HTTPS byl pouze první krok. Chrome zavádí DoH, tedy šifrované DNS. Dopady mohou být obrovské

V minulém článku o HTTPS jsem hájil protlačování šifrování Googlem, také zmínil, že už chybí jen šifrované DNS (viz tento článek) a schytal za to spoustu a spoustu mínusů :D

Však taky blbů je všude, jen vidlema přehazovat ...

Tohle je ale něco jiného: zatímco prohlížeč představuje komunikaci klient-server, je tedy jejich věcí, jak budou komunikovat, DNS je věc systému.
Pokud máte třeba ve firemní (nebo i domácí) síti neveřejné servery (weby, kamery, čidla, cokoliv), pak je máte většinou i v neveřejném DNS. No a prohlížeč to takto obejde, zeptá se někde jinde (1.1.1.1 nebo 8.8.8.8) na veřejné záznamy a vy se ke svým věcem nedostanete.
A bude se to dobře hledat, protože nslookup jméno správně vyhodnotí, ping ověří, že výš počítač s tou věcí (třeba kamerou) může komunikovat, ale prohlížeč vám řekne, že nic takového neexistuje. Pak zkusíte nějakou odpudivou vykopávku (internet explorer) a hele, ono to funguje.
Takže šifrování ano, ale v případě DNS ne v prohlížeči, nebo nanejvýš v "režimu kavárna" - tedy v síti, kde nic nechcete, nic o ní nevíte a není nijak důvěryhodná.
Když tedy pomineme to, že v takovém případě máte použít VPN, protože zase chcete ochránit komunikaci celého počítače, nejen prohlížeče.

Pokud cpes do DNS neco, co tam nepatri, je to tvuj problem.Pokud si nedokazes ohlidat nastaveni softwarena klienskych stanicich, je to opet tvuj problem.Proc by se mel system ridit nekym, kdo ho pouziva spatne?

> Pokud cpes do DNS neco, co tam nepatri, je to tvuj problem.
Do veřejného DNS nepatří interní jména a neveřejné adresy, ty patří do interního (neveřejného DNS). Takže já dávám interní servery s interními adresami tam, kam patří: do interního DNS serveru. A chci, aby systémy používaly v interní síti tento server (to zajistí DHCP) a pochopitelně, aby aplikace toto nastavení respektovaly.
> Pokud si nedokazes ohlidat nastaveni softwarena klienskych stanicich, je to opet tvuj problem.
Dokážu, pokud někdo (Google) nedá uživateli možnost to obejít. Jestli lze DoH zakázat v GPO (v GPO template Google Chrome jsem zatím nic takového neviděl), tak to je o něco lepší, ale ve firemní síti se vyskytují i notebooky, a ty obvykle v doméně nebývají - takže tady to zavání potížemi.
> Proc by se mel system ridit nekym, kdo ho pouziva spatne?
WTF? Já chci, aby se aplikace řídila nastavením systému. To je špatně?

To nema smysl mu to vysvetlovat. Evidentne bl...bej jak tago, nerozumi tomu ale citi se povinen se tu vyzvracet.
Samozrejme ze pokud se Google rozhodne to nechat v Chrome standardne, tak se v podnikove sfere odepise, stejne jako se odepsal Firefox se svym registrem certifikatu oddelenym od systemoveho (i kdyz tam se to da pres GPO jeste nejak zpachtit).

Ano, ale na to nepotřebuje DoH, stačí DNS over TLS např..

Krom toho je tu ještě ta věc, že o DNS se má starat operační systém. Jakmile ho přeskočíte, říkáte si o problém. Tak jako staré hry měly třeba po svém implementovaný IP protokol, a pak to dělalo bordel. Jenže Google jaksi nemá jak narvat Microsoftu do Widlí DoH, tak tak činí nesystémově skrz svůj prohlížeč.

Njn, MS se do niceho nehrne, proto to musi zacit nekdo schopnejsi...

To jako argument neberu.
Umí ChromeOS a Android DoH a poskytují jej jako DNS službu pro aplikace? Že ne? Tam to Google mohl narvat už dávno.

Proč by měli začínat zrovna s tímto?Asi musí tak trochu postupně, ne?

