Исследователи безопасности продемонстрировали (https://bugzilla.mozilla.org/show_bug.cgi?id=1311713) наличие в удостоверяющем центре Comodo уязвимости, позволившей им получить сертификат для не принадлежащего им домена. Информация о проведённом эксперименте была направлена в Comodo и проблема уже устранена (https://www.mail-archive.com/dev-security-policy@lists....).Comodo использует для получения контактного адреса владельца домена сервис WHOIS, но так как серверы WHOIS для доменов .eu и .be выдают информацию не в текстовом виде, а показывая картинку, в Comodo для перевода информации в текст используется система распознавания текста (OCR). Суть проблемы в том, что OCR неверно интерпретирует некоторые похожие по начертанию символы и цифры, например, путает "1" (один) и "l" (строчная L). Для обхода этой особенности, в OCR была добавлена специальная проверка, которая интерпретировала спорный знак как цифру, если рядом расположены цифры, или как букву, если знак окружают буквы.
Исследователи провели эксперимент и успешно получили сертификат для сайта a1-telekom.eu австралийского провайдера A1 Telekom, имеющего несколько миллионов клиентов. WHOIS-сервис выдаёт в качестве контактного адреса для домена a1-telekom.eu картинку с email domain.billing@a
1
telekom.at, но OCR распознаёт адрес как domain.billing@a
l
telekom.at и отправляет не него код подтверждения. Исследователи зарегистрировали новый домен a
l
telekom.at и успешно получили полноценный сертификат для домена a1-telekom.eu.URL: https://www.mail-archive.com/dev-security-policy@lists....
Новость: http://www.opennet.me/opennews/art.shtml?num=45359
Чёт комод не первый раз уже с такой фигнёй светится.
Друзья,а кто где берет серты? Кто что порекомендует для хттпс?
Let's Encrypt
А почему тогда LOR комодовским сертификатом пользуется?
Потому что у них разный ранг типа.
И какая разница? Зачем может быть нужен другой ранг?
Это ты так намекаешь что lor всего лишь какой-то обсиженный мухами домен третьего уровня? :)
> А почему тогда LOR комодовским сертификатом пользуется?В Let's encrypt сертификат подтверждает что его выписал тот кто имеет доступ к серверу, а в комодо сертификат показывает кто именно получил его (фирма, частное лицо).
У Comodo всякие сертификаты есть - Domain validation, Organization validation, Extended validation. Не вводите людей в заблуждение
Это же очевидно - из-за qrator.
Ну вы так пишете, будто бы LOR показатель )
Вне ЛОРа нет интернетов.
Потому что у макскома руки из жопы растут и летсенкрипт он не осилил
digicert
Вопрос поставлен не правильно. От того что лично ты выберешь другой CA ничего не изменится. Достаточно одного дегенеративного CA чтобы разрушить всю систему доверия.
man certificate pinning
> man certificate pinningВам тоже не мешало бы. Это совсем частный случай и никакого отношения к проблеме в общем не имеет.
Так реальные решения почти всегда - для частных случаев. Тех, которых абсолютное большинство. Более общее решение - Certificate Transparency, как оказалось, кроме гугла никому не нужно.
TLSA -не?
> man certificate pinningо да, это очень полезная штука, например, для microsoft - прятать свои троянцы так, чтобы усложнить анализ, что именно они сливают (ios, вроде, удалось в этом месте поломать, правда, неизвестно, надолго ли, про андроед не знаю).
А для веба - абсолютно идиотская, во всяком случае, в его нынешнем исполнении. У тебя что-то случается с сертификатом, например, утек ключ (или возникли подозрения, типа, флэшка пять минут лежала на столе вне поля зрения, или очередной heartbleed случился) - был бы он нормальный, ты бы его просто перевыпустил, а так - никто не может попасть на твой чудо-сайт, неизвестно сколько времени, причем браузер пугает пользователей и не показывает в человекопонимаемом виде причину проблемы.
Пока в браузерах используется идиотская концепция "удостоверяющих центров" - проблема, увы, нерешаема. А она будет использована вечно, каждый хочет полететь туристом на МКС.
letsencrypt, конечно, нече кормить буржуев
+1 к letsencrypt
Если дёшево - GoGetSSL, впрочем, это та же комода, только небрендированная. Там же можно и других поставщиков увидеть.Если совсем халявно - то LetsEncrypt, но с их коротким временем жизни и необходимостью всё это скриптовать - скорее мучение, чем сервис.
это просто у вас руки из жопы. и без вебморды неспособность сделать простейшее действие
Просто тут это оставлю, может осилишь
certbot renew по cron'у раз в неделю это пипец какое мучение, да.
> certbot renew по cron'у раз в неделю это пипец какое мучение, да.если сертификат тебе для галочки - то да, никаких проблем.
Если тебе все же есть что прятать, а репутация представляет какую-то ценность - это означает, что раз в неделю надо проверять, что чудесный робот-ебобот не отвалился, не сглючил, не изменился внезапно апи, и ты не торчишь в мир либо неработающим сайтом, либо вообще голой жопой. Глазами. Потому что автопроверятели тоже имеют тенденцию глючить, ломаться, и не замечать очевидных вещей, они не люди. Теперь представь, что таких сайтов у тебя пара сотен. Еще одна проблема - невозможность (нормально) использовать пароль в закрытом ключе, и, соответственно, катастрофа при его утечке.Единственная польза от летсэкнкрипта - зашумление этих ваших интернетов шифрованным бесполезным мусором. Именно за счет тех, кому оно на самом деле вовсе не нужно было.
Проблема именно в том, что с ним повадились конкурировать, во что комод и вляпался всеми четырьмя. Пока сертификат стоил $120 в год, никакие сраные роботы с встроенным OCR были не нужны.
Ну слушайте, в такой логике можно заявить что всё имеет "тенденцию глючить, ломаться и не замечать очевидных вещей". На то и мониторинг нужен.
И именно в случае наличие достаточно большого количества сайтов с сертификатами Let's Encrypt особенно хорош.
Насчёт ляпов и т.п. тут, конечно, не могу не согласиться. Особенно зачётно StartCom вляпался со своим black box - аналогом клиента Let's encrypt.
> необходимостью всё это скриптовать - скорее мучение, чем сервис.Видел тут на хабре обидку от какого-то юзера, который жаловался: мол, зачем хост-провайдер лвм продвигает, если к этому лвм никакого нормального гуи нет, всё из командной строки.
Это не ты случайно был?
> Чёт комод не первый раз уже с такой фигнёй светится.
> Друзья,а кто где берет серты? Кто что порекомендует для хттпс?Как вариант, советую проверенный магазин сертификатов LeaderSSL. Среди их клиентов сам Яндекс, что уже говорит о доверии. Плюс свой офис имеют в центре Москвы.
>выдают информацию не в текстовом виде, а показывая картинкуПусть лучше поют. Или даже можно поставить балет-оперу, аллегорически подающую информацию WHOIS.
>>выдают информацию не в текстовом виде, а показывая картинку
> Пусть лучше поют. Или даже можно поставить балет-оперу, аллегорически подающую информацию
> WHOIS.На экзамене:
Препод: Так ты знаешь ответ?
Я: Да! Сейчас... э ... ну, как бы это сказать ... не знаю, как это выразить...
Препод: Ну, не можешь выразить словами -- вырази пантомимой.P.S.: Если что, тот экзамен я сдал.
Они доигрались, теперь только дело времени когда браузеры заблокируют.
Сколько ты готов на это поставить?Еще ни один штатовский CA не заблокировали, это ж не китайский CA.
> Сколько ты готов на это поставить?
> Еще ни один штатовский CA не заблокировали, это ж не китайский CA.Не мешай людям мечтать. Я тоже, кстати, испытываю сладостную негу от одной мысли о бане очередного УЦ, продолбавшего безопасность.
Слушай, а ты под кроватью американцев не видишь? А то у тебя и тут во всем виновата страна.
>а ты под кроватью американцев не видишь?Так он оттуда их и ненавидит...
>> Еще ни один штатовский CA не заблокировали, это ж не китайский CA.
> Слушай, а ты под кроватью американцев не видишь?
> А то у тебя и тут во всем виновата страна.Если процитировать всё вместе, то становится видно, что человек привёл свои наблюдения, а Вы начали их довольно извращённым образом интерпретировать (возможно, проецируя свои проблемы).
Раз уж взялись -- может, напомните какой-нить заблокированный штатовский CA? Говоря о том же Comodo -- давайте оценим последствия http://www.opennet.me/opennews/art.shtml?num=30013
PS: Ваше #25 удалил по причине нарушения пп. 4, 6 правил форума.
Никогда такого не было, и вот опять!
Хы, забавно, залез на сайт регистратора, указанного на сайте IANA для .eu (https://www.iana.org/domains/root/db/eu.html), выдаёт в web-интерфейсе текст, а контактный e-mail регистранта - картинкой: https://whois.eurid.eu/en/?domain=ninenines.eu, при этом традиционный whois-сервер не выдаёт ничего и рекомендует обращаться через web-интерфейс.
Практика публиковать e-mail картинкой, чтобы избежать обнаружения его ботами спаммеров, сыграла злую шутку с разрабами Comodo.
Странно, что Comodo (немаленькая контора, если что) не смогли с whois этих TLD проговорить обмен инфой.
$ whois tonic.to
Tonic whoisd V1.1
tonic no_dns
Всё это хорошая иллюстрация того, каким неудобным является латинский алфавит. Проблемы с читаемостью настолько хронические, что многие интернет-службы принимают ввод только заглавными, но и при этом остаётся неразбериха (исключили l, остались I и 1 :). Например, в pwgen есть специальный параметр -B, чтобы избежать этой неразберихи.
В кириллице только один случай - 0 и О, что можно победить, ставя черту в нолике.
Кроме того, в рукописном письме латиница характерна бесконечными отрывами руки на чёрточки и точки, в кириллице такого много меньше и рукописное письмо быстрее.
Всё это не русофильская пропаганда: часть жизни провёл в Сербии, где поровну используют кириллицу и латиницу, так что прочувствовал всё это лично...
Нет, это хорошая иллюстрация того, что некоторые применяют неадекватные ситуации методы - в основном потому, что мхом поросли.0) когда писали на бумаге - наличие/отсутствие различий между 0 и O не имело значения.
1) компьютеру пофиг - символы разные. А человек либо вводит руками то, что знает, либо копипастит. Либо применяет более осмысленные способы передачи информации, чем ввод текста - от файликов до QR-кодов.
2) рукописное письмо "без отрыва" умерло. AFAIK ему уже и не учат на Западе - нужды абсолютно никакой.
3) ну и ещё это хорошая иллюстрация наркомании тех, кто сломал сервис, который по определению должен быть машинно-читаемым.
>ну и ещё это хорошая иллюстрация наркомании тех, кто сломал сервис, который по определению должен быть машинно-читаемым.Сервис по задумке авторов должен был быть машино-нечитаемым. Чтоб спам не забивал канал к админу.
Другое дело, что парням из Комода понадобилось написать бота, читать текст с защитой от бота.
И защита почти проиграла. :)
> 2) рукописное письмо "без отрыва" умерло. AFAIK ему уже и не учат
> на Западе - нужды абсолютно никакой.Ага, конечно. То-то в некоторых Штатах обратно курсив в младших школах вводят.
> В кириллице только один случай - 0 и О,Да что ты говоришь? А куда у тебя делись П и Л, 3 и З, К и Н, Ы и ЬI?
> Всё это не русофильская пропагандаА что тогда? Разве что антипропаганда, типа посмотрите, какую чушь эти русофилы несут.
> Проблемы с читаемостьюЭто проблемы шрифтов, а не алфавита. См https://ru.wikipedia.org/wiki/%D0%92%D0%...
> цифра «1» с хорошо различимой петлёй и засечками внизу, чтобы хорошо отличалась от букв «l» и «I» — приём, подсмотренный в шрифтах News Gothic и Franklin Gothic.
> в рукописном письмеКириллица имеет ужасные шшишишиишишиши как подметили ниже (если человек не пишет буквы немного на печатный лад, т.е. т как т, а не m) и эта скорость неотрывного письма нафиг не нужна с такой непонятностью.
> Кроме того, в рукописном письме латиница характерна бесконечными отрывами руки на чёрточки
> и точки,Ну-ну. Вариаций (в т.ч. и "школьного" варианта написания) там ведь не бывает, да?
http://i0.wp.com/lehrer-blog.raabe.de/wp-content/uploads/201...
https://s-media-cache-ak0.pinimg.com/564x/04/f3/62/04f362842...А то ведь сразу можно взять что-то каллиграфическое
https://s-media-cache-ak0.pinimg.com/564x/04/f3/62/04f362842...
В общем, слышал звон, но не понял, откуда он ...
> Кроме того, в рукописном письме латиница характерна бесконечными отрывами руки на чёрточки
> и точки, в кириллице такого много меньше и рукописное письмо быстрее.Вы рукописную латиницу где изучали, хочу поинтересоваться?
>> Кроме того, в рукописном письме латиница характерна бесконечными отрывами руки
>> на чёрточки и точки, в кириллице такого много меньше и рукописное письмо быстрее.
> Вы рукописную латиницу где изучали, хочу поинтересоваться?Кстати, если Вы вдруг в курсе: dot&cross _вторым_ проходом сейчас на практике встречается или только в поговорке осталось?
>>> Кроме того, в рукописном письме латиница характерна бесконечными отрывами руки
>>> на чёрточки и точки, в кириллице такого много меньше и рукописное письмо быстрее.
>> Вы рукописную латиницу где изучали, хочу поинтересоваться?
> Кстати, если Вы вдруг в курсе: dot&cross _вторым_ проходом сейчас на практике
> встречается или только в поговорке осталось?Ннннууууу, конечно. У тех, кто курсивом пишет, естественно.
Правка: я к курсиву отношу непрерывное письмо. У тех, кто пишет по-английски, по большей части вторым проходом по слову так и делают. Некоторые (изредка) вырабатывают манеру письма, при которой только расставляют точки. Некоторые рвут слово. Всё как обычно, в пределах нормального распределения.
>в рукописном письме латиница характерна бесконечными отрывами рукиИменно поэтому рукописный латинский текст возможно прочитать даже если писал неграмотный инвалид, а не сплошное кириллическое шшишишиишишиши.
--Где три тысячи тридцатый?
--Товарищ командир, вооьще-то меня зовут Зозо...
>Именно поэтому рукописный латинский текст возможно прочитать даже если писал неграмотный инвалид, а не сплошное кириллическое шшишишиишишишRUS И 1
LAT I 1
LAT l 1
О, всё ещё веселее!
LAT | I l
> О, всё ещё веселее!
> LAT | I lЭто здорово, но справка, больничный, рецепт или медицинская карта на русском языке совершенно неповторимы. Прочитать их без мата может только другой доктор. От доктора писавшего оригинал это не зависит. Шииишшшшшшишшшишшишишиши получается у всех.
>>Именно поэтому рукописный латинский текст возможно прочитать даже если писал неграмотный инвалид, а не сплошное кириллическое шшишишиишишиш
> RUS И 1
> LAT I 1
> LAT l 1Это не рукописный, а печатный текст. Вы на самом деле не умеете читать или намеренно дурака валяете?
