The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Mozilla, Cloudflare и Facebook представили TLS-расширение для делегирования короткоживущих сертификатов

02.11.2019 09:29

Mozilla, Cloudflare и Facebook совместно анонсировали новое TLS-расширение Delegated Credentials (DC), решающее проблему c сертификатами при организации доступа к сайту через сети доставки контента. Выдаваемые удостоверяющими центрами сертификаты имеют длительный срок действия, что создаёт трудности при необходимости организации доступа к сайту через сторонний сервис, от лица которого должно устанавливаться защищённое соединение, так как передача сертификата сайта внешнему сервису создаёт дополнительные угрозы безопасности.

Новое расширение также может оказаться полезным для сайтов, работа которых обеспечивается крупной распределённой инфраструктурой с большим числом балансировщиков нагрузки. Delegated Credentials позволит избежать хранения копий закрытых ключей основных сертификатов на каждом узле отдачи контента. При классическом подходе успешная атака на любой из серверов, участвующих в отдаче HTTPS-трафика, приведёт к компрометации всего сертификата. В случае передачи закрытых ключей сетям доставки контента возникают угрозы утечки данных в результате диверсий со стороны персонала, действий спецслужб или компрометации инфраструктуры CDN.

Если утечка ключей останется незамеченной, получившие доступ к ключам смогут достаточно длительное время незаметно вклиниваться в трафик сайта (MITM), так как сроки действия сертификатов исчисляются месяцами и годами. В Cloudflare для защиты ключей сертификатов могут применяться специальные серверы ключей, работающие на стороне владельца сайта, но работа в таком режиме приводит к появлению ощутимых задержек в отдаче трафика, снижает надёжность из-за появления дополнительного звена и требует развёртывания усложнённой инфраструктуры.

Предложенное TLS-расширение Delegated Credentials вводит в обиход дополнительный промежуточных закрытый ключ, время действия которого ограничено часами или несколькими днями (не больше 7 дней). Данный ключ генерируется на основе выданного удостоверяющим центром сертификата и позволяет сохранить закрытый ключ исходного сертификата в тайне от сервисов доставки контента, предоставив им только временный сертификат с коротким временем жизни.

Для того чтобы избежать проблем с доступом после истечения времени жизни промежуточного ключа предусмотрена технология автоматического обновления, выполняемая на стороне исходного TLS-сервера. Для генерации не требуется выполнение ручных операций или запуска скриптов - авторизированный сервер, которому требуется закрытый ключ, до истечения времени жизни предыдущего ключа обращается к исходному TLS-серверу сайта и он генерирует промежуточный ключ на очередной короткий промежуток времени.

Поддерживающие TLS-расширение Delegated Credentials браузеры будут воспринимать подобные производные сертификаты как заслуживающие доверия. Например, поддержка указанного расширения уже добавлена в ночные сборки и бета-версии Firefox и может быть активирована в about:config через изменение настройки "security.tls.enable_delegated_credentials". В середине ноября среди определённого процента пользователей тестовых версий Firefox также планируется провести эксперимент "TLS Delegated Credentials Experiment", в рамках которого для проверки качества реализации нового TLS-расширения будет отправлен тестовый запрос на DC-сервер Cloudflare. Поддержка Delegated Credentials также уже встроена в библиотеку Fizz с реализацией TLS 1.3.

Спецификация Delegated Credentials передана в комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры Интернет, и находится на стадии черновика, претендующего на звание интернет-стандарта. Расширение Delegated Credentials может применяться только с TLSv1.3. Для генерации промежуточных ключей требуется получение TLS-сертификата, включающего специальное расширение X.509, которое пока поддерживается только удостоверяющим центром DigiCert.

  1. Главная ссылка к новости (https://blog.cloudflare.com/ke...)
  2. OpenNews: Mozilla, Cloudflare, Fastly и Apple работают над применением шифрования для SNI
  3. OpenNews: Разработанный проектом Let's Encrypt протокол ACME утверждён в качестве интернет-стандарта
  4. OpenNews: Опубликован RFC для TLS 1.3
  5. OpenNews: Около 5.5% сайтов используют уязвимые реализации TLS
  6. OpenNews: В ночных сборках Firefox отключена поддержка TLS 1.0 и TLS 1.1
Лицензия: CC BY 3.0
Наводку на новость прислал Artem S. Tashkinov
Короткая ссылка: https://opennet.ru/51797-tls
Ключевые слова: tls, crypt, cert
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (113) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:43, 02/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    Запомните этот твит: данная технология нигде не будет использоваться. Через полгода я зайду в опеннет в новость про мозиллу и запощу ссылку на этот коммент с вопросом: "Ну? И где ЭТО используется?"
     
     
  • 2.2, AnonPlus (?), 10:47, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +7 +/
    >> Через полгода я зайду в опеннет в новость про мозиллу и запощу ссылку на этот коммент с вопросом: "Ну? И где ЭТО используется?"

    Дурное дело не хитрое. Чтобы это использовалось, оно должно сперва быть имплементировано как на клиенте, так и на сервере. А пока это ещё только самый ранний черновик.

     
     
  • 3.157, Аноним (157), 08:01, 08/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    так и в стандарте.
    Нет стандарта никто не станет реализовывать.
     
  • 2.19, Аноним (-), 13:59, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +19 +/
    Нытики с пoпeннeта вечно всем недовольны. А что хорошо - они и сами не знают!
     
     
  • 3.115, Аноним (115), 09:18, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как же не знают? Знают! Процессоры от амд, видеокарты от амд, отсутствие системд и их "единственный правильный" debian-based дистрибутив. Все остальное, по их мнению, заслуживает презрения и ненависти.
     
  • 3.117, mumu (ok), 11:12, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да это местный клоун, всегда всегда несёт полную ахинею, разговаривает сам с собой: http://www.opennet.me/~%E1%CE%CF%CE%C9%CD
    Жалко заигнорить нельзя
     
  • 2.158, Аноним (157), 08:06, 08/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Через полгода

    tls 1.3 - 10 лет разрабатывался
    quic - около 8
    Через пол года даже стандарт принять не успеют

     
  • 2.168, Аноним (168), 01:07, 01/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Прошло 1.5 года, поддержка DC появится в завтрашнем выпуске Firefox 89.
     

  • 1.3, Аноним (3), 11:05, 02/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Cloudflare

    Кот бы сомневался.

     
     
  • 2.6, Аноним (6), 11:27, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Крупнейшая организация в мире, занимающаяся MitM, представила инструмент для осуществления MitM без доступа к закрытому ключу.
    А кто не согласится "делегировать полномочия" (но при этом представляет интерес в плане MitM) — на того по удивительному стечению обстоятельств обрушится DDoS-атака, и ему придется волей-неволей согласиться.
     
     
  • 3.13, Аноним (13), 12:24, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А кто не согласится "делегировать полномочия" - отключим газ

    поправил

     
  • 3.111, KonstantinB (ok), 05:02, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так надо пользоваться этим правильно.

    CDN актуален прежде всего для отдачи статических assets, ну вот и отдавать их с другого домена, в <script> добавлять атрибут integrity.

    От ddos-а на API же CF не спасет - там при сколь-либо серьезном ddos-е единственное решение это капча, и кто ее на api-запросы будет вводить?

     
     
  • 4.133, Аноним (6), 15:38, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > CDN актуален прежде всего для отдачи статических assets, ну вот и отдавать их с другого домена, в <script> добавлять атрибут integrity.

    Так и делаем. Но это автоматом фингерпринтит наших клиентов перед дядей, от чего хотелось бы уйти.

     
     
  • 5.149, Q2W (?), 23:34, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Каким образом фингерпринтит?
    Разве браузеры не должны одинаково скачать этот скрипт и посчитать его контрольную сумму?
     
     
  • 6.163, Аноним (163), 15:49, 21/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Примерно так же как через ETag: https://lucb1e.com/rp/cookielesscookies/
     
  • 5.155, D (?), 22:21, 07/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > фингерпринтит наших клиентов перед дядей, от
    > чего хотелось бы уйти.

    Толсто прозвучало. И кто - вы? CF? Или как раз дядя, которому CF с его изобретениями мешает работать на благо...?

     
  • 2.119, Аномномномнимус (?), 11:30, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Покорми кота
     

  • 1.5, Грусть (?), 11:22, 02/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    CDN не нужны.
     
     
  • 2.7, Аноним (6), 11:28, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Нужны. Так как они выполняют терминирование HTTPS-трафика, они значительно упрощают спецслужбам доступ к передаваемым данным. Это положительно сказывается на безопасности государства.
     
     
  • 3.8, xm (ok), 11:31, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Безопасность государство (и само государство) ценностью не являются. Ценность это безопасность граждан.
     
     
  • 4.17, AS (??), 13:01, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Безопастность от бандитов или добрх дядей в чёрных очках - она разная бывает..
     
     
  • 5.18, AS (??), 13:05, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • –5 +/
    ко мне дяди ещё не приходили ни разу и не факт, что придут - а что бандючья стало поменьше после 90х - уже хорошо.
     
     
  • 6.20, Аноним (20), 14:01, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Меньше не стало, просто они теперь государство и за высокими заборами и тонированными мерсами их не видно
     
     
  • 7.29, Аноним (29), 14:21, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    За семью заборами, за семью запорами... Как в былые времена.
     
     
  • 8.165, Аноним (165), 18:12, 03/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    они с неправильной стороны забора, еще и ключи от запоров хотят может и безопас... текст свёрнут, показать
     
  • 7.129, Аноним (6), 15:32, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    >  Меньше не стало, просто они теперь государство и за высокими заборами и тонированными мерсами их не видно

    Вот он, долгожданный капитализм. Теперь у нас всё, как на благословенном Западе. Но вы почему-то этим недовольны. Хотите back to USSR, как те ребята с Болотной?

     
     
  • 8.166, Аноним (165), 18:15, 03/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    это на каком западе такое в мексике ... текст свёрнут, показать
     
  • 6.26, Аноним (-), 14:06, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Проверь за вот этим забором. ;)

    http://dos-news.com/wp-content/uploads/2016/09/medvedev-094.jpg

     
  • 6.105, Demo (??), 01:02, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > ко мне дяди ещё не приходили ни разу

    Вам повезло.
    В нашем подъезде ко всем приходили. Сначала "из милиции" (так представился) и спрашивал "Вы за кого голосовать будете?" А через пару дней снова, уже другой "дядя" пришёл с тем же вопросом, и, на мой заанноенный возглас: "Так ведь позавчера уже спрашивали!", дядя ответил, что он "из прокуратуры", и ему тоже "надо знать". Даже удостоверение предъявил.

     
     
  • 7.128, Аноним (6), 15:30, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Позвольте нескромный вопрос — про какую страну речь?
     
     
  • 8.162, Аноним (162), 20:40, 11/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ganduras ... текст свёрнут, показать
     
  • 4.34, Аноним (34), 14:52, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Ценность это умение граждан распознавать тэг "сарказм".

    Можешь не благодарить

     
     
  • 5.132, Аноним (6), 15:35, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Фанатичность и чувство юмора, увы, несовместимы.
     
  • 4.127, Аноним (6), 15:29, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >  Безопасность государство (и само государство) ценностью не являются. Ценность это безопасность граждан.

    Революции положительно сказываются на безопасности граждан.
    Владимир Ильич и Иосиф Виссарионович не дадут соврать.

     
  • 3.11, Аноним (11), 12:06, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    про казахский прокси пели совсем другое
     
  • 3.64, dimqua (ok), 17:48, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не зря же у клаудфлары есть ДЦ в РФ. О нашей безопасности заботится.
     
     
  • 4.81, Аноним (81), 21:05, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Об удобстве майора заботится.
     
  • 4.112, Ba20t1 (?), 07:50, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    У Google тоже есть, но это не значит, что они доступ дают опричнине царька.
     
     
  • 5.126, Аноним (6), 15:28, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Смотря какого царька. Перед тем, который директор NSA — булки раздвигают охотно.
     
