Google (https://security.googleblog.com/2019/08/protecting-chrome-us...), Mozilla (https://blog.mozilla.org/security/2019/08/21/protecting-our-.../) и Apple (https://www.reuters.com/article/us-kazakhstan-internet-surve...) объявили о помещении внедряемого в Казахстане "национального сертификата безопасности (https://qca.kz)" в списки отозванных сертификатов. Использование данного корневого сертификата отныне будет приводить к выводу предупреждения о нарушении безопасности в Firefox, Chrome/Chromium и Safari, а также в основанных на их коде производных продуктах.
Напомним, что в июле в Казахстане была предпринята попытка (https://www.opennet.me/opennews/art.shtml?num=51123) установки государственного контроля за защищённым трафиком к зарубежным сайтам по предлогом защиты пользователей. Абонентам ряда крупных провайдеров было предписано установить на свои компьютеры специальный корневой сертификат, который позволил бы на уровне провайдеров незаметно перехватывать шифрованный трафик и вклиниваться в HTTPS-соединения.
В то же время были зафиксированы (https://censoredplanet.org/kazakhstan) попытки применения данного сертификата на практике для подмена трафика к Google, Facebook, Одноклассники, Вконтакте, Twitter, YouTube и других ресурсов. При установке TLS-соединения реальный сертификат целевого сайта подменялся сгенерированным на лету новым сертификатом, который помечался браузером как достоверный, если "национальный сертификат безопасности" был добавлен пользователем в хранилище корневых сертификатов, так как подставной сертификат связан цепочкой доверия с "национальным сертификатом безопасности". Без установки данного сертификата установить защищённое соединение с упомянутыми сайтами не представлялось возможным без применения дополнительных средств, таких как Tor или VPN.Первые попытки слежки за защищёнными соединениями в Казахстане были предприняты в 2015 году, когда правительство Казахстана попыталось добиться включения корневого сертификата подконтрольного удостоверяющего центра в хранилище корневых сертификатов Mozilla. В ходе аудита был выявлено намерение использовать данный сертификат для слежки за пользователями и заявка была отклонена. Год спустя в Казахстане были
приняты (https://www.opennet.me/opennews/art.shtml?num=43442) поправки к закону «О связи», предписывающие установку сертификата самими пользователями, но на практике форсирование данного сертификата началось только в середине июля 2019 года.Две недели назад внедрение "национального сертификата безопасности" было (https://tsarka.org/post/national-certificate-cancelled) отменено (https://www.reuters.com/article/us-kazakhstan-internet-surve...) с пояснением, что это было лишь тестирование технологии. Провайдерам дано указание прекратить навязывать сертификаты пользователям, но за две недели внедрения сертификат уже успели установить многие казахские пользователи, поэтому потенциальная возможность перехвата трафика не исчезла. Со сворачиванием проекта также возросла опасность попадания связанных с "национальным сертификатом безопасности" ключей шифрования в другие руки в результате утечки данных (сгенерированный сертификат действует до 2024 года).
Навязанный сертификат, от которого невозможно отказаться, нарушает схему проверки удостоверяющих центров, так как сгенерировавший данный сертификат орган не проходил аудит безопасности, не соглашался с требованиями к удостоверяющим центрам и не обязан следовать установленным правилам, т.е. может выдать сертификат для любого сайта любому пользователю под любым предлогом.
Mozilla считает, что подобная деятельность подрывает безопасность пользователей и противоречит четвёртому принципу Манифеста Mozilla (https://www.mozilla.org/en-US/about/manifesto/), который рассматривает безопасность и приватность как основополагающие факторы.URL: https://blog.mozilla.org/blog/2019/08/21/mozilla-takes-actio.../
Новость: https://www.opennet.me/opennews/art.shtml?num=51329
>Firefox, Chrome/Chromium и Safariinb4 запретят. Будет только "интернет" (или как там он щас называется) от мыла и стригнобраузер от яндекса :D
что запретят?
Все браузеры кроме одобренных чиновниками, где сертификат вшит и неудаляем.
Демократия реально работает
Автократия
А был какой-то опрос? Или компании тоталитарно решили, воспользовавшись своим положением на рынке?
Не тоталитарно, а посредством картельного сговора
>установи добровольно-принудительный сертификат безопасности, а то Америка нападет.
>>установи добровольно-принудительный сертификат безопасности, а то Америка нападет.Это ответ? Теперь понятно почему ваше «мнение» так популярно.
https://bugzilla.mozilla.org/show_bug.cgi?id=1567114
> https://bugzilla.mozilla.org/show_bug.cgi?id=1567114Где там опрос?
>> https://bugzilla.mozilla.org/show_bug.cgi?id=1567114
> Где там опрос?там можно отписать свой комментарий, своё мнение
никто голосование не делает, и так было со времен почтовых листов
> никто голосование не делает, и так было со времен почтовых листовЯсно. Понятно. Т.е. никакого опроса, одна пропаганда, спасибо.
лучше уж так, чем бомбами
Т.е. навязывание пользователю привычки не верить браузеру который постоянно рисует красное окно - это демократия?P.S. Вот если б они в ответ внедрили TLS over TLS было бы смешно и демократично. :)
Сейчас они быстренько сляпают свой браузер на хромиуме со всем необходимым и заблочат всё остальное, как и впн.
это - казахстан. Ничего они не сляпают."патриотов" (с почему-то украинским гражданством) там в достаточном количестве нет, денег не заплатят, а местные нии будут делать за зарплату лет примерно сто.
А в одной Ресурсной сделают проще - отрубят эти проклятые гугли,изобретенные в ЦРУ, вместе со всем интернетом - вам что, скрепный яндекс не нравится?! Ну так у нас еще есть спутник-и-пог...ой, простите, просто спутник. Бес попутал, товарищ майор. Тюлень там, кстати, характерный - в смысле, это не "здравствуй, мама", а "п-ц тебе, мамаша". Но ни фотографа, ни тех кто поставил это на сайт - ни разу не огорчило.
Спутник, к слову, под винду не обновлялся с середины июня (т.е. там есть дыры вплоть до исполнения произвольного кода без выхода из sandbox-а, компьютер пользователя не заразить, но угнать сессии и подсмотреть пароли уже можно), а под линукс — с февраля (а тут, получается, еще дыры с cvss 9.3 с выходом из песочницы).
Зато сертифицировано и криптография отечественная.
Спутник. Винда. Ну и контингент тут у вас.
Вот знаю одну программу. Ее разработчик покинул компанию и унес все пароли. Поэтому программа не обновлялась (структура, справочники обновляют) уже лет 5. По крайней мере, так утверждает менеджер. Когда ключи хранятся или корпоративный/государственный ресурс зарегистрирован на частное лицо, такое возможно.
А также унёс с собой исходный код программы и твои мозги? Ты хоть придумывай что-то поинтереснее.
Оставьте уже, требуется чтоб работал и не ругался на нац.сертификат (хотя читается как волчий билет:) А товарища майора уже деанонимировали, это Тайсаев, причём быстро сделали с намёком.
Зачем им что то пилить когда им могут теже яндексы свой браузер отдать
> Зачем им что то пилить когда им могут теже яндексы свой браузер
> отдатьотдать? А хрен по всей роже не отдать?
Платите! Мы коммерческая компания, кстати, зарегистрированная в Нидерландах. Чтоб налогов никому не платить.
Ркн забанет yandex.ru случайно и не так запоёте
Опять же кучу нарушений можно найти с курьерами и таксистами, так что сами отдадут если хотят жить спокойно
Сляпать — не проблема. Но его еще и обновлять надо, ибо, во-первых, уязвимости регулярно закрывать требуется, а, во-вторых, еще и в веб постоянно что-то новое суют и браузер через два года уже устаревает и начинает криво рисовать сайты. А практика при этом показывает, что вероятность того, что госуха сможет собрать эффективную команду разработчиков браузера, которая не разбежится после первого релиза, не сядет ровно на зады, а продолжит поддерживать продукт, который еще и на конечных пользователей рассчитан, довольно низка.
Во-первых, не надо, и во-вторых, не требуется. Проблемы холопов майора не волнуют. А уязвимости - это подчинённым майора выгодно как раз.
Я бы сказал, что это не самое главное..Главное - пользовательская база
А ее у госбраузера нет и никогда не появится.
Даже Уасся устанавливая очередной шиндовс поставит хром, а не говно яндекс браузер.
Не говоря о более адекватных ребят, которые поставят Firefox.
Но точно никто не будет не будет ставить Казахромиум.
> Я бы сказал, что это не самое главное..
> Главное - пользовательская база
> А ее у госбраузера нет и никогда не появится.а в чем проблема-то? В остальных интернета не будет.
> Даже Уасся устанавливая очередной шиндовс поставит хром, а не говно яндекс браузер.
поставит, убедится что какой бы адрес не попытался открыть - ничего не работает, только огромные белые страницы, полные неведомой херни и без кнопки "продолжить", и установит себе государственный браузер, зато пенетрация - двойная!
> Не говоря о более адекватных ребят, которые поставят Firefox.
ну и будут на сайтец соседнего "адекватного" только ходить.
> Но точно никто не будет не будет ставить Казахромиум.
мажет кошке горчицей под хвостом - "вот, смотрите - добровольно, и с песнями!"
Называть локалку интернетом - это православно.
А интернета-то и нет . В смысле - он кончился как от него отрезали первую самостийную чебурнетию.
Есть локалки побольше и локалки поменьше.Еще лет 10 , и китайская и условно 'натовская" локалки даже по протоколам совместимы не будут
>А ее у госбраузера нет и никогда не появится.Появиццо: сначала добиваемся чтобы гугль забанил сертификат госуслуг, -затем выпускаем для них наш национальный и патриотический браузер. finita.
Я бы для борьбы с "кровавым режимом", просто добавил бы вшитые сертификаты: типа идет опозиционер в фейсбук, трафик перехватили, расшифровали, а он под https еще в один слой зашифрован....
>>А ее у госбраузера нет и никогда не появится.
> Появиццо: сначала добиваемся чтобы гугль забанил сертификат госуслуг, -затем выпускаем
> для них наш национальный и патриотический браузер. finita.
> Я бы для борьбы с "кровавым режимом", просто добавил бы вшитые
> сертификаты: типа идет опозиционер в фейсбук, трафик перехватили, расшифровали, а он
> под https еще в один слой зашифрован....смысл в том, что сертификат будет недоверенным
кто мешает сейчас ходить по недоверенным сертификатам?
ну и накуй не нужен мне сайт госуслуг в принципе, а если вдруг, то см выше
>кто мешает сейчас ходить по недоверенным сертификатамHSTS и HSTS preload list конечно же
>>кто мешает сейчас ходить по недоверенным сертификатам
> HSTS и HSTS preload list конечно жетак то оно верно, но но если это госресурс который и так под MITM вы уверены что они будут заморачиваться с Strict Transport Security?
> Сейчас они быстренько сляпают свой браузер на хромиумеУже есть идея названия: Нурсултан-шолгыш.
Epic fail из-за времени реакции. Прошёл целый месяц, а такие вещи должны пресекаться мгновенно, чтобы связь между сломанным интернетом и действиями правительства и провайдеров оставалась очевидной. А так для обывателя это просто "неожиданно сломался браузер", и сертификат тут совершенно не при чём.
Это был прецедент. Были дискуссии, споры, мнения, и наконец решение. Отныне такие решения будут приниматься намного быстрее, опираясь на этот вот прецедент.
Хотел то же самое добавить но забыл. Да, надеюсь что так и будет.
Опасный прецендент: теперь под соусом а вдруггугльзабанитгосуслуги будут проталквать посконно-самостийные браузеры.Еще и госфинансирование под это дело выпросят.
Это до первого большого взлома.
> Это до первого большого взлома.а сколько неугодного народа втихую посадят или нагнут? жесть...
Как страшно жить! Ещё никто не пёрнул, а шизики уже вопят, что все обос*ались!
У нас просто законодательно заставят ставить и сертификаты и софт на мобилки и полисмены на улицах будут проверять, вот тогда и посмеетесь.
У вас уже вк запретили
> У вас уже вк запретилиТак туда эму и дорога
Зачем смеяться, заведем трактор и вперед. На][ такое, жизнь слишком коротка чтобы провести ее в несвободе или в борьбе за свои права.
угу угу, когда гайки так закрутят, внезапно окажется что для запуска трактора тебе сначало выездную визу получить надо... лет за 5 справишся, со сбором всех документов на нее))
Зачем визу ?? Милый , у тебя долги по кредитке есть ?? Ну и как тебя выпускать ясна сокола ?? C долгами-то ?? Затем ,а за оборзевание компенсация уплочена ?? Мы ж тебя сукина сына бесплатно учили , великорусскому языку и основам православной культуры !! Ну и компенсация недополученных денег пенсионным фондом России , - это святое !
Да какие проблемы - почку продашь и расплатишься. А попадёшь в страну "демократического рая", тебе 10 новых почек пришьют от убитых иракцев или сирийцев.
> или в борьбе за свои права.Если все так будут думать, то за права будет некому бороться и соответственно ехать будет уже некуда...
хозяин сказал нет!
Google, Mozilla и Apple на страже демократии. Еще одну диктатурку посадили на цепь.
>Google, Mozilla и Apple на страже демократии.Только ракеты-носителя не хватает. Для распростарнения.
>ракеты-носителя не хватаетВ 2019 столь допотопные технологии не нужны для размалывания духовных скреп в силу своей неэффективности.
SpaceX, к сожалению, в альянс не входит.
И правильно, кругом будет всеобщий режим тоталитарной демократии, а несогласных в расход.
Предъяви ужасающие кадры из европейских демократических концентрационных лагерей. Благо, времена огромных видеокамер и видеокассет прошли.
Печально, конечно, что Евроньюс на территории Украины больше не работает, но есть же интернет и Евроньюс Раша.
ВК/одноклеточники тоже не работает и не спроста однако, помойка ещё та.
ВК/одноклеточники это конечно помойка, но если вы рады тому что у вас отняли право самому решить помойка это или нет, то мне вас жаль.
А зачем им лагеря. Тратиться еще на них.
Хотя есть один о котором все знают, но предпочитают не говорить. Там где цивилизованные демократы сажают любого неугодного лишая его любых прав человека, о которых они цинично любят вещать по своим неполживым СМИ. Ах ну да, ты же у нас заранее постелил соломки и написал "европейских".Спалить деревню с детьми и женшиеами как во Вьетнаме, вассалы и слова не пикнут.
Или свадебку очередную дроном. Сотня-другая небелых недочеловеков. Кто о них беспокоится?
Или целую страну по подозрению в наличии и производстве хим. оружия. Сколько там в процессе демократизации померло? 600тыс. Зато Садамка теперь не злодействует! Это тот самый Садамка с которым дружили и науськивали против Ирана.продолжать можно еше очень долго. Но какой смысл что-то объеснять либерашке в розовых очках.
Но ведь в РФ - "демократия": 70% от явившихся на участки избирателей демократично проголосовали за диктатуру (и неявившиеся тоже, но в душе).
Еще мертвых не забудь, они тоже за диктатуру. Ну а что, молчание - знак согласия.
чего это молчание? Я тоже голосовал! Вон, и галочка в бюллютне, где надо, и подпись в журнале их выдачи напротив моей фамилии стоит.Судя по этим подписям - тут все мои соседи по кладбищу незримо присутствовали.
Дабл троллинг, потрясающе.
Кто-то жаловался, что его заставляют устанавливать сертификат?
Нет, конечно. Всё было сугубо добровольно, а если не будут брать — отключим газ.
Ага, теперь, чтобы выйти в интернет, необходимо сдать анализы, поклониться портрету призирвдента и смазать кое-где вазелином, чтобы не так больно было?
Всем, кто готов сделать из новости далеко идущие выводы, предлагаю сначала все-таки внимательно ее прочитать и уяснить хронологию событий.Разжую: браузеры решительно заблокировали сертификат только через две недели после того, как его внедрение официально отменили.
Ну-ну, разжевывайте уже до конца.
Почему 2 недели назад внедрение было отменено?
> Почему 2 недели назад внедрение было отменено?Потому что пол-безопасности не бывает, и из принудительно созданной дыры надуло не только народу, но и нужным людям.
Наивно полагать, что это победил здравый смысл и борьба за свободу.
Просто пока получилось слишком много проблем, надо доработать и повторить.
Потому что это был пробный запуск.
Потому что это предварительные ласки ануса, а не сам половой акт.
Шигорин в комментах уже объяснил почему "национальный сертификат" - это хорошо и только на пользу для граждан?
он игнорирует подобные треды
С нетерпением ждем-с
> ШигоринА кто это?
Это такой альтух.
Какая вам разница что думает сисадминчик из отечественной структурки, попиливающей кривой дистрибуивчик линя, надобность в котором (у нормальных людей) отпала в 1999 году, вместе с появлением нормальной локали? Да пусть он беспокоит бедолаг, которые вынуждены этим пользоваться. Похер на них, они как дворняги, неизбежность системы. И это помимо того, что он туповат.
Как у тебя бомбит то от того что делает гос-во. А это ничего что полно железок для корпораций с проделыванием таких же фокусов? Скажи спасибо всеобщей шифрации. Раньше что бы посмотреть сайт, разбить по категориям, применить разные правила, вырезать лишний контент с страницы не надо было всего этого. А сейчас админ на службе корпов просто вынужден бампить трафик для получения вменяемой статистики. Не говорю уж про ограничения разных категорий сайтов.
И почитать как это хорошо и на пользу гражд^Wработников можешь на любом сайте производителей таких сетевых железок.
Ни у кого, кто реально способен оценить возможности нашего государства, ничего не бомбит.Салтыков-Щедрин сказал про нашу страну все, что нужно по этому поводу знать: Строгость Российских законов смягчается необязательностью их исполнения. Я не верю в людей работающих на нашу страну, все что я видел либо никчемнын бездари из госструктур, либо черти на подсосе, типа альта этого, где основная деятельность это сосать.
Даже наличие где-то в глубине отличных спецов по крипте, например, а они есть, ничего не определяет. Сверху им посадят сына брата свата, наверняка бездаря, и он обязательно сделает всю эту петрушку необязательной.
> Навязанный сертификат, от которого невозможно отказаться, нарушает схему проверки удостоверяющих центровАхахаха. Какая выкристаллизованная идиотия. И тут от серта нельзя отказаться, и УЦ имени гугла-амазона самые честные. Просто шедевр мысли а не фраза.
> Ахахаха. Какая выкристаллизованная идиотия. И тут от серта нельзя отказаться, и УЦ
> имени гугла-амазона самые честные. Просто шедевр мысли а не фраза.Глупости не пиши (
Ну, справедливости ради, фраза про "невозможно отказаться" действительно ложна.
Чё? По всем обсуждениям серт только рекомендовалось ставить. Даже после установки внутри этой сбампленной ссл сессии никто не запрещал свой шифрованный туннель гонять. И это видите ли нарушает схему проверки удостоверяющих центров. Подразумевается что уж эти CA самые честные, ага. Мало того что так просто нельзя выпилить из броузера эту дрянь и сделать так как хочет сам пользователь, так теперь ещё все кнопки и настройки сертификации по максимуму прячут. И интересно, эти честнейшие компании только в хранилище списков отозванных засунули сертификат или в код впилили? Ну что бы я как пользователь совсем ничего не мог сделать. Даже если захочу себе этот сертификат поставить.
Народ, заметил из россии у многих сайтов https поломано..., это потому что перехватывают трафф???
Если да, то как с этим боротся?
Обнови свою оперу она сломалась уже давно.
Берём резиновый мячик, режем пополам, каждую половинку обклеиваем изнутри и снаружи фольгой.
https может быть поломано по куче разных причин. Проверяй сообщение об ошибке и смотри, кем выдан сертификат. Если выдан каким-то российским УЦ для нероссийского сайта – это попытка сделать MITM.
Это роскомцензура. Использовать тор.
"Не, ну а чо, у Телеграм же получилось?" :D
:D:D:Dа ты жирный троляка!
А маразм то отходит потихоньку ... но может это лишь иллюзия ?
> А маразм то отходит потихоньку ... но может это лишь иллюзия ?иллюзия.
Маразм отойдет в тот день, когда выкинут всю помойку с CA, удавят шиткрипту с ее однодневками, и сделают контролируемые пользователем отпечатки сертификатов.
А этого не произойдет примерно никогда, посколь для обезьяньих мозгов слишком сложно.
Я таки согласен. Но лучше иметь ту иллюзию, т.к. в большинстве случаев трафик всё-таки защищается от прослушивания и подмены по дороге, в отличие от нешифрованного трафика. И не надо писать что мой трафик никому нафиг не сдался, это будет делать софт автоматически, а не человек вручную, для простейшего примера см. истории с билайном и вставкой рекламы.
> от нешифрованного трафика. И не надо писать что мой трафик никому
> нафиг не сдался, это будет делать софт автоматически, а не человек"в большинстве случаев" - таки не сдался.
> вручную, для простейшего примера см. истории с билайном и вставкой рекламы.
Я бы сказал что как раз этот маразм - уникален. Подозреваю что озолотился на нем исключительно узкий кружок мидлтоптопов, попиливший какой-то особовкусный откат. Потому что где тут выгода билайну - вообще непонятно (учитывая объемы, нулевую эффективность и то что для корпоративных клиентов они это выключали, а запилить и поддерживать инфраструктуру вряд ли было бесплатно или хотя бы - дешево).
Но вот за впихиванием государева сертификата, кстати, вполне может стоять этот же кружок.
>Я бы сказал что как раз этот маразм - уникален. Подозреваю что озолотился на нем исключительно узкий кружок мидлтоптопов, попиливший какой-то особовкусный откат.Последнее время несколько раз наблюдал баннеры на весь экран при загрузке хттп страниц. Мегафон.
Причем, это блджаство происходило на стационарном компе.
Такие вот дела, всезнайка.
> контролируемые пользователем отпечатки сертификатов.А как это вообще реализовать? Вот захожу я в первый раз на сайт например гугля. Как узнать верный ли отпечаток? Съездить в офис Гугля и получить там распечатку с фингерпринтом их сертификата?
Или сделать Web-of-Trust а-ля PGP?
> А как это вообще реализовать? Вот захожу я в первый раз на сайт например гугля.
> Как узнать верный ли отпечаток?так же как ты, бедняжечка, справляешься с ssh.
Ну подумать, головушкой. Можно же ж.В том числе и есть ли реальная опасность при впервыйраззаходе на сайт гугля, в принципе.
> Или сделать Web-of-Trust а-ля PGP?так уже. Вот эти самые CA.
Только вот доверять им хочется даже меньше, чем "web of trust".То есть они тоже вполне могли бы вписаться в эту концпецию - как еще один вариант начальной проверки - не хуже, не лучше других - но, поскольку любые другие вообразимые без веществ, не требуют такой дорогущей и сложной инфраструктуры - вероятно, в таком режиме не окупились бы.
(хотя, да, еще остаются нотариальные услуги - те самые, которые гуглезила так хочет похоронить)
> так же как ты, бедняжечка, справляешься с ssh.
> Ну подумать, головушкой. Можно же ж.Так соединяюсь по ssh я обычно к своим серверам, у меня есть возможность проверить физически или по сторонним каналам отпечаток (сторонний канал кстати может быть через https:// лол). А сайтов дофига и их владельцы далеко, аналогия хреновая.
> В том числе и есть ли реальная опасность при впервыйраззаходе на сайт
> гугля, в принципе.Опасность утечки введённых тобой данных есть всегда, какая разница, первый заход или нет?
>> Или сделать Web-of-Trust а-ля PGP?
> так уже. Вот эти самые CA.Вы пользовались WoT в PGP? Оно совсем не похоже на PKI. Всех нужно добавлять явно. Можно регулировать для каждого уровень доверия.
В PKI же ты доверяешь по-сути производителю браузера, т.е. одной организации.
Конечно, есть некоторый ограниченный контроль. Например можно убрать какой-нибудь CA или добавить. Но как в реальности оценить можно ли доверять _организации_ (CA)?
С людьми как-то проще.
> А сайтов дофига и их владельцы далеко, аналогия хреновая.у меня в known_hosts за десятки лет - несколько сотен строк. Владельцы большинства из них очень далеко и я эти хосты никогда не увижу. Сайтов, которым я доверил какие-то свои данные, хотя бы уровня логина fuckoff с паролем 123 - вряд ли больше.
А на опеннет мне, как ты понимаешь, глубоко начхать.
Отдельно спросим тебя, сколько из них ты _на_самом_деле_ проверял. Дай угадаю - ноль. А ведь там ты можешь потерять не только логин от опеннета, но и репутацию у работодателя.Но все правильно - тут твоя паранойя спит спокойно, никому не нужен неуловимый джо.
>> В том числе и есть ли реальная опасность при впервыйраззаходе на сайт
>> гугля, в принципе.
> Опасность утечки введённых тобой данных есть всегда, какая разница, первый заход или нет?при втором в браузере уже будет known cert, и он поднимет вой, что в этой помойной кафешке подменили сертификат ( поэтому на страничку где написано всего лишь "интернет предоставляется любому, заказавшему чашку кофе, нажмите ок" ты не попадешь и останешься без сети ;-)
> Вы пользовались WoT в PGP? Оно совсем не похоже на PKI. Всех нужно добавлять явно. Можно
> регулировать для каждого уровень доверия.пытался, еще когда оно было модным и свежим. Совершенно бесполезная фигня. Даже физические встречи с обменом подписями были бесполезны - ну я верю, что это подпись васина. А с чего я должен верить что вася не расп..здол и не подписал что попало?
Доверие либо есть, либо его нет, а нужна хитрая иерархия, причем в юзеропонимаемом виде.
(ну либо уж ии, который будет за тебя все просчитывать и выводить краткое резюме вида "тут цепочка из хз скольки уровней, но ты уже такой же точно понадоверял в виде исключений столько, что тебя все равно поимеют - сдавайся, считай этот ключ доверенным)> В PKI же ты доверяешь по-сути производителю браузера, т.е. одной организации.
не больше чем производителю openpgp.
Можешь повыковырять или заблокировать хоть весь trusted store - только работать ничего старше мозилы 3.6 не будет. Специально сломали. Не думаю что чтобы всех поиметь, скорее - ради счастия пользователя с куриными мозгами. Такие же башковитые кодописцы.> Но как в реальности оценить можно ли доверять _организации_ (CA)?
так же как сейчас - аудит, заставлять соблюдать сложные принятые процедуры, в том числе и с возможностью контроля на промежуточных участках. Но если все это ТОЛЬКО ради первого коннекта - можно просто предположить, что ТАК сложно тебя никакие враги преследовать не будут.
Просто заплатят гуглю чтобы он слил им уже расшифрованное. Опять же никто не мешает тебе перепроверять - хоть через личный приход в офис гугля, хоть теми же способами что ssh.> С людьми как-то проще.
нет. Их вообще невозможно контролировать - сегодня вася твой друг и собутыльник, а завтра набухался и сдал тебя товарищмайору, сам того не желая. У него ни процедур, ни формального подхода, ни разделения полномочий, ни аудита, ни физической безопасности.
Полумеры! Нужно было и удостоверяющий центр внести в блеклист, со всеми его сертификатами без исключения.
какой еще удостоверяющий центр?корневой сертификат он самоподписный батенька!!!
Это по-сути и есть сертификат "удостоверяющего центра". Просто он не входит в PKI :)
А под английские законы прогнулись. Это все что нужно знать про эти компании.
> А под английские законы прогнулись.Нет.
> Это все что нужно знать про эти компании.
gdate -d 'now + 10 days'
вс сент. 1 16:13:33 CEST 2019
Это все, что нужно знать про аналитику на опеннете.
Эх надо было пальчиком пригрозить, всем кто выпустит им новый сертификат тоже добавить в черный список!Ну думаю тогда власти сейчас решать пусть новую мутку, про то какой опасный внешний интернет, мол давайте лучше теплый ламповый.
Мол зарубежные хакеры напали на нашу АЭС по этому мы отключаемся от интернета. Ну или типа того
Лёшик в курсе? Еще один повод побарагозить, подкиньте ему идею уже! :D
Гос.конторы и приближённые, которые сидят через шлюз электронного правительства сегодня почувствовали блокировку. Там так никто и не отменял гос.сертификата. На IE перешли временно.
Запилят форк Sary tulki с вшитым сертификатом и ок.
Сегодня уточнил. Всё просто. Сверху попросили пользоваться Ослом, Оперой или еще каким-либо браузером.
Слабо было сразу это сделать, а не когда он уже актуальность потерял.
> Слабо было сразу это сделать, а не когда он уже актуальность потерял.Даааа, потерял так потерял:
> за две недели внедрения сертификат уже успели установить многие казахские пользователи, поэтому потенциальная возможность перехвата трафика не исчезла
А в УК РК есть аналоги статей УК РФ 272, 273, 274?
все правильно. подслушивать и подсматривать имеет право только белая господина.