В сети зафиксирован (http://googleonlinesecurity.blogspot.com/2011/08/update-on-a... факт использования для организации атаки "man-in-the-middle (http://ru.wikipedia.org/wiki/%D0%A7%D0%B... (MITM) обманного SSL-сертификата, действующего для доменов *.google.com. Обманный сертификат был выдан удостоверяющим центром DigiNotar, т.е. формально для пользователя сессия выглядела полностью валидной.Используя данный сертификат была предпринята попытка перенаправления трафика для использующих шифрование иранских пользователей Google через промежуточный узел, выдающий пользователям обманный сертификат, после чего организующий перехват трафика с его прозрачной трансляцией на оригинальные серверы Google с использованием обычных SSL-сертификатов Google. Работа через поддельный сайт ничем не отличалась от прямого обращения к серверу Google, браузеры считали HTTPS-сессию валидно...
URL: http://googleonlinesecurity.blogspot.com/2011/08/update-on-a...
Новость: http://www.opennet.me/opennews/art.shtml?num=31635
> В случае невозможности осуществить проверочный запрос браузеры не в состоянии определить отозван сертификат или нет и могут полагаться только на локальный черный список.Мало того что в самой идеи SSL (куча непонятных левых центров сертификации непонятно как и кем контролируемых) содержится проблема, так ещё и в большинстве приложений поддержка SSL реализована не корректно. Полный провал...
Да ладно вам, SSL сертификаты оперируют доверием. А значит человеческий фактор никуда не девается. Зато репутация тех кто выдал сертификаты кому попало - упадет ниже плинтуса и никакого доверия им не будет. Собственно, из списка доверяемых центр вынесли, что логично вроде. Естественный отбор центров сертификации.
не соглашусь, точнее соглашусь, но не во всем... их слишком много (центров сертификации), сегодня мі узнали что нельзя доверять конкретно этому центру, а они завтра делают ребрендинг и опять на рынке. при таком количестве мы этого не заметим :-(
> не соглашусь, точнее соглашусь,Шиза косила наши ряды :))
> но не во всем... их слишком много (центров сертификации),
А уж сколько много человеков! Вот Васе я доверяю, а Пете - не очень. А есть еще более 6 миллиардов человек. Ужас! Я даже не могу запомнить всех кому банки доверяют достаточно для выдачи кредита.
> сегодня мі узнали что нельзя доверять конкретно этому центру, а
> они завтра делают ребрендинг и опять на рынке. при таком количестве
> мы этого не заметим :-(Не, ну конечно можно в принудительном порядке доверять только правительству Китая, например. А несогласных - расстрелять. Зато сразу будет понятно кому доверять. Правда, какое-то хреновое доверие получается.
Другое дело что какой-то рейтинг ауторитей можно придумать. И тем не менее, даже самый белый и пушистый ауторити в принципе могут взломать. Доверяя - проверяй.
Вот-вот, нужно было сделать один центральный центр сертификации при цк кпсс, и чтобы сертификаты выдавал лично сам Сталин.
И чтобы при взломе этого центра сертификации вообще весь SSL накрывался медным тазом и больше никто и никому не доверял.
А он и накрылся, если ты не понял. Коллапс деревьев доверия, предсказанный Брюсом - он уже начался.
Непонятно вообще зачем поставляют эти гигантские списки корневых сертификатов центров сертификации. Допустим я хожу по SSL в офис, в гугл и в банк, спрашивается - зачем браузер доверяет остальным 1500 сертификатам которые я никогда не буду использовать? Похоже специально только что бы была возможность делать дырки M-in-M...Нужно по умолчанию делать список доверенных CA пустым и что бы пользователь сам решал кому он верит.
> Нужно по умолчанию делать список доверенных CA пустым и что бы пользователь
> сам решал кому он верит.Select all -> delete, или как-то так? :)))
>> Нужно по умолчанию делать список доверенных CA пустым и что бы пользователь сам решал кому он верит.
>Select all -> delete, или как-то так? :)))Нет, не так.
Add -> select trusted -> ok
> Нет, не так.
> Add -> select trusted -> okИмелось в виду как действовать в современных реалиях. Ну не нравится вам пачка сертификатов - выпните ее :)
И какой тогда вообще будет смысл в центрах сертификации? Стирайте их из вашего локального хранилища и сами решайте, доверять или нет каждому сертификату! Вперёд и с песней...
Сплю и вижу, как вы будете проверять, например, каждый ssl сертификат в интегрированной рекламе на посещаемых вами страницах.
> И какой тогда вообще будет смысл в центрах сертификации?Сайт который не может обеспечить проверку подписи по отдельному каналу будет использовать центр сертификации, а я буду решать верить этому центру или нет.
> Стирайте их из вашего локального хранилища и сами решайте, доверять или нет каждому сертификату! Вперёд и с песней... Сплю и вижу, как вы будете проверять, например, каждый ssl сертификат в интегрированной рекламе на посещаемых вами страницах.
Спите дальше, я не собираюсь получать рекламу по SSL следовательно и проверять её не буду. Это должно быть удобно. И все удалённые сертификаты после обновления не должны обратно добавляться.
> И какой тогда вообще будет смысл в центрах сертификации? Стирайте их из
> вашего локального хранилища и сами решайте, доверять или нет каждому сертификату!
> Вперёд и с песней...
> Сплю и вижу, как вы будете проверять, например, каждый ssl сертификат в
> интегрированной рекламе на посещаемых вами страницах.Какой рекламе? Сразу адблок, хотя ещё лучше если он и не понадобится, потому что браузер эту рекламу показывать не будет.
> Сплю и вижу, как вы будете проверять, например, каждый ssl сертификат в
> интегрированной рекламе на посещаемых вами страницах.Ого! Сертифицированная реклама?! А может просто настроить AdBlockPlus с правильной подпиской и забыть о ней? :)
95% процентов населения придерживаются иного мнения.
> 95% процентов населения придерживаются иного мнения.Они и сейчас не защищены. Какая разница?
> 95% процентов населения придерживаются иного мнения.Ну будет у них красненький значёк гореть в адресной строке на всех SSL сайтах. Какая разница? Не хотят проверять - не надо. Зачем заставлять и навязывать _свои_ сертификаты? Что бы была иллюзия защищённости?
>95% процентов населения придерживаются иного мнения.у 95% процентов населения нет своего мнения.
> Непонятно вообще зачем поставляют эти гигантские списки корневых сертификатов центров
> сертификации.А почему не сделать как в PGP, центры сертификации должны подписывать сертификаты друг друга? Хотя бы минимальная защита от взлома одного из центров сертификации.
>> Непонятно вообще зачем поставляют эти гигантские списки корневых сертификатов центров
>> сертификации.
> А почему не сделать как в PGP, центры сертификации должны подписывать сертификаты
> друг друга? Хотя бы минимальная защита от взлома одного из центров
> сертификации.Да, как вариант. Меньше трёх валидных подписей разных CA — считать сертификат сайта не доверенным.
Конкуренты, подписывающие сертификаты друг друга? Как вы это себе представляете?
> Конкуренты, подписывающие сертификаты друг друга? Как вы это себе представляете?а зачем на этом вообще какой-то бизнес строили? ну, что строили, на то и напоролись. Невидимая Рука Рынка ведь.
> А почему не сделать как в PGP, центры сертификации должны подписывать сертификаты
> друг друга? Хотя бы минимальная защита от взлома одного из центров
> сертификации.Никакой "минимальной защиты" это не даёт.
Мозила (и Гугль, и Опера, и Мысы, и...) поставляли со своими релизами (=публиковали =доверяли) сертификат DigiNotar. Как это _помогло хоть какой-то "защите от взлома" этого самого DigiNotar? (Понятно, что не совсем взлом в данном случае, и Мозила - не СА, но для этого аргумента не существенно.)
Защиту (и то с окнами уязвимости -- во _время смены/отзыва) даёт постоянный обмен информацией об актуальности серт-ов (контроль, доверие, отзыв). Причём всё это не решается [только] техническими средствами, проблема в большой степени организационная. Начиная с того, что пользователям было предложено _переложить всю эту работу на "кого-то там", потому что "так проще" и "за ваши $$ вы получаете Продукт".
...и да, в PGP-мире тоже есть "человеческий фактор".
Рядом человек предложил другую идею: подписывать сертификат не одним CA, а несколькими. Тогда, чтобы получить поддельный, нужно будет сломать все CA, подписавшие сертификат. С другой стороны, это может быть опциональным: можно сгенерировать самоподписанный сертификат, можно его подписать в одном СА, а можно - в нескольких. Вася Пупкин для своей домашней странички может ограничиться первым вариантом, а крупные сайты - последним. Эта идея будет работать, что подтверждает сама новость:> "...браузеры считали HTTPS-сессию валидной и не выдавали предупреждения (за исключением браузера Chrome, который позволил распознать неладное, так как в нем производятся дополнительные проверки сертификатов Google)."
Chrome проверяет сертификаты Google дополнительно еще каким-то методом, если один из методов не дал положительный результат, выдается предупреждение.
Также это не рушит "бизнес CA": владелец сайта просто последовательно подписывает свой сертификат в нескольких центрах. Пользователь в итоге может видеть сколько CA "расписалось на сертификате" и уже делать соответствующие выводы.
Хотя возможно это все потребует некоторого расширение стандарта?.. Да и проблему решит вряд ли...
> Рядом человек предложил другую идею: подписывать сертификат не одним CA, а несколькими.
> Тогда, чтобы получить поддельный, нужно будет сломать все CA, подписавшие сертификат.
> С другой стороны, это может быть опциональным: можно сгенерировать самоподписанный сертификат,
> можно его подписать в одном СА, а можно - в нескольких.
> Вася Пупкин для своей домашней странички может ограничиться первым вариантом, а
> крупные сайты - последним. Эта идея будет работать, что подтверждает сама
> новость:Это бы работало при одном условии - если не принимается один подписавший CA - не принимается весь сертификат в целом.
А теперь представь это на практике. Дюжина подписантов. Крупный ресурс. Один серт горит красным. Всех юзеров откидывает на disney.com. Миллионы жалоб админам. Писец? Представил?
Забавно, что в норвежском браузере Opera нет корневого сертификата норвежского же удостоверяющего центра DigiNotar :)
> за исключением браузера Chrome, который позволил распознать неладное, так как в нем производятся дополнительные проверки сертификатов GoogleЕще один повод "за".
>> за исключением браузера Chrome, который позволил распознать неладное, так как в нем производятся дополнительные проверки сертификатов Google
> Еще один повод "за".Сертификатов Google.
Дополнительные проверки - прерогатива IE.
Дополнительные проверки "достаточно ли исказил верстку или еще можно подломать"? :)
> Дополнительные проверки - прерогатива IE.Да, они очень забавно дополнительно НеПроверяли подписи активиксов в свое время. Выглядело архиэпично - хакер мог просто загрузить и запустить свою программу, вообще не заморачиваясь подписями :))). Впрочем, хакер - это больно громкое название при таком методе взлома.
Похоже кто-то хочет жестко скопрометировать текущий вариант с SSL/PKI/X.509 и внедрить что-то свое ... не гугл ли это случайно ? И подозрения от себя отвели забавно - мол наш домен использовали и мы пострадальцы :)
Для внедрения чего-то своего Гуглу не нужны такие хитрые планы.
Не скажите - в сертификатном бизнесе большие акулы плавают, и если у них БЕЗ ПРИЧИНЫ попробуют увести безнес - они будут явно сопротивляться, и у Гугла могут пропасть еще много сертификатов - чтоб не повадно было.
Злоумышленники взломали надежную защиту, маскировались под Сам Великий Гугль, и только браузер Самого Великого Гугля смог их обнаружить. Да, все серьезно и международно, а еще в новости фигурирует Иран, правда, не весь, а только тот, который пользовался Самим Великим Гуглем и горя не знал.
Как-то чересчур похоже на пиар-акцию, вопрос только, чью...
Англосаксы, однозначно. Сейчас они всем миром борются за срыв запуска АЭС в Бушере. Не забыли еще про супер-профессиоанльную хакерскую атаку на компы Бушера, на которую способны только сильные мира сего? Ни Китай же с Россией себе в ногу стреляли!
Если АЭС запустят, у Ахмадинижада вырастет рейтинг среди населения. Поэтому западу надо выходить на контакт с оппозицией, зазывать в свои ряды новых иранских "Навальных", чтобы они навалились на президента Ирана в нужный момент. В открытую запад не может это делать, поэтому все средства хороши - нанимают контору, которой "нечаянно сливают" SSL сертификат, и она перехватывает тыщи иранских юзеров-лузеров, забрасывая их агитацией против кровавого режима, или еще как-нибудь тонко троллят.
Перехватывать трафик, чтобы "забрасывать агитацией"? Отличная трава!
Для того чтобы переманить иранца к себе, троллям надо знать его интересы, семейные дела, психологический портрет, контакты и тд, которые можно выловить из его почтового ящика. А троллить без разведки - это крайне неэффективно, а иногда даже контр-продуктивно.
Подозреваю, среднестатистического иранца дешевле тупо подкупить, чем провести такое расследование и эффективно работать с его результатами.
Там нунжы идейные люди, которые будут творить революцию и верить в ее победу. Типа наших "правозащитников" и "навальных". За деньги талант не купишь - максимум массовку постоять с флажком, которая разбежится при первой возможности. Поэтому, кроме денег нужно что-то еще...
Не проще у гугла спросить. Уверен что гугл с удовольствием такой информацией поделится с госдепом США и прочими ведомствами =))
Надо этот DigiNotar из всех CA bundles во всех дистрибутивах нафиг отозвать. И чтобы так было с каждым.
В связи с потерей доверия ©
> В связи с потерей доверия ©В x509 эта процедура не предусмотрена. Курить надо матчасть, прежде, чем кидаться умными идеями.
а что ктото на эти сертификаты внимание обращает разве ????
> а чо ктото на эти сертификаты внимание обращает разве ????Ну, если человек покупает авиабилеты, например, а ему в процессе оплаты выскакивает предупреждение о невозможности проверки сертификата... По моему, только весьма недалекий человек не почувствует неладное. Ну а потеря денег (особенно своих:)) весьма быстро приучает задумываться о таких вопросах.
и что ты будешь делать ? поедешь в аэропорт за билетами ???
Пойдёт к другом агентству по продаже билетов, вот и всё.
Ну не совсем, на тот же скай или S7 купить в инете можно только в одном месте, если без переплаты посредникам.
> и что ты будешь делать ? поедешь в аэропорт за билетами ???Не, ну можно и второй раз бабки прое... :).
"Только бледнолицый брат может встать 2 раза на одни и те же грабли".
Можно просто в авиакомпанию или в банк, чей сертификат не валиден позвонить. Уверен что служба безопасности быстро с вопросом разберется.
А я лично, если например у сайта банка будет не валидный сертификат, не буду логинится в "банк-клиент" или покупать биллеты. А если выясниться, что сертификат невалиден по недосмотру сотрудников банка/авиакомпании серьезно задумаюсь о том чтобы поменять банк/перестать пользоваться услугами этой авиакомпании.
> Можно просто в авиакомпанию или в банк, чей сертификат не валиден позвонить.
> Уверен что служба безопасности быстро с вопросом разберется.
> А я лично, если например у сайта банка будет не валидный сертификат,
> не буду логинится в "банк-клиент" или покупать биллеты. А если выясниться,
> что сертификат невалиден по недосмотру сотрудников банка/авиакомпании серьезно задумаюсь
> о том чтобы поменять банк/перестать пользоваться услугами этой авиакомпании.Эх, если б всё было так просто. А вот когда с банком фирма уже давно работает, и тут вдруг такая нехорошесть вылезает — что делать? Кроме сисадмина ведь никто обычно не оценит уровень опасности. И фирма продолжит работать с этим банком. Потому что у неё уже многое на оном банке завязано, а резону не видят.
И, в принципе, они правы. Потому что российские банки в этом плане практически все поголовно (во всяком случае, все, с которыми приходилось в данном ключе работать) страдают криворукостью. Вернее, страдают клиенты, от драконовских мер, которые в реальности не обеспечивают безопасность, так как компенсируются идиотизмом.
Да уж... сочувствую. Но тем не менее тревогу можно забить.
И кроме того, хотя бы то что, как частное лицо я могу выбирать уже хорошо.
PS Слава богу еще ни разу не видел что у банка был просроченный сертификат или подписанный неизвестно кем.
Потому что надо чтобы сертификат был подписан несколькими CA.
> Потому что надо чтобы сертификат был подписан несколькими CA.Разве такая возможность заложена в стандарт ? Пруф можно ?
> Разве такая возможность заложена в стандарт ? Пруф можно ?Какой пруф? Это предложение.
Стандарт бы почитали, прежде, чем трындеть. Есть такое понятие как RA.PS. Матчасть читать до просветления перед озарениями.
была предпринята попытка перенаправления трафика иранских пользователей - ЦРУ не спит.
> была предпринята попытка перенаправления трафика иранских пользователей - ЦРУ не спит.ну хоть один заметил собственно цель атаки ))
все срутся по поводу дырок SSL - но тут ведь надо еще где-то в середине поставить оборудование на сотни килобаксов чтобы осуществить "перенаправления трафика иранских пользователей "
>> была предпринята попытка перенаправления трафика иранских пользователей - ЦРУ не спит.
> ну хоть один заметил собственно цель атаки ))
> все срутся по поводу дырок SSL - но тут ведь надо еще
> где-то в середине поставить оборудование на сотни килобаксов чтобы осуществить "перенаправления
> трафика иранских пользователей "Это верно. Но и взлом инфраструктуры доверенного центра тоже задачка не для кул хацкера. Если припомнить червя с двумя 0-day уязвимостями, который дестабилизировал установки по обогащению урана... Как и было обещано война переместилась в сеть.
> Это верно. Но и взлом инфраструктуры доверенного центра тоже задачка не для
> кул хацкера. Если припомнить червя с двумя 0-day уязвимостями, который дестабилизировал
> установки по обогащению урана... Как и было обещано война переместилась в
> сеть.по сравнению с затратами на оборудование для прослушки трафика в масштабах страны (причем шифрованного) - хак удостоверяющего центра представляется чем-то чуть сложнее чем забрать конфету у ребенка, там более терморектальный криптоанализ еще никто не отменил )))
> Как и было обещано война переместилась в сеть.А кто обещал? Намек от наших был http://www.youtube.com/watch?v=oIhcdi3leqE чтоб морально готовились , но пока ответственные политики молчат.
Рисовка красивая и интересная, а закадровый текст вызывает зевоту. Стать откровением или источником страхов такой ролик может лишь для очень недалёкого субъекта, не прочитавшего в жизни и пары строчек.
Вы имеете ввиду иранское ЦРУ?
:)
ЦРУ и так может все узнать через официальный запрос к гуглю. Думаю, атака от израильских хакеров.
второй взлом за год ? оригинальненько..
Сначала Commodo, теперь DigiNotar
> второй взлом за год ? оригинальненько..
> Сначала Commodo, теперь DigiNotarЕстественный отбор. Лузеры не способные защищаться должны вымереть.
> второй взлом за год ? оригинальненько..
> Сначала Commodo, теперь DigiNotarПисал бы без ошибок. COMODO, собственно. И они, вообще, славятся своими разработками в области безопасности, в отличие от тебя, тащемта.
http://convergence.io
присоединяйтесь к нам товарищи, нужны тестеры.
пока пилим поддержку клиентом ff6+, сервера стабильно работают. )
> http://convergence.io
> присоединяйтесь к нам товарищи, нужны тестеры.
> пока пилим поддержку клиентом ff6+, сервера стабильно работают. )по «details» рекламное тра-та-та. нормального технического описания «влёт» не увидел. вёрстка вырвиглазная. не пойду туда больше, очередной пиар-пузырь.
Непонятно, но выглядит интересно. Древовидная система CA - зло.
> Непонятно, но выглядит интересно. Древовидная система CA - зло.я лично так и не понял, что оно такое. маркетинг буллшит я на автомате пропускаю, а технических описаний не нашёл.
что, конечно, не отменяет идиотичности современной системы.
>> Непонятно, но выглядит интересно. Древовидная система CA - зло.
> я лично так и не понял, что оно такое. маркетинг буллшит я
> на автомате пропускаю, а технических описаний не нашёл.
> что, конечно, не отменяет идиотичности современной системы.Про техническую имплементацию можно послушать либо на ютубе - http://www.youtube.com/watch?v=Z7Wl2FW2TcA
либо почитать в исходниках на гитхабе.
> Про техническую имплементацию можно послушать либо на ютубе - http://www.youtube.com/watch?v=Z7Wl2FW2TcAчто-то меня не тянет слушать. я хочу техническую документацию, с пояснениями идей и реализации, чтобы вдумчиво помедитировать.
> либо почитать в исходниках на гитхабе.
то есть, нормальной документации нет. благодарю, всё ясно: лихим кавалерийским наскоком, с развевающимися пионерскими галстуками. not interested, несерьёзно это всё. детский сад, штаны на лямках.
>> Про техническую имплементацию можно послушать либо на ютубе - http://www.youtube.com/watch?v=Z7Wl2FW2TcA
> что-то меня не тянет слушать. я хочу техническую документацию, с пояснениями идей
> и реализации, чтобы вдумчиво помедитировать.
>> либо почитать в исходниках на гитхабе.
> то есть, нормальной документации нет. благодарю, всё ясно: лихим кавалерийским наскоком,
> с развевающимися пионерскими галстуками. not interested, несерьёзно это всё. детский сад,
> штаны на лямках.Гугли "архитектура PKI", "X500", "X509" до просветления.
>> http://convergence.io
>> присоединяйтесь к нам товарищи, нужны тестеры.
>> пока пилим поддержку клиентом ff6+, сервера стабильно работают. )
> по «details» рекламное тра-та-та. нормального технического описания «влёт»
> не увидел. вёрстка вырвиглазная. не пойду туда больше, очередной пиар-пузырь.очень хотелось ответить "kthxbye", но http://www.youtube.com/watch?v=Z7Wl2FW2TcA Мокси веселый мужик - послушайте его ) для любителей чтива - http://blog.thoughtcrime.org/ssl-and-the-future-of-authenticity
проект еще даже не в бете, что бы не писали на конвергенс ио, так что вот.
> очень хотелось ответить «kthxbye», но http://www.youtube.com/watch?v=Z7Wl2FW2TcA Мокси
> веселый мужик — послушайте его )я не аудиал.
> для любителей чтива — http://blog.thoughtcrime.org/ssl-and-the-future-of-authenticity
чтиво унылое, из разряда «Капитан Очевидность спешит на помощь».
> проект еще даже не в бете, что бы не писали на конвергенс
> ио, так что вот.тем более надо сделать нормальную техдокументацию. пока, как я писал выше, оно всё выглядит совершенно пионерским «а мы сделаем своё! не знаем точно, что, но крутое!»
впрочем, я подозреваю, что участники проекта сочтут желание видеть вменяемые техдоки за «троллинг» или «обгаживание».
Что-то спецслужбы недооценили гугловые проверки в хроме. Обычно всё у них нормально проходит. Вот статья на эту тему - "Сертифицированная ложь" :
http://www.pgpru.com/biblioteka/statji/certifiedlies
Проблемы, на сколько я понимаю, не столько в архитектуре SSL, сколько в реализации (до чёрта центров сертификации).
> Проблемы, на сколько я понимаю, не столько в архитектуре SSL, сколько в
> реализации (до чёрта центров сертификации).человеческий фактор будет всегда
> Проблемы, на сколько я понимаю, не столько в архитектуре SSL, сколько в
> реализации (до чёрта центров сертификации).Проблема именно в архитектуре SSL. Погугли "OCSP".
я просто больше не доверяю этому центру сертификации. Поставил галочку - не доверять.
Количество пользователей браузера Chrome резко возрасло
(задумчиво) а я давно говорю, что это ваше SSL — распиареный мыльный пузырь. идея хорошая, реализация — как всегда.для дотошных: да, я могу предложить другие методы. только нафига? внедрять их всё равно никто не будет.
> (задумчиво) а я давно говорю, что это ваше SSL — распиареный мыльный
> пузырь. идея хорошая, реализация — как всегда.
> для дотошных: да, я могу предложить другие методы. только нафига? внедрять их
> всё равно никто не будет.Идея как раз порочна
> Идея как раз порочнаидея иметь шифрованые соединения — хороша. а вот всё остальное…
DigiNotar соизволила рассказать про некоторые другие сайты, вошедшие в те "несколько дюжин", для которых были выданы левые сертификаты.Под раздачу попали (по крайней мере) addons.mozilla.org, Yahoo.com, Tor Project, WordPress и иранский Baladin. Сертификаты были выданы 10 июля, отозваны 29 августа, сколько их реально использовали - неизвестно. Как неизвестно, и какие еще сайты затронуты (пока лишь есть информация, что в вышедшем во вторник Chromium прошитый список заблокированных сертификатов увеличился на 247 позиций).
У нас все центры проходт через ФэЭсБэ - соот эти ребята тоже могут наступить на айца местный СА довольно просто. Так что у нас подобная ситуация чуть больше чем возможна.
Эта ситуация возможна в любой стране. Более того - давно уже происходит. Каждое государство может выпустить в своих центрах сертификаты для зарубежных организаций и пользователи ничего не заметят, потому как СА легальны. Я выше давал ссылку на статью http://www.pgpru.com/biblioteka/statji/certifiedlies .
Про этот удостоверяющий центр уже писали, что это типо очередная подставная фирмочка ЦРУ, каким счёту нет, проводила сбор информации в Иране в целях подготовки ведения военных действий там. Дело в том, что по законам любого штата США, общей сложившейся обстановке и судебной практике на ЦРУ наехать невозможно, поэтому они и творят, что хотят, всё шито-крыто.