  • 5.137, пох. (?), 18:45, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    они дают тому, кто заплатит.
    Мордокнига уже попалась на "британских учоных". С чего вы взяли что гугель - швятой?

     
  • 3.97, вейланд (?), 22:57, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Любого государства, которое контролирует центры выдачи ключей, но не контролирует сервера в другой стране.

    Кто бы это мог быть.

     
  • 3.156, D (?), 22:22, 07/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Нужны. Так как они выполняют терминирование ...

    CF умеет от себя до клиента второе плечо TLS держать, с проверкой сертификата.

     
  • 2.15, Всем Анонимам Аноним (?), 12:57, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Лучший пример диванной аналитики
     
     
  • 3.21, Аноним (-), 14:01, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так анaл рaзрaбатывать это его основная задача)
     

  • 1.9, Аноним (11), 12:04, 02/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Здравствуй ж*па новый зонд... Что там про казахский прокси бухтели? А вот если то же самое на Западе делают - то во имя добра и мира и всеобщей заботе о юзвере.
     
     
  • 2.14, пох. (?), 12:38, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    и заметьте - хрен заблокируешь и хрен вообще отличишь (не ломая себе веб, разумеется, совсем) от нормального шифрования - позаботились.

     
     
  • 3.135, Аноним (6), 15:44, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну, пока они только в начале пути глубокой интеграции с браузерами. С Мозиллой вроде договорились, а вот Гугль одеяло на себя тянет. Оно и понятно — если к твоей бигдате имеют доступ посторонние, вследствие неизбежных утечек она теряет в цене. "Знают двое — знает свинья"
     
     
  • 4.159, Аноним (157), 08:13, 08/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    гугл просто не будет выдавать сторонний ключ
     

  • 1.10, Аноним (10), 12:05, 02/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Гoвно. CDNы отдают статику. Это значит, что достаточно subresource integrity.
     
     
  • 2.16, Всем Анонимам Аноним (?), 13:01, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Статику можно отдавать с другого домена, тогда она даже быстрее будет раздаваться (cookie не тянет с собой).
    Но Вы ошибаетесь, что CDN может только использоваться для статики. Для этого она используется на мелких и средних сайтах. Кроме статики есть еще услуги оптимизации (когда те, кто делает сайт, не умеют заниматься оптимизацией или не хотят). Типа pagespeed в онлайн режиме.
    (Я пишу не по теории с дивана, а именно по факту)
     
     
  • 3.23, пох. (?), 14:02, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    вот такие у нас оптимизаторы сайтов, да...

    "с другого домена" у него будет - быстрее раздаваться.

    Если таким оптимизаторам в самом деле удается что-то оптимизировать (а не поломать к чертям, с такими-то руками и представлениями о действительности) - представляю, какое ж г-но там изначально.

    Поэтому cloudflare и победила. У них хотя бы грамотные. А сайтовладельцам глубоко пофиг на слежку за своими пользователями. Они еще и приплатят за нее, если чуток поделиться. (впопеннет не даст соврать)

     
     
  • 4.57, Аноним (10), 16:14, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А что не так? http2 же держит соединения, если всё брать с cdn-домена, то соединения к cdn будут шариться между разными сайтам, не?
     
     
  • 5.59, пох. (?), 16:31, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > А что не так? http2 же держит соединения, если всё брать с cdn-домена

    _одного_и_того_же? Неее, так не пойдеть ;-) У тебя свой /content, у соседа - свой, как их отличать-то? Только вот по домену - в лучшем случае это какая-тохрень.cdn.com, а в худшем site.com, и пусть cdn разбирает (заодно отслеживая). А такого авангарда никакой http2 не потянет.
    И дЭффехтивные почему-то не очень любят палиться что половина контента и трекинг пользователей подарены чужим дядям. Вон, наоборот, сколько наизобретали технологий скрытия этого факта - от sni до гуглевого предложения рисовать фэйковые домены в адресной строке.

    и даже 0rtt tls он не для всех, а только для правильных пацанов (читай - гугля, гугля и мордокниги)

     
     
  • 6.92, Аноним (10), 21:51, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >_одного_и_того_же

    именно.

