LINUX.ORG.RU

Больше центров сертификации: прекрасных и честных

 , , ,


0

2

Не понимаю почему еще никто сюда не притащил это.
Немного для Ъ:
В общем началась реализация плана создания российского УЦ. А то как же нам на Госуслуги ходить и прочее? Начало вроде логично и ничего так себе. Большой стране свой УЦ для своих нужд как бэ. Однако,

некоторые независимые эксперты видят ситуацию с точностью наоборот. Именно после внедрения российских сертификатов у государственных органов появится возможность расшифровать трафик, в соответствии с законом Яровой. С иностранными SSL-сертификатами госорганы не могут получить ключи шифрования, а это неприемлемо. Тех, кто занимается прослушкой, не может не удручать тот факт, что в российских доменных зонах количество сайтов, использующих SSL-сертификаты, быстро растёт. В июле 2015 