LINUX.ORG.RU

Обнаружение tls соединений с сертификатом определенного CA

 ,


0

3

Правильно ли я понимаю, что в процессе установления tls соединения на этапе certificate (после server helo) мы видим хеши всех сертификатов (server, intermediate, root) ?

Если так, то средствами dpi можно выявить использование нелегально выданных сертификатов.

Это вопрос относительно чебурнета который начнется 28 сентября.

PS Срач на хабре уже начался.

★★★★★

Ответ на: комментарий от Shushundr

«Нет доверия к этому корневому сертификату» – да, именно так.

Из комментов оттуда.

eternal_sorrow ★★★★★
()
Ответ на: комментарий от firkax

я немножко работы по поиску выполнил. теперь твоя очередь поискать.

Shushundr ★★★
()
Ответ на: комментарий от firkax

ой вей, шо вы к цыферкам придирается, ну кросивое число.
главное скоро будетъ Чебурнет, Адъ и Израилъ !!111 а вы тут в нинужные технические подробности лезете.
надо лезть на баррикады с красными полосато-зведчатыми радужными да вообще похеръ я студент времени до пупа флагами !!!111

pfg ★★★★★
()
Ответ на: комментарий от pfg

Кто пойдет на баррикады? Все «борцы с крававым рыжимом» уже полгода как уехали в Узбекистан, Киргизию, Грузию, Сербию или даже дальше.

Увы, никто не освободит нас от крававого рыжима, все бойцы слились, и наслаждаются свободным Ынтырнетом без чигиздских мерзостей. :(

emorozov
()
Ответ на: комментарий от emorozov

никто не освободит нас от крававого рыжима, все бойцы слились

Слава богу.

alex1101
()
Ответ на: комментарий от emorozov

Не все уехали. Но те кто остались, будут использовать (и используют) совсем другие методы. Тебе они понравятся гораздо меньше.

eternal_sorrow ★★★★★
()
Ответ на: комментарий от eternal_sorrow

Это какие методы, хуже чем чигиздские пытки и прочие мерзости, которые они более ста лет к нам применяют? Хуже чебурнета, промывающего наши скудные мозги проклятой пропагандой нечестивых анти-лгбт ценностей?

Уже баюсь…

emorozov
()

нафига тебе dpi для этого? браузер и так истерику устроит в случае проблем с сертификатом. То что сбер и госы переезжают на левые сертификаты, вызывает только недоуменее, почему блин этого не сделали сразу?

antech
()

Ого, откуда узнал? Или это я такой слоу… Новости только сегодня посыпались.

Anoxemian ★★★★★
()
Ответ на: комментарий от antech

С чего браузер устроит истерику если сертификат сервера подписан доверенным корневым сертификатом?

Пока абсолютно неясно кто создал этот корневой сертификат (подзаконные акты и пр.), кто и как там сможет получать сертификаты.

Главная проблема том, что от выдадут сертификат на *.com и браузеры это сожрут.

То, что нужно было раньше сделать национальный CA - это да. Но то, что творится сейчас - это лютый звездец.

vel ★★★★★
() автор топика
Ответ на: комментарий от eternal_sorrow

От троля слышу!

В nDPI есть парсер tls, но разобраться в нем без знаний подробностей tls не так просто.

На сколько сложно определить, что используется определенный корневой сертификат?

sh check_http_ssl_cert www.sberbank.ru

depth=2 OU = GlobalSign Root CA - R3, O = GlobalSign, CN = GlobalSign
verify return:1
depth=1 C = BE, O = GlobalSign nv-sa, CN = GlobalSign RSA OV SSL CA 2018
verify return:1
depth=0 C = RU, ST = Moscow, L = Moscow, O = Sberbank of Russia PJSC, CN = sberbank.ru
verify return:1
DONE
notBefore=Aug 27 12:11:06 2021 GMT
notAfter=Sep 28 12:11:06 2022 GMT

Если его не продлят, то будет кучка проблем. Не думаю, что это единственный сертификат который закончится у сбера в ближайшее время.

