Компания Google приняла решение (http://googleonlinesecurity.blogspot.ru/2015/03/maintaining-...) исключить из списка заслуживающих доверия корневых сертификатов удостоверяющий центр CNNIC, который был уличен (http://www.opennet.me/opennews/art.shtml?num=41902) в передаче промежуточного корневого сертификата сторонней компании для организации перехвата HTTPS-трафика сотрудников. По мнению Google, в текущем виде CNNIC не может гарантировать отсутствие подобных инцидентов, приводящих к ненадлежащему использованию сертификатов. Для сглаживания данного решения, на ограниченное время сертификаты клиентов CNNIC будут помещены в белый список и продолжат помечаться заслуживающими доверия в Chrome. Одним из условий возвращения доверия к CNNIC в Chrome является внедрение прозрачной схемы распределения сертификатов.
В ответ CNNIC назвал (http://www1.cnnic.cn/AU/MediaC/Announcement/201504/t20150402...) такое решение неприемлемым и непостижимым и пообещал защитить права и интересы своих пользователей.
URL: http://googleonlinesecurity.blogspot.ru/2015/03/maintaining-...
Новость: http://www.opennet.me/opennews/art.shtml?num=41955
как в анекдоте:
- Давай ему наваляем?
- а если он нам?
- а нам то за что?
Я лично уже удалил их сертификат
> как в анекдоте:Мне вот это: "Одним из условий возвращения доверия к CNNIC в Chrome является внедрение прозрачной схемы распределения сертификатов" кажется хорошим началом ответного предложения: "Одним из условий возвращения доверия к Google в Китае является внедрение прозрачной схемы взаимодействия с АНБ".
я имел ввиду сторону CNNIC как сторону а "нам то за что".
С вами полностью согласен.
Ну все, это наш шанс.
> Если требования не будут выполнены, информация о корневом сертификате CNNIC будет удалена из FirefoxПредварительно записал в черный список CA
> Предварительно записал в черный список CAПревентивно удалил. Пусть дальше выдают левые серты, если хотят :)
Mozilla и Google хотят отжать бабла, а вот лично вам какой интерес?Вообще схема гениальная, конечно. Есть сертификационный центр, торгующий воздухом. Его обложили законами и поборами, и теперь сертификаты стоят вполне конкретных денег.
Сайты отображаются в браузерах, поэтому хозяева (выгодоприобретатели) популярных браузеров могут своими действиями повлиять на популярность центра сертификации, а т.к. могут повлиять, то хотят получить с этого влияния свою долю пропорционально доле на рынке браузеров.
Google сделал модным вывешивать чужие обо--анные труселя на всеобщее обозрение на своём балконе. Google де факто монополист интернет-поиска и уже не раз его ловили за руку на том, что он изменял поисковую выдачу в удобную для себя сторону. Вывесив труселя, он провоцирует пользователей на оскорбления и искажает (может исказить) поисковую выдачу, а значит влиять на популярность центра сертификации. А т.к. может повлиять, то хочет получить с этого влияния свою долю.
Центр сертификации, как и любая коммерческая компания, которой страпонов во все дырки понавставляли, тупо увеличивает цену продукта на величину издержек.
клоун такой клоун. Ищете цирк в другом месте.
На этот раз наш клоун чистую правду сказал. Что бывает нечасто, согласен.
Предвзятое мнение редко бывает правдой.
Удобно устроился: объявляешь мнение предвзятым и в дамках. Мудёр бобёр.
А как надо?
Надо оставаться просто бобром, а не быть мудёром
Скажу больше. Непредвзятых мнений не бывает.
> Предвзятое мнение редко бывает правдой.Нет, золотой мой. Оно редко считается правдой. Миллионы мух же не ошибаются, верно?
ОК, а зачем CNNIC передал промежуточный корневой сертификат сторонней компании, в нарушение всех правил? Типа CNNIC теперь скажет «извините, мы больше так не будем» и всё ок?Центр сертификации сознательно нарушил правила и должен быть исключён из списка доверенных. А свои бредовые фантазии про бабло пиши пожалуйста сразу в помойку, а не сюда.
Про популярность центра сертификации бред полный.
популярность центра сертификации бред, но вообще описана модель монетизации бесплатного браузера.
CNNIC уже начал процедуру банкротства?
Представляю реакцию клиентов...
Пусть предъявляют претензии к CA
Это называется - "Ребята решили полевачить"
>CNNIC уже начал процедуру банкротства?Вот будет смеху если они вместо этого обратятся в ЦК КПК и попросят защиты от империалистического беспредела! :)
А те в ответ запретят пользоваться хромом в кейтае :) Гугл начнёт процедуру банкротства? :)>Представляю реакцию клиентов...
А представь мой вариант :) Камаз попкорна! :)
> А те в ответ запретят пользоваться хромом в кейтае :) Гугл начнёт
> процедуру банкротства? :)Гугл поддержит новый стартап.
остается открытым вопрос - сколько удостоверяющих центров провели аналогичные процедуры в СШП? ;)
и их, при этом, не раскрыли
> остается открытым вопрос - сколько удостоверяющих центров провели аналогичные процедуры
> в СШП? ;)
> и их, при этом, не раскрылиВсе до единого. Ты все еще веришь в то, что https от чего-то там защищает?
>А те в ответ запретят пользоваться хромом в кейтае :)и сделают свой форк. Почему нет? Уже все сделали форк хромиума.
> не все сертификаты CNNIC, а только выписанные после определённого моментаа задним числом -- нельзя выписывать? имея закрытый ключ в своём распояжении.
>а задним числом -- нельзя выписывать? имея закрытый ключ в своём распояжении.можно, но в хроме будет whitelist, если встретится сертификат не из списка - CCNIC выдадут пожизненный банан.
>>а задним числом -- нельзя выписывать? имея закрытый ключ в своём распояжении.
> можно, но в хроме будет whitelist, если встретится сертификат не из списка
> - CCNIC выдадут пожизненный банан."Если" - хорошее слово.
Что мешает остальным CA заниматься тем же? И разве CNNIC виноват в том, что их партнёр нарушил взятые на себя обязательства?
Всё дело в том, что сама идея поставки набора корневых сертификатов в составе ПО порочна в самой своей сути.
Почему порочна? А как их передавать по сети? Так подменят же. Просто нет другого варианта как включать их в состав ПО.
Порочна, в первую очередь, идея продавать воздух.
А вообще правильно все. Кто сеть делает, тот и диктует условия. Мозилловцы вроде горозились бесплатно сертификаты раздавать, так что пусть спасибо скажут. Одно легкое движение руки и сертификационных центров останется всего четыре... Мозилла, гугл, мс и огрызок.
>> Порочна, в первую очередь, идея продавать воздух.Нотариусы, по-вашему, тоже воздух продают? Это не "воздух", а услуга. Авторитетный центр своей репутацией заверяет, что вон тот сайт - действительно тот, за кого себя выдает и принадлежит конкретному Васе Пупкину, а не Пусе Вапкину, который с помощью mitm-атаки перенаправил юзера на поддельную копию сайта.
То, что авторитетный центр может быть недобросоветсным, не означает, что вся эта инфраструктура бесполезна. Вам когда в магазине поддельный товар продают, вы же не начинаете рассуждать "ну вот, мне МОГУТ продать подделку, давайте закроем все магазины"?
Ты попросил нотариуса заверить копию документа, в котором утверждалось, что ты единоличный владелец ГазПрома (а чё мелочиться).Теперь у тебя есть нотариально заверенный документ, но вот владельцем это тебя не делает.
Тебе продали воздух, а ты этого даже не понял.
Государство (за мзду) делегировало нотариусу право (за мзду) подтверждать документы.
Сертификационный центр (за мзду) выдаёт подтверждающие сертификаты.
В обоих случаях идёт торговля "доверием", которое тебе предлагают (а в ряде случаев обязывают) купить. В средневековье прощениями (индульгенциями) торговали, но, видимо, доверие продаётся лучше.
>Ты попросил нотариуса заверить копию документа, в котором утверждалось, что ты единоличный владелец ГазПрома (а чё мелочиться).
> Теперь у тебя есть нотариально заверенный документ, но вот владельцем это тебя не делает.Ни один нотариус такой подгон не удостоверит. Потому-что за то что удостоверяет отвечает личной шкурой и собственным баблом. И буде дойдет дело до суда удостоверятеля ждет как минимум попадос на бабки, как максимум и попадос на бабки и лес валить.
Не путайте теплое с мягким.
нотариус заверяет копии документов, гарантируя, что копия идентична оригиналу.Товарищ выше, видимо, имел ввиду, что если клиент принесет нотариусу документ, в котором утверждается, что он (клиент) владелец Газпрома, то нотариус спокойно заверит его копию. Т.к. она идентична. Более того, нотариусу совсем не обязательно понимать, что там написано. Он заверяет идентичность ИЗОБРАЖЕНИЯ.
Бестолочь она и есть бестолочь. Ты даже не понимаешь за что ты нотариусу платишь... Воистинну, говорю я вам: скупой платит дважды, дурак трижды, л-х столько, сколько скажут.http://нотариальная-контора-москва.рф/zaverenie_kopiy
Нотариус своим заверением подтверждает, что копия соответствует оригиналу, а не содержание оригинала.
Атвы когда-нибудь, ну например передавали домены между юр.лицами? Там нужно не завереная копия, а составленный нотариусом документ... или нотариальная доверенность... таки да, основа всё в той-же копии, нотариус удостоверяет, что лично видел документы, номера которых указаны в составленном им документе, но норариус составил СВОЮ писулю...
Свою писулю о чём?Люди фанатично верят в документы с печатями и столь же фанатично боятся подписать собственноручно написанный документ.
"Я, клоун Стаканчик, настоящим подтверждаю, что мой ник клоун Стаканчик." Дата. Подпись.
"Я, клоун Стаканчик, настоящим подтверждаю, что сегодня пятница.". Дата. Подпись.
"Я, нотариус, настоящим подтверждаю, что лицо А собственноручно и в моём присутствии подписало доверенность Б." Дата. Подпись.
"Я, нотариус, настоящим подтверждаю, что эта копия доверенности идентична оригиналу." Дата. Подпись.
Разница между мною и нотариусом в том, что я вам эту "писулю" напишу бесплатно, а нотариус потребует деньги.
Интересно оценить роль государства (Г) в этой авантюре:
- Г продало нотариусу патент на право ведения дел
- Г берёт с нотариуса налоги
- Г требует от вас нотариально заверять документыКрасиво, правда? Если вы не поняли (а вы ведь не поняли), то Г с нуля создало проблему, создало рынок решения этой проблемы и получает бабло со всех (!) участников этого рынка.
Чтоб я так жил...
>>> Порочна, в первую очередь, идея продавать воздух.
> Нотариусы, по-вашему, тоже воздух продают? Это не "воздух", а услуга. Авторитетный центр
> своей репутацией заверяет, что вон тот сайт - действительно тот, за
> кого себя выдает и принадлежит конкретному Васе Пупкину, а не Пусе
> Вапкину, который с помощью mitm-атаки перенаправил юзера на поддельную копию сайта.Вот собственно репутацию этого удостоверяющего центра гугл с мозиллой и атакуют сейчас.
> То, что авторитетный центр может быть недобросоветсным, не означает, что вся эта
> инфраструктура бесполезна.Как раз означает. Потому что http://www.opennet.me/opennews/art.shtml?num=41902
"В том числе создание поддельных TLS-соединений зафиксировано для некоторых доменов Google" - а гугл сертификаты для своих сайтов не в CNNIC покупал.
> Вам когда в магазине поддельный товар продают, вы же не начинаете рассуждать
> "ну вот, мне МОГУТ продать подделку, давайте закроем все магазины"?Достаточно всего одного удостоверяющего центра, который раздает корневые
сертификаты налево и направо, чтобы ВСЯ система была скомпроментирована.То что разрешено делать американским спецслужбам
- не имеет права делать CNNIC, поэтому его сейчас и атакуют.«All animals are equal, but some animals are more equal than others».
> И разве CNNIC виноват в том, что их партнёр нарушил взятые на себя обязательства?Скорее всего, когда Мозилла и Гугл добавляют сертификат конкретного центра в браузер, то составляется договор, по которому данный центр не имеет права передавать ключи этого сертификата третьей стороне.
> Всё дело в том, что сама идея поставки набора корневых сертификатов в составе ПО порочна в самой своей сути.
Вся идея с корневыми сертификатами и кругом доверия придумана для решения конкретной задачи: Вася подключается к сайту своего банка (или интернет магазина) и хочет быть уверенным, что этот сайт действительно принадлежит конкретному банку, а также что его подключение никто не может ни прослушать, ни подменить данные. При этом они заранее не обменялись секретной информацией, чтобы идентифицировать друг друга. Для этого нужна третья сторона в виде удостоверяющего центра.
