpretoval a
a místo aby
tam byla špatná implementace a místo všechny ostatní se stane pro lidi čas kromě toho
krypto pět set x péčka se chovají tak že ve výchozím stavu je povoleno všechno
a ten certifikát zakazoval tečka mail že se to ode četnost to vše slovo všechno
ale místečka pěkné tam dáte nikon stojí nic čili nějaké upřesnění lomeno víme jen tak
tam vložena se vyprázdní
takže vy ste s prázdné množiny odečetli tečka mail takže s byla zase prázdná množina
a nefungovalo to fix péčka
což v některých státech pořád na světě jsou desítky procent zastoupení minut říct _e a
spousta lidí jako říkala nemůže asi dva centy protože mám pocit roce zákazníků s
s turecká všichni přichází říct péčka takže to bylo přesně upraveno
filtrovat jste šestnáct byl ten klient přejmenována cena bot ten jejich referenční to je to
děkuji tom s kým s tou desítky až stovky
v červenci pustili plnou podporu ip ve šest
oni měli že jste mohli komunikovat s tou s nima pojď tyhle šest ale neuměli
po šestce stáhnout si ty soubory s toho serveru takže vás nemohli dovolit to je
opravené
teďkom čas tě přímo zapli podporují den takže pokud máte třeba s diakritikou neběží tečka
xlib se muset
tak s tak je možné s
získat duševních certifikát
a slibuji že dalším krokem bude že už dobře zná že vydají nové mezilehlé certifikát
i další tady budu mít pece do se
takže se zase zmenší protože ten server při každém spojení pošlete řetězec pošt posílá mezilehlým
ten vrchní vy znáte ten mezilehlým vám pošle a pak ten svůj koncový a on
jsou mocnější co školy výhoda pro zátěž jsem nebude se posílal dejme tomu deset kilo
bajtů ale bude se posílá třem dva kilo
zmenší se ty certifikáty a plán to při velmi rychle
jak to funguje používá se tam protokol ten jsem ne
a k _m
potom a ty se když je menenžment environment co jsou nějaké tohoto to pro se
posílané podepsané že jsem zprávy
jsou k tomu automatické u pily ty existují dva způsoby ověření kluci sáhne ta autorita
vám řekne ti by se s ní zahájit spojení založte si uživatele
řeknete chci proto doménou
a litovat ona pošle řekne vám to vy si o vyberete si sice té pomocí
dns
anebo pomocí souboru
řekne vám vlož té
tento náhodně vygenerovaný dlouhý řetězec do tohoto souboru
na disku cestě tečka vlnou
a nebo to dejte do domény vy řeknete zase tím k cáká krleš ona ověří
se to tam dali
a
na základě toho vám že si vyberete klíč a dostanete ten certifikát check o tom
tuhle chvíli není tady kořen
ještě
well
prostě zařízení chodí prochází kolečkem aby se to tak s aby se tak stalo
používají identitu která se bude jeden tras ten jejich ta jejich
kterých certifikaci nejde esteru dcera x tři a jeden tras tým právě vystavujete mezilehlých certifikát
na základě kterého mě potom vydávají
ty koncové recept
výchozí kutili ta která se tady menuje c nebo dřív se mnoho let semkly tak
kohy konfiguruje i web server takže vona je taková automatizovaná třeba debian utek port je
ten balíček takže když máte in skončí bude to nový server teda ten titul ty
stál a páč
a ty tu starou sednout
aut řekne
máma páč mám tam kde se ze třetího chceš projevila certifikát a struktury se to
všechno stane
cože fajn ale spousta lidí to tak nechce spousta lidí prostě s tou svojí mazanou
krásnou konfiguraci nechce aby na tom tedy ta šílená to hrabala takže velmi rychle vznikla
celá řada dalších implementací spojíme sem některý z nich tohle je současný stav těch
těch certifikátu
nahoře vpravo
ta bublina ze které by nejvíc čára je ten jeden tras
ten jim vystavuje let se jen klid autority x tři to je dneska ten používaný
ten ipod ti certifikát říct byly x jedna install _e které se nepoužívají ty právě
měli problém těch místečkách o německý jeden z hlavních se na druhý znaku záložní tak
si nechali věnovat x tři pro ty místečka upravený a ty tři štyři
a ste x trojky
sou
potom se vystavujou ty certifikáty čili když je přede přijede si na petr proč má
se z úplného cz
tak
víte řetězec jeden teraz pacinky x tři koncový certifikát oni mají vlastní kořen i se
root tygři na
oni mají odvozený co se pro ten asi mě zajímá
a ti mají vystavený stejnojmenné jde mezilehlé ale jenom ty staré ty nové budou právě
dělat a taky čtyřku historku a budou si tam právě zavádět i ten to chcete
se na to bude nějaká proběhne ňáká
ceremonie kolem to chtěl té současný stav
ve firefoxu padesát který by měl být zhruba za měsíc push ale
tenhlecten klid bude jako důvěryhodný
což bude zajímavý krok tu chvíli budete moc aspoň pro fajn false
vyměnit
nebo z přestat používat ten jeden prásk a můžete tam stačilo rovnou ten
nahoře vlastně řekli serveru tygři jedna a na jeho základě jsem to vlastně už to
bude důvěryhodné
je to už ho domek polez přidal přečtou dělat odteď
tak beruš vám to na safari třeba na věku nesmělo
co
co jaký ten křik a dostanete je to pouze d v certifikát doma invalidy ty
texty tři typy domény lydit organizuje vším hledej ty a
_e to je extrémně tady dyž _e znáte když se nahoře fades eště objeví název
firmy třeba dáte a za c z ty pako
objeví se vám tam název firmy
to tyhle ty certifikáty vůbec rozinky nedává oni dělaj ty nejjednodušší kdy prostě nic ne
certifikuje nikdo vám netelefonuje někdo za vámi jede podepsat smlouvu prostě jenom vystavíte
soubor na web server oni vám na základě toho vás validuje vydají certifikát nevystavuje baletka
certifikáty čili hvězdička tečka úplná tečka c z to nic nedostanete
ale říkali že tom do budoucna nevylučují ale že to zatím jako teď nemaj plán
ale že prostě bude chvíli to nepotřebuju ne dělají házet nevíš budoucnosti nebudu dělat
ty certifikáty mají platnost pouze tři měsíce
kvůli tomu aby se daly rychlej obměňovat dyby byl nějaký problém prostě aby se to
dalo rychleji řešit aby staničkám že normálně certifikát můžem pokus až tři roky
a oni mají nastaveno tři tisíce
rozhodně to nemění provozovat spíš říkal že by to třeba někdy v budoucnu spíš zkrátili
ještě
a celé vás to tlačí do té automatizace abyste měli klienta který to automaticky když
nově podobně
protože mají v látka tak majó normálně sám to znamená sem že alternativu nej takže
k tomu certifikátu není jenom jedno méno ale může jich tam mít víc
to znamená že úplně klidně můžete mít jeden certifikát kterém bude napsáno té levé úplného
cz open aut cz forum tečka cz mail tečka úplnou cz
každé to méno se validuje zvlášť přede komunikaci
že by si řeknete _e auto no cz by stav tohle je to tam dobrý
fór úplná cz kdy stav tohle je to tam dobrý takle se prostě projede kolečko
a stokrát čipu certifikát může být až tom _e
a dostanete jeden velký certifikát
jo můžete kdykoli obnovit té době
pokud máte klíče buďto toho účtu nebo u toho certifikátu může toho redukovat můžete tím
že snem
je prostě poslat požadavek prostě ivou koni ho de jure boku
a
a
všechny certifikáty které tak to si umí vystavíte sou veřejné dostanou se do databáze se
týče ke transparency jsou vidět
takové varování
externí se proběhlo jo
čoudu to reálná na ty trhu
to že
s toho plyne věc kterou ale nezpůsobil nějak hacen klid
že
je stránka za to pro se neznamená že
je to že je to bezpečná stránka
oni
validuje ní
to protistranu ale nemají jak validovat dobré úmysly té protistrany
prostě oni nezaručují že ta stránka je není zlá nebo se nestane sou budoucnosti vajíčka
že to není jejich role tohle bez řešit
o ní jenom provádí tu důvěryhodně to autorizaci
té stránky a přidružení doménové jméno a řekni
to je varování že tady vidíte všímavý
ve teplo a jí
který máte to plus
to se úplně nestalo sliby chyby co se úplně nepovedlo ještě oni na začátku tvrdili
že budou vyžadovat aby ta kvůli bezpečnosti aby ty soubory které budou stalo s tou
lomeno tečka vlnou přicházeli z mám typem application
a tímto to potom neudělali protože říkali to komplikuje konfiguraci toho serveru
pak docela zajímavá věc kterou k měli mít
proti zneužití že když budete mít uštědřit měli na té doméně třeba certifikát od jiné
autority který je stále platný
tak aby vám vystavila vystavil necyklickou vlastní
tak si musíte podepsat tím privátním klíčem k tomu starému certifikátu nějakou jizvu abyste to
dokázali že ste fakt držitelem toho
toho původního klíče k tomu původnímu certifikát o aby nikdo nemohl letenky zneužít pro nějaký
fischer zase k vám to bez naimplementovali
co je tak sekvenční číslování certifikátu oni kromě certifikátu chtěli zveřejňovat tu komunikaci s těmi
klienti to taky není
a
pak měli veřejným pletli s doménovými doménových jmen pro který ne vystavují a ten schovali
z nějakým ku mi téma není veřejný takže existují stejně jako u jiných autory prostě
domény to který vám to ne vystaví jako že tam asi bude před chvilkou to
je fajn ale taky třeba spoustu dalších
občas se stane nějaká chyba _e nějaký uživatel před pár měsíci prostě rozvířil kolem toho
celkem nějakou velkou kauzu protože on umí to i moje že ty certifikáty dávali a
potom prostě tajemně přidali
jeho méno
do toho seznamu ne veřejného protože v jedné doméně
prvního řádu druhého řádu pár vět janečku prostě existovala banka snad která měla stejné
stejnou doménu jako on
vy ne
zemi tak byste měli jako by to můžou existovat banka jones show tečka do německa
a kdyby řekli že to můžou tečka cokoli nevystavuje z ničeho nic prostě dva roky
vanilku roku nám budou vystavovat litevka tebe vám to líbí tom byl takže prostě tohle
je takové zvláštní prostě ten
ten a ten black listy bohužel je veřejný
další věc pozorná lidi mítink oni vámi nedovolí vystavit milion certifikátu za sekundu za pokud
se s nimi nějaké ceně nedomluvíte
se prusek ty limity to velmi uvolnil několikanásobně tuhle chvíli platí vzpomenu
sto těch domén ty no certifikát u můžete udělat vládci žádosti v jedné doméně druhého
řádu za týden
to znamená
kdyby se obraz rozhodl
že si bude rozdělovat ty certifikáty že v _e body certifikát fóru bude jiný certifikát
bonbony certifikát tak takle si vyměňuje dvacet pro úplnost cz a cokoli třetí
pokud by to nacpal do jednoho tak samozřejmě to je pořád a derivaci žádosti
no já su naším domem
jo s pro stejnou doménu si můžete maximálně vystavit pět certifikát musí to úplně stejné
za týden
počítají se certifikáty se stejnými doména že tam jmenujete to všechno s příde to šest
krát dva za sebou poslat a dostanete bych certifikát po šestý vám nepřidá máte na
týden
na týden utrum relokaci to ne se tu je in de o to aby ste
jim nezatěžoval i na měli je to autoritu takže když to bude kdybyste tak ho
požádali rukovali požádali nebo chovali požádali nebo kolik tak pořád zatěžujete takže zase pět konec
pět set registrací tato nenarazí té čili nových uživatelů že neviděl viz za tři hodiny
to je úplně rozpůlená udělat registraci jenom jednou a hotovo
obvykle a tři sta nedokončili žádosti za týden teplo vývojáři když otevřete to spojení a
s začnete žádné ne nedokončily vlastně naschvál limit pokud chcete testovat nějakou klienta psát si
vlastního tak oni mají speciální
stěží prostředí na jiných serverech na jiné doméně kde ta autorita vystavuje softwarové nějaké nemáte
jsem k té krabice ale vystavují jak by ne validní certifikát
kompatibilita s klienty aby to fungovalo jsou si u klienta musí znát ten kořenový certifikát
dns té ruce a víc tři a podporovat _e za dva
to splňuje většina dneska drtivá většina software vufind popsat tam nebyl tu skoro deset let
všechny verze chromu
windows
odpis p s p tři sem vy ste který zavedl _e sáhla právě android to
dva tři šest
to šel
dva tři dva tři pět a míní mají dneska jsi jeden a půl procenta telefon
to sou už hodně staré přístroje asi z roku dva tisíce devět
a jo s
jak vidíte dneska dnešní distribuce debian šestka nová smyčka java osum úst to jedna javy
tomu problém až nedávno tam právě přidali ten dres té ruce mistři
že znám že by klient
a nefunguje to tuhle chvíli hlavně jablek berry black byly slibuje že novém s
systémů
deset při který ušel dlouhou odkládá tak tam kde ten ta autorita nefunguje to nás
tady nejde nefunguje to nastane java nastaly smečka ty hezké tři že a víte že
taková sto
co vám to
ano
jo to je
to je to auto touto bez netuším sem přišel taky s tím s tím mužem
nějaký problém ale já to nepoužívá
podívám se na to dobře havla uživit každé tři měsíce anito protože ten certifikát každé
přinýst vyprší
to by docela odpovídalo že ten certifikát na platnosti měsíce
nedává to smysl já nevím já byl na si vemete noc samozřejmě no samozřejmě
ale jako drtivá většina klientů prostě třeba čtečky kincl amazon to má pro že sean
to funguje vyzkoušeno prostě péťa většina věcí tím funguje
těch klientů je tady ta je fakt jako hrstka ale souvislosti velké desítky minimálně
cenu mohli ten oficiální klient
pak existuje neceknu von to vše takový malý jednoduchý pak sou je knihovna file mu
pak je a k meta jiný takový kdysi řádkový úplně nerušit je pak si _m
ale který je trochu automatizovaný tyhle slov pipe no já jsem použil asistent si plácli
vyzkoušel vládu teď používám a sme tečka za to že šel umí
šel umí soubor
výborný jeden který to všechno umí všechno umí relokace některý člen ti neumíte vokovat musíme
to řeší nějak bokem ten neumí všechno co ten protokol dovoluje
to napsal nějaký číňan kterém někde asi ne nikdo neřekl že v dnešní se nedá
parsovat že jsem on to nevěděl tak to na program
je to jako fakt parádní neexistují implementace správa nebo ruby fakt prostě ve všem byl
dokonce i když to jeden ze webovém prohlížeči defakto javaskriptu víte
je to na webu cattle to pro se for free com může bys to vyzkoušet
je tady ten kopec týkající odkazy tam místo napište je to webová stránka trávení a
nepotřebuje server za sebou všechno to jen tom že ta ložnice lokálně na lidské dělá
to vybal strašně ruční práce
příkaz open ssl přitom spustit asi dvanáctkrát když dostanete certifikát je taková hodně bude budete
vyrábět klíče ručně všechno bermud okopírujete do dvou fotbal
některé aplikace
to integrují co mají staveb server key
který používá tady bych hlinka který tady někde tak jedem jestli není sál ale někde
je a pořád přednáší a ten přímo třeba má sobě toho klienta znamená že když
prostě si v něm spustitelné to řeknete chci minutu po se to vám to věřit
že logickém umí komunikovat internetu _e mi podala soubory takže padá
dokumentace letenky které seznam těch on to lidi metodiku víkendu dopisuj ty klienti
jak se to nasazuje prakticky
tady na požárním že nic
takže to funguje používám teda ten to je ty napsaný čistě všemu vyškubneš jedeš zámečku
umí
validaci přes net dns se o promiň certifikát automaticky protože makro a můžou který každý
den se podívá ke máte certifikát když ani který končí provoz a obnoví
máme něho samostatnou uživatele vůbec nemusí být že pokud _e naopak je tom doporučované
a
tady mám takovouhle stačí vlastně první fázi připsat do konfigurace ženy ztuhlé vesku to státy
kterou chcete vystavit certifikát že dotazy které jsou do adresáře volnou má směřovat do hobla
centimetrů a tomu klimtovi řeknete do tohohle bruce taky divizi pohled se ke konci tamtudy
sáhne
to je vlastně všechno
pak žádáte jediným příkazem
ten je celkem přímočarý skiny mínus když mu požádejte a ty dává ty mínus de
domény pro které chcete vidíte tady za blokové webovou fóru find a mínus _m do
starého adresáře chcete aby se strkaly ty výzvy které se bude potom stahovat autorita
pak je tam ještě další šikovná věc uplně dolech tech ten první příkladu bylo co
vedl šerif případě že vystaví nový certifikát zavolej toto
tomhle případě je to osudové to co jde de takže vyzvednout a lilo případně janis
nezpůsobí tvrdí restartovat jako hodný že stát
a to že ten má strach proces
přestane předávám nová spojení těm starým polokruhům které běží paměti a řekne jim počtem signál
až do děláte co máte tak se vypněte a spustí synové workery kterém začnou používat
nové certifikát znamená že pokud tu chvíli když nějaké spojení nic se mu nestane době
nenastane šifrované
jako by vlastně používá stanice přidanou se tam nepoužil jsem použil na začátku a pak
ten ty workery se otočí a máte to má to možné
používá se no with check
od dalším číslem
když to instalujete tak ten scan zavoláte mínus instalaci se přidá do cesty vytvoří s
nějakou strukturu s tečka jsme zahájení tech ten vtom příkladů
a
nainstaluje stack oranžo pěstuje stáří certifikátu pokud je starší ne šedesát tak nechá sem dobytek
růžo vypadá takhle no každý den o půlnoci už jsem si nastavit se to spustí
s parametrem mínus korunu
on si projedete certifikát když to spočívá to ručně toho mám vypíše seznam všech certifikátů
čas do kdy platí a u většiny z nich bude pět na to že kdy
naplánováno obnovení si nic nebude dělat
jakmile takle získáte certifikát tak přidáte do kontext user dvě položky klíč a ten certifikát
samo že musí být čitelný pro ten protože angeles běží plot uživatelem angeles obvykle ale
cykly takže podle cykly takže do toho adresáře by měl být čtecí právního to nastartuje
a funguje
pozor na správný řetězec důvěry pokud nebudete posíláte ne zelený certifikát vás to může jako
dost potrápit protože problém je pokud vy pošlete jenom ten koncový
a ne ten mezilehlých tak třeba vám to může fungovat
protože prohlížeče se záchodů když přidané kostra bude nějaký důvěryhodný certifikát neznají něco naučí
takže my třeba přijdete na
úplná cz pohled do posl
a máš
prohlížeč se naučíte _m zelený certifikát pak si otevřete svůj stránku kterou si právě s
bude si zprávy spustili hodnotu pro sem a tam to funguje
ale pak přijde někdo cizí do nikdy na žádném jedna centimetrů nebyla jen to zakřič
no ty třeba se stát ale problém návyky open budete volit jestli se tam včera
nebo vůbec to stát protože
mají prostě _m neplatí ze nebo ten se týkali plat měli posílat omezil
autoritu to znamená že vy vlastně váš pro lidi žádnou autoritu bych s tři letenky
neznám zná jenom jeden tras ale mezi těmi z neleží takže to je čísla můžete
si tam dost
a čím se to otestovat tady jsou odkazy klikací zase na nějaké testy ssl vás
různé analyzér i když se chcete případě si můžete ten certifikát takle té tím příkladem
stáhnout do souboru c teďka de a pomocí to celé vývar což je taková
jednoduchá autorita jako když se díváte na certifikát prohlížeči tak vypadá podobně
a můžete s ten certifikát gui pěkně to co vím
jak se ta ještě vylepšit
můžete posílal hlavičku zase prosila co že ste která sport si kvality
no toto pojetím vysvětlíte jaksi tomu prohlížeče při první návštěvě tufu
tomu říkal tras tom from s tím s napoprvé to nefunguje pak ušel
že musí mít vždycky ten tohle miliony certifikát to je třeba problém titul toho wiki
openwrt že tam se posílá se to se ale deset čekali neuvědomí způsobit o to
že vám to nedovolí přeskočit tu hlášku není tam takovéto to znáte životem to certifikát
je nedůvěryhodný ale nim tam přeskočit informuje vás tome
ve mám se s tady musí být platný miliony certifikát uživateli celá wikipedie
říkali že se ruské autority snažili na wikipedii tlačit plusku vypne to poprosil aby mohli
zasahovat provozu ale wikipedie řekla to nejde na mém se to se mi nemůžeme to
prosím vypnout že pak se tam ti uživatelé nedostane
pro mě to baví
výhoda je že by se to todleten prožít že naučí tak automaticky přepočte na toto
plného toto pro se to normálních okolností to přesměrování příde po dešifrovaným kanále když ho
na cestě vstoupíte a budete se tváří že jste ho toto to root cz tak
to pokoji nepozná neobjeví sem zelený zamčeno bude to fungovat
a jsem naučil se to se tak bude automaticky vám želatinu tu jednoduše variantu rooted
se za render
pak se stane to že se tam přidanou toto pro se samo protože pomocí té
hlavičky k tomu účelu
takhle to
vypadá
je to té hlavičce stack aspoň si květy
jak dlouho to platí
jednak hostovat prožít zapamatovat a include commits že subdomény suti postižené je možné to je
dáno takzvanou plnou hubu to znamená že se prohlížeče o to naučí fí instalaci že
mají seznam domény které tak nepoužívají a už nikdy nebudou zkoušeni to toto napodobení vždycky
se
pokud máte chróm můžete si otevřít chrom let internals za osumset osel
a tam si můžete ručně svoji doménu přidá a zase ten projít už nikdy nepůjde
nám to tuto variantu nebudu tady zkoušet
já tak sama ta
i když ještě asi zase neuměl
a pak je že se ještě rozšíření ho toto pro se vývoje tereza se sebou
nese nějakou databázi do ve které se do ní přidali a zase ten prožít automaticky
nutí k tomu používá na tuto pro se
další variantou nebo další hlavičkou zájmově ho prokopl ten mladší
a
přímo v té hlavičce posílá ty klientovi
toto jsou otisky veřejných klíčů kterými se musí ten se ty to tedy musí být
tom certifikátu který vám přichází jsem že vy byste donutili jinou autoritu aby vám vystavila
falešný certifikát to třeba i dát tak být hat má ta koule hlavičku
a váš prožít se naučil že jeden s těchto klíčů musí být tom certifikát
pokud není
tak to ne nebude fungovat
jestli klíčů dycky musí mít záložní protože vy byste to udělali špatně přišlo ten certifikát
jsem ti uživatelé se nedostanou
že jeden musí ležet cestě a jeden druhý nesmí aspoň dva tam musí být
takže případě že vám se něco strašného stane unikne vám privátní klíč k tomu jednomu
veřejném klíči tak máte někde na flešce předem vygenerovaný záložní a ten si necháte podepsal
znovu a zase takové nastartujete a pak se tam přidáte další vidíte si to
eště další pěkná věc která bohužel není rozšířená je takzvaný dejte lesa když se do
domény podepsané je nese can přidají zase podobně jako tady tak se přidají otisky klíčů
do té domény
budič jednou si ne si autory nebo koncový vypadá takle třeba fronta digium si můžete
přečíst a vidíte že
prostě říkáte té
uplně je jiný to postavení kanálem říkáte tomu softwaru
musím přijet certifikát s tímto otiskem
bohužel klienti to nepodporují problémy právě s tím dierese ke nedostane koncovou stanicích je nesejme
spoustě sítí vám nebude fungovat
ale jste rozšíření dieresích validátor které programuje c z nick trochu rumu info je fuk
su a to vám dokáže aspoň zelený zámeček že bylo jakoby eště _m
stranou přes ten to lesa záznam ověřeno že
certifikát který vám přišel je pořád takže i v zóně
ta otázky
já to můžu ukázat prakticky chcete to vidět prakticky jak to vypadá
vy jste neříkali že to nemá cenu
který nemá je to naše
ale můžete se už co white ta
tak se na ty otázky hlaste na tom asi mikrofonem
když sme si větší plus
já bych se chtěl zeptat jak jste zmínil to hrozí těch certifikátu přímo do hlavičky
toho webu nebo do těch dat co vlastně přicházejí a
kdybych to už se bude pouze tohle ten kryt a v té míře ti metod
rádi ty třicet tři certifikáty nějaký ten záložní
amplitudy to nikomu půl roku nepříde podívat se na stránku řekne fází který sem byl
na tom jsem si koupil boty jako podezírat kupovat server se na vánoce
tak už asi certifikaci žádný pat nebudou jak se zachová nějak celý ten záznam tech
je šumění týká a zapomene se
čili je takový tam jsou poprvé a bude věřit jakémukoli certifikátu a naučí se z
lavičky nebo v jakémkoli klíčem sou klíče a naučí se jakoby z lavičky další a
tak
panny timeout přímo tom záznamu třeba rok
a vy si tento list rokama ty když tam přijede za měsíc tak znova ten
téma nestaví na další rok čili ztopořeny kvůli přepisuje nebotanizujete dva roky tak se zapomene
zahodí a tam světa naučíte se nový
tak já jsem si pustil nějakou vpsku lépe si na ni grandu je tam distribuce
alpách jen o kterém je řekl jako byl kanady nucleic
vám malinká moc pěkná distribuce máme tam puštěný ten ženy sta můžete si podívat a
to je to živé
ono to dostane nějakou takovouhle adresu úplná sedmdesát sedum sto šedesát čtyři osum sto osumdesát
reply dělal deset více z
mít autora funguje to
když tam zkusím rád o to poprosil
tak je tam sem certifikát zařve po že ne ale když ho můžou překročíme tak
se tam dostane šifrování s
my si teďko
na problémy s githubu acme se
toho klienta
já s něma mého tady dal traktor a vašim bodům ten tudle chvíli ale
sme
stál
to je to něco jiného to není to je
já jsem se to presaři tady
nestal no on se nainstaluje a přidá se to tu dobu
takle vypadá tady ho máte role
vidíte že vždycky o půlnoci se spustí
tak já vlezu do
komu acme cena
ještě ukážu
angeles konsensu to na sport nohu tady dole je ten
tady vidíte serveru práva kdy ho méno
odkud se bere ten soubor který domluvili za to bylo který je tam napsali to
funguje a po tady uprostřed
tohleto
je že to je podvod na tom slajdu že uvedl jsem vás do tohoto adresáře
tvar acme
děláme
posloucháte jedna šest set
vyššího a teď zkusím takle příkaz
pouštím příkaz ty šum pro doménu praha a tak dále a tak dále a výzvy
stack i do varů acme
tak si zaregistruje účet
ono té připravené na to že máte nějaký účet nějaký klíč který čas no podepisujete
protože teoreticky ten a co protokol se ráno sjedu komerčního
poskytovatelé kdyby se zaregistruje to bude tam nějaké svoje klíče a zaplatí tomu sto dolarů
kredit a budete si vyrábět certifikát je třeba nějaké vyšší taktice to celé stalo
je list automaticky
ten certifikát
vyjel na obrazovce a zároveň mám tady píše že je
těchto adresářích
těch to funguje
my si
otevřený
ten ženy s conf a
no tak
ne to ne teta self
tak já zakomentuju ten se
a odkomentujte tenhleten
cože cesta puštěn
k těm správným klíčům které tam vznikly
a pokud se to podařilo
tak bylo nejen dobře a download
no vidíte že toto pro se zezelenal o
tady si na podrobnosti
tak
běžný název tady vidíte správné jméno vystavovatelé chce klid autority mistři vystavili sme to sobotu
máte listopadu třináct padesát do pátku a tak dále a tady vidíte tu cestou že
to potom jeden trest upřesnit strojků konci certifikátu
vyjel je za
že jeli se triky transparency
měl by tam být
to má že ta autorita ho tam strčí ale rozsahu byly uplně hned
a vyšel tam hledáte tak už jste dva já jsem tu stejnou zkoušel jestli to
funguje všecko a založil se mu neco provokoval a ty co by generoval další
tuhle chvíli má ten server
to pro se platné
jo
to je ten
chce viď jsou tady dokonce můžete přímo stromy nevidíte ty podrobnosti tady
ty klíče tak ale můžete sou tady celý stát tady o co je ten certifikát
stejně jako vám dávám jsem
tak snad stačí část malička elektriku jak jednoznačný dotaz tak se zeptá dva dotazy
a to každý ten cvrkot a pak mi skrýt generovat public i tím s automaticky
ale po víc docker widrow měřítko myslím si že to ne nevím o tom že
by to šlo udělat automatizovaný že by ty otisky se generovaly ale takle důležitá věc
kým pinů má k tomu vkládání těch otisků tam dáváte otisk
veřejného klíče
a ten veřejný klíč se nemusí měnit
z novin certifikát vy si můžete nechat za tři měsíce vista ve výchozím stavu tak
je že ten s klíč který se do vygeneroval se znova jenom poli píše
zase souběžně pořádný teplo doménu a znovu na ně dostanete certifikát
čili vy ty piny tam nacpe ty jednou vyberete si je s tím s tou
privátního klíče a ty tam navíc tu můžou být nebo je za tři roky ručně
vidíte ale prostě
není nutné s každé tři měsíce mění veřejný klíč
to vůbec není
o čili tom opilko pole nebo vtom kdy můžu stop trvale stejný klíčky domino učněm
uložíte
tak jo tak děkujeme za přednášky bude tady se pohybovat dva celé dva dny že
se mě můžete ještě na něco zeptat
jako za pozornost