Uvažoval jsem nad tím už docela dávno, ani nevím kvůli čemu.

Impulsem proč jsem se rozhodl ho změnit byla následující konverzace s technickou podporou (TP).

Já: 17.8. 10:20

Dobrý den, > mohli by jste si ve FAQ aktualizovat seznam fingerprintů Vašich serverů?

Kontroloval jsem jen ten pro a nesedí (SHA1).

TP: 17.8. 10:44

Dobrý den,

informaci jsme odstranili úplně, tak už Vás to nebude mást.

Já: 17.8. 10:52

A jak si mám, podle Vás, oveřit že server kam se připojuji je opravdu ten správný?

TP: 17.8. 10:53

Dobrý den,

pokud zadáte správně server pro připojení na FTP, tak to je správný server. V tuto chvíli už jsem byl přesvědčený o tom, že změním hosting. Jen jsem ještě nevěděl kam se přesunu.

Já: 17.8. 11:11

Doufám, že to nemyslíte vážně.

Pokud ano, odkážu Vás na wikipedii a článek o Man-in-the-middle útoku.

TP: 17.8. 11:24

Dobrý den,

domnívám se, že ověříte-li směřování daného hostname na správnou IP – což snadno ověříte dotazem i na jakýkoli „věrohodný“ DNS server (např. odjinud), riziko MITM útoku je viceméně hypotetické a považujete-li vašeho ISP za věrohodného (pokud ne, otázkou je, proč využívat jeho služby), pak ověření tímto způsobem + použití zabezpečené komunikace se serverem, je více než dostačující vzhledem k charakteru poskytovaných služeb.

Je na místě zmínit, že (stejně jako viceméně jakýkoli jiný webhosting) neposkytujeme služby vyžadující nějakou zvláštní bezepčnost – vzhledem ke kontinuálním změnám v infrastruktuře, přechodu na novou strukturu serverů atp. by bylo zcela nepřiměřeně komplikované uchovávat otisky všech certifikátů všech služeb, tím spíše s ohledem na to, že jste zřejmě jediný, kdo to skutečně kontroluje – uvedený nesoulad (za upozornění na něj samozřejmě děkujeme) tam byl přinejmenším několik let.

Dovolím si podotknout, že vůbec užití zabezpečeného spojení k ftp je tak minoritní (prakticky pod rozlišovací schopností, statisticky zcela zanedbatelné), že svým způsobem udržování, monitoring atp. tohoto provozu příliš nedává smysl – většina uživatelů prostě využívá normální FTP a nepředpokládá, že by se svým webem mohli být pro někoho zajímaví pro útoky typu MITM.

Snažíme nabídnout naším zákazníkům co nejširší spektrum služeb a tyto kontinuálně rozšiřovat, pokud bychom však zacházeli do detailů, které nemají u charakteru poskytovaných služeb opodstatnění, dostali bychom se do situace, kdy by některé služby raději vůbec nemělo smysl poskytovat. Děkuji za pochopení.

Nepochopil jsem to vůbec a proto byla v 11:45 dokončena objednávka u Active24. O pět minut později jsem přenesl doménu do jejich správy. Mezitím jsem nahrával na server data a čekal až se změny v DNS promítnou…

TP: 17.8. 12:06

Dobrý den,

_pro server aktuálně platí tyto hodnoty:

Kolem 15 hodiny už mi fungoval web, e-mail i tento web._

P.S. Co z toho mám? HTTPs pro všechny, DNSSEC, SSHFP a spoustu dalších věcí které považuju za samozřejmé.

Other Related Posts:

Černé krabičky

By nás měly chránit…

V záhlaví návrhu zákona se píše,

Účelem předloženého návrhu zákona je založit Vojenskému zpravodajství novou působnost spočívající v zabezpečování kybernetické obrany České republiky. Za tím účelem se mu v novele zákona o Vojenském zpravodajství umožní používání technických ...

11th Feb 2019

Huawei

Kdo se má bát?

V tomto týdnu vydal Národní úřad pro kybernetickou a informační bezpečnost varování. [1] Týká se používání zařízení a software společností Huawei a ZTE.

„Používání těchto prostředků představuje bezpečnostní hrozbu" píše se ve varování.

„K vydání tohoto varování nás vedly naše...

18th Dec 2018