Предложите другое более надежное решение такой задачи без дополнительных сложностей в использовании (Вася обычный сантехник и "компьютеры не умеет").
> Вот и побеседовал сам с собой ) Молодец!Это, очевидно, были arisu и User294 -- у каждого свой более чем характерный почерк, даже если бы оба не подписывались.
Насчёт физического уничтожения всё сложно -- скажем так, я бы на месте их обоих отнюдь не рвался с диагнозами, сильно рискуя попасть под свой же критерий при его рассмотрении другими людьми (такое бывало и, видимо, будет порой бывать). При том, что тоже не понимаю, как можно доверять самозваным "удостоверяторам", не несущим ответственности.
> Насчёт физического уничтожения всё сложно -- скажем так, я бы на месте
> их обоих отнюдь не рвался с диагнозами, сильно рискуя попасть под
> свой же критерий при его рассмотрении другими людьмине вижу в этом ничего ненормального: я не утверждал, что у меня иммунитет.
> как можно доверять самозваным "удостоверяторам", не несущим ответственности.
ой, а что, нужна бумажка с печатью? а бумажку, следует полагать, лично боженька выдаёт, а не другие люди, ага?
для тебя это, конечно, дико, но среди разумных существ не принято оценивать других по бумажкам и ценным мнениям начальства. а также принято нести ответственность за свои решения: это не опция, не отключается. а идиотам — им, конечно, очень нужно, чтобы начальство назначило, иначе они никак.
> для тебя это, конечно, дикоА в чём именно для меня должна быть дикость, если и сам смотрю на человека, а не тугамент?
> А в чём именно для меня должна быть дикостьв том, что ты так не считаешь. пытаешься сделать вид, что так считаешь, может, даже, где‐то в это веришь. а потом пишешь глубинную чушь, которая тебя мгновенно демаскирует.
такие дела.
> в том, что ты так не считаешь.Много на себя берёшь. Подумай о различии понятийных базисов на досуге и о том, что у меня твоего опыта больше, чем моего -- у тебя ("плавали, знаем").
> Много на себя берёшь.вполне по силам. мне, впрочем, совершенно неинтересно, согласен ты со мной или нет — лично для меня от этого ничего не меняется. измениться может для тебя — но ты напуган, тебе страшно жить в этом большом мире. я бы предпочёл, чтобы ты перестал бояться — так мир станет лучше с моей точки зрения. но для этого тебе придётся слишком сильно себя ломать; это тяжело, почти невозможно.
я сказал всё, что хотел сказать. как ты поступишь с этими словами — лично твоё дело, дальнейшее развитие событий мне может стать интересно только в одном случае, а я в него не верю.
> но ты напуган, тебе страшно жить в этом большом мире.Не кури это больше.
эм, каждому взрослому человеку по достижении им возраста 18 лет вручать ЭЦП, выданное федеральным казначейством и годное 2 года? Разработать соответствующий софт, который будет работать на стороне банка (или госуслуг или чего угодно еще), имея соединение с серверами федерального казнчейства, и проверять подлинность Васи-сантехника?зы: я не специалист ни разу, просто высказал мнение
Поменяется только третья сторона, которой нужно доверять.
Это автоматически означает, что государство сможет подписывать от лица человека.
Проблема не в том, чтобы проверить подлинность Васи - с этим и логины/пароли вместе со всякими токенами справяются. Проблема в том, как проверить подлинность банка. Или фейсбука. Или ещё какого сервиса. Который, возможно, находится за пределами РФ и чхать на неё хотел, а возможно - это какой-нибудь wikileaks, который государству не доверяет в принципе.
и эта проблема в принципе не решается без личного получения от другой стороны удостоверяющего токена, по неэлектрическим каналам.частичное решение — web of trust с жёстко контролируемыми кольцами доверия.
"Чётко контролируемыми" - означает ручную работу по выбору. А вот рандомные запросы к нескольким участникам пула серверов, хранящих данные о предлагаемых сервером сертификатах + pinning - выглядит менее геморройным для пользователя.