Невалидный серификат на платежных шлюзах создаст проблемы многим.

vel ★★★★★
() автор топика
Ответ на: комментарий от Shadow

Ужос. Вот поставлю Яндекс.Браузер, и сразу же по почкам ногами станут бить? Дык, уже давно поставил. Интересно было, и нужен второй браузер, т.к. работа с разными профилями в FF очень неудобно сделана, а контейнеры (которые в FF) - ещё хуже.

Жду, когда крававые чигизды придут через Яндекс.Браузер бить меня ногами. Сколько ещё осталось ждать?

emorozov
()
Ответ на: комментарий от emorozov

Вы заставляете меня вспоминать боль. А так - ваши предпочтения в порнушке уже известны кому следует.

Shadow ★★★★★
()
Ответ на: комментарий от alex1101

не говори. Посмотрел, это только для юрлиц. Даже ИП не подходят. Судя по инструкции, с софтом не морочились, все на openssl сделали. Немного разочаровывает, думал, что это инициатива типа let’s encrypt

Правда я так понял, они дополняют сертификат сведениями об организации, а такой сертификат уже стоит подороже, а у них он (пока) бесплатен.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

На хабре в комментариях говорится, что у Сбера протухает сертификат 28 сентября. И далее в интернете рунете пошла волна «чебурнет с 28 сентября».

master_0K
()
Ответ на: комментарий от master_0K

Непонятно, каким образом еще один ЦС что-то вообще меняет? А let’s encrypt в свое время уже превратил чебурнет в чебурнет? comodo?

Я понимаю, что вопрос не по адресу, просто недоуменно замечаю, как глупо все это педалируется.

AVL2 ★★★★★
()
Последнее исправление: AVL2 (всего исправлений: 1)
Ответ на: комментарий от AVL2

просто недоуменно замечаю, как глупо все это педалируется.

Это же Хабр. Там общаются «самые умные люди из Интернета». Они все планы коварных крававых чигиздов знают наперёд.

emorozov
()

Сейчас в nDPI можно проверить sha1 первого (серверного) сертификата. Остальные пропускаются без анализа.

Доделать проверку sha1 для всех сертификатов в цепочке достаточно тривиально.

Вопрос закрыт.

vel ★★★★★
() автор топика
Ответ на: комментарий от alex1101

Я тебя умоляю. Я же вижу, что на сертификате написано. А если вместо другого сайта мне зонд АНБ - я это увижу.

Но когда ВСЕ сайты предлагают через непонятный браузер с «гарантированным» сертификатом - то типа это то же самое? Ага. КОнечно.

Shadow ★★★★★
()
Ответ на: комментарий от Shadow

Но это будут последние дни сертификата, и количество жертв mitm будет сильно меньше.

Почему? Кто уничтожит сертификат? Как? В чем разница?

AVL2 ★★★★★
()
Ответ на: комментарий от Shadow

Но когда ВСЕ сайты предлагают через непонятный браузер с «гарантированным» сертификатом - то типа это то же самое?

Что там непонятного в этих браузерах? Обычный хромиум, с тем же списком доверенных CA. В чем разница с любым хромом, edge, файрфоксом или браве?

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Моя точка зрения

В массовом сознании введение чебурнета это одномоментное событие. В реальности это процесс. Он стартовал «не вчера». Будет продолжаться и после того часа X, который массы признают как дату введения «в эксплуатацию» чебурнета.

master_0K
()
Ответ на: комментарий от Shadow

Ага, и все люди ведут себя так же, именно так реальность устроена)

alex1101
()
Ответ на: комментарий от master_0K

В массовом хомячином сознании чебурнет должен был включиться по рубильнику в Кремле, а в реале его начали организовывать светлоликие эльфы, которые за свободу, равноправие и всё такое.

alex1101
()
Ответ на: комментарий от alex1101

Это процесс. Танцуют все участвуют. «Старина Ньютон снова актуален*». Кто больше, кто меньше – я не берусь оценивать. Возможно, самые значимые события в этом процессе хомячками (нами) за таковые не воспринимаются.

master_0K
()
Ответ на: комментарий от master_0K

Возможно, самые значимые события в этом процессе хомячками (нами) за таковые не воспринимаются.

Это 100%

alex1101
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.