Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, отмечает своё десятилетие. Ежедневно севисом генерируется около трёх миллионов новых сертификатов. Число активных сертификатов составляет 277 млн (сертификат действует три месяца). Данные сертификаты охватывают около 111 млн зарегистрированных доменов и 350 млн полных доменных имён (FQDN). По статистике сервиса Firefox Telemetry общемировая доля запросов страниц по HTTPS составляет 79% (пик был в 2020 году, когда доля HTTPS достигла 85%, за последний два года процент загруженных по HTTPS страниц уменьшился)...Подробнее: https://www.opennet.me/opennews/art.shtml?num=59552
Я им никогда не пользовался, так как не особо вызывает доверия, юзаю Go Daddy Secure Certificate Authority. Но поздравляю с ДР!
> не особо вызывает доверияНу да, а вот если деньгов заплатить за воздух – совершенно другое дело. Сразу +200 к доверию.
Доверять бесплатному сыру — такое себе. Они вас не продадут. Честно-честно.Правда и платные продадут. Выбор из сортов г-на.
Так раз все продадут, зачем платить больше?!
заплатил, и спишь спокойно
Выход — свой сертификат.
GoDady (BuyPass ZeroSSL SSL.com) тоже поддерживают ACME и дают бесплатные сертификаты.
>GoDady ... тоже- для доменов в зоне RU это актуально? А то в марте 2022 они написали:
We do not condone the unwarranted aggression from the Russian Government. We are:
Removing the Russian version of our website
No longer supporting new registrations of .ru and .ru.com
Removing all .ru domain names from our domain name aftermarket
Removing the Russian Ruble
>>GoDady ... тоже
> - для доменов в зоне RU это актуально? А то в марте
> 2022 они написали:
> We do not condone the unwarranted aggression from the Russian Government. We
> are:Этого резкого выпада против всех граждан РФ разом, независимо от их принадлежности к санкционным спискам, здравомыслящим людям достаточно чтобы _никогда_ не иметь дела с godady с _любыми_ _доменами_ гражданам _любых_ _стран_.
Значит, точно хорошие сапоги, надо брать.Петер и его семья перехали в [] в мае, после того как их жизнь в Стокгольме резко ухудшилась. В конце [] он потерял место в английской фирме и с тех пор жил на сбережения и на случайные заработки. Кроме того, он, кажется, лишился британского паспорта
Не догадываешься, кого я цитирую?
Тому Петьке повезло сказочно, кстати - выжил, что уже удача, не сел за дискредитацию (на полном серьезе и были все шансы), не мобилизовали, и даже в Стокгольм обратно переехал, лет через десять, видимо, но, полагаю, уже не заикался о "выпадах в сторону всех граждан" и каких-то там списках. Радовался, небось, до смерти, что не угодил в совсем плохие списки.
Let's Encrypt не Open Source случаем ?Что мешает российскому правительству поднять свою копию Let's Encrypt, чтобы, имея контроль над инфраструктурой, убрать санкционные риски ?
вот он, кстати https://github.com/letsencrypt/boulder
Наверно, потому что это не дело правительства. Ты сам первый будешь рвать волосы на попе за "распилы". Если это кому то надо, то пусть подымают. А если не подымают, то значит это никому не надо.
А толку то, доверенных корневых сертификатов же нерасписпихано от правительства.
Что кстати удивительно сколько в ОС доверенных и ни одного от RU
И вообще ни от какого правительства нет. Удивительно, да?
> Government CAs who are currently included: (CAs that are owned/operated by the government of a country or region.
> Government of France
> Government of Hong Kong (SAR), Hongkong Post
> Government of Japan, Ministry of Internal Affairs and Communications
> Government of Spain, Autoritat de Certificació de la Comunitat Valenciana (ACCV)
> Government of Spain (CAV), Izenpe S.A.
> Government of The Netherlands, PKIoverheid
> Government of Taiwan, Government Root Certification Authority (GRCA)
> Government of Turkey, Kamu Sertifikasyon Merkezi (Kamu SM)https://wiki.mozilla.org/CA:GovernmentCAs
Да, очень удивительно. Хотя постой, нет.
Что тебе мешает узнать что российское правительство давно уже подняло "свою копию Let's Encrypt" и раздает бесплатные сертификаты?единственный нюанс - в Let's Encrypt регистрация по электронной почте, а у нас через Госуслуги. некоторых
то пугает.
допустим, я хочу выпустить свой серт, зарегавшись на госуслугах.Как этот называется ? Можно на него ссылку ?
Погуглю за тебя, чего уж там
Спасибо!
Те кому нужен фсб-ный cert уже его получили :DDDтеперь даже самый тупой капитан читает переписку - ищет врагов.
Доверенный, от слова доверять!
> Этого резкого выпада против всех граждан РФ разом, независимо от их принадлежности к санкционным спискам, здравомыслящим людям достаточно чтобы _никогда_ не иметь дела с godady с _любыми_ _доменами_ гражданам _любых_ _стран_.А что случилось?
у godaddy слишком хорошая жизнь, им захотелось приключений, полезли в политику.
нарушили суверенитет интернета.
Т.е. суверенитет заключается в том, чтобы в политику не лезть? Интересная точка зрения.
> Т.е. суверенитет заключается в том, чтобы в политику не лезть? Интересная точка
> зрения.суверенитет заключается в том, что не нужно тащить политику в интернет.
интернет выше низких амбиций мелких феодалов.
Самое неудачное применение термина Суверенитет.Он вообще-то означает независимость гос-ва во внешних делах и верховенство центральной власти и законов внутри гос-ва.
Как такую сову натянуть на глобус по имени Интернет для меня загадка. Но вероятно у вас уже есть ответ...
> вот если деньгов заплатить за воздух – совершенно другое делоЗаметьте. Это пишет человек из узкого мира. Который платит за "капремонт", "медицину", "безопасность" и вот это все. Всю жизнь платит. Принудительно и безальтернативно.
>> вот если деньгов заплатить за воздух – совершенно другое дело
> Заметьте. Это пишет человек из узкого мира. Который платит за "капремонт", "медицину",
> "безопасность" и вот это все. Всю жизнь платит. Принудительно и безальтернативно.как будто в твоем мире можно налоги не платить?
(бешенцам, конечно, можно, но тут тоже можно... недолго)И как будто их не потратят на точно такую же х-ню?
Напоминаю - коммифорния при потратила четыре миллиарда долларов на "исследование вреда вейпов".
Пффф, все-равно кому доверять. У кого корневые тот и папа. Только самоподписаный, только хардкор.
зачем? Просто из розетки выдерни. Все равно кроме твоих воображаемых друзей никто не зайдет, а им розетки без надобности.
Как тебя, такого "умного" в цб держат?
> Как тебя, такого "умного" в цб держат?понабрать "красивых" - понаставят "самоподписанных сертификатов", а потом еще и будут сверкая выпученными глазьями и исходя пеной доказывать что все правильно сделали, это пользователи т-пые л0хи что ничего не работает.
Поэтому ваш удел - локалхост и что там у очередного героя в соседней теме было - а, автомойки.
Пока что человечество не придумали ничего лучше.
>Пока что человечество не придумали ничего лучше.Человечество придумало как получать сертификат через DNS c DNSSEC. Но если Google продавил введение SSL, c DNSSEC он это делать не планирует. Так как правильный способ использования интернета это браузер chrome + https://dns.google/dns-query + https. Идеальная комбинация для организации MITM гуглом.
> Человечество придумало как получать сертификат через DNS c DNSSEC.чем, кроме совершенно невообразимого геморроя с настройкой и поддержкой этой несуразной конструкции такой сертификат лучше летсшиткриптиного?
Там, на корневых серверах и всех промежуточных - другие, не такие васяны, они-то не кинут и у них самих не отожмут?
Кроме того, DNSSEC по сравнению с DNS работает раза в 2 медленнее (запросов больше). В результате если думать головой а не страдать фанатизмом, то становится понятно, что кроме альтернативно одаренных никто DNSSEC использовать не будет (пока в Вилларибо ждут DNSSEC, в Балабаджо уже страницу сайта откроют и залогинятся).
>> Человечество придумало как получать сертификат через DNS c DNSSEC.
> чем, кроме совершенно невообразимого геморроя с настройкой и поддержкой этой несуразной
> конструкции такой сертификат лучше летсшиткриптиного?
> Там, на корневых серверах и всех промежуточных - другие, не такие васяны,
> они-то не кинут и у них самих не отожмут?Тем, что это DNS может быть децентрализован или скорее федерализирован по желанию.
Не может. authority в dns как раз либо персональная, либо ее нет. Никакого другого authoritative сервера зоны ru под чьим-нибудь другим отдельным от товарищмайора контролем у тебя нет и не будет.
Вот как раз CA э...децентрализованы. Хочешь вон у летсшиткрипт бери серт, а не хочешь - с bypass ssl иди на три буквы потому что пропиской не вышел, или плати денег digicert, и кланяться не забывай за то что они благосклонно у тебя, немытого, их брать изволют.А пининг, просто доверие сертификату а не авторити - немодно, немолодежно и небезопастно.
А еще гугл продавил Certificate Transparency (https://en.wikipedia.org/wiki/Certificate_Transparency) для мониторинга кто выпустил TLS сертификаты https://crt.sh/ и теперь все удостоверяющие центры его используют. В результате каждый, клиент, подключившийся по TLS может проверить, что полученный в подключении сертификат выпущен вледельцем домена (потому что владелец домена тоже может проверить, какие есть сертификаты для его домена). Так что любой левый сетрификат со всей цепочкой подписей может стать причиной для бана утекших корневых сертификатов в браузерах. Это, кстати, тот же гугл инициировал, когда китайцы стали слишком активно выпускать сертификаты для MITM (в результате из Хрома и лисички выкинули китайские удостоверяющие центры).Гуглу не нужен MITM, он и так про тебя знает больше, чем ему надо (GPS от гугла в твоем кармане, почта со всеми явками, паролями и бытовыми счетами, карты с отметками где ты был и куда собрался, браузер, через который ты потребляешь 95% информации). Я тут попытался через IPv6 туннель ходить в интернет + настроил удаление кук при закрытии браузера, да и браузер у меня Brave - в результате в гугле меня забанили. Видимо, слишком анонимный стал для гугла. При этом через бесплатный VPN гугл открывается.
> центры его используют. В результате каждый, клиент, подключившийся по TLS может
> проверить, что полученный в подключении сертификат выпущен вледельцем домена (потому чтоне владельцем домена, а кем попало. В этом и проблема. А если бы кто попало просто не мог получить сертификат - как оно и было ДО ненужно-летсшиткрипты - то было бы и неинтересно.
> владелец домена тоже может проверить, какие есть сертификаты для его домена).
И? Иииии? И правильно - ничего. Кроме того что там их теперь тысячи у любого домена, и проверять ты будешь бесконечно.
Если только он не владелец какого надо домена. Ну вот к примеру доменов google - у них все хорошо и надежно. Правда, и было с самого начала.
> Так что любой левый сетрификат со всей цепочкой подписей может стать
> причиной для бана утекших корневых сертификатов в браузерах. Это, кстати, тотно комоде этого не говорили.
> Гуглу не нужен MITM, он и так про тебя знает больше, чем
гуглу нужно чтоб кому нужно мог без больших затрат этот mitm себе организовать. Иначе кредитец под 0% могут дать не ему.
> И? Иииии?У тебя приступ?
Если сертификата нет в блокчейне Certificate Transparency, то клиент будет знать, что сертификат сервера подложный, а если есть, то владелец домена. И вся цепочка ответственных за генерацию подложного сертификата будет прописана и подписана в самом сертификате.
> Если сертификата нет в блокчейне Certificate Transparency, то клиент будет знать, что сертификат
> сервера подложный,не будет, потому что клиент не будет два года качать ненужный ему блокчейн.
А если бы даже массово стали - ни васяну, на минутку перехватившему твою виртуалку (или вовсе получившему доступ к неменее васянскому dns) ни решившему поиграть не на твоей стороне летсшиткрипту это ничем бы не помешало.
Ну лежит там сертификат. И что? Их там еще тысяча штук лежит - только твоих. Потому что ты как сознательный вася их меняешь раз в две недели и еще вон поставил себе новый чудо-софт от летсшиткрипты который еще и рандомно это делает. Кто там найдет какой-то левый и как он его от нелевого отличит вообще?
https://crt.sh/?q=opennet.ru
ua.opennet.ru
ukr.opennet.ruлол, кек :) забыли выписать?
> ua.opennet.ru
> ukr.opennet.ru
> лол, кек :) забыли выписать?забыли про их существование - товарищмайор велели забыть, а то дискредитация же ж! Даже не удалив (забыли наглухо).
забавно что там, кажется, iLO какого-то сервака торчит в мир.
>то клиент будет знать, что сертификат сервера подложныйНафига подложный сертификат для митма использовать, если можно настоящий?
Ну для настоящего ключ нужен. Возможно у кого-то есть ключ от (кстати, почти наверняка - хреновато охраняемого) intermediate самой летшиткрипты, но нет ключа от твоего сервера а их очень интересует что твои посетители там делают.Понятно что вероятность околонулевая и скорее уж такие ребята придумают как добыть нормальный сертификат, с их собственным ключом ничем не хуже твоего, и в бесполезной свалке логов все будет ок. Сколько они там отмечают с пьянкой и уличными девками - 10 лет? Ну если ты в тренде, у тебя в тех логах было бы уже больше полсотни сертификатов, а если парашутный спорт не твой вариант - то может и вовсе 600. Успехов разобраться в этом мусоре и найти один сертификат выпущенный месяц назад не теми ребятами но от твоего имени. (Да и тот - подумаешь что сглючил скрипт.)
Для вашего большего удобства эти ребята еще и придумали рандомные запросы. Чтоб ты в принципе толком не знал когда и какой ключ у тебя был.
Когда использую платный ВПН регулярно получаю ошибки сертификатов в браузере и не только.Да и до этого много приколов было носивших массовый характер.
Мне кажется, ты платишь каким-то кидалам, не?
> Мне кажется, ты платишь каким-то кидалам, не?Нордвпн.
Помню были массовые проблемы на Линуксе несколько лет назад, не помню были ли на Винде, без всякого ВПН, для отдельных сайтов.
Сущность и источник проблем так и остались непонятыми?(эх... а тутошние эксперты все бредят о федерациях и самоподписанных сертификатах.)
> Сущность и источник проблем так и остались непонятыми?Да, так и остались. Были заведены вроде даже баги у мозиллы.
Но ничего не выяснили.Не нахожу сейчас, несколько лет назад было.
Это не то, но вот например нарыл https://support.mozilla.org/en-US/questions/1137400
То есть хром ие и прочие под виндой тупо в тихую разрешают mitm, если я правильно понимаю.
Это вообще чудненько.
Ну можно ж не позориться показывая такую глупость?У д-ла типичный то ли правда антивирус то ли корпоративный inspection. Корпоративный или антивирусный серт разумеется добавлен в виндовый стор, а в мразильный не добавлен.
Да ладно вам, пох, для меня это просто новость, какой-то Виндовс стор с васянскими сертификатами.
Давно не интересовался виндовсом, а оно вот как оказывается, ненужно ничего вообще делать, можно митмить шиндовс без всяких заморочек. Круто же!
> Да ладно вам, пох, для меня это просто новость, какой-то Виндовс сторто есть для тебя новость что в нормальных операционных системах есть (было) общесистемное хранилище сертификатов, управляемое средствами системы и не требующее ручного чебураханья с каждой программой которой приспичит использовать ssl, настраивая ей сертификаты отдельно?
И только мразила, лучше всех знающая что тебе надо (а скорее просто неосилившая апи) все делала наперекосяк.
Ну ничего, сейчас гугль уже успешно подхватил эту глупость, он точно лучше знает, какие сертификаты правильные. К счастью, в корпоративной версии все еще отключаемо. (И да, защита от очумелых ручек юзера или перехватившего управление васяна тоже пошла по п-де)
> Давно не интересовался виндовсом, а оно вот как оказывается, ненужно ничего вообще
> делать, можно митмить шиндовс без всяких заморочек. Круто же!админу - можно.
