forum.opennet.ru

Составление сообщения

Исходное сообщение

"Проект Let's Encrypt представил модуль для http-сервера Apac..."
Отправлено пох, 18-Окт-17 18:27

> Вообще есть технология HTTP Public Key Pinning, там в DNS прописываются отпечатки
> сертификатов.
мда, у нас сегодня парад анонов, где-то слышавших звон?
pkp не имеет ни малейшего отношения к dns. И да, это защита от подмены сертификата на другой, подписанный настоящим Trusted Authority, но не твой.
> Т.е. защита от подмены сертификата на другой, даже валидный.
_после_ того, как ты каким-то чудом получил правильный хэш и сохранил его в браузере. Без всякого dns, банальным http заголовком. Понятно, что если ты гугль, а браузер хром, чудо осуществляется довольно легко (правда, тебе еще могут подменить сам хромой, но это уже сложнее).
> Но там очень легко выстрелить себе в ногу так, что оторвет голову.
это единственная верная фраза
> Если неправильно настроить, можно закешировать на клиентах запись о том, что ваш
> текущий сертификат - фигня.
этого как раз сделать не особо-то получится.
> И все, нужен новый сертификат.
и вот этого, что характерно, тоже - и вот тут действительно выстрел себе в жoпу. Очень легко можно сделать так, что поменять свой валидный но немного запаленный сертификат не получится, потому что он гвоздиком прибит (а его, например, УЦ отозвал, потому что ты просохатил логин - или чем-то этому УЦ не понравился. Или после маски-шоу в датацентре неизвестно, сколько и у кого стало его копий).
Полагается на этот случай прибивать гвоздиком не один, а сразу несколько - при этом второй и третий хранить где-то в надежном не подключенном к интернетам месте, и выводить на сервера только в случае факапа с первым. Опять же, если ты гугль, в этом нет никакой проблемы - сколько надо, столько сам себе заранее и выдал.
Если же ты платишь за них по $90 штучка (или по $800 за EV), то тут у тебя начинаются некоторые проблемы, а startssl'я-то, который мог напечь тебе хоть сотню этих EV бесплатно, больше нет. Возможно, еще и это послужило истиной причиной его ликвидации.
Поэтому, в реальном мире, pkp используется не для чего-то хорошего, а ровно наоборот - те самые, которым ничего не стоит ни добавить свои сертификаты вместе с суммами правильных прямо в исходный код, ни понавыпускать самим себе десяток запасных, если с первым что не так, защищают подобным образом свой траффик от изучения - угадай-ка, кто это у нас?

Исходное сообщение
"Проект Let's Encrypt представил модуль для http-сервера Apac..." Отправлено пох, 18-Окт-17 18:27
> Вообще есть технология HTTP Public Key Pinning, там в DNS прописываются отпечатки > сертификатов. мда, у нас сегодня парад анонов, где-то слышавших звон? pkp не имеет ни малейшего отношения к dns. И да, это защита от подмены сертификата на другой, подписанный настоящим Trusted Authority, но не твой. > Т.е. защита от подмены сертификата на другой, даже валидный. _после_ того, как ты каким-то чудом получил правильный хэш и сохранил его в браузере. Без всякого dns, банальным http заголовком. Понятно, что если ты гугль, а браузер хром, чудо осуществляется довольно легко (правда, тебе еще могут подменить сам хромой, но это уже сложнее). > Но там очень легко выстрелить себе в ногу так, что оторвет голову. это единственная верная фраза > Если неправильно настроить, можно закешировать на клиентах запись о том, что ваш > текущий сертификат - фигня. этого как раз сделать не особо-то получится. > И все, нужен новый сертификат. и вот этого, что характерно, тоже - и вот тут действительно выстрел себе в жoпу. Очень легко можно сделать так, что поменять свой валидный но немного запаленный сертификат не получится, потому что он гвоздиком прибит (а его, например, УЦ отозвал, потому что ты просохатил логин - или чем-то этому УЦ не понравился. Или после маски-шоу в датацентре неизвестно, сколько и у кого стало его копий). Полагается на этот случай прибивать гвоздиком не один, а сразу несколько - при этом второй и третий хранить где-то в надежном не подключенном к интернетам месте, и выводить на сервера только в случае факапа с первым. Опять же, если ты гугль, в этом нет никакой проблемы - сколько надо, столько сам себе заранее и выдал. Если же ты платишь за них по $90 штучка (или по $800 за EV), то тут у тебя начинаются некоторые проблемы, а startssl'я-то, который мог напечь тебе хоть сотню этих EV бесплатно, больше нет. Возможно, еще и это послужило истиной причиной его ликвидации. Поэтому, в реальном мире, pkp используется не для чего-то хорошего, а ровно наоборот - те самые, которым ничего не стоит ни добавить свои сертификаты вместе с суммами правильных прямо в исходный код, ни понавыпускать самим себе десяток запасных, если с первым что не так, защищают подобным образом свой траффик от изучения - угадай-ка, кто это у нас?

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, [email protected] (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру