Wszechwiedzący user

w-files

nawiązując do głupich komunikatów w windows – było o IE, a teraz taka ciekawostka przy połączeniu WiFi na w8. łączę się do serwera i dostaję ostrzeżenie:

error1

jest ‘show details’! super. sprawdzę co to za cert żeby zdecydować:

error2

eeee /: no i wszystko jasne. teraz decyzja jest oczywista…

eN.

PKI – a nie mówiłem…?

7 komentarzyPKI, rec, security, w-files, windows

ROTFLMAO – tak można podsumować wtopę, jaką zaliczył eMeS w ten weekend. a w zasadzie od piątq. cała chmura Azure wyparowała. dosłownie *cała*. od usług komercyjnych, darmowych, xbox… a wszystko przez… nieodświeżony certyfikat!

o tym, że PKI jest sztuką zanikającą i dla większości wdrożeń nazwa “PKI” jest mocno na wyrost, pisałem całkiem niedawno. ale to co się wydarzyło ciężko nawet komentować, więc zamiast się nabijać kilka wniosqw dla nas wszystkich:

  • CERTYFIKATY SĄ WAŻNE. jak widać – jeden zły cert i cała wielka machina może zdechnąć.
  • to, że nie dzieje się tak w innych firmach wynika z faktu, że każdy zna trywialim “bezpieczeństwo jest bardzo ważne/najważniejsze” ale środowisko konfiguruje się przeciwnie. ponieważ niewiele osób certyfikaty rozumie, aby sobie nie utrudniać życia, wszystko konfiguruje się tak, żeby “niewadziły”. czyli używa się self-signów, wyłącza się weryfikację CRL, pozwala się na połączenia pomimo braku poprawnej walidacji itd. czyli jakiś cert jest, jakieś szyfrowanie jest i wszyscy skaczą szczęśliwi że mają PKI i super bezpieczeństwo.
  • w Windows od zawsze brakowało automatu, przypominającego o wygasającym certyfikacie. taka funkcjonalność została dodana – AFAIR w Vista, jednak trzeba się lokalnie zalogować na serwer/stację, aby komunikat zobaczyć. tam, gdzie PKI jest istotne – jak np. główny cert firmy czy jakiejś aplikacji Web – admin powinien od razu wrzucić jakieś przypomnienie do kalendarza…

zamiast ustawiać przypomnienia na konkretne daty, co jest mało elastyczne z 1ooo powodów, warto byłoby zrobić coś bardziej uniwersalnego. na szybko – skrypt, który sprawdza wszystkie certy w computerMY i jeśli data jest powżej 6o% czasu życia, wysyła maila z informacją. skrypt można by wrzucić do do schedulera na serwerach. trzeba będzie nad tym pomyśleć…

eN.

powershell – kiedy będzie standardem?

1 KomentarzDevOps/Scripting, tips'n'tricks, w-files

globalnie – nie prędko. z jednej strony możliwości PS się zwiększają z każdą wersją systemu, z drugiej strony – pozostają bez zmian dla wersji starych. potworny dualizm – jest wiele zapowiedzi, że będzie wycofane wsparcie konfiguracji TCP/IP z netsh, wmic – z drugiej strony po uruchomieniu w12 w wersji core nadal jesteśmy witani CMD – co jest zresztą dla mnie zupełnie niezrozumiałe /: . taki oto scenariusz, na który często trafiam:

trzeba coś zautomatyzować/zmienić u klienta. wersje serwerów – od W2k3R2 po w12. jakie mamy środowisko do tego?:

  • na w2k3R2 powershella nie ma w ogóle
  • na w2k8 jest, ale dla tej wersji była bardzo ograniczona liczna cmdletów
  • na w2k8R2 cmdletów jest więcej ale nadal są ograczniczone
  • na w12 jest ich na prawdę dużo, ale część operacji i tak trzeba wykonywać via stare commandlineowe toole.

i tak wybór jest pomiędzy:

  • zainstalować na wszystkich maszynach powershell. zadanie nietrywialne bo nie wszędzie jest v3, trzeba spełnic szereg wymagań, być może dograć jakieś moduły. sporo zachodu ale jeśli jest się adminem sieci to można się pobawić. jednak dla konsultanta – osoby z zewnątrz – jest to nieopłacalne.
  • być uniwersalnym – korzystać z VBS + CMD

finalnie – jeśli ma być uniwersalnie to trzeba sięgnąć do VBSa, co jest bolesne. po wygodzie i mozliwościach, jakie daje PS, grzebanie się w basicu jest ciężkim doznaniem.

niezrozumiałe dla mnie pozostaje:

  • czemu default shell w core to cmd
  • czemu PS nie jest poprawką obligatoryjną/sugerowaną dodatkową – w końcu to podstawowe środowisko zarządzania! na stronie opisującej WMF 3.o jest informacja iż nie jest kompatybilny z <tu całkiem spora lista>. niewątpliwie odpowiada to bezpośrednio na pytanie ‘czemu nie jest poprawką obligatoryjną’ ale rodzi pytanie – skąd te niekompatybilności?
  • czemu nie ma oficjalnych update’ów modułów do PS?

w efekcie, pomimo ostrego parcia w kierunq PS nie można mu zaufać – skrypty napisane na jeden system mogą nie działać na innym. brak jest spójności i jednego, porządnego środowiska.

Powershell basics mini-FAQ

  • jak sprawdzić wersję powershell:

$host.version

  • czy da się zupgradeować powershell do wersji 3 na wszystkich systemach?

po pierwsze to nie tylko PowerShell ale ‘Windows Management Framework’. na cały framework składa się kilka komponentów, wykorzystywanych na końcu łańcucha przez PS: BITS, WinRM i kilka innych komponentów, +oczywiście .NET framework. na staszych systemach trzeba więc zupdateować i pozostałe komponenty.

dla w2k8, w2k8R2 i w7 da się – można zaciągnąć z download center
dla wersji 2k3/XP SP3 jest tylko v2 i nowszej nie będzie

  • jak sprawdzić dostępne moduły

get-module –listAvailable

użytkownika: userdocumentswindowspowershellmodulesmymodule
systemowe: windowssystem32windowspowershellV1.0modulesmymodule

  • skąd wziąć moduły?

sporo jest na codeplexie. jedno z fajniejszych repozytoriów jest na technetowym wiki.

eN.

instalacja systemu na po-DPMowej maszynie

DPM, SystemCenter, tips'n'tricks, w-files

System Center Data Protection Manager to eMeSowy backup. mając do czynienia z kilkoma produktami do backupów śmiało mogę powiedzieć – ten jest najinniejszy ze wszystkich q: jedną z ciekawostek jest fakt, że dla każdego backupowanego systemu tworzona jest oddzielna partycja. taka partycja raz na jakiś czas się kończy. wtedy system tworzy kolejną partycję … i spanuje ją z poprzednią. wychodzi z tego straszny potwór. kiedy zajrzy się do diskmanagera na żywym systemie, gdzie backupowanych jest wiele serwerów – ilość ‘kreseczek’ jest nie do ogarnięcia. kreseczek – ponieważ nawet przy rozdzielności full hd ilość partycji jest zbyt duża, żeby starczyło miejsca na ich wyświetlenie (; zresztą – tam się raczej nie zagląda…

niemniej może to stanowić problem. wedle zasady ‘jedno doświadczenie nie stanowi dowodu’ nie mogę powiedzieć, że to co opiszę poniżej jest zasadą, ale tak się stało ostatnio:

padł serwer DPM i trzeba było przeinstalować system. po uruchomieniu instalacji windows, ta zawisała na 2o min do 2h zanim pokazał się ekran wyboru dysq dla systemu operacyjnego. instalacja działa jakoś wolno. dochodzi do ostatniego punktu i zawiesza się. czekaliśmy ok. dnia. drugi test – to samo. postanowiliśmy wyłączyć dyski, na których są backupy DPM. cała instalacja śmignęła i po nie całej godzinie system działał.

być może winą były sterowniki dla RAID… jednak imho powodem było to, że system próbował skanować wszystkie partycje w poszukiwaniu jakiś danych i się gubił w labiryncie spanowanych dysków dynamicznych. jeśli ktoś miał podobne doświadczenie i potwierdzi lub obali będzie miło (:

btw. jest opcja kolokacji danych na partycji. w nowym DPM 2o12 ponoć mocno poprawiona. póki co dopiero zaczynam swoją przygodę z tym produktem…

eN.

znikająca drukarka

curiosity, tips'n'tricks, w-files

drukarka sieciowa HP, podłączona w biurze w oddziale. lokalnie działa normalnie, ale z różnych względów ma być na printserverze w centrali. i zaczynają się dziwne objawy: drukarka działa przez ok 1min po czym zwykły timeout. drukarka znika z sieci. wystarczy wejść w opcje konfiguracji i dokonać jakiejkolwiek zmiany i drukarka znów pojawia się na chwilę. po czym znika.

zgłoszenie do wsparcia HP – można było przewidzieć odpowiedź. standardowy bełkot bez żadnej wskazówki.

próbowałem skanować ruch sieciowy, ale bez możliwości zdefiniowania portu monitorowania na switchu nie da rady. router zbyt prymitywny i nie miał tcpdump czy czegoś w podobie. ogólnie wszystko wyglądało prawidłowo.

problem rozwiązał qmpel… okazało się, że na switchu był ustawiony nieprawidłowy gateway. po ustawieniu prawidłowego, drukarka zaczęła działać jak trzeba.

to rozwiązanie pozostawia jednak więcej pytań niż odpowiedzi. pewnie nie będzie czasu już nad tym posiedzieć:

  • konfiguracja TCP/IP na switchu nie jest obligatoryjna – jest to [a w każdym razie AFAIK powinno] być wyłącznie jako interfejs zarządzania. poza tym switch powinien być przeźroczysty
  • nawet jeśli ten GW był do czegoś wykorzystywany – skąd to dziwne zachowanie, że przez jakiś czas [1-2 minuty] działało ok i przestawało?
  • drukarka miała prawidłowo ustawiony GW, a skoro komunikacja była zrywana oznacza to, że switch ingeruje w ramki albo ma buga na poziomie obsługi IP! /:

jedynym sposobem byłoby przywrócenie konfiguracji, ustawienie portu monitorującego i wysniffowanie ruchu. dodam tylko, że to switch Dell. pozostaje w kategorii w-files.

eN.

7 czy 8?

12 komentarzyrec, w-files

ponieważ minął miesiąc odkąd zmagam się regularnie z 8ką „produkcyjnie”, krótkie podsumowanie. najważniejsze pytanie: przesiadać się, czy nie?

odpowiedź dla mnie: tak, przesiadać się. ponieważ:

  • jest hyper-v. server na lapsie jest problematyczny. chodzi głównie o różne freeware’y, które na wersji server się nie instalują. no i trzeba się bawić w dokonfigurowywanie kilq opcji… lepiej mieć wersję kliencką.
  • jest szybszy. niby korzysta z tych samych mechanizmów cache ale jakoś magicznie aplikacje mniej „młócą”. że start jest szybszy – to średnio istotne, bo nie robi się tego często, ale że aplikacje uruchamiają się szybciej, a to daje widoczny luksus podczas codziennej pracy.

i to tak na prawdę koniec zalet jak na tą chwilę. poza niuansami typu 'zintegrowana obsługa iso’ lista wad jest długa i jeśli miałbym zaproponować klientowi/firmie – będę póki co proponował poczekać. brak bezpośredniego wsparcia dla wielu modeli i masy sprzętu [to norma na początq cyklu życia – zmieni się w ciągu kilq miesięcy] oraz – przede wszystkim: brak funkcji, które faktycznie zwróciłyby wartość migracji, wartości dodanej – to podstawowe powody.. [czy też raczej po prostu brak powodów]. odradzać nie zamierzam – jest system co najmniej tak samo dobrym jak w7.
co do nowego menu „start” to osobiście uważam, że biznesowo nie jest to dobry pomysł, jednak wiem, że są osoby, którym to nie przeszkadza. czekam z niecierpliwością jak odniesie się do tego biznes – czyli na statystki mniej-wiecej za rok. tak czy inaczej nie brałbym tego jakoś specjalnie jako aspekt do 'migrować czy nie’. pewnie userów da się przyzwyczaić, a w razie co classic shell jest free – również do użytq komercyjnego, więc można sobie łatwo poradzić.

trochę gorzej wygląda kwestia Windows Server 2o12… tutaj z jednej strony aż się chce krzyczeć 'migruj ASAP’ – zwłaszcza, jeśli ktoś ma Hyper-V. z drugiej jednak jeśli ktoś ma do tego DPMa to musi sobie poczekać jeszcze kilka miesięcy bo nie ma wsparcia dla ws12. niemniej w przypadq serwera zmiany są drastyczne i przesiadka na nowy system jest na pewno warta rozpatrzenia.

eN.

quo vadis Microsoft?

7 komentarzyw-files

Microsoft od zawsze budował swoją potęgę na kompatybilności – pomimo uwsteczniania, wyrównywania do gorszych, starych opcji, niestabilności systemu i wszelkich wad, jakie wynikają z zachowania kompatybilności ze starymi aplikacjami – dawało to olbrzymi rynek aplikacji i pozwalało na gładkie, krokowe migracje.
drugim ważnym aspektem jest tożsamość i świadomość celu. na założeniu Gatesa z lat 7o-tych „chcę aby PeCet był każdym domu” zbudowano tą firmę…

no i minęły te 3 dekady. nie tylko PeCet zagościł w [niemal] każdym domu – i zasługa eMeSów jest w tym niewątpliwie wielka, ale zdążył się lekko zdezaktualizować na rzecz tabletów czy innych urządzeń mobilnych. obserwuję ruchy MS – w końcu to mój chleb powszedni, i jestem coraz bardziej przerażony. ta firma się gdzieś gubi. podobno kryzys wieq średniego następuje gdzieś w okolicach 4otki ale im najwyraźniej zaczęło się wcześniej.
zacznijmy od kompatybilności – Vista zmieniła mocno podejście do aplikacji. tak mocno, że zabolało. niestety developerka nie jest w stanie nadążyć za zmianami – do dziś duża cześć aplikacji zakłada, że na komputerze pracuje jedna osoba i ma uprawnienia admina. zmiany jakie zaszły w Vista były więc drastyczne – inne biblioteki to pikuś, ale zmieniony model bezpieczeństwa i UAC po prostu zabijają. nie dziwota – skoro nie można sobie poradzić z wieloużytkownikowym środowiskiem to zrozumienie niuansów działania systemu przerasta większość aplikacjo-klepaczy [nie chcę obrażać Developerów, przyrównując do takich tanich rzemieślników]. to zerwało mocno nić kompatybilności – w jak wielkim stopniu skomplikowało to procesy migracji miałem okazję się przekonać przy kilq projektach. osobiście uważam to za dobry ruch i kiedyś trzeba zrobić skok do przodu. wyszedł Windows 7 i świat wrócił do normy. Vista odegrała rolę środowiska przejściowego i testów ubijając pole dla w7. i jakoś tak 2-3 lata temu zaczęło się dziać coś dziwnego.
rodzina Forefront została rozbita, sklejona, zmieniona. ciężko mi na dziś dzień powiedzieć co przetrwało a co nie – najpierw ją rozdmuchiwano a potem dokonano aborcji na Stirlingu tuż przed narodzinami, TMG jest w fazie agonalnej, coś tam przepisana do System Center… działka security przeszła tyle operacji w ciągu ostatnich kilq lat, że nie jestem w stanie powiedzieć czy ma jakąś przyszłość. nawet cały ten AV – niby jest, niby jest enterprisowy FEP… ale raporty pokazują, że z jakością nie jest dobrze.
z interfejsem modern UI, to już strzał w kolano. nagle firma obudziła się z ręką w nocniq, zauważając, że na świecie pojawiły się tablety. więc teraz na „ura” próbują wszystkie urządzenia zrównać z tabletami. co za idiotyzm. to tak, jakby nagle zauważyć młotek i zamiast wkręcać śruby, kazać je wbijać. jak dziecko, z nową zabawką, które uważa że cały świat teraz będzie właśnie tak wyglądał. oglądałem wczoraj webcasto Windows 8 Professional. z 1,5h prezentacji dowiedziałem się, ze kafelki można układać, że można je przestawiać, że kafelki są ładne, że kafelki można konfigurować do własnych potrzeb, że kafelki… czy na pewno chodzi o wersję „professional”?
produkty zmieniają nazwy, jednego dnia przedstawiany jest jakiś roadmap a następnego ten sam produkt zmienia rodzinę, wszystko jest jakoś bez głowy modernizowane – wygląda to tak, jakby jakiś 'dyrektorek’ bez pojęcia zaczął krucjatę technologiczną próbują udowodnić, że to marketing dyktuje gusta 'a w tym sezonie modne są tablety’.
drugim modnym słowem jest chmura. jak ktoś nie zdążył zmigrować sharepointa do najnowszej wersji ale ma już w8 – to sorry. nie będzie integracji. sharepoint workspaces dla wersji SP2o1o nie integruje się z w8, jest za to nowy produkt – private cloud, panie – skydrive pro. tylko, że ten z kolei nie jest kompatybilny ze starszym SP. a więc wszystko albo nic – migruj całe środowisko, serwery, stacje klienckie i aplikacje, albo nie migruj w ogóle, bo tracisz funkcjonalność.

boję się pomyśleć co będzie dalej i jaka nastanie moda. czy Windows 9 Server po uruchomieniu na serwerze będzie pokazywał klawiaturę ekranową i książkę adresową, bo będzie wyrównany do smartphona? czy zamiast nowego office będzie tylko o365, a rola File Server będzie konsolą do zarządzania kontami na skydrive? odnoszę wrażenie że eMeS stracił tożsamość i nie za bardzo potrafi sobie poradzić w nowych czasach miotając się od pomysłu-do-pomysłu.
jak w każdym życiu, są gorsze i lepsze okresy – mam nadzieję, że przyszły rok będzie bardziej słoneczny. ma wyjść XBOX72o – liczę, że się nie zawiodę. świąteczno-noworoczne życzenie? żeby to, co słyszę na temat planów przyszłego modelu płatności za system operacyjny okazało się tylko plotką….

eN.

Myth busters: cheap disk space

3 komentarzew-files

bardzo często czytając artyqły dotyczące różnych decyzji co do rozwiązań architektury produktów trafiam na zadania typu: “disk space is very inexpensive and IT shops can take advantage of larger, cheaper disks to reduce their overall cost”.

to konkretnie art dot. brak SIS w Ex2o1o. nie dywagując z faktem czy jest on faktycznie potrzebny czy nie – w końcu liczby nie kłamią – zastanawia zjawisko samego mitu dotyczącego tanich dysków… uczestniczyłem bardzo niedawno – w ciągu ostatniego roq – w kilq zaqpach macierzy. najtańsze macierze do zastosowania produkcyjnego zaczynają się od 3o-4o tysięcy PLN, z dość małą powierzchnią dyskową. ot proszę – zupełnie pierwszy-lepszy link jaki znalazłem do zerknięcia: macierz netapp, 24TB – 1o.ooo€. w promocji. to bardzo niedużo za taką powierzchnię. nie wiem jak przy netappach, bo nie pracowałem z nimi, ale w macierzach HP czy Dell czy EMC, informacja że korzysta z dysqw SATA wcale nie oznacza, że qpimy na allegro zwykłe dyski po paręset PLN. to są specjalne, dedykowane dyski do macierzy, które kosztują oczywiście kilka razy więcej. poza tym, takie 24TB nie da się rozszerzyć. trzeba qpić dodatkową półkę. ah. przecież przydałaby się jakaś redundancja… czyli na dzieńdobry, jak chcemy zasilić wcale niezbyt wielką firmę w porządny storage dla Exchange, musimy wyłożyć 1oo.oooPLN – to tak licząc wcale niewygórowane ceny i zupełnie średniej klasy macierze. no ale firma jest nowoczesna i chciałaby zwirtualizować serwery. przecież maszyny też muszą leżeć na jakiejś macierzy…

no dobra, ponosi mnie. ale przeliczając to na PLN per TB:

1oo.oooPLN za 24TB, co daje ok 18TB przestrzeni użytkowej [RAIDy i inne takie – nie wliczam snapshotów!! co by odjęło dodatkowe 3o-5o%!] to jest ok 5,5KPLN za 1TB. czy to jest mało – oceńcie sami.

owszem – są jakieś tanie NASy, na zwykłe dyski SATA po kilkaset PLN. policzmy zatem tani Synology DS2411+. tutaj mamy rząd wielkości mniej – jeden kosztuje 5kPLN. dysk 2TB to ok. 45oPLN. daje to ok 2okPLN przy założeniu, że redundancja jest priorytetem – kiedy pracuje się na komponentach tak niskiej klasy przy produkcyjnym zastosowaniu. znów licząc bez żadnych dodatków, i zwykłym RAID5 z pojedynczym sparedrive, wychodzi ok.18TB przestrzeni użytkowej. dzięki temu można pięciokrotnie obniżyć koszty – i cena za 1TB to ok. 1,1kPLN.

biorąc pod uwagę, że wymagania dużej firmy są duże, a mniejszej firmy są mniejsze – relatywne odczucie ceny 1,1kPLN czy 5,5kPLN za 1TB przestrzeni, pozostanie tak samo *obiektywnie* duży. kto nie wierzy – niech przekona zarząd do zaqpu macierzy.

i niech mi nikt nie pisze pierdół, że ceny dysqw są relatywnie niskie, że ‘it’s not an issue those time’ czy inne takie, bo normalnie mam ochotę wydrukować te bzdury i wcisnąć w gardło tym pismakom…

eN.

There is a problem with this website’s security certificate

4 komentarzePKI, w-files

standardowy komunikat IE informujący, że coś jest nie tak z certyfikatem. dodatkowo dwie opcje: wejdź lub wyjdź. opcja kontynuacji obarczona jest informacją żeby tego raczej nie robić, że to niebezpieczne i tak dalej…

no dobra… ale chciałbym zobaczyć ten certyfikat żeby móc podjąć decyzję i co w ogóle jest nie w porządq. tylko żeby go zobaczyć muszę najpierw wejść.. czyli teoretycznie jest już za późno…

jaka w tym logika?

eN.

Szyfrowanie poczty certyfikatem x5o9

14 komentarzycuriosity, PKI, tips'n'tricks, w-files

*UPDATED…again*

pamiętam, że na uczelni – czyli ponad dekadę temu – każdy gówniarz, włączając mnie, wiedział co to PGP, miał certyfikat i się tym bawił. oczywiście ponieważ nasze dane były bardziej super fajne niż super tajne, po dwóch-trzech miesiącach każdy się nudził zabawą i certyfikaty poszły w zapomnienie… a było tak:

Projekt PGP został zapoczątkowany w 1991 przez Philipa Zimmermanna i rozwijany z pomocą społeczności programistów z całego świata[1].

Wydarzenie to stało się pewnym przełomem – po raz pierwszy zwykły obywatel dostał do ręki narzędzie chroniące prywatność, wobec którego pozostawały bezradne nawet najlepiej wyposażone służby specjalne.

Wikipedia

Ponad 2o lat temu powstała idea, aby przeciętny obywatel mógł zabezpieczyć swoją pocztę.wtedy chodziło o zabezpieczenie się przed rządem – to było jeszcze echo po zimnej wojnie. po tylu latach bezpieczeństwo jest niemal wbudowane w każdy produkt i dostępne wszem i wobec, więc można przyjąć, że bułka z masłem coś takiego skonfigurować…

podstawowym problemem PGP jest zaufanie do certyfikatu, które opiera się na wymianie kluczy – nawzajem lub przez jakieś ‘zaufane miejsca’. mało wygodne przy użyciu ‘publicznym’ – lepiej skorzystać z zaufanych serwerów Root CA, które poświadczają tożsamość. w sumie na oddzielną dywagację, bo standardowy certyfikat można wystawić na “reksia kosmonautę” – i tak nikt nie wyryfiqje tożsamości przy najniższej klasie bezpieczeństwa… ale o nie o taki cel wpisu. chodzi o ideę szyfrowania wiadomości jako-takiego, oraz o weryfikację na ile to jest zadanie proste po 2o latach od rozgłosu, jaki osiągnęło PGP…

testy dotyczyć będą certów x5o9.

 

Ceryfikat

po pierwsze okazuje się, że zniknęły z rynq praktycznie wszystkie portale wydające darmowe certyfikaty do poczty z firm, które są globalnie w Trusted Root CAs. zostało comodo i masa ‘odsprzedawaczy’ którzy kierują na stronę comodo. jak dłużej się poszuka, znajdzie się “coś tam”:

  • CAcert – ale jak można ufać komuś, kto nawet nie potrafi ustawić kodowania znaków na stronie? poza tym RootCA jest dystrybuowany społecznie, a więc trzeba go ręcznie importować
  • startssl – początkowo go nie znalazłem, wymaga podania sporej ilości danych, rejestracja nie jest automatyczna.

no więc niech będzie comodo – w sumie co za różnica…. potem przetestowałem na certyfikacie startssl – i nawet się udało… ale to za chwilę.

Klient

po drugie żadna poczta publiczna webmail nie obsługuje certyfikatów – gmail, live/hotmail czy inne wynalazki. a więc pozostaje to poza zasięgiem większości userów. warto byłoby zerknąć na klienty na urządzenia mobilne, ale to zostawiam innym [będę wdzięczny za informacje – może korzystacie z jakiegoś klienta wspierającego szyfrowanie?]. więc przetestujmy na najpopularniejszych stacjonarnych klientach poczty.

dla testu stworzyłem dwa konta na jakieś tam skrzynki i wygenerowałem certyfikaty comodo i startssl. dwa konta w windows, oczywiście zaimportowane na krzyż po certyfikacie prywatnym jednego i publicznym drugiego. bułka z masłem…

[po trzecie] no może nie do końca – nie dla common-usera. ponieważ windows nie pozwala ani przesłać pliku .cer, ani kiedy się go zzipuje, rozpakować. trzeba wejść we właściwości i go odblokować – kolejne utrudnienie, które dla kogoś z IT może być śmieszne, ale dla przeciętnej osoby wymaga sporo wysiłku. pozostaje jeszcze jedna sprawa – skąd taki cer wziąć. i znów – dla mnie oczywiste jak wyeksportować część publiczną – ale nie jest to metoda ‘użytkownikowa’. raczej zaliczyłbym to do ‘zadań administracyjnych’.

idziemy dalej. odpalam Windows Live Mail 2o12 – bez trudu konfiguruje się własny certyfikat. drugi – publiczny, już zaimportowany i sprawdzony – siedzi w other users i wszystko się zgadza, cały łańcuch weryfikowalny, email ok. szyfruję wiadomość, wysyłam… i dupa “Digital ID is missing”. godzina ślęczenia, sprawdzania, bez szans. po prostu się nie da. wszędzie opisy jak wyłączyć szyfrowanie, nigdzie jak je skonfigurować – owszem, gdzieniegdzie opisy jak skonfigurować swój, ale nigdzie jak prawidłowo zaimportować czyjś. brak instrukcji. mam wrażenie, że robię coś źle – więc weryfiqję dalej.

testuje outlooka 2o1o. qrva – to samo! nie do wiary. nie mówiąc o tym, że sama konfiguracja czy szyfrowanie wymaga trochę umiejętności, ze względu na to przez ile okien trzeba się przeklikać w outlooku żeby to skonfigurować – przeciętny user się obsra a tego nie znajdzie. no ale to raczej korpo-aplikacja.
może głupi jestem – nie wykluczam, poza tym jest późno, a ja pracuje 17tą godzinę [ale update piszę następnego dnia i nadal nie jestem pewien – co robię źle?]… jeszcze jeden test:

‘by the book’, czyli tak, jak w zamyśle powinna wyglądać wymiana kluczy… najpierw z certami comodo.
wysyłam z jednego konta podpisaną wiadomość. dochodzi do nadawcy i .. jest prawidłowo zweryfikowana. dodaję kontakt do książki adresowej przez opcje tegoż zweryfikowanego kontaktu… – już trochę mniej oczywiste i trzeba się nieźle przeklikiwać ale w końcu działa! nic dodać nic ująć – super intuicyjny system, security w każdym domu! no to teraz to samo w drugą stronę – dla Live Mail… podpisuje wiadomość, wysyłam, przychodzi, zweryfikowana, przekilqje się przez info o certach i znajduję opcję “dodaj do książki”… i dupa. kontakt jest ale certu nie ma. następnego dnia zrobiłem ten sam test ale z certami startssl: ZADZIAŁAŁO! i to z Live Maile po obu stronach. nie będę już testował czy wczoraj coś namodziłem, czy certy comodo są do d. ale jest jedna rzecz, która mnie bardzo zastanawia: czemu zaimportowany cer nie jest rozpoznawany??

postanowiłem wyciągnąć ciężką artylerię. stawiam własny CA i tworzę template dla szyfrowania poczty. generuję cert z tym samym mailem, exportuję część publiczną instaluję… nie ma żadnych problemów z importem – zarówno outlook jak live mail łykają taki cert bez mrugnięcia ekranem. porównuję certy żeby zobaczyć różnicę:

  • key usage: dla comodo digital signature i key encipherment; dla mojego – tylko key encipherment.
  • enhanced key usage: w obu Secure Email. comodo ma jeszcze własny OID do logowania na swoich stronach. nieważne.
  • CN – ten sam, czyli E=email
  • Application policies: brak w certach z zewnętrznych CA. MCA dodaje ‘Secure Email’

o co c’mon? certutil weryfikuje bez zajęknięcia. jedyna różnica jaką znalazłem to to, że w wygenerowanym przez MCA jest Application Policy, którego nie ma w certach zewnętrznych – ale to nie powinno mieć znaczenia. tej części nie udało mi się rozwiązać.

na koniec biorę pod młotek thunderbirda…

nie lubię tego produktu – jest toporny, brzydki i nie korzysta z systemowego cert stora. o ile kojarzę to dodatkowo TB i FF mają oddzielne cert story! ale pal to licho – nie o to chodzi. próbuję dodać publiczny email cert – dupa. niezaufany. okazuje się, że brakuje ostatniego ogniwa zaufania – dla COMODO email. exportuję ze stora systemowego, dodaję do TB. działa.

Konkluzja

na jakim poziomie trzeba być userem, żeby zacząć korzystać z szyfrowania poczty? można x5o9 zastąpić openpgp czy GNUPG i szyfrowanie wiadomości z linii poleceń. tak, wiem, jest jakiś dodatek do systraya, który jakoś to automatyzuje – ale co z tego? target użycia pozostaje ten sam. zresztą opinię czy jest łatwiejsze czy trudniejsze pozostawię – może będę miał siłę to przetestować?

pomimo dwóch dekad – szyfrowanie poczty pozostaje instytucjom i zdesperowanym. zwykłym, ani nawet trochę mniej zwykłym userom, po prostu się to nie uda. być może drążyłbym jakąś teorię spisq – ale raczej projektu opensource typu mozilla nie podejrzewałbym o przyłączenie się do niego. żaden klient nie ułatwia wymiany kluczy, o ile w ogóle je obsługuje… a może nie ma się co dziwić? ostatnio częściej się słyszy o uzależnieniu od porali społecznościach – ludzi, którzy mają na bieżąco publikowane swoje położenie odczytane z GPS, każda myśl przelana od razu pro publico… ale czy bono to już wątpię. ‘jestem na wakacjach’, ‘właśnie wylało mi się mleko, cholera ale się pobrudziłem’, ‘ale walnąłem kloca! [+zdjęcie]’ … minęło 2o lat i ze skrajnej paranoi i strachu przez rządem, ludzie przenieśli się w epokę totalnej publikacji siebie.

tego nie rozumiałem wczoraj, będąc zmęczony, a dziś wydaje mi się oczywiste – nie ma popytu – nie ma podaży. kto potrzebuje – kupi, albo się nauczy.

eN.