Datové schránky: FAIL!

To je bohužel váš problém (pokud pominu, že to šlo udělat lépe a pomocí duvěryhodných autorit). Zrovna před chvílí jsem tímto procesem procházel. Kroky jsou následující:
* Pokud na mě vyskočí hláška o neduvěryhodném certifikátu, tak
* kliknu "povolit vyjimku"
* necham si zobrazit detail certifikatu.
* nainstaluji rootovsky certifikat. V tomto pripade: http://qca.postsignum.cz/zcu/ca/postsignum_qca_root.cer
* zobrazim si detail certifikatu a kouknu na md5 fingerprint
* zavolam na infolinku dane sluzby. v tomto pripade 270005200 pak volit 1 a pak 5. Zeptat se pana zda vas md5 fingerprint souhlasi. On je velmi prijemny a projde to s vami.
* az si to odsouhlasite, pridate si ten rootovsky certifikat a potom uz nemate problem.

Pane Suchý, klobouk dolů. To je ale super přívětivý postup :D

[1] Jistě že jde certifikát nainstalovat. Chtěl jsem jen ilustrovat, co na BFU vybafne za hlášky, když se chce k datové schránce dostat. Mimo jiné tím stát říká - na podobná varování se můžeš ... zvysoka. A až mu to příště vyskočí u banky, tak se na to taky dost možná z vysoka...

Je to prece jasny. Ceska posta si timhle dokaze dostat svuj rootovskej certifikat do vetsiny pocitacu v CR a nasledne jeji bezcena a defaultne neduveryhodna CA ziska na hodnote.

Tenhle článek je dobrej průjem.
Aneb jak se může jako novinář tvářit kdejaký pako. A psát i o tom, čemu vlastně ani moc nerozumí.

Mno a divali jste se nekdy do seznamu duveryhodnych CA, co vam prisli s prohlizecem? U kazdeho prohlizece je nekolik CA, ktere vydaji certifikat kazdemu kdo jim prevede penize a nemusi ho ani videt ani nijak overovat.
Ono to, ze browser bude povazovat nejakou CA za verohodnou, jeste neznamena ze za tim neni nejaka levota. Takove pripady uz tady byli...

Dále pak zavoláte linku 261 a tam vám velmi příjemná paní nadiktuje, jaké úpravy musíte udělat v lokální kopii css, aby to fungovalo i na Safari. Potom zavoláte Software602 a zeptáte se, jak si máte pozměnit Wine a překompilovat, aby vám to fungovalo na MACu(http://tinyurl.com/msonly). Prostě všechno jsou to vaše problémy :-)

[3] IMHO to je spíš chyba těch prohlížečů, že místo aby uživatele vhodným způsobem provedli procesem ověření skutečně důvěryhodných certifikátů (uživatel ví komu chce věřit a ověřil si to) se tváří, že to co vydala předinstalovaná důvěryhodná autorita (proč je to důvěryhodné? že to tam výrobce předinstaloval? znáte podmínky za jakých došlo k instalaci? znáte politiky automaticky předinstalovaných autorit?) je automaticky v pořádku a to co předinstalováno se na první pohled tváří jako závažná bezpečnostní chyba, což automaticky není.

No jo, ale tohle je hlavně o tom, že je rozdíl mezi implicitně důvěryhodnou certifikační autoritou z pohledu operačního systému/prohlížeče a důvěryhodným certifikátem z pohledu českého práva :(

[1] To telefonní číslo jste našel kde? Na webu, kam vás přesměroval útočník stejně podvrženou odpovědí na DNS dotaz, jakou použil už při dotazu vašeho prohlížeče na www.mojecosi.cz? To jste si tedy moc nepomohl…

Dnes rano mi volali nase ucetni ze je treba tu datovou schranku vyridit. Nedovedu si predstavit ze by prochazeli a odklikavali pridani certifikatu. Zkusil jsem si kliknout na tlacitko vstoupit do datove schranky a protoze ji nemam vyrizenou klikl jsem na cetifikaty, jsem zenska co umi svoje ucetnictvi a ceka ze od nekud na ni vybafne co ma delat a kam se to dostala. Ceka bohuzel na ni jen nefungujici stranka (odkaz certifikaty) a nesrozumitelny obsah. :(

Problem je spis v tom, ze "duveryhodne certifikaty" z prohlizece duveryhodne nejsou (vetsina z nich vystavi cerifikat prakticky kazdemu).

Tady máte bližší informace, jak se dostat do cizí schránky, pokud uživatel povolí vyjímku pro nezkontrolovaný certifikát..
http://www.abclinuxu.cz/blog/jenda/2009/7/dat.-schranky-podruhe-nebezpecnostni-upozorneni

Já myslím, že to je vážná chyba. Postsignum se mělo dávno snažit, aby jejich certifikát byl v nejčastějších prohlížečích (IE, Opera, Firefox..) automaticky

Mnooo. ja bych spis videl problem s pristupu prohlizecu k self-signed certifikatum. Voni ty podepsany overenou CA sou pomerne drahy. Raci at daj BFU prachy me, za to ze jim nastavim a vysvetlim jak datova schranak funguje, nez at se cpou moje dane do pochybnejch instituci.
Protoze, kdyz na BFU skoci takovadle hlaska, tak prvni co udela je ze zavola sveho admina. A ten admin sem ja a :))

15 - Co ma prosim spolecneho Microsoft s proprietalnim resenim firmy 602 a serverovou aplikaci v Jave ?

Mimochodem uz skorem 24 hodin je to tam hlaseni "Omlouváme se všem uživatelům Datových schránek, v současné době probíhá plánovaná odstávka, z důvodů prací spojených s náběhem systému". Takova "dostupnost" bude bezna ?

BFU bych neřešil, doinstalovat certifikát a ověřit si jeho pravost prostě začíná patřit do internetové gramotnosti. Kdo to neumí, zaplatí si AJŤáka.

Horší je XMLFiller, ten obejít nelze. Aplikace jen pro 32bitové MSWindows. Na jiné platformy se x86-32 procesorem to lze provozovat pomocí emulační vrstvy Wine, s jiným procesorem jen stěží. Přitom jeho použití je zcela nadbytečné a vše šlo vyřešit pomocí PDF (ISO standard) či hlavičky předávat podepsané stranou v txt podobě.

Takhle to prostě dopadne, když si stát něco objedná u České pošty, která si realizaci objedná u Českého Telekomu, a ten vše napíše na míru Microsoftu.

ad 17) Zapomněl jste dodat zbytek tohoto hlášení "Dále na systému Datových schránek probíhá plánované testování v nabíhajícím v plném provozu systému (zátěžový režim) a činnosti, které souvisí s další etapou bezpečnostního auditu systému Datových schránek“.
Nějak mi nehrabe,
a) Čemu říkají testování v plném provozu systému, který má skoro prázdnou databázi a (až do 1.11) skoro nulový provoz
b) Která firma bude ochotna se podepsat pod kladný výsledek bezpečnostního auditu tohoto systému...

Podle mne neni zase takovy problem pro certifikacni autoritu, aby svuj korenovy certifikat dostala mezi duveryhodne systemove certifikaty. Neznam podminky u vsech, ale nasel jsem podminky pro Mac OS X:
1. Certifikace nezavislou spolecnosti (webtrust.org) - pro velkou firmu neni problem
2. Root certifikat vyprsi nejmene 1. ledna 2010
3. Maximalne 3 root certifikaty jedne CA - opet neni problem
4. Dostupny testovaci certifikat pro Apple - temer bez nakladu
5. Root certifikaty jsou k dispozici uzivatelum pres Applovsky Software Update - Ceska posta bude mit mene prace s aktualizaci certifikatu
6. Ropt certifikaty musi nest urcitou hodnotu - celonarodni certifikacni autorita ji zcela jiste ma
7. Certifikatz musou podporoval CRL distribution point extension. Nejsem si jisty co to presne znamena (jsem liny to hledat), ale myslim ze by to nemel byt problem
8. Root certifikat musi odpovidat standardu RFC 3280

Nic sloziteho, predpokladam ze podobna pravidla plati i jinde.

No tak s datovou schrankou pomaham dobremu znamemu, protoze ji jako majitel stavebni firmy musi mit. Ja se docela potim, certifikat jsem naistaloval, ale uz nevim kde jsem na nej klik, ted uz ho zas nemuzu najit, to sakra nemuze bejt na prvni strance kam clovek vleze jasne napsano "nejdriv si nainstalujte certifikat" jako to ma moje banka (po migraci uz ma cert u "duverohodneho" CA). Dale chci zazadat o pristup do zkusebni verze a zas nejaky paskvilni doplnek, ktery uz na druhem pocitaci nemuzu dostat do IE ani do FF. A to se na internetu pohybuju bezen, ale on chudak by se tam vzivote nedobouchal, takze prujem vidim na strane uradu, nemuzou cekat, ze tohle zvladne clovek co umi chodit na seznam a cist si idnes....

Tak jsem se dnes, po delsi dobe pokousel dostat do sve (naší firemni) datove schranky. Trvalo mi to asi jen 30minut a byl jsem tam. Na internetu jako uzivatel stravim pomerne hodne casu, ale jen jako uzivatel. Nicmene tohle............. Zurim. Prohledl jsem si ovsem hafo reklamy a spousty dalsich informaci, nakonec, misto prosteho kliknuti pro pristup, jsem musel otevrit navod abych vubec nasel pristupovou adresu. Zkopirovne ID ani heslo mi to nevzalo. Nasledne jsem heslo musel opet zmenit (kazdych 90 dnu). Pak jsem zjistil ze mi bylo vypnuto oznamovani doslych zprav pomoci sms. Mam si udajne aktivovat....­........ A vlastne jsem zjistil prd, nebot tam mohla byt zprava starsi 90ti dnů a ja se o tom ani nedozvim. Casto byvam mimo na sluzebnich cestach, mam v internetove kavarne vzdy instalovat bezpecnostni certifikaty abych mohl alespon menit hesla a kazdy den kontrolovat, odvolaci lhuta je nekdy i jen 3 denni, dosle dokumenty? Je to strasne prima vec a verim ze hur to snad jiz ani vymyslet neslo. SORRY, nemel jsem to komu jinemu rici.........­...sorry

Je to shit. Jednak ta blbost se samovolným "přenastavováním", dále pak nesmysl zvaný důvěryhodný certifikát (ČP prostě není důvěryhodná firma, nedokáže-li takovou prkotinu zařídit) a nakonec nekonečná povinná cyklická změna hesla. Prostě výborná myšlenka, kterou diletanti dokázali přeměnit v nepoužitelný CZECHšmejd.

Wow! Thank you! I always wanted to write in my site something like that. Can I take part of your post to my blog?

Hey, Jay Here. Thanks for making such a great and insightful article. Keep doing this and you'll increase your readers a lot in the future... How's traffic now?

I'm glad I found your site through google , really enjoyed it. Thank you..

Howdy. Very important job. I would not expect this on a Wednesday. It is a great account. Provides Many thanks!

Well, I think that clears up a few issues for myself. How about everyone else?

Cool site you have, the posts here are very helpful. Thank you! :D

Howdy. Very important job. I would not expect this on a Wednesday. It is a great account. Provides Many thanks!

I absolutely love this website. Maybe you could let me know how I can go about keeping up to date with it? By the way I found your website through Bing

Rozhodně přístupnější nežli rozhraní ISDS je aplikace Multischránka, která je pro 1 DS zdarma (jednoduché stažení ze stránek aplikace) a kterou pro DS používám. Je to řešení pro provozování na vlastním počítači. Člověk může mít aplikaci na NB a připravovat si zprávy k pozdějšímu odeslání i ve chvílích, kdy je offline. Zprávy jednou stažené, zůstávají v počítači - žádné smazání po 90 dnech! Heslo, podle slibů autorské firmy, půjde již v tomto měsíci změnit jednoduše prostřednictvím aplikace. Již teď aplikace upozorňuje na blížící se vypršení hesla. Místo SMS doporučuji nastavit si v ISDS zasílání upozornění na došlé zprávy mailem - je to zdarma a stabilní. Placená verze umožňuje spravovat více DS najednou - a to je pohodička.

Hello Guru, what entice you to post an article. This article was extremely interesting, especially since I was searching for thoughts on this subject last Thursday.

Tremendous-Duper site! I'm loving it!! Will come back once more - taking you feeds additionally, Thanks.

Very good post. Made me realize I was totally wrong about this issue. I figure that one learns something new everyday. Mrs Right learned her lesson! Nice, informative website by the way.