The hell?Že Google začne tlačit zrovna DoH si vybral on. A pokud by to opravdu chtěl dostat všude s respektem ke standardům, začne od sebe, tedy ChromeOS, Androidem a připraví implementaci pro Linux (ta už je, ale ne od Google).
Místo toho to Google narval do webového prohlížeče, kam to vůbec nepatří, protože webový prohlížeč se nemá DNS vůbec zajímat. Ten má posílat na IP adresy HTTP requesty a jako bonus se starat o TLS, na kterém taky spolupracuje s operačním systémem.Google úspěšně privatizoval web a teď, jako už mnohokrát, své nadvlády využívá.

Pro dobrou věc.Nikomu kdo používá technologie dle platných standardů to vadit nemůže, protože když už se stará o nějaké klienské stanice, má v plné správě i ten blbej prohlížeč.Já mám spíš pocit, že si na to stěžují amatéři, co prasečili se sítí ve firmě a teď své chyby budou muset napravit.

Zase nemůžu souhlasit.
Na tom není nic jako technologie dle platných standardů. Prvně standardy na šifrované DNS už máme. A pak je tu ta věc s ignorováním překladové služby u OS. Jak by se vám líbilo, kdyby do Chrome implementovali celý IP stack?Jestli někdo prasečil nebo ne, to je úplně jedno. Implementovat DNS do prohlížeče je prasárna. Co se děje na koncových bodech sítě, to je věc koncových bodů. Chrome je nejrozšířenějším prohlížečem a společně s Firefoxem ovládají v podstatě celý trh. A Firefox má DoH už taky. Z toho nám plyne, že máme v prakticky každém desktopu, ať už firemním nebo soukromém, dva DNS systémy. To je world-wide prasárna, ne jako prasení někde v nějaké firmě, kde se podvrhovalo DNS (což mimochodem stejně už nějaký ten pátek funguje dost naprd a je čím dál tím obtížnější, s DoH to nemá nic společného).Google prostě po privatizaci webu začal tuto vládu využívat. Že se to bude dít, to bylo jasné už předtím, když tu ovečky bečely, že jsou to kecy a web je svobodný. Teď ovečky zase bečí, že to Google dělá pro jejich dobro. A je to pochopitelné, copak by někdo jako Google nedal pozor na to, aby měl dobrou pověst? Samozřejmě, že to všechno dělá pro vás a dobro lidstva...
Krucinál, otevřte oči a uvědomte si, co se s webem za posledních 18 let stalo. Google určuje standardy HTTP, Google určuje kvalitu webu, Google je centrem webu pro drtivou většinu uživatelů, Google vládne reklamě, Google vládne Youtube, Google vládne prohlížečům, Google vládne javascriptu a jiným technologiím na webu. Google má sledovací kódy díky analytics skoro všude, z Androidu a Chrome získává zbytek. Google si nechává na webu nějakou takovou konkurenci, ale všimněte si, že má všechno pod kontrolou. Kdo spolufinancuje vývoj Firefoxu? Google.
Zkuste dneska používat web bez Google. Udělejte webovou stránku bez Google. Neškrtnete si. Ale samozřejmě je to všechno pro vaše dobro. Svoboda ocamcaď pocamcaď, pod taktovkou Google bude všechno rychlé, krásné a svobodné.

Pokud je MS neschopnej něco implementovat, musí se najít někdo, kdo na tom začne dělat.No a Google je v pozici, kdy může.Stále nechápu, co je špatného na tom, co dělá Google..Tak ho vole nepoužívej, jednoduché.

Google to ve svých OS taky neimplementoval.Nic na tom není špatného. Je to nebezpečné. Má obrovskou moc a čím dál tím větší. To není věc, za který byste měl jít mlátit Google. Pro Google je to jeho cíl, je to správně, a samozřejmě se o to bude snažit. A nic tím neporušil. Akorát se z něj stává dominantní hráč, a to není nikdy dobře.
A tím, že já ho nebudu používat, si moc nepomůžu. Protože ho budou používat všichni kolem. Ono ani není moc na výběr. Pokud si odpustíme mrtvý Edge, mrtvé IE a přežívající Vivaldi, na trhu není žádný webový prohlížeč s měřitelným podílem, který by Google nesponzoroval. A pokud bych od svého prohlížeče odstřihl Google, více než polovina webu pro mě bude nedostupná. Fajn, ne?

Ja myslel, ze dezinformacni stredisko nasi vlady ridi pan Prchal, marketacek STBacka Babise.

Prchal je neskutečnej borec. Dokonce ani Ovčáček se na něj nechytá, a to je taky dost dobrej.Jo pánové, jsou to skuteční profesionálové, co pro peníze, moc a slávu na morálku serou. A nám nezbývá, než si přiznat, že v tom, co dělají, jsou opravdu dobří.

michate pate pres devate a jeste k tomu hrusky s bramborama

Nechapete.
Sifrovany DNS server bude moci nabizet kdokoli a Chrome se s nim domluvi (podobne jako Firefox). A (nejen) Google uz takovy server nabizi.

Jako na úrovni poskytovatelů? Neni takový problém přece nastavit to DNS od Cloudflare (1.1.1.1), dobře se to pamatuje, podobně jako ten od Googlu. Tedy aspoň pro mírně poučeného uživatele.Kdyby by ale se měl blokovat celý traffic v rámci státu na příslušném portu, tak v případě DoH je to port 443, tj. tam kde běží obecně https, takže by se musely nějak analyzovat hlavičky všech požadavků tj. všechno... to by byl nejspíš kolosální úkol v podstatě něco na úrovni Great China/Russia Firewallu.... Navíc si myslím, že by nebyl takový problém vytvořit nějakou obfuskaci, která by to maskovala jako běžný https provoz.

Jenze presne o tom mluvim. To jsou staty, kde existuje skutecna cenzura internetu. To ze v CR zakazali par adres na urovni DNS neni zadna cenzura.
Cinani se dokazali dost obstojne poprat i s VPN, tohle je dokonce jednodussi ukol.

Cinani se s tim poprali jen teoreticky, prakticky to pro ne dokazalo Cisco.

ony i ty hlavicky jsou sifrovane, protoze client nejdrive navaze HTTPS session a az pak posila request s hlavickou: https://stackoverflow.com/questions/187655/are-http...

Ne tak docela. HTTP hlavičky sice šifrované jsou, ale SNI nikoliv ani certifikat nikoliv. Tj. analyzou obsahu trafficu je tak jako tak možné zjistit, na který web uživatel chodí. Sice pak už nic dalšího, ale v postatě se šifrovaným DNS zakrývá něco, co je pak stejně vidět

to je nedorozumeni. Regaoval jsem na to, ze DoH pujde zakazat, coz nepujde, protoze jej nejde odlisit o bezneho HTTPs traffiku. Je to proste SSL sifrovany traffic na port 443 a nic vic z nej nezjistite. SNI nepomuze, pokud ten DNS server funguje na hostname treba abcdef.mydomain.com

a krome toho, jak napsal jiny uzivatel zde, SNI resi ESNI :)

V nasem blokovacim antihazardnim zakone je napsano, ze poskytovatel pripojeni musi zabranit v pristupu k uvedenym serverum. Neni tam specifikovano jak. Nastesti je nakonec oficialne pripustny reseni nereseni, kdy poskytovatel blokuje jen DNS na svych serverech, takze to neni narocny a v pripade zajmu to obejde naprosto kdokoliv, kdo umi zapnout pocitac. Vysvetluju si to tak, ze nasi vladcove nakonec prece jen dostali rozum a poslechli odborniky, jen nechteli ztratit tvar, tak tu blbost nezrusili jako celek. Aspon na prvni pohled to funguje, tak dobry, ukol splnen, klidny spanek nasich deti a jinych zranitelnych spoluobcanu byl oficialne zachranen.A ted ta zasadni otazka. Kdyz to po zavedeni DoH v prohlizecich nebude fungovat uz ani na prvni pohled, reknou si "tak nic, kaslem na to, zadny blokovani vyzadovat nebudem", nebo budou vyzadovat dodrzovani zakona, bez ohledu na to, jak moc by kvuli tomu musel poskytovatel doprasit pripojeni? O to, ze to nakonec kazdej vaznej zajemce stejne obejde, tady vubec nejde.

Jsou země, třeba Rusko nebo Čína, ve kterých je už použití VPN trestné samo o sobě. Takže pokud si z nich budeme brát vzor, jak nemalá část naší společnosti touží (včele s hlavním stabilizátorem společnosti), tak je evidentní, kterým směrem se cenzoři budou ubírat.

Po brani si vzoru z Ruska a Číny u nas nikdo netouží, je to hoax a fake news.
Zatímco v ek a ep je tomu naopak.

No trestne to neni, aspon ne v cine.

Tuším, že v některých případech už tam spadá i Slovensko.
A nemusíte se bát, že to přijde i sem. Kdo nedělá nic špatného, nemá co skrývat, no ni?

DoH bezi na portu 433, stejne jajko HTTPs, takze pokud tento zablokujete, uzivatel neuvidi nic. A jelikoz to je cele sifrovane, nelze poznat, zda jde o klasicky https request, nebo DoH

Celé šifrované to není a tento provoz odlišíš.Pokud přistupuješ na web skrze HTTPS, musí se minimálně poslat SNI.

Tenhle problém řeší ESNI. To je jen otázka času stejně jako šifrované DNS.

To nepochybne rozbije. Obrovskej problem budou lokalni domeny, coz je sice od zacatku tak trochu osklivej hack, ale velmi popularni.Firefox ma podporovat jakousi specialni domenu, kterou kdyz pres systemovej resolver neprelozi (coz obecne lze na vlastnim resolveru zaridit), tak DoH nezapne a bude dal pouzivat normalni nesifrovany DNS jako driv. Otazka je, jak dlouho tahle moznost vydrzi. Protoze pokud budu zvedavej smirak, samozrejme pouziju (zneuziju) presne tenhle mechanismus.Chrome zase planoval pouze zkusit pouzit DoH na v systemu nastavenych resolverech. To na prvni pohled vypada neskodne, protoze na vlastnich ve firme to proste nepojede a zustane se u puvodni verze. Jenze pokud klient bude mit cizi resolver co umi DoH, tak se to zapne a bude po lokalnich domenach. Doted to slo resit transparentnim presmerovanim na routeru, ale to uz fungovat nebude.

Nebylo by lepší si přiznat, že pokud by se věci dělaly pořádně a dle platných standardů, asi to nic nerozbije?Chápu, někdy je těžké po někom něco opravovat, ale minimálně v DNS by měl být pořádek.

A nebylo by lepsi nez tu ze sebe delat verejne hlupaka neco si o tom alespon precist?
Lokalni DNS je naprosto standardni reseni. A tohle to rozbije. Nebo jak vy ve firme pristupujete k lokalnim zdrojum? Ach jo....

Ano ale to běží na jiném portu a dalo by se tak lehce blokovat. Chrome by měl, jak vyplývá z článku, podporovat obě varianty.

Pokud spravuješ několik klientských stanic, asi máš i možnost, jak vzdáleně a hromadně spravovat nastavení jeho aplikací, že?Stále nechápu, kde je problém.Pokud má někdo v IT bordel, nelze to svádět na něco jiného, než na bordel v jeho systému, nikoli systému jako celku.

V tom, že o DNS se stará operační systém. On totiž webový prohlížeč není jediný, kdo DNS potřebuje, víme? A existují i lokální domény, na které prohlížeč díky DoH nemůže dosáhnout, a tak se to rozbije. Zrovna ve firmách docela častá věc.
Další otázka je, co tím Google vlastně sleduje. Systémů na zabezpečení DNS je několik paralelně už hotových. Jediné, kde DoH má nějakou výhodu, je tam, kde je DNS filtrované, a HTTPS je ven prostupné normálně.
Ale jak psal předřečník, dělá z toho aplikační tunel, a takhle můžete využívat úplně stejně třeba OpenVPN. Akorát s OpenVPN nebudete dělat bordel systému.

Google sleduje vlasny biznis. Ak obmedzi pristup ISP k informaciam o aktivite uzivatelov tak vyluci jednu z hlavnych alternativnych moznosti, ako sledovat uzivatelov. Takze data, ktore vlastni budu o to cennejsie.Predpokladam, ze browsre budu mat moznost sucasne vyuzivat DNS aj DoH (alebo DoT). Tak by mohli fungovat lokalne adresy. Tym by sa priemery admin aj uspokojil, pokial nema povynnost filtrovat niektore adresy. Jednym z rieseni by bolo API pre antiviry, ktore by tak mohli standardnym sposobom preverovat obsah stranok a v podnikovej sieti aj aplikovat filtre napr.na facebook.Systemove riesenie podla mna nakoniec prinasa az zavedenie IPv6 a pripadne zrusenie lokalnych domen. To ale otvori hromadu otazok o tom, ako zasadne treba zmenit pristup k zabezpeceniu siete a koncovych bodov. Stale si to az prilis casto admini (a bohuzial aj MS) predstavuju tak, ze staci jeden firewall na internetovej pripojke.