> А вот рандомные запросы к нескольким участникам пула серверов,
> хранящих данные о предлагаемых сервером сертификатах
> + pinning - выглядит менее геморройным для пользователя.Что будет происходить в случае устаревания
сертификата и необходимости его замены на новый?И как участники пула серверов будут знать, что сайту www.google.com
соответствует именно вот этот сертификат ХХХХХХХХХХХХХХХ, а не какой-то другой?
> и хочет быть уверенным, что этот сайт действительно принадлежит конкретному банкуВот именно - чтобы Вася был уверен. То, что уверенность Васи можен не иметь ничего общего с реальным положением дел, уже никого не волнует. Вася пребывает в уверенности, банк в случае чего обвинит самого Васю, создатели броузера тоже ни за что не отвечают (Вася принял лицензионное соглашение), а то, что у Васи, на самом деле, в броузере открыт сайт злобных хацкеров, подписанный ключом любого из CA - это потом будут его проблемы.
это проблемы банка, а не Васи. Банку по жалобе Васи или по решению суда придется деньги вернуть.
> это проблемы банка, а не Васи. Банку по жалобе Васи
> или по решению суда придется деньги вернуть.Не вернет. Банк скажет "вы стали жертвой мошенничества со стороны неустановленных лиц, рекомендуем вам обратиться в правоохранительные органы с соответствующим заявлением".
Банк не отвечает за последствия от наличия вирусов/троянов на компьютере Васи
и/или MITM-прокси между компьютером Васи и сервером банка.И никакой суд не заставит его нести такую ответственность.
> (Вася обычный сантехник и "компьютеры не умеет").Знаешь анекдот про "когда же будет хорошо?". Вот сантехнику Васе в плане криптографии будет хорошо и безопасно примерно тогда же. В смысле, вообще совсем ничего не знать о криптографии - не получится. Но это не значит что нельзя сделать интерфейс с которым смог бы работать даже сантехник, если он способен понять некоторые совсем базовые моменты.
Ну, примерно как я хоть и не сантехник, но в курсе где перекрваыть воду, etc.
В прицнипе можно и чтобы совсем ничего не знал, если это будет отдельное устройство для доступа к банку. CA тогда, кстати, абсолютно без надобности. А так - дело обычно даже не в неграмотности, а в нежелании изучить правила безопасного серфинга. Банки-то, в общем, обычно имеют комплекс мер, которые позволяют легко отличить фишинговый сайт - вроде персонализированного приветствия на странице. В этом плане со всякими фейсбуками хуже.
> А так - дело обычно даже не в неграмотности, а в нежелании изучить
> правила безопасного серфинга. Банки-то, в общем, обычно имеют
> комплекс мер, которые позволяют легко отличить фишинговый сайт
> - вроде персонализированного приветствия на странице.Персонализированное приветствие никак не поможет защититься от MitM-proxy,
которое имеет поддельный сертификат банка, подписанный корневым сертификатом,
которому доверяет браузер клиента.
Правильным решением было бы в каждой стране сделать по одному жестко контроллируемому корневому CA, выдающему сертификаты конечным пользователям. Если какой-то из них скомпрометировал себя, то поганой метлой его из браузеров.А всех этих посредников-нахлебников промежуточных CA давно пора распустить, если кто хочет пусть зарабатывает на приложениях и железе для электронных подписей, там тоже дел не впроворот
Не, вот это как раз хреновое решение, т.к. к тебе сразу ФСБ полезет, а не только госдеп...
> Не, вот это как раз хреновое решение, т.к. к тебе сразу ФСБ
> полезет, а не только госдеп...Есть мнение, что ФСБ по сравнению с госдепом - милейшие парни.
Мнение сильно зависит в какой из двухъ контор ты работаешь :)))
Госдеп далеко и я для них Неуловимый Джо, а ФСБ рядом...
так можно доиграться до того что фсб не будет, а обозленный госдеп станет рядом.
Или вообще ни фсб, ни тебя не будет
Мультирут сертификатес. Траст нот оне.
>выдающему сертификаты конечным пользователямВ каком смысле?
В прямом. В нынешней схеме у сертификата 100500 УЦ в цепочке. А надо, чтоб был один но надежный.
>но надежныйИ где его взять?
>>но надежный
> И где его взять?Я надежный, верь мне.
>>но надежный
> И где его взять?У своего корреспондента. Лично. В руки. Как в PGP предполагалось.
> И разве CNNIC виноват в том, что их партнёр нарушил взятые на себя обязательства?Виноват, это именно CNNIC передал вторичный корневой сертификат тем, у кого нет права на обращение с ним.
> порочна в самой своей сути.Свобода вообще порочна.
наверно продан без разрешения гугла
Амеры как всегда в своем стиле. Если Американская контора накосячила http://www.opennet.me/opennews/art.shtml?num=33034 с сертификатами, то мы пошумим и разойдемся (еще бы, бодаться себе дороже). Если это сделала неамериканская контора - заблокируем, прессанем, засудим, - пусть откупаются, если смогут. Отозвали бы тогда сертификат Trustwave, наверняка, ни китайцы, ни кто другой так внаглую продавать сертификаты не стали бы.Та же ситуация в сфере "инноваций". Патентные разборки между американскими конторами - много шума, понта и пустой выхлоп, т.к. чтобы реально прижать америнканскую контору в штатах нужно сильно постараться (и получить решение суда). С иностранными компаниями в штатах бодаться проще - там достаточно решения торговой комиссии, потому Samsung в штатах всегда в проигрышном положении...
Сплошное лицемерие, бабки и сказки про заботу о пользователях.
Сделали бы в браузере доступ из JavaScript к информации о полученном сертификате сервера - через месяц был бы список ВСЕХ центров сертификации, которые торгуют доверием налево, через год у них не осталось бы ни одного клиента. Но, гуглу и мозилле нужно контролировать, кто будет работать на ранке, а кто нет.
В том случае сертификат не был похищен злоумышленниками, поэтому общественный резонанс был меньше?
В целом согласен с Вами, отвратительная практика, но давайте не будем лицемерить, дело то не в американцах - люди склонны делить мир на своих и чужих.
Прошу прощения, перечитал предыдущую новость, в данном случае тоже не было злоумышленников, не уверен почему я так ее понял. Ситуации полностью идентичные
Разница в том, что TrustWave сам дал по башке тем, кто выданный вторичный корневой использовал не так, как обязывался, а этих поймали на горячем.
Вообще-то нет никакой разницы. TrustWave продали сертификат для использования в корпоративной системе отслеживания утечки информации, который был залит в HSM модуль и использовать его как-то иначе было сложно. При этом они утверждали, что "все так делают". Однако, политика Мозиллы относительно сертификатов однозначно утверждает, что центр авторизации не имеет права создавать возможность использования сертификата для неопределенного количества доменов. И эту политику TrustWave сознательно нарушили, очевидно полагая, что им за это ничего не будет.Однако, когда мозилловцы начали шумиху и попытались удалить этот сертификат из Firefox, чуваки из TrustWave по быстрому отозвали этот сертификат (и такое поведение (продать сертификат налево, рассказать об этом, утверждать, что это нормально, а затем отозвать его) совсем не клеится с твоим заявлением, что они раскрыли информацию о продаже сертификата по своей инициативе, больше похоже, что у них не было другого выхода). После чего они поклялись, что никогда так делать не будут.
Так что нет в этой ситуации между TrustWave и CNNIC никакой разницы, кроме разве что "TrustWave на порядок крупнее и его сертификатами пользовалась куча правительственных агенств и крупных бизнесов".
во-первых, идея в том, что Trustwave пошел на сотрудничество (и сертификат таки был в TPM), а в случае с CNNIC - никаких попыток отзыва, похоже, не было и клиент явно не соблюдал политики, связанные с хранением сертификата - да, проверка этого в данном случае - тоже ответственность CNNIC.Во-вторых - насколько я понимаю, никто CNNIC особо не хоронит. Ключ выкинули, сертифкаты доменов - в вайтлист, после реализации CNNIC Certificate Transparency добавят новый. Болезненно, но не смертельно. Когда был случай с TrustWave механихмов, чтобы подобное сделать, ещё не было, и выкинуть сертификат TrustWave - значило бы нарушить работу кучи его клиентов.
IMHO, был сертификат в HSM или в открытом виде - разница невелика. В обоих случаях его нужно отозвать, т.к. само наличие такого сертификата у левых людей подрывает доверие к TLS, потому что третьей стороне доверять уже нельзя.Но самое главное, пока контроль за этой системой находится у кучки CA и гугла с мозиллой, подобные ситуации будут повторяться регулярно (еще дедушка Маркс в позапрошлом веке сказал, на что пойдут капиталисты ради прибыли). Так что для наведения порядка необходимо, чтобы контроль частично был и у простых администраторов серверов с веб-программистами.
Его (промежуточный корневой) и отозвали в случае TrustWave. Я, правда, не понимаю, зачем была эта вся свистопляска с его созданием - клиенту проще было централизованно на всех корпоративных машинах в браузеры добавить свой сертификат как корневой, как обычно и делается.А разница принципиальна - если оно в HSM то в левые руки уже не попадёт. А в бОльшей перспективе - это значит, что если сертфикат не в железе - значит, нарушены стандартные практики безопасной работы. и тогда - всё, гаси свет, дальше можно не разбираться. Как было с DigiNotar тем же. То есть промежуточный корневой сертификат выписали кому-то - это одно. А вот если допустили, чтобы он попал в руки дятлам, не способным обеспечить его безопасность - это совсем другое. И тут резко встаёт вопрос о компетентности CA в принципе, и его хоронят.
> А разница принципиальна - если оно в HSM то в левые руки уже не попадёт.Нет никакой разницы. Вообще никакой. Потому что TrustWave не имел права отдавать сертификат, который можно использовать для подписи неопределенного количества доменов третьей стороне, после того, как сертификат приняли мозилловцы. Это политика Мозиллы. Получается они сначала мамой клялись Мозилле, что никому его не отдадут, затем продали налево, сказали, что это нормально, все так делают, зуб дают, что только в виде HSM, потом отозвали и пообещали так больше не делать.
Так вот, после того, как они его продали к ним нет никакого доверия. Очевидно лишь, что они будут творить, что им захочется, пока им за это ничего не будет.
> И тут резко встаёт вопрос о компетентности CA в принципе, и его хоронят.
С этого разговор и начался, что TrustWave - большая американская контора, с которой Гуглу связываться себе дороже (и это они учитывали, когда продавали сертификат на лево), а CNNIC можно чморить, как захочется. Что и сделано. Ну, еще TrustWave чуть лучше продумали возможные отмазки.
Насколько я смог выяснить, понимаю, с Trustwave вышла довольно простая ситуация. Во-первых, они сами рассказали о проблеме. Наказывать за это выносом корневого сертификата - значит гарантировать, что остальные будут молчать до последнего. Во-вторых ситуация с DigiNotar создала огромное количество проблем для его клиентов. Учитывая, что TrustWave на порядок крупнее и его сертификатами пользовалась куча правительственных агенств и крупных бизнесов - сочли, что ущерб будет слишком велик. Я бы сказал, что это вполне заслуживающая внимания точка зрения - не стоит мышей ядерной бомбой уничтожать, даже если они всерьёз допекли.
> они сами рассказали о проблеме.В таком случае ситуация развивалась таким образом:
1. TrustWave сознательно продали сертификат для использования примерно таким же образом, как это сделала CNNIC (разница лишь в том, что сертификат TrustWave был помещен в HSM). При этом они явно нарушили политику Mozilla по отношению к сертификатам, которые заливаются в Firefox.
2. TrustWave рассказали всем, что они учудили, утверждая, что все так делают, и это нормально.
3. Mozilla решила исключить сертификат TrustWave из своих продуктов. Гугл тоже об этом задумался.
4. TrustWave отозвали сертификат и пообещали больше так никогда не делать.
Больше похоже на то, что у TrustWave не было другого выхода, как сообщить о проблеме, которую они сами и создали (просто потому что скрывать это было невозможно).
> Учитывая, что TrustWave на порядок крупнее и его сертификатами пользовалась куча правительственных агенств и крупных бизнесов - сочли, что ущерб будет слишком велик.
Ага я с этого и начал. TrustWave - крупная американская контора, которая не по зубам гуглу, а CNNIC они проглотят не разжевывая.
Пара ошибок.1) Мозилла не решала исключить их сертификат. Тоже "задумалась", выкатила письмо для CA, рассказав, что так делать нехорошо и что мониторить можно только свои домены. И всё.
2) не траствейв не по зубам, а масса их клиентов. Которым не впились проблемы с ровного места. Неужели так сложно понять, что отзыв корневого сертификата - это удар не только по CA, но и по его клиентам?
Ты неправильно ставишь вопрос, ударом по его клиентам являются левые сертификаты.
