Dorazil mi mailem odkaz na článek o tom, že certifikační autorita StartSSL byla přesunuta do Číny. Pod článkem je změť histerických komentářů. Nešilte.
Co je na tom jako špatně? Zřejmě má někdo strach, že Číňani začnou dělat MITM a začnou odposlouchávat nějaké webové komunikace. A že začnou generovat podvžené digitální certifikáty pro podpis kódu (exe, powershell apod.). Tak to jsem se právě zbláznil strachem.
A měli by i všichni ostatní, kdo mají například notebook nebo mobil Lenovo. Firma se přímo chlubí tím, že je čínská. Na mém iPhone je zezadu hrdě napsáno assembled in China. Hlavní výrobce TPM čipů, firma Infineon, má v Číně oddělení R&D (research and development) i oddělení Production, jak je hrdě manifestováno tady. Například firma Home Credit provozuje v Česku jenom plivátko, v Číně je největším poskytovatelem osobních půjček, což bude o několik nul více, než v prostoru pro nás deset miliónů.
Právě se mi promočily gatě.
Jako od kdy je Čína víc zlá, než US například. Kdyby se udělala statistika, zvlášť na root.cz, tak předpokládám, že víc článků tam bude o tom, jak US špicluje všechny a všechno. Proč by vás nemohla odposlouchávat například německá rozvědka, čistě proto, že Mutti nařídila raději odposlechnout všechno, aby se předešlo nějakým dalším terorům?
Takže v klidu. Certifikační autority (CA) jsou například do Microsoft systémů vpouštěny na základě požadavkůch zvaných Microsoft Trusted Root Certificate Program. Je zde požadavek na nezávislý audit, a to jak pro vstup do programu (intake process) tak i opakovaně každoročně (continuing requirements).
I v tuto chvíli (April 2016) jsou v něm například China Financial Certification Authority (CFCA), China Internet Network Information Center (CNNIC) i WoSign CA Limited a Guang Dong Certificate Authority (GDCA) a Shanghai Electronic Certification Authority Co., Ltd. (SHECA).
Nebo například Government of Saudi Arabia, NCDC (Saudská Arábie), Chunghwa Telecom Corporation (Taiwan), Government of Taiwan, Government Root Certification Authority (GRCA) (Taiwan), Government of Hong Kong (SAR), Hongkong Post, Certizen (Hong Kong), Government of India, Ministry of Communications & Information Technology, Controller of Certifying Authorities (CCA) a také třeba Government of Turkey, Kamu Sertifikasyon Merkezi (Kamu SM) a TurkTrust.
Korejci tu svoji dokonce rovnou nazývají takto - Korea Information Security Agency (KISA).
A to jsem to vybral čistě pouze na základě jejich jmen.
Pokud si tedy nezrušíte všechny CA kromě našich českých a nevyhodíte veškeré hardware vybavení, které není české :-), tak si vyměňte spodky a v pohodě pokračujte.