Lokální domény jsou prasárna, co nemá v DNS co dělat, to že je to častá věc je fakt, ale taktéž je fakt, že je to prasárna.A kvůli prasatům omezovat vývoj? Ne.

Prosím o nějaké veřejně známé doporučení, třeba ze specifikace DNS, že se nemají používat lokální domény. Děkuji. Protože mít venku doménu na 192.168.x.x mi přijde opravdu jako vtip. Nebo to řešíte tak, že vevnitř podniku dáváte zaměstnancům přístup na interní systémy pomocí ip adres? Jo, už vidím deníček sekretářky, jak si vede seznam ipv6 adres :)Popřípadně doporučujete nepoužívat vnitřní rozsah ip adres pro intra systémy?

Jak to, že není jak ověřit, že je to podvržené? Takový základ, jako podívat se, kdo certifikát podepsal, to vás nenapadne?
Další věc je, že proti takovému útoku tu máme Certificate Transparency.
Takže fakt ne, MITM technik bude ubývat.
Zdar Max

Pardon, kromě Certificate Transparency jsem hlavně myslel DNS CAA.
Zdar Max

Pri popsanym scenari zjistim, ze certifikat serveru vydala firemni MITM CA, coz neni uplne uzitecna informace. Stejnou vec pouzivaji lokalni antiviry na pocitaci, aby mohly kontrolovat co uzivatel taha pres https. Nebo minimalne pouzivaly, nesleduju to, cekal bych ze vymysli spis nejaky "antivirovy api" v prohlizecich, protoze delat lokalni MITM je strasna zvrhlost.Kazdopadne legitimni duvody pro MITM zde existujou. V pripade tech antiviru je pro beznyho uzivatele urcite lepsi, kdyz si nemuze overit certifikat (stejne nevi co to je), nez kdyz si muze nekontrolovane tahat bordel do pocitace. A u firemnich MITM jsou pohnutky podobny.

Presne tak, vim ze to podepsal certifikat zamestnavatele nebo firmy co dodala antivirove reseni/sluzbu za desitky milionu. Informaci o puvodnim certifikatu nelze ziskat. Nemluve o tom kolik dalsich veci pak nefunguje nebo spatne. Resi se pak kazdodeni tuny vyjimek. Spoustu lidi to nebavi, protoze to je vylozene prekazka v jakekoliv praci a tak vyuzivaji prime pripojeni do internetu ... . Takze fakt uzitecne posileni bezpecnosti ... .

Nesmíte se na to dívat jako na jeden web, ale na více webu. Pokud všechny weby budou podepsány jednou neznámou CA, je myslím jasné, odkud vítr vane.
Každopádně nikdo neřekl, že je to user friendly, jen jsem reagoval na to, že to lze ověřit velmi jednoduše a tvrzení předřečníka tedy není pravda.Pokud jde o legitimnost, tak nesouhlasím. Obcházet nějaké zabezpečení, protože to moje je lepší, to je hodně hloupé. MITM od Antivirů nikdy nefungoval pořádně a přinášel uživatelům spoustu potíží. Navíc jak už jsem napsal, s postupným nasazováním Certificate Transparency a DNS CAA se MITM stává ještě hůř proveditelným.Podobně jsou na tom různé analyzátory provozu. Nedávno mi od Flowmonu týpek říkal, jak ten jejich program umí analyzovat provoz, že pozná v datovém toku ke storage Ransomware a dokáže na něj upozornit. Nojo, ale to by se nesmělo používat encryptované SMB, že.Cesta k bezpečnosti opravdu není v nešifrování, nebo obcházení bezpečnostních standardů.
Zdar Max

Jenze u spousty provozu je sifrovani naprosto zbytecne. Stacilo by doplnit jen mechanizmus pro kontrolu nezmeneni obsahu. Jako opravdu nema smysl sifrovat zpravy - na dalnici je bouracka, pocasi , manual k TV ... . Takhle se akorat ve velkem pali zbytecna energie na sifrovani a zbytecne prenosy navic. S timhle totiz zmizela moznost pouzivat cache servery.