Нормально я ставлю вопрос. Левые сертификаты - оно да, но куча ругани на вполне легитимные сайты - это вполне реальные потери для бизнесов и их клиентов. И это тоже часть уравнения, которую надо учитывать.
> но куча ругани на вполне легитимные сайты с сертификатами от вполне легитимных зас*анцев - это вполне реальные потери иллюзий для бизнесов и их клиентов.//fixed
> Неужели так сложно понять, что отзыв
> корневого сертификата - это удар не только по CA, но
> и по его клиентам?а кому это интересно? с точки зрения обычного человека это выглядит так: CA сознательно налажал, его пожурили, на безопасность end users всем наплевать.
впрочем, ситуацию спасает то, что подавляющее большинство пользователей непроходимо тупо, и подобные умозаключения вне их интеллектуальных возможностей.
Ну вот тем, кто принимал решение, оказалось интересно. И правильно, в общем-то - иначе бы пострадала куча совершенно не относящегося к делу народа - тех, кто пользовался сертификатами убитого CA и их клиентов. Сейчас есть другая механика (белые списки) - её используют.
> Ну вот тем, кто принимал решение, оказалось интересно.конечно. жаль, что интересна им прибыль, а не безопасность. ожидаемо, но всё равно жаль.
Кхм, а для чего, по-твоему, безопасность? Чтобы убытков не было от действий всяких нехороших людей.
> Кхм, а для чего, по-твоему, безопасность? Чтобы убытков не было от действий
> всяких нехороших людей.нет. но это долгий и бессмысленный разговор.
>> Неужели так сложно понять, что отзыв
>> корневого сертификата - это удар не только по CA, но
>> и по его клиентам?
> а кому это интересно? с точки зрения обычного человека это выглядит так:
> CA сознательно налажал, его пожурили, на безопасность end users всем наплевать.На носу заруби - где есть доверие, нет и не может быть никакой безопасности.
> впрочем, ситуацию спасает то, что подавляющее большинство пользователей непроходимо тупо,
> и подобные умозаключения вне их интеллектуальных возможностей.Другие не лучше.
> Амеры как всегда в своем стиле.Хорошо шашкой махать на патриотическом коне? Вникать не надо.
>> Амеры как всегда в своем стиле.
> Хорошо шашкой махать на патриотическом коне? Вникать не надо.А если вникать мил человек, то ... надо пересесть с коня за пульт Тополя :-р
Так что радуйся что пока просто шашкой :)
двойные стандарты помогают поддерживать статус сверхдержавы.
> Сделали бы в браузере доступ из JavaScript к информации о полученном сертификате
> сервера - через месяц был бы список ВСЕХ центров сертификации, которые
> торгуют доверием налево, через год у них не осталось бы ни
> одного клиента. Но, гуглу и мозилле нужно контролировать, кто будет работать
> на ранке, а кто нет.Может быть имеет смысл публично озвучить им эту инициативу/предложение?
Вдруг они возьмут и сделают эту фичу в своих браузерах?
После чего все браузеры у которых нет такой фичи можно будет считать небезопасными.
Если не захотят такое делать - было бы интересно почитать отмазки, почему не хотят.
> В ответ CNNIC назвал такое решение неприемлемым и непостижимым и пообещал защитить права и интересы своих пользователей.Нормально так. Они сперва всякой шобле раздают корневые сертификаты, а потом удивляются, чего это им не хотят доверять. Совсем уже охренели?
> По мнению Google, в текущем виде CNNIC не может гарантировать отсутствие подобных инцидентовА кто может?
>> По мнению Google, в текущем виде CNNIC не может гарантировать отсутствие подобных инцидентов
> А кто может?гугель намекает, что по мнению гугеля — гугель может.
Гугль утверждает, что вот эта штука, как минимум, улучшит ситуацию - http://www.certificate-transparency.org/
А почему http? Как я могу быть уверен, что это не левый сайт?
> А почему http? Как я могу быть уверен, что это не левый
> сайт?По уникальному IPv6.
Гарантии отсутствия подобных инцидентов она даёт? Не даёт.
В смысле - не даёт?
Главная ошибка CA - отсутствия интеграции с DNS, ну и сильное запаздывание DNSSEC. Получение по FQDN ip, и отсутствия проверки валидность сертификата для него.