    >У тебя свой /content, у соседа - свой, как их отличать-то?

    очевидно, по путям. content.<cdn>.com/<owner>/<hash>.<extension> , реальное имя файла - в заголовках.

    >И дЭффехтивные почему-то не очень любят палиться что половина контента и трекинг пользователей подарены чужим дядям.

    А смысл? Всем пофиг же. Вон, МС явно написала, что телеметрия во все поля в винде. Но все же юзают винду (что 10, что 8, что 7, тотальная телеметрия везде). Как юзают Алексу, Алису, Сири, Кортану и прочих голосовых помошниц. Как юзают сайты с рекапчей. Как летают в КНР и США  с досмотром телефонов. В общем, всё очень плохо и маскировать это не имеет смысла - платежеспособное население решило, что всё это ОК. А на иное и ориентироваться нет смысла для бизнеса.

     
     
  • 7.98, пох. (?), 23:38, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > очевидно, по путям

    успехов в переделке всех сайтов всех клиентов на уникальные пути.
    Напоминаю, что чтобы работала чудо-оптимизация, домен должен быть всегда один.

    >> И дЭффехтивные почему-то не очень любят палиться что половина контента и трекинг пользователей
    >> подарены чужим дядям.
    > А смысл?

    а не знаю.
    Вот, очередной фиговый листок для прикрытия голой сраки изобрели, и мурзила уже внедрила, ждем гугля.

     
  • 2.24, Аноним (24), 14:03, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Нужен ли сдн - вот в чем вопрос. Мой сайт никакого сдна не имеет, и работает хорошо и быстро.
     
     
  • 3.32, пох. (?), 14:28, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    на обоих полутора васянов-посетителей? Ну да, ну да.

     
     
  • 4.78, suffix (ok), 20:30, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да правда CDN не нужен обычному сайту (сайты отдающие мегатонны статики - ну никак не обычные).Да к тому же CDN замедляет сайт !
     
     
  • 5.100, пох. (?), 23:49, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    если обычный - это на полтора васяна - то да, скорее всего - не нужен CDN а-ля ... большой текст свёрнут, показать
     

  • 1.12, Аноним (12), 12:22, 02/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    "Выдаваемые удостоверяющими центрами сертификаты имеют длительный срок действия, что создаёт трудности..."
    ...блокировки неугодных после отключения HTTP.
     
     
  • 2.22, Аноним (22), 14:02, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Главное повсеместно отказываться от гугла и его электронного рабства.
     
     
  • 3.37, клаудфляра (?), 15:03, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    да, да - идите к нам, рабы, у нас рабство гораздо лучше - ошейник кожанный, а не из дерьмового пластика, кнут тоже, не как у этого гугля, экологичнейший!

     
  • 3.66, dimqua (ok), 17:56, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Что там от гугла. Куда сложнее избегать cloudflare.
     

  • 1.25, Аноним (20), 14:06, 02/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А что мешает выдать сертификат на домен специально для cdn и в случае проблем (внимание!) отозвать его?
    Эту проблему решили при создании системы сертификатов и гораздо проще, понятнее и удобнее.
     
     
  • 2.28, Аноним (28), 14:10, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так спроси их сам, а потом и нам расскажешь. В чем проблема?
     
  • 2.35, Аноним (34), 14:55, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    То, что в этом случае любой может прийти в уц и сказать "я - cdn, дайте мне серт вон за того чувака".
     
  • 2.58, хотел спросить (?), 16:23, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    если ты выдаешь на свой домен для CDN, то кто мешает кому-нибудь из CDN притвориться тобой?

    просто нафиг не нужно отдавать из CDN по урлу домена...
    ну был условно  cdn.google.com, пусть будет google.cdn.com
    на него и куки можно просетить, если уж очень хочется

    управление сертификатми на *.cdn.com возможно со стороны CDN
    проблемы нет...

    короче как отключить это говно? а то как обычно с очредным обновлением
    enable_delegated_credentials станет true

    я уже задолбался настраивать Firefox на каждом компе
    хоть ты автоматизируй это всё...

     
     
  • 3.61, пох. (?), 16:34, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > короче как отключить это говно? а то как обычно с очредным обновлением

    ну отключишь - останешься без css и скриптов и чудо-сайты, использующие эту чудо-технологию, у тебя просто перестанут открываться. То есть примерно все.

    > я уже задолбался настраивать Firefox на каждом компе

    Ваша борьба бесцельна и бесполезна. Вы умираете зря. Многие ваши товарищи уже на себе почувствовали наше гуманное обращение!

     
     
  • 4.99, хотел спросить (?), 23:41, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > ну отключишь - останешься без css и скриптов и чудо-сайты, использующие эту чудо-технологию, у тебя просто перестанут открываться. То есть примерно все.

    ну сейчас все отключено и работает же да?!

    даже в аспнет по умолчанию есть проверка и fallback на CDN
    люди которые пишут с учетом CDN понимают, что есть браузеры где этого говна нету
    а когда это не взлетит, то на это и рассчитывать не будут
    да и похео мне на такие сайты, я 3rd party куки отрубил и рефер сечу = url
    + ублок и норм.. все работает!

     
     
  • 5.101, пох. (?), 23:55, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > ну сейчас все отключено и работает же да?!

    ну так это ж не надолго - технологию только-только впендюрили, еще гугль не подхватил, еще клиенты не настроили серверы на отдачу "короткоживущих". Но, заметь - уже в мурзиле! Вечно стонущей что у нее нет ресурсов на эту вашу поддержку alsa или еще чего что пока не ломали- само работало.
    А на это - нашлись, стоило уважаемым людям из пейсбука и клаудфляри попросить.

    Так что - взлетит. И браузер у нас - один, хромой. Вот если гугль рогом упрется...но с чего бы ему?

     
     
  • 6.104, хотел спросить (?), 00:24, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    хромого не юзаю - хуже браузера я не видел

    лисичка хвостиком крутит конечно, но пока ей больше доверия НАМНОГО

    ну и Waterfox набирает обороты, посмотрим что получится

    --

    не взлетит ))

     
     
  • 7.106, Аноним (162), 01:04, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это Ватерфокс-то взлетит? Не думаю. Ничего интересного в нем нет. Абсолютно.
     
     
  • 8.107, Аноним (162), 01:06, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В MotionMark набирает меньшее количество баллов Луна и Василиск и те намного бо... текст свёрнут, показать
     
     
  • 9.138, пох. (?), 18:48, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    тебе баллов в motionmark, или чтоб веб работал Веб будет работать так, как этог... текст свёрнут, показать
     
     
  • 10.140, Аноним (162), 19:49, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А вэб на них на всех работает одинаково Т е хреновато Даже на Ватерфоксе Отк... текст свёрнут, показать
     
  • 10.161, Аноним (162), 23:07, 10/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А при чем тут Ватерфокс Работать нормально будут только блинкохромонутые Ватер... текст свёрнут, показать
     
  • 2.80, педофил (?), 20:58, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Наверное лучше, чтобы сайт мог выдавать субсертификаты, подписанные его ключём "Я доверяю этому каналу." И уже дело сайта дальше.
     
     
  • 3.91, педофил (?), 21:46, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Что-то нужно делать с палевными особенностями в тексте. Мало то создаст предложение, которое оканчивается на "дальше", но это ещё не все странные особенности. Спалят и привет.
     

  • 1.30, Аноним (20), 14:26, 02/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А что мешает отозвать сертификат?
    Хоть каждую неделю отзывай и генерируй новый сертификат.
     
     
  • 2.33, Аноним (11), 14:48, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    у них же цель прозрачно прослушивать канал, а не забота о каких-то ключах.
     
  • 2.47, Аноним (-), 15:21, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Я вообще делаю свой браузер, со своим шифрованием и без гуглозондов.
     
     
  • 3.54, Аноним (162), 15:46, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И движок собственной разработки?
     
     
  • 4.70, Аноним (-), 18:20, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну а чьей же еще. Я же сказал - без зондов.
     
     
  • 5.77, Аноним (162), 20:16, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Зонды зондами. Ядро какое? Блинк, Гекко, Вэбкит...?
     
     
  • 6.114, Аноним (114), 09:04, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Links и bash
     
  • 3.76, Аноним (162), 20:12, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Какой движок? Какая основа? Когда будет готов? Что в нем будет еще кроме отутствия зондов?
    Или обычный репликан?
     
  • 3.79, Аноним (20), 20:39, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кидай ссылку на репозиторий
     
  • 2.84, Аноним (84), 21:34, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно, давай спамить всех CRL.
     
     
  • 3.102, пох. (?), 23:57, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    какие вам еще crl в 2k19? Поддержку их выпилили из всех браузеров еще десять лет назад.

    Они, панимаешь, не позволяли попутно подглядывать, на какой именно сайт ты ходишь. В отличие от прекраснейшего моднявого ocsp.

     
  • 2.109, Аноним (109), 02:46, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://scotthelme.co.uk/revocation-is-broken/
     

  • 1.36, Аноним (34), 15:01, 02/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Хы... Идея CDN в принципе не совместима с идеей https, и любые попытки эту несовместимость преодолеть либо заранее обречены на провал, либо (явно или неявно) исключают из ситуации настоящий https.
     
     
  • 2.40, пох. (?), 15:08, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    вполне совместима - если cdn прекратят прикидываться оригинальным сайтом, и станут представляться как... cdn, внезапно.

    Никакой беды нет ни от akamai.some.domain.com, ни от some.domain.com.akamai.com - ты видишь с кем имеешь дело (и видишь что они тебя видят).
    Более того, владелец оригинального domain.com может даже принять меры для защиты своих пользователей от недобросовестности владельца такого cdn. Но ему лень, и пользователей совершенно не жалко.

    Тем более что о себе он уже все давным-давно раструбил мордокниге, гуглю, амазону и всем желающим.

     
     
  • 3.116, Аноним (34), 10:19, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это даст разрабам броузеров давать разные доступы скриптам, загруженным с gate314159.cloudflare.somesite.com и с www.somesite.com, потому что телеметрия от разрабов и их спонсоров - это для развития и повышения качества, а зонды от CDN - это нарушение приватности.
     

  • 1.68, Аноним (68), 18:05, 02/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    CDN, контролируя IP на который показывает домен, может на этот домен получить 100500 Let's Encrypt сертификатов со сроком действия 3 месяца (или 6 месяцев на buypass.no).
     
     
  • 2.72, пох. (?), 18:44, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > CDN, контролируя IP на который показывает домен, может на этот домен получить 100500 Let's
    > Encrypt сертификатов

    но это будет некоторым палевом - кто-нибудь сильно ушлый может ведь и сравнить сертификаты, и в transparency log ухитриться заглянуть.

    Поэтому придумали хитрый ход, когда нет ни логов, ни поводов для беспокойства - да, сертификат каждый раз новый, все для вашей большей безопастносте.

    P.S. а за buypass.no спасибо, кстати. Интересно только, скоро ли их заблокируют за какие-нибудь несовместимые со статусом благородного CA действия, как это уже произошло со многими другими, вздумавшими конкурировать с letshitcrypt.

    Правда, сертификат у них - долбанутый. _пустой_ CN - это надо было настолько вверх ногами прочитать стандарт...

     
     
  • 3.94, Коньвпальто (?), 21:54, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не проверял, но: https://community.buypass.com/t/x1j8vt/create-a-certificate-with-subject
     
     
  • 4.103, пох. (?), 00:03, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    круто - то есть это certbot (как я понимаю - стандартный) такой csr кривой генерит, а они типа просто не оверрайдят, бо так и надо (в чем смысл сией беспрактисы - хотел бы я знать).

    забавно. dehydrated генерит csr с CN, и отдельно v3 altname, как и должно быть с точки зрения разума, специально сейчас глянул.

     
     
  • 5.118, Коньвпальто (?), 11:13, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну кто что оверрайдит или нет - вопрос исследования, т.к. на моей копне сертификатиков ещё месяц точно можно протянуть (а в пределах общей их продолжительность жизни в три это ещё куча времени), то мне лень :) а вот как время подойдёт вопрос будет серьезным образом изучен :) т.к. достало таки раз в три месяца суетиться, оно вроде почти все на проксики вынес, но три-четыре сервиса туда ну никак не должны попасть плюс лень природная обвязать все скриптом... Ну и вообще летскик летсэнкрипт под гузку, хотябы временно..
     
     
  • 6.139, пох. (?), 18:59, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ну типа по ссылке так написано Не знаю, чем генерит opennet, но CN opennet ru... большой текст свёрнут, показать
     

  • 1.71, Аноним (71), 18:38, 02/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как это отразится на пользователях?
     
     
  • 2.73, клаудфляра (?), 18:44, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    мы гарантируем что вы получите удовольствие!

     
     
  • 3.90, Аноним (162), 21:45, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Кто это мы?
     
     
  • 4.110, Аноним (11), 03:44, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Mozilla, Cloudflare и Facebook
     

  • 1.74, laticq (?), 18:54, 02/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Скоро для передачи сообщения "Привет, мир!" потребуется сотня-другая мегабайт сертификатов и две сотни "защищённых" протоколов
     
     
  • 2.75, Аноним (11), 20:11, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    ...при это фейсбук продаст твоё сообщение в третьи страны вместе с контактными данными.
     
     
  • 3.96, misha_lp (ok), 22:03, 02/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > ...при это фейсбук продаст твоё сообщение в третьи страны вместе с контактными
    > данными.

    Согласен, нет доверия к подобным новостям, все равно вопрос попадания третьим лицам - дело времени.

     

  • 1.85, Аноним (85), 21:35, 02/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ЯННП. Это типа MitM встроили или нафига CDN'у какие-то особые преференции?
     
     
  • 2.108, Аноним (108), 01:44, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Митм существует и работает уже давно. Теперь они заботятся о том, как бы сделать так, чтобы митм совсем никак не палился. Т.е. сейчас допустим у кф митм с левым сертом только для россиян (для примера), а они хотят сделать так, чтобы ни у кого не было возможности выяснить, пихают ему левый серт или нет. Во всяком, случае я понимаю это так.
     
  • 2.143, Аноним (84), 20:33, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это не преференции, а наоборот: вместо полноценного сертификата им будут давать ущербный. А оналитеги, как обычно, ничего не поняли.
     
     
  • 3.153, КО (?), 11:24, 06/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В реальности это возможность имея свой сертификат на сайт сделать еще один, который ссылается на твой.

    В стандартной модели нужно было бы получать свой сертификат с правом быть рутовым и дальше генерить что хошь. Теперь просто любой сайтовый можно превратить в рутовый. Возможно пез права замены имени. Если оставят замену будет весело. :)

     

  • 1.113, 0309 (?), 08:45, 03/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Митм существует и работает уже давно.----Очень может быть.
    На сайте роскомсвобода мой лис показывает зелёный DNSSEC а сервер роскомсвободы расширение DISCONNECT 5 19 показывает на клоудфларе, я не вижу подозрительного.  Приведите пример где Вы видели митм?
     
  • 1.152, Licha Morada (ok), 21:58, 04/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В Cloudflare для защиты ключей сертификатов могут (https://www.cloudflare.com/ssl/keyless-ssl/)
    > применяться специальные серверы ключей, работающие на стороне владельца сайта...

    Собствено, эту задачу они, судя по всему, и пытаются решить способом, приемлемым для масс. Сейчас, чтобы использовать свой правильный сертификат, клиенту требуется отдавать секретный ключ CDN'у, или поддерживать у себя нетривиальную инфраструктуру.
    https://blog.cloudflare.com/keyless-ssl-the-nitty-gritty-technical-details/

     
     
  • 2.154, КО (?), 11:28, 06/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да тривиальную - им нежен сертификат с правом подписи других сертификатов.
    Собственно раздавать такие кому не попадя - прощай всякое подобие идеи, ведь можно подписывать все что угодно.
    Если же сделать сертификат, который может подписывать сертификаты только  с тем же именем сайта, то проблема решается на ура. И google.com серт не выпустишь и можешь cdn-у отдавать хоть почасовые.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру