https://www.opennet.dev/openforum/vsluhforumID3/112626.html Компания Google представила (https://groups.google.com/a/chromium.org/d/msg/blink-dev/he9tr7p3rZ8/eNMwKPmUBAAJ) план прекращения поддержки механизма привязки открытых ключей (PKP, Public Key Pinning), позволяющего явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта. Прекращение поддержки HTTP-заголовка Public-Key-Pins, позволяющего сайтам определять привязки ключей, запланировано в выпуске Chrome 67, который ожидается 29 мая 2018 года. В дальнейшем, после внедрения для всех сертификатов проверки через механизм Certificate Transparency (https://www.certificate-transparency.org/), ожидается удаление поддержки и ручных привязок.<br><br><br>В качестве причины прекращения поддержки PKP указывается на то, что данная технология не оправдала себя и почти не применяется на практике из-за трудности внедрения на сайтах (сложно подобрать корректный набор ключей для закрепления) и высокой цены ошибок в настройке, которые могут привести к недоступности сайта в случае привязки не те https://www.opennet.dev/openforum/vsluhforumID3/112626.html#36 Mon, 30 Oct 2017 00:12:30 GMT Да, эта система пока не выглядит совершенной. <br><br>С одной стороны (https://www.certificate-transparency.org/what-is-ct): <br> Make it impossible (or at least very difficult) for a CA to issue a SSL certificate for a domain without the certificate being visible to the owner of that domain. <br> Protect users (as much as possible) from being duped by certificates that were mistakenly or maliciously issued. <br> И это выглядит хорошо: кому попало не выдаем и юзера как-то защитить пытаемся.<br><br>С другой стороны (https://datatracker.ietf.org/doc/rfc6962/?include_text=1): <br> 7.2. Detection of Misissue <br> The logs do not themselves detect misissued certificates; they rely instead on interested parties, such as domain owners, to monitor them and take corrective action when a misissue is detected. <br> Что не выглядит хорошо, ибо это есть попытка возложить функцию контроля на владельца домена. <br> https://www.opennet.dev/openforum/vsluhforumID3/112626.html#35 Sun, 29 Oct 2017 22:22:10 GMT &gt; много говорится<br><br>да-да, говорится много. Табличку "bullshit" можно поднимать после первых десятка строк.<br><br>&gt; Если все будет реализовано по уму и так, как описано<br><br>то pkp это не заменит практически никак, ручную привязку сертификата к конкретному хосту - совсем никак.<br><br>Ваши возможности на что-то повлиять и вовсе сводятся к нулю, по обе стороны от мушки.<br><br>1. вы не можете держать свой лог-сервер - то есть, хоть обдержитесь, но CA вам никаких логов слать не будут. Доверяйте гуглю.<br>2. вы вряд ли сможете держать свой монитор, анализирующий логи по мере добавления - во-первых, это довольно дорогое удовольствие, во-вторых, наверняка логовладельцы захотят сделать на этом бакшиш (или просто зарейтлимитят - ну можно будет раз в день проверить, что твоему сайту еще не выдали десять сертификатов неизвестно кому, пользы от этого - ноль)<br>Доверяйте гуглю.<br>3. из набора функций аудитора вы сможете самостоятельно разьве что проверить, что сертификат есть в логе. А он конечно ж есть, чего ж нам не есть. Вот нет ли та https://www.opennet.dev/openforum/vsluhforumID3/112626.html#34 Sun, 29 Oct 2017 21:03:09 GMT &gt; гугль позаботится за них. <br><br>Ну, вот здесь: https://www.certificate-transparency.org/what-is-ct много говорится о прозрачном, криптографически заверенном журналировании всех процессов сертификации, об открытой системе аудита и мониторинга, поддерживающей публичное наблюдение и проверку выпущенных сертификатов, распределенной системе независимых серверов журналов и т.п. <br><br>&gt; Без всяких гуглосервисов и гуглошпионов, заметьте. <br><br>Если все будет реализовано по уму и так, как описано, и без навязчивой привязки к серверам Большого Брата, то должно быть хорошо всем. <br> https://www.opennet.dev/openforum/vsluhforumID3/112626.html#33 Sun, 29 Oct 2017 20:30:49 GMT &gt; разве людям в массе работоспособность сервиса не важнее его безопасности?<br><br>Лукавое, манипулятивное и, в ряде конкретных случаев, глупое противопоставление. <br> https://www.opennet.dev/openforum/vsluhforumID3/112626.html#32 Sun, 29 Oct 2017 20:07:15 GMT &gt; Минусующие могут внятно объяснить, почему перегенерация сертификата - это плохо, а его<br>&gt; бэкап и раскладывание бэкапов по разным дропбоксам, домашним компам и флешкам - это<br>&gt; хорошо?<br><br>минус не мой, но объясню: потому что если у тебя физически накрылся диск - нет никакого смысла в "перегенерации сертификата" (вообще-то у нормального CA можно скачать тот же самый столько раз, сколько захочется, но закрытый ключ надо, разумеется, уберечь), надо поднять его с того же бэкапа, что всю остальную систему с минимумом лишних телодвижений. Если что - никакого секрета в нем нет, у любого заглянувшего к тебе юзера остается полная копия (можно даже извлечь ее из его браузера), без твоего закрытого ключа она бесполезна.<br><br>ломаешь ты при этом, помимо key pin'а, еще и банальное доверие тебе тех немногих умных юзеров, которые используют cert patrol или другой способ сверять сертификаты с ранее полученными их копиями, без всякого навязываемого гуглем или владельцем сайта сервиса. Поскольку они увидят, что ты менял сертифи https://www.opennet.dev/openforum/vsluhforumID3/112626.html#31 Sun, 29 Oct 2017 18:37:03 GMT ЗЫ. Я - другой аноним.<br> https://www.opennet.dev/openforum/vsluhforumID3/112626.html#30 Sun, 29 Oct 2017 18:36:23 GMT Минусующие могут внятно объяснить, почему перегенерация сертификата - это плохо, а его бэкап и раскладывание бэкапов по разным дропбоксам, домашним компам и флешкам - это хорошо?<br> https://www.opennet.dev/openforum/vsluhforumID3/112626.html#29 Sun, 29 Oct 2017 18:31:52 GMT &gt;&gt; перевел, не благодари.<br>&gt; Если бы только это. К примеру, недавняя история с регистрацией на стороннего <br>&gt; человека одного из доменов NS серверов TLD .io доставила не по-деццки. <br><br>ну а чего тебе не нравится? ns был зарегистрирован на несуществующий в природе хост несуществующего в природе домена. Чувак, мимокрокодил, видит, непорядок, дай, думает - зарегистрирую. Денег, между прочим, заплатил, кому следует (тем самым, кто должен бы по идее следить за бардаком) Теперь видимо чувствует себя медведем в сгоревшем автомобиле.<br><br><br><br><br> https://www.opennet.dev/openforum/vsluhforumID3/112626.html#28 Sun, 29 Oct 2017 18:28:46 GMT &gt; твоя позиция понятна, но оглянись вокруг, разве людям в массе работоспособность сервиса<br>&gt; не важнее его безопасности<br><br>ну так, казалось бы, не пользуйся pkp - доверяй CA, как все...э...заставь своих юзеров доверять CA или позаботиться о себе самим, вот, теперь правильно ;-)<br><br>но есть один ньюанс - pkp был еще одним (доступным немногим, с учетом необходимости подкладывать очень небесплатную соломку) препятствием к поголовному переходу на letsencrypt - поскольку, очевидно, бесмысленнен и опасен с короткоживущими сертификатами.<br><br>P.S. делайте ставки, господа - уберет гугль pkp из _телеметрии_ хромого, или нет. <br>