[vpsFree.cz: community-list] SSLS.CZ a jejich FUD

Nikos Timiopulos nikos at timi.cz
Mon Nov 28 13:06:36 CET 2016


Díky, to mě fakt pobavilo, 101% a fail u Qualysu :)

> On 28 Nov 2016, at 12:58, Vít Novák <vit.novak at firepanel.cz> wrote:
> 
> Ten jejich SSL Tester je jen marketingový nesmysl.
> 
> Jejich webu to dá hodnocení krásných "101%": https://www.ssls.cz/ssltest/www.ssls.cz <https://www.ssls.cz/ssltest/www.ssls.cz>
> Qualys ten web odepíše známkou "F" kvůli bezpečnostní díře: https://www.ssllabs.com/ssltest/analyze.html?d=www.ssls.cz <https://www.ssllabs.com/ssltest/analyze.html?d=www.ssls.cz>
> 
> Můj web se u nich nedostane přes 70%, protože Let's Encrypt: https://www.ssls.cz/ssltest/www.fireport.eu <https://www.ssls.cz/ssltest/www.fireport.eu>
> Qualys mi pohodlně dá "A": https://www.ssllabs.com/ssltest/analyze.html?d=www.fireport.eu <https://www.ssllabs.com/ssltest/analyze.html?d=www.fireport.eu>
> 
> SSL Tester od ssls.cz <http://ssls.cz/> nemá žádnou hodnotu.
> 
> Dne 28. listopadu 2016 12:52 Petr Krcmar <petr.krcmar at vpsfree.cz <mailto:petr.krcmar at vpsfree.cz>> napsal(a):
> Dne 28.11.2016 v 12:45 Jirka Bourek napsal(a):
> > zřejmě tomu chybí kořenový certifikát autority, který ale server (AFAIK)
> > posílat nemá
> 
> Určitě ho posílat nemá, protože je v každém případě zbytečný. Buď ho už
> klient má v prohlížeči a pak mu věří, nebo ho nemá a i on pak bude při
> poslání viset v nedůvěryhodném vakuu a je to k ničemu. Oni neposílají
> mezilehlý. Vydavatelem je „thawte SHA256 SSL CA“, ale to není kořenový
> certifikát. Musí existovat mezilehlá autorita vydaná „thawte Primary
> Root CA - G3“.
> 
> Ale to je klasický problém, protože pro admina je to obvykle
> neviditelné. Když má admin v prohlížeči naučený mezilehlý odjinud (což
> je obvyklé, protože on třeba navštívil web té samotné autority a ta mu
> mezilehlý ukázala), pak mu jeho špatně nakonfigurovaný web funguje a on
> má pocit, že je všechno v pořádku.
> 
> --
> Petr Krčmář
> vpsFree.cz
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz <mailto:Community-list at lists.vpsfree.cz>
> http://lists.vpsfree.cz/listinfo/community-list <http://lists.vpsfree.cz/listinfo/community-list>
> 
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20161128/d472f773/attachment-0002.html>


More information about the Community-list mailing list