История изменений
Исправление ivlad, (текущая версия) :
И так же, получается, что трафик защищен только от других обычных пользователей сети, а те, кто эти сертификаты создавали и те, кому они передавали ключи сертификатов могут спокойно читать его и абсолютной защищенности трафика нет?
Для того, чтобы защититься от злонамеренного удостоверяющего центра (это как раз те люди, «кто эти сертификаты создавали»), существует механизм Certificate Transparency (RFC 6962). Каждый удостоверяющий центр должен складывать хеши всех выпущенных им сертификатов в специальные публичные логи, устроенные способом, похожим на блокчейн: туда можно дописывать, но вытащить потом из середины что-то проблематично.
Вот, например, сертификат Гугла, как его вижу я (другие могут видеть другой, это нормально): https://crt.sh/?id=7644589279.
Он есть в четырёх публичных логах: Cloudflare, сам Google, LE, Sectigo. Если какой-то публичный удостоверяющий центр выпустит сертификат, которого не будет в публичных логах, это может оказаться концом этого удостоверяющего центра. Наличие сертификатов в логах браузеры Chrome и Safari проверяют автоматически. Там есть всякие нюансы, на полиси можно посмотреть тут https://chromium.googlesource.com/chromium/src/+/master/net/docs/certificate-transparency.md и тут https://support.apple.com/en-gb/HT205280.
Вот, например, сертификат LOR: https://crt.sh/?id=7678321042. Он всего в двух логах, оба гугловых. Но он новый и короткоживущий, для них есть послабления в полиси.
Needless to say, никакого certificate transparency у сертификата Минсвязи нет.
Исходная версия ivlad, :
И так же, получается, что трафик защищен только от других обычных пользователей сети, а те, кто эти сертификаты создавали и те, кому они передавали ключи сертификатов могут спокойно читать его и абсолютной защищенности трафика нет?
Для того, чтобы защититься от злонамеренного удостоверяющего центра (это как раз те люди, «кто эти сертификаты создавали»), существует механизм Certificate Transparency (RFC 6962). Каждый удостоверяющий центр должен складывать хеши всех выпущенных им сертификатов в специальные публичные логи, устроенные способом, похожим на блокчейн: туда можно дописывать, но вытащить потом из середины что-то проблематично.
Вот, например, сертификат Гугла, как его вижу я (другие могут видеть другой, это нормально): https://crt.sh/?id=7644589279.
Он есть в четырёх публичных логах: Cloudflare, сам Google, LE, Sectigo. Если какой-то публичный удостоверяющий центр выпустит сертификат, которого не будет в публичных логах, это может оказаться концом этого удостоверяющего центра. Наличие сертификатов в логах браузеры Chrome и Safari проверяют автоматически. Там есть всякие нюансы, на полиси можно посмотреть тут https://chromium.googlesource.com/chromium/src/+/master/net/docs/certificate-transparency.md и тут https://support.apple.com/en-gb/HT205280.
Needless to say, никакого certificate transparency у сертификата Минсвязи нет.