Nesouhlasím. Šifrovat by se mělo všude, i tam, kde to zdánlivě nedává smysl. Dnes spousta webů (i ty informační) mají možnost přihlášení, které zpřístupní další fce, takže všude tam, kde se člověk nějak přihlašuje, je dobré šifrovat. A tam, kde se nepřihlašuje, se situace buď může změnit, nebo prostě koncoví uživatel nechce, aby někdo věděl, že ten web používá.Pokud jde o cache servery, tak které myslíte? Ty na backendu (cachující reverzní proxyny apod.) problém nemají. Ty na straně klienta (firemní cachující proxy) mít problém samozřejmě mohou, ale zase, jejich potřeba značně klesá, protože propustnost linek stoupá a cena klesá.
Pokud nadáváte na to, že vše šifrovat je neekologické, protože to žere zbytečně moc energie, tak si spíše ztěžujte u vývojářů, kde bastlený aplikace, ve kterých se na všech úrovních tahá vše, způsobují ještě větší overhead. Každopádně tak jako tak ta vaše ECO zmínka je cucání chybějících argumentů
Zdar Max

Prihlasovani prece nemuzi byt zavysle na prenasenych informacich a klidne muze byt sifrovane, stejne tak jako UI.Zkuste si zjistit kolik to sifrovani zere, nemluve o totalne nesmysnem sifrovani videa a HDCP. Verte ze to rozhodne neni zanedbatelne.

Ano, ohledně streamu to overhead má slušný. Měl jsem v hlavě jen web bez videa, ale toto je dobrá ukázka slušného overhaedu. Každopádně i tady to někomu smysl dává.
Jde o to, že přenechávat to, co šifrovat, na uživatele, není dobrý nápad. Sám uživatel to totiž neví. A povaha jednotlivých služeb také nemusí být jednoznačná.
Tudíž šifrovat vše dává smysl.
Zdar Max

Kdo tu mluvi o nejakem prenechavani na uzivatele? Ja jen rikam ze sifrovat vse vede akorat k tomu, ze je pak na druhe strane neprekonatelny tlak desifrovat take vse ... . Diky tomu i ty sifry drive padnou. Tedy smysl to rozhodne nedava.

Proč by ty šifry díky tomu měly dřív padnout?
Zdar Max

Jinak o přenechání rozhodování na uživatele, o tom mluvíte vy. Pokud tvrdíte, že něco není třeba šifrovat (jako byste věděl, jak a kolik a pro co ty app uživatelé používají). I samotná firma, která poskytuje nějakou službu, nemusí počítat se vším. Tj., nemusí počítat s nějakým případem, na který kápne uživatel, nebo s nějakým vývojem do budoucna. Tzn., že pro většinu jsou třeba data na nějaké službě nedůležitá a pro pár lidí důležitá.
Když tedy nevynutíte šifrování, tak na ty ostatní, pro která jsou data důležitá, přehazujete rozhodování, zda si vynutit https. Příkladů by se asi našlo dost.
Pak tu samozřejmě hraje i roli něco jako "pretty good privacy". Je tlak na soukromí jednotlivých uživatelů. K tomu je šifrování nutné.
A pak je tu samozřejmě i ochrana služby jako takové. Jako poskytovatel nějaké služby třeba nemusím chtít, aby poskytovatel hostingu věděl víc, než musí.
Zdar Max

Nemam na to jednoznacnej nazor. Na jednu stranu je vlastni MITM strasne spatny reseni. Ale kdyz prumernej uzivatel fakt nevi ktera bije. To ze bude mit skutecne end to end sifrovani mezi prohlizecem a serverem mu nic neda. On to nepozna. A pokud mu zkusi neco podvrhnout utocnik, jediny co udela bude klik na "ano, chci pokracovat i kdyz certifikat nesedi" a dlouze o tom premyslet nebude. Pokud takovy pripojeni blokne antivir nebo firemni proxy a uzivatel vubec nebude mit moznost pokracovat, tak nakonec to pro nej bude lepsi. Stale se mi to nelibi, ale tak to proste je.

Tady pořád někdo operuje, jak je MITM bezproblémový. To, že když dělá MITM antivir, tak se vyrojí hafec věcí, kde je problém, to už tady nikdo neřeší? Pro uživatele má MITM samé nevýhody. Něco nefunguje, něco funguje špatně atd. A čím víc se vše bude zabezpečovat, tím horší to bude (viz zmíněné DNS CAA apod.).Podobné problémy jsou pak ve firmě. To má uživatel dobrovolně odevzdávat nešifrovanou komunikaci správcům firmy (třeba když je potřeba přes den jít do internetového bankovnictví)?Já jsem správcem ve větší firmě, proxy máme nasazenou, ale nikdo mně nedonutí nasadit transparentní proxynu a dělat MITM. To je prostě mega úlet a nemá to žádné ospravedlnění, maximálně totální neschopnost adminů, že si neumí zajistit pořádek pomocí standardních bezpečnostních mechanismů.
Zdar Max

Ode me slovo "bezproblemovy" urcite nepadlo, ja pouzil "strasna zvrhlost" a "strasne spatny reseni". :) Jen rikam, ze chapu pohnutky lidi, kterym se to libi. Kdyz ne absolutne, tak aspon o neco vic nez predstava, ze jim tam neco beha jen tak bez kontroly.Mimochodem, CAA zaznamy ma overovat CA, ne klient, takze to v tomhle pripade nic neudela.

Ohledně CAA máte samozřejmě pravdu. Ohledně kontroly cert slouží DANE. Už v tom začínám mít zmatek.
Zdar Max

... a kde jsi to zapnul? ...

Já ještě v about:config, ale mělo by to jít už i v nastavení Firefoxu, resp. takto: Možnosti -> v sekci Obecné najdeš "Nastavení sítě" a vpravo u toho volbu "Nastavení..." Klikni na ní a v otevřeném dialogovém okně zcela dole pak už jen stačí Zapnout DNS over HTTPS. Hotovo.
Taky je možné vyhledat "DNS" pomocí vyhledávacího pole v Možnostech a pak postupovat stejně.
Tím by mělo být DNS over HTTPS vyřešeno.
Ověřit to lze tady https://www.cloudflare.com/ssl/encrypted-sni.
Pokud tam ještě bude problém s Encrypted SNI, tak to jsem vyřešil přepnutím logické hodnoty network.security.esni.enabled na true v about:config.

Názor byl 1× upraven, naposled 07. 10. 2019 01:40

Nazdar!Tak som to vyskúšal,podľa Tvojich rád,no teraz mi vo Firefoxe stránku"https://www.cloudflare.com/ssl/encrypted-sni/" už ani neotvorilo...(Zabezpečené pripojenie zlyhalo:Pri pripájaní k www.cloudflare.com sa vyskytla chyba. Partner používa nepodporovanú verziu bezpečnostného protokolu. Kód chyby: SSL_ERROR_UNSUPPORTED_VERSION).Spravilo to po zmene v nastavení "network.security.esni.enabled na true v about:config.A na stránke"https://1.1.1.1/help",mi zobrazilo:"Using DNS over TLS (DoT)No".Čo s tým?

Zdar! Mozilla uvádí, že v malém množství případů se vyskytují ještě chyby způsobené softwarem třetích stran (obvykle firewallem). V takovém případě nefunguje Encrypted SNI (resp. způsobuje to tebou popsaný problém), ale DNS over HTTPS by mělo fungovat. Proto se Encrypted SNI nastavuje jen v about:config, ale DNS over HTTPS se zapíná už v Možnostech.

hhtps certifikat lze zistat zdama zde: https://letsencrypt.org/
musite k tomu dodelat nejakou automatizaci, to je pravda, ale stat to nemusi nic

Teď jsem překlápěl na https ženin webík, který má u wedosu pod wordpresem, akorát chtějí mít zapnutou nějakou službu za 10kč měsíčně a je to velice jednoduché.

Wedos si za vystavení bezplatného certifikátu nechá měsíčně platit? Krásné. Jde vidět, že Grill je nenažranej dacan.

Tak to bych takového poskytovatele webhostingu nakopal do zadku.

Wedos by se do zadku měl kopat z princpu.

Přijde mi, že DoH celý ten stormový systém DNS boří. Jestli je to špatně, to nech rozhodne budoucnost.
Co mě ale vyloženě vytáčí, že Google prostě obchází operační systém při řešení DNS a je mu to zcela fuk, nedá to ani nijak najevo. Přitom DNS překlad má řešit OS. OS se má rozhodnout, jestli použije DNS, unixový socket, hosts soubor, DoH, DNS over TLS nebo sousedku od vedle. Nevím, jaké to bude mít dopady, ale vůbec se mi to nelíbí; možná je to jen můj konzervatismus, ale tohle se prostě nedělá. A když už nějaký systém naruším, umístím k tomu obří červenou ceduli, aby to každý viděl.

Ještě dodám, souvisí to s tím rizikem, o kterém mluvím už několik let, že Google privatizoval web. Teď do webu začne tahat další služby Internetu. Vůbec se mi ta budoucnost nelíbí.

To dnes robi kazdy a nielen s internetom. KDE si vyvlastnilo polku desktop linuxu. Potom prislo systemd a pustilo sa do vyvlastnenia zbytku. (Kedy sa zacnu mlatit?) Google si vyvlastnil web a teraz sa tlaci na dalsie sluzby. Netrapi ich bezpecnost klientov, chcu mat ako jediny pod kontolou informacie o tom, kto co na nete robi. Ak vysachuju ostatnych hracov, budu ich informacie cennejsie na trhu. "(Don't) be evil!"

To byla jen vaše iluze. I než bylo Let'sEncrypt, bylo velmi snadné získat ověřený certifikát bez reálného ověření. Myslíte si, že někoho od dobrého phishingu odradí to, že certifikační autoritě má poslat dva naskenované doklady? Heh.

Tohle je jen otázka nastavení doménového CAA záznamu, které důvěryhodné (tj. především ty, co jsou v OS jako trusted) respektují a poté zabezpečení "procesu vystavovování a obvnovování" adminem tak, aby útočník si nemohl u dané CA nechat vystavit falešný cerifikát.

Je veľmi hlúpe si myslieť že web, ktorý je secured je legit a férový. Predsa len zabezpečenie webu odjakživa zabezpečovalo šifrovanú komunikáciu medzi užívateľom a webom. V žiadnom prípade nešlo o ochranu spotrebiteľa pred niejakým subjektom. Certifikát s vlastným menom firmy atp. sa dá vybaviť cez telefón do par hod...

Já vždycky říkám, "jste tak v bezpečí (svěřování vlastních dat u daného subjektu), jak velký problém by měli, kdyby zneužili vaší důvěry"...
"Legit" a "férový" jsou velice relativní - a to nejen na internetu.

cookie banner nikdy neodklikávám právě proto že se nechci zabývat čtením nějakých hovadin a bianko šek podepisovat nechci ani omylem. Pokud to znamená stopku, tak takové stránky přicházejí o jednoho konzumenta reklamy, ale to je naprosto výjimečné, spíš to je jako na lživě.cž, kde mi prostě třetinu stránky zabírá banner čekající na odkliknutí (mám naštěstí dost velký monitor).

ISP získává data z routerů přes IPFIX, který analyzuje hlavičky HTTPS a tam v SNI doménu vyčte tak jako tak. Takže ISP zjistí. ISP teda nesmí nahlížet, pokud nemá soudní příkaz, ale asi máte představu jak to funguje. Jiná věc je, že pokud nikoho nezajímáte, udělá si z toho maximálně statistiky, že večer lidi víc koukají na porno. Mně z toho tehdy vyšel i měnší peak v návštěvnosti pornowebů kolem desáté dopoledne...
DoT je taky něco jiného než DoH. Pokud chcete soukromí, je více cest. Tou nejlepší se mi jeví VPN na domácí bráně pro všechno někam do ciziny nebo tam, kde se sbírání lokalizačních a provozních údajů neprovádí. Tím se člověk vyhne základnímu všeobecnému sběru dat. Jakmile ale začne být podezřelý, chce to trochu pokročit. Na té VPN ještě není nic podezřelého, má to tak třeba spousta firem. Jakmile použijete TOR, už vyčníváte.

Chce to zkombinovat VPN a anonymizační browser, nejlépe běžící v samostatném kontaineru. Za mně je ideální taková VPN, která umožňuje dynamicky měnit výstupní server (zemi, dostupné porty atd.) podle požadavků uživatele, který vše ovládá v aplikaci, která poskytuje statistiky, přehledy serverů a další informace. Řekl bych, že při dodržování dalších pravidel bezpečnosti by to měly sledovací orgány docela těžké a musely by nejspíše přistoupit k využití lokálních prostředků., jak se vlomit do uživatelova soukromí...