А вот в мразиле может подменить серт любой васян с доступом к профайлу. Но эти 3% никому неинтересны и васяну оказались тоже.
>ключом ничем не хуже твоегопининг по фингерпринту как в ссх нуно делать при первом подключении
>>ключом ничем не хуже твоего
> пининг по фингерпринту как в ссх нуно делать при первом подключениитак он был - причем правильный, без всяких ненужных пользователю фигнепринтов и ручного "введите yEs, нет, неправильно, следите за руками - yeS!"
Но это оказалось небебебезопастно - ведь васян, прое..вший сертификат и не позаботившийся заранее о запасном, мог навсегда потерять свой нужный и полезный сайт!
(да и г-ну полковнику лишние сложности создались бы)
Когда использую платный ВПН регулярно получаю ошибки сертификатов в браузере и не только.Да и до этого много приколов было носивших массовый характер.
И ничего, никто никаких ответственных ни к чему не привлекает.
Эти сертификаты адская помойка в которой никто не собирается даже разбираться, так задумано.
> Эти сертификаты адская помойка в которой никто не собирается даже разбираться, такну почему ты экстраполируешь? Ты не стал разбираться, что за фокусники в нордвпн (что, кстати, неожиданная новость, я думал они за деньги работают)
В следующий раз попробую посмотреть что там к чему.Может найду следы той проблемы давней, но что-то с ходу ничего не нагуглилось.
Придумало, но не для массового пользователя. Но для массового пользователя и ssl не работает - домохозяйка не знает ни про какие сертификаты, 1etsencrypt.org ей не менее мил чем letsencrypt.org.
Но конечно инфраструктура сертификатов это целом поле для денег из воздуха и слежки за пользователями на высшем уровне (казахстан не тот уровень).
> Придумало, но не для массового пользователя. Но для массового пользователя и ssl
> не работает - домохозяйка не знает ни про какие сертификаты, 1etsencrypt.orgдля массового пользователя вполне работает. Попробуй хотя бы даже готовой с тобой сотрудничать домохозяйке подсунуть свой 1etsencrypt- потом приходи рассказывать сказочки.
другое дело что массовому пользователю вообще не нужны сертификаты в большинстве случаев.
> для массового пользователя вполне работает. Попробуй хотя бы даже готовой с тобой
> сотрудничать домохозяйке подсунуть свой 1etsencrypt- потом приходи рассказывать сказочки.Товарищ майор, перелогиньтесь.
> другое дело что массовому пользователю вообще не нужны сертификаты в большинстве случаев.
"скрывать нечего"? :)
> контролируемый сообществомАга. Сообществом из циски, амазона и акамай.
А если покопаться, то еще смешнее. Вот например член совета директоров ISRG> Aanchal Gupta (Independent)
А вот где еще работает эта независимая директорша
> Aanchal Gupta is Corporate Vice President of Azure Security and M365 and leads Microsoft Security Response Center (MSRC)
Пешеходов загнали в резервации, научили ходить по зебре. Ради их безопасности. Потом расширили дороги, за счёт тротуарных резерваций, и научили ходить шеренгой. Потом пустили самокатчиков на резервации, что бы ходили испуганной шеренгой. "Всех нас когда-нибудь, кто-то задавит, за исключением тех, кто в гробу."
Даёшь революцию за право пешеходов ходить повсюду, хаотично и опешивать самокатчиков.
>Ради их безопасностиhttps://opennet.ru/53520-https
https://opennet.ru/51329-cert
https://opennet.ru/53756-crypt
А что там с безопасностью? Пользователь сам себе генерит приватный ключ или все ключи эта контора получает для возможности перехвата спецслужьами трафика ко всем этим сайтам?
Спецслужба сама тебе генерит
И правильно делает. Зато Васян сама ничего не сгенерит и пойдет обзвонами доверчивых людей заниматься, потому что это куда прибыльнее.
Любой удостоверяющий центр чисто теоретически может (в нарушение правил) сгенерировать любой сертификат (приватный ключ), хоть на твой сайт. Помешать может разве что certificate pinning, ну и утрата доверия из-за нарушения правил, с последующим отзывом. Так что, смешные анонимы не доверяющие LE видимо не понимают, что нужные сертификаты для нужных людей сделают вообще без вашего участия. Не важно, пользуетесь вы этим сервисом, или нет.
Спасибо, понял. Продолжу использовать onion домен от тора, там все крипто сразу в поддержку домена встроено, без необходимости в мутных центрах сертификации.
Да тебя наверно очень плохо доходит. Но я тебе помогу. Это не защита от служб это защита от Васяна. А Васян куда более опасен.
>А Васян куда более опасенЛолчто?
И для защиты от васяна никаких центров вообще не нужно от слова совсем.
> утрата доверия из-за нарушения правил, с последующим отзывомНу, revoke-али наши сертификаты без предупреждения и возврата платы по желанию третьей стороны (aka FTC). И ничего, доверие не пострадало, видимо (т.к. тотже DigiCert все на месте), потому что "правильным пацанам можно, не ну а чего".
Практически на этом замечен COMODO и что-то ничего не утерял. У Cloudflare тоже есть такая возможность, но доказать будет сложнее.
Пожалуйста, пруфы про Comodo!!!
А потом клиент, получивший такой сертификат со всей цепочкой подписей, начиная с корневого сертификата проверяет этот сертификат на Certificate Transparency, не находит его и поднимает бучу. После чего к этому удостоверяющему центру как минимум теряется доверие (а если он из третьесортной страны, то гугл, мозилла и M$ выкидывают его из браузеров).Подписать левый сертификат - значит публично расписаться в совершении подлога/мошенничества.
> А потом клиент, получивший такой сертификат со всей цепочкой подписей, начиная с
> корневого сертификата проверяет этот сертификат на Certificate Transparencyи умирает от старости в процессе проверок.
К счастью клиенты этого никогда не делают, поэтому массовая смертность нам пока не грозит.
>, не находит
или находит. Чего бы и левый туда не положить помимо пары сотен предыдущих летсшиткриптовых? Тем более через три месяца он уже будет вообще никому неинтересен его раскапывать.
В следующий раз перед тем как прикасаться к клавиатуре, попробуйте читать то сообщение, на которое отвечаете. Если умеете читать, конечно.
По делу есть что сказать?Разговаривать загадками и докапываться до второстепенных мелочей можешь неудачниками, которы не такие понты ведутся.
Хорошо, уважаемый неудачник. Прошу замметить – сами так назвались, за язык никто не тянул. А теперь учимся читать.Первоначальное сообщение, на которое вы отвечали:
> Помешать может … утрата доверия из-за нарушения правил, с последующим отзывом.Тем временем вы в своём пассивно-агрессивном сообщении:
> После чего к этому удостоверяющему центру как минимум теряется довериеИ что вы пытались доказать? Вы лишь публично расписались в том, что не умеете читать. Очевидно, что вы прочитали лишь первые несколько слов, и как истинный тролль попытались показать себя умником. Но недостаточно выдавливать из себя желчь, вам бы ещё научиться понимать смысл текста целиком, а не по первым буквам. Поколение x/твиттера, в общем. Длинные тексты осилить совсем не могут.
любой SSL в первую очередь предназначен для удостоверения что "на том конце" находится именно тот, кто тебе нужен.защиту от подслушивания и от MITM никто не обещал и не гарантировал. если она тебе нужна, её нужно делать дополнительно другими средствами.
>любой SSL в первую очередь предназначен для удостоверения что "на том конце" находится именно тот, кто тебе нужен.Так если Comodo в очередной раз выпустит дополнительный сертификат для чьего-либо домена. То пользователи сайта на этом домене попадут на сервер ЦРУ. Но пользователи будут думать, что на том конце тот, кто им нужен. Соединится с тем, кто тебе нужен позволяют IPSec и Wireguard.
>>любой SSL в первую очередь предназначен для удостоверения что "на том конце" находится именно тот, кто тебе нужен.
> Так если Comodo в очередной раз выпустит дополнительный сертификат для чьего-либо домена.
> То пользователи сайта на этом домене попадут на сервер ЦРУ. Но
> пользователи будут думать, что на том конце тот, кто им нужен.параноики проверяют серийный номер сертификата.
государственным службам можно быть на том конце. частным лицам/хакерам - нельзя.
> Соединится с тем, кто тебе нужен позволяют IPSec и Wireguard.за 0,05 секунды соединись по wireguard с госуслугами, гуглом, любым случайным сайтом в интернете, без предварительной переписки с их админом и настройкой тоннелей к каждому.
> параноики проверяют серийный номер сертификата.cookie браузер сольёт гораздо раньше проверки циферок.
> государственным службам можно быть на том конце. частным лицам/хакерам - нельзя.Хакеров в сотовой сети нет, всё шифруется аппаратным ключом из симки, в домашней локалке и в сети провайдера(если он не идиот), тоже нет. И те и другие сами по себе лица не совсем частные. И государственные службы это просто кучка людей с собственными интересами и мотивами. Про Сноудена, внештатного сотрудника ЦРУ слышали? Он мог легко, бесконтрольно копаться в любом gmail почтовом ящике, что с интересом и делал.
> за 0,05 секунды соединись по wireguard с госуслугами, гуглом, любым случайным сайтом
> в интернете, без предварительной переписки с их админом и настройкой тоннелей
> к каждому.Так Вы сможете соединится только с кем-то, кого Ваш шлюз выдал за "любой случайный сайт". Методы MITM SSL появились не вчера и успешно работают во многих корпоративных сетях. На уровне страны тоже иногда встречаются.
>> параноики проверяют серийный номер сертификата.
> cookie браузер сольёт гораздо раньше проверки циферок.параноики проверяют сертификат до открытия браузера.
>> государственным службам можно быть на том конце. частным лицам/хакерам - нельзя.
> Хакеров в сотовой сети нет, всё шифруется аппаратным ключом из симки,ты путаешь уровни. симка шифрует нижний, физический радиоканал. в сотовой сети много других векторов.
например коммутатор, на котором хакер (нечистоплотный сотрудник) видит весь трафик, через тот-же зеркальный порт что и госслужбы.> домашней локалке и в сети провайдера(если он не идиот), тоже нет.
угроза та-же самая - нечистоплотный сотрудник.
> И те и другие сами по себе лица не совсем частные.
> И государственные службы это просто кучка людей с собственными интересами ино есть разница, государевых людей мало и они проходят отбор. а у провайдера любой бомж может работать, лишь бы умел кнопки нажимать.
а на пути tcp\ip пакета таких бомж-провайдеров несколько.>> за 0,05 секунды соединись по wireguard с госуслугами, гуглом, любым случайным сайтом
>> в интернете, без предварительной переписки с их админом и настройкой тоннелей
>> к каждому.
> Так Вы сможете соединится только с кем-то, кого Ваш шлюз выдал за
> "любой случайный сайт". Методы MITM SSL появились не вчера и успешно
> работают во многих корпоративных сетях. На уровне страны тоже иногда встречаются.это требует определенных административных мер. корневой сертификат "своего" СА внедрить на все устройства, например.
> параноики проверяют сертификат до открытия браузера.а браузер вообще не запускают, зачем оно им.
>>> государственным службам можно быть на том конце. частным лицам/хакерам - нельзя.
>> Хакеров в сотовой сети нет, всё шифруется аппаратным ключом из симки,хахаха... комплекты для on-the-air перехвата 2g/3g существуют с конца 90х.
в _частных_ ручках.C 4g все становится несколько сложнее и запутанней, но там шифрует не симка, разумеется.
> например коммутатор, на котором хакер (нечистоплотный сотрудник) видит весь трафик, через
> тот-же зеркальный порт что и госслужбы.не хотел бы тебя огорчать, но подключиться беспалева к этому коммутатору крайне запутанная и маловыполнимая идея. И что подключать тоже непонятно.
Ну кроме одного засветившегося тут чешского, что-ли, оператора, зачем-то устроившего из своей сети в очень демократичной и независимой стране службу тотальной прослушки.
В РФ, если что, как минимум у половины большой 3+1 такого технически нет.> угроза та-же самая - нечистоплотный сотрудник.
с массой свободного времени и очень высокой должностью - чтобы коллеги не задали вопрос -какого ты тут делаешь и не укpoпский ли шпиен часом (и соанский!)?
> но есть разница, государевых людей мало и они проходят отбор. а у
Государевы люди слили вон распылителей ядохимикатов, имеющих крыши на высшем уровне и вполне обученных (но не совсем) соблюдать конспирацию.
Про обычных смертных уже и не смешно - в телеге можно купить любого и занедорого.Проходят отбор, да, "что-то я среди вас одноглазых не вижу".
> провайдера любой бомж может работать, лишь бы умел кнопки нажимать.
чтобы тебя допустили понажимать - надо потратить очень изрядно времени и усилий. А вып-дить с волчьим билетом могут просто на раз.
> а на пути tcp\ip пакета таких бомж-провайдеров несколько.
если только ты не подключился в каком-нибудь Урюпинске к совсем бомж-провайдеру (в таких местах еще остались если совсем старательно поискать) - их ноль.
А вот без оборудования товарищмайора...ну, собственно, потому бомж-провайдеры и перевелись почти совсем - оно, с-ко, дорогое. А кто не все - у тех коров отняли и в колхоз загнали за трудодни работать.
>> работают во многих корпоративных сетях. На уровне страны тоже иногда встречаются.
пока только Казахстан. Но там неприятность произошла, прям сразу.
Ну и РФ в процессе реализации.> это требует определенных административных мер. корневой сертификат "своего" СА внедрить
> на все устройства, например.А не будут внедрять - отключим сбер!
>>>> государственным службам можно быть на том конце. частным лицам/хакерам - нельзя.
>>> Хакеров в сотовой сети нет, всё шифруется аппаратным ключом из симки,
> хахаха... комплекты для on-the-air перехвата 2g/3g существуют с конца 90х.
> в _частных_ ручках.существуют, но с 10х годов как дорогие массогабаритные макеты.
>> угроза та-же самая - нечистоплотный сотрудник.
> с массой свободного времени и очень высокой должностью - чтобы коллеги не
> задали вопрос -какого ты тут делаешь и не укpoпский ли шпиен
> часом (и соанский!)?
>> провайдера любой бомж может работать, лишь бы умел кнопки нажимать.
> чтобы тебя допустили понажимать - надо потратить очень изрядно времени и усилий.я прошел собеседование за 15 минут.
>> а на пути tcp\ip пакета таких бомж-провайдеров несколько.
> если только ты не подключился в каком-нибудь Урюпинске к совсем бомж-провайдеру (в
> таких местах еще остались если совсем старательно поискать) - их ноль.провайдера с рекламными врезками в трафик на железках управляемых посторонней компанией, нужно напоминать?
>>> работают во многих корпоративных сетях. На уровне страны тоже иногда встречаются.
> пока только Казахстан. Но там неприятность произошла, прям сразу.
> Ну и РФ в процессе реализации.этим твои скудные познания и ограничиваются?
мне тебя, снова, жаль.
>> чтобы тебя допустили понажимать - надо потратить очень изрядно времени и усилий.
> я прошел собеседование за 15 минут.в каком ухрюпинске? Или это теперь такая г0йда настала (я на пару лет отвлекся от местных реалий) что работать вообще некому, любые васяны с улицы здрасьте? Да ну нахрен, у вас же телеком, оттуда не берут? Куда они все подевались?
> провайдера с рекламными врезками в трафик на железках управляемых посторонней компанией, нужно
> напоминать?чего это посторонней? Посторонние у двух других собственно транспортной сетью рулят (но там кого надо посторонние, тоже с улицы не зайдешь), а тут свои, под основным брендом.
И там собеседование нифига не 15 минут, я потратил часа два на них (нисколечки не выражая в процессе энтузиазма там работать, а то можно было наверное и на третий остаться)
>>> чтобы тебя допустили понажимать - надо потратить очень изрядно времени и усилий.
>> я прошел собеседование за 15 минут.
> в каком ухрюпинске?в болотинске.
> лет отвлекся от местных реалий) что работать вообще некому, любые васяны
> с улицы здрасьте?нет. тебя не возьмут.
> И там собеседование нифига не 15 минут, я потратил часа два на
> них
Так если есть гарантия что "на том конце находится именно тот, кто тебе нужен" (по сертификатам же, да?), и ты доступность этих обоих концов ограничишь только этими двумя разрешенными _самоподписанными_ сертификатами и отбрасываешь всё остальное и ты гарантируешь, что закрытые ключи только на этих двух концах и никуда не утекли, то никакое подслушивание и MITM невозможны. Гарантировано. Если только у MITM-менов нет какого-нибудь мощного квантового компутера из будущего, а у тебя используются слабые алгоритмы при генерации ключей и установке соединений.
> Так если есть гарантия что "на том конце находится именно тот, кто
> тебе нужен" (по сертификатам же, да?), и ты доступность этих обоих
> концов ограничишь только этими двумя разрешенными _самоподписанными_ сертификатами исертификаты и сейчас самоподписанные. просто подписаны "третьей стороной" которой доверяют оба - и сайт и ты.
если ты не доверяешь третьей стороне, то тебе нужно вначале обменятся своими сертификатами напрямую, с всеми сайтами в интернете.
> отбрасываешь всё остальное и ты гарантируешь, что закрытые ключи только на
> этих двух концах и никуда не утекли, то никакое подслушивание и
> MITM невозможны. Гарантировано.не гарантированно, а с достаточной степенью вероятности, которая определяется ценностью передаваемых данных.
хостинг с картинками кисок вполне может использовать 64 битные ключи, потому что от MITM пострадают только котики. а админ публичного wifi в кафе не сможет воспользоваться фоткой в плохих целях.
> Пользователь сам себе генерит приватный ключКонечно сам. Почитайте про протокол ACME хотя бы две строчки.
Короткоживущие сертификаты — зло.
Долгоживущие сертификаты — ещё большее зло.
Нынешний уровень технического образования катастрофически низок.
Ахаха, чтобы Васян, у которого всё же получилось пропихнуть тебе серт мог тебя иметь бесконечно долго? Больше глупостей не пиши.
не понятно - зачем васяну иметь тебя долго, если он за 5 минут уже полностью осушил твой банковский счет?
но, предположим, васян ворует не деньги а твое ежедневное свежее уникальное хомвидео с тентаклями. не понятно - что помешает васяну повторить пропихивание сертификата?
Он типа знает в какие 5 минут ты будешь вводить свою карту? С чего ты взял что он тебя целенаправлено атакует? Кого получилось того получилось, если ты быстро скинул его серт он про тебя даже не вспомнит потому что даже тебя не знает.
> Он типа знает в какие 5 минут ты будешь вводить свою карту?
> С чего ты взял что он тебя целенаправлено атакует? Кого получилось
> того получилось, если ты быстро скинул его серт он про тебя
> даже не вспомнит потому что даже тебя не знает.ты каждые 5 минут ищешь посторонние серты?
с девушками совсем не получается?
Бредишь? Сходи полечись в дурку.
> за 5 минут уже полностью осушил твой банковский счетЭто в каком банке такое можно? Любой банк — если он не ССЗБ — либо сразу заблокирует такую транцакцию и начнёт трезвонить на твой контактный номер, либо поставит от 0% до 100% суммы перевода на холд на несколько банковских дней, в зависимости от уровня доверия клиенту. Про банки, где можно за пять минут перевести больше пары тысяч и укатить с ними в закат мне пока дела иметь не приходилось, но с удовольствием послушаю прохладные истории.
> предположим, васян ворует не деньги а твое ежедневное свежее уникальное хомвидео с тентаклями
Ну предположим, а дальше-то что? Мамке нажалуется, а она наругает и борща лишит?
Долгоживущие сертификаты зло не потому, что васян твои тентакли всем покажет, а потому, что для безопасной работы требует дополнительные костыли типа OCSP. Когда процессоры были дохлые, перевыпуск сертификата действительно был неподъёмной задачей в таких масштабах. Условные десять лет тому назад это перестало быть проблемой.
>> за 5 минут уже полностью осушил твой банковский счет
> Это в каком банке такое можно? Любой банк — если он неИменно в любом банке можно. По этому некоторые банки подставляют костыли с вводом СМС, но это легко обходится.
> ССЗБ — либо сразу заблокирует такую транцакцию и начнёт трезвонить на
Не начнет, если операция проведена через сайт/интернет банк.
>> предположим, васян ворует не деньги а твое ежедневное свежее уникальное хомвидео с тентаклями
> Ну предположим, а дальше-то что? Мамке нажалуется, а она наругает и борща
> лишит?И всем соседским бабакам расскажет. опасный вектор атаки!
> Именно в любом банке можноТочно не в любом. Мне не далее чем вчера клиент оплатил инвойс на мой бизнес-аккаунт, 2к доступно сразу, остальное на холде до понедельника, в причине написано: We're ensuring that the person or company issuing the funds hasn't put a stop payment order on the transaction. На личном, когда я себе зарплату перечисляю, та же история, 2к сразу, остальное на холде до пяти банковских дней. Оба счёта в одном банке, в одном и том же отделении, казалось бы, зачем, и что делать, если надо срочно? Задавал этот вопрос менеджеру отделения, в исключительных случаях могут вручную холд с конкретной транзакции снять, но вообще это стандартная практика в соответствии с требованиями и рекомендациями регулятора, даже для транзакций между счетами в рамках отделения.
> Не начнет, если операция проведена через сайт/интернет банк.
Совершенно без разницы через что проведена. Как только сумма больше «обычной» — им проще затормозить, чем потом разбираться пост-фактум.
> И всем соседским бабакам расскажет. опасный вектор атаки!
Ну так пусть завидуют. Им уже так не тентаклиться.
> Точно не в любом. Мне не далее чем вчера клиент оплатил инвойс
> на мой бизнес-аккаунт, 2к доступно сразу, остальное на холде до понедельника,
> в причине написано: We're ensuring that the person or company issuingштота гомосятиной какой-то потянуло. Ты в каком банке-то, национал-предатель, бабки получаешь?
Давай к нам, в сбер - там такой фигни отродясь не видали.
> Совершенно без разницы через что проведена. Как только сумма больше «обычной»
> — им проще затормозить, чем потом разбираться пост-фактум.а чо им разбираться-то? Деньги л-ха достались робингудам, тоже мне проблема.
Процент за зачисление с тебя и так возьмут, банк не в накладе.
> но вообще это стандартная практика в соответствии с требованиями и рекомендациями регулятора,это не проблема всех банков, это костыль навязанный локальным регулятором.
>> но вообще это стандартная практика в соответствии с требованиями и рекомендациями регулятора,
> это не проблема всех банков, это костыль навязанный локальным регулятором.причем я бы товарищмайора попросил посмотреть пристально - какой именно такой локации, уведомлена ли налоговая в родной стране об "открытии зарубежного счета и движениях", не получал ли или не отправлял ли экстремистам, или вовсе не совершил ли национал-предательства?
Скрепные регуляторы возможность стырить все твои деньги ни разу не ограничивали.
Меня беспокоит что Васян из Let's Encripple может оборвать мне сертификат почти моментально.
>Меня беспокоит что Васян из Let's Encripple может оборвать мне сертификат почти моментально.Как бы X.509 подразумевает возможность оборвать жизнь любого сертификата моментально, на случай ситуаций утраты контроля над секретным ключом.
> Меня беспокоитТвоему локалхосту ничего не грозит. Спи спокойно.
Ты предпочитаешь васяна в галстуке из коммерческой компании?
Отзыв сертификатов не работает. https://habr.com/ru/articles/332730/Поэтому если секретный ключ сервера угонят, то это до конца жизни сертификата.
Название в корне неверно, там не только шифрование, но и последующее дешифрование, так что должно быть Let's Encrypt and Decrypt. Следовательно само существование проекта вводит человечество в глобальное заблуждение.
Типа все вместе зашифруем ваш трафик, а потом такие вместе возьмем и расшифруем и посмотрим у кого там что? Всегда радовали такие горе маркетологи без каких либо извилин в голове, сколько от них перлов было.
Зачем заморачиваться проблемами дешифровки https-трафика зашифрованного сертификатами от кучи разрозненных удостоверяющих центров, когда можно наводнить рынок бесплатными сертификатами, подписанными вашим закрытым ключом, попутно подшатнув бизнес конкурентов?
Великолепный план, тащмайор, надежный как швейцарские часы...
>бизнескек. единственный "успех" этого бизнеса это регулярный отзыв "утёкших" сертификатов сотнями миллионов, и это только известные случи, ещё сколько подозрительных сертификатов подставлявшихся на нужный трафик существовало неизвестно, за что деньги брали спрашивается?
Обновляйся каждый день, а не 90 дней.
Южьте self-signed и не парьтесь. ;)
Технический уровень молодёжи удручающе низок. Все сертификаты в конце концов подписаны одним самоподписанным.
Ох, нафталином запахло в треде )Технический уровень-то здесь причём? Ну, да, здесь почти блокчейн. Фишка лишь в том, У КОГО этот первый серт и насколько <s>вы</s> ваш браузер ему доверяет.
Что все корневые в браузере подписаны одним или каждый своим одним?Прежде чем кричать по чужой технический уровень - свой подтяни. Или ясно и однозначно выражаться научись.
Ага, удачи тебе воспользоваться приватным ключом того "одного самоподписанного", корневого, летсенкриптовского или прочих годеддиевских.Очевидно, душнила, что тебе советуют сгенерированный и самоподписанный _лично тобой_, а не каким-то папочкой.
> Технический уровень молодёжи удручающе низок.Вы только сейчас это поняли? Или думаете, что все эти тиктоки и инстаграмы созданы чтобы люди умнели? Мировой элите нужно стадо послушных и глупых рабов. Думающие люди нынче опасны.
Южьте http и не парьтесь. Уровень защиты одинаковый, только https более прожорливый до ресурсов и более медленный.
Хотя нет, если у злоумышленника нет MITM, но есть дамп трафика, то самоподписанный сертификат поможет.
Нах мне эти сертификаты, я хочу нормально заходить на сайты со своего debian 7.
Ну, сюда-то ты как-то зашел.Для тех, кто в танке - тут тоже Let's Encrypt.
Лучше с Delphi 7 заходи, рекомендую!
И как раньше без сертификатов жили?
Netscape внедрил в 1994 году. Да этого про интернет никто не знал.
Но большинство сайтов ими не пользовались или явно не требовали до появления html5.
Раньше всё было лучше. Поживёшь еще с десяток лет, поймешь, что жизнь будет только ухудшаться, гайки закручиваться, свобода ограничиваться. И это ни разу не сарказм. Как человек на седьмом десятке вижу лично сам всё это.
Ну, некоторые провайдеры вставляли свою рекламу в скачиваемые HTML странички. Так вот и жили...
До сих пор внедряют
Никогда такого не встречал, хотя по командировкам мотаюсь более двух десятков лет.
раньше был свободный интернет, а теперь он принадлежит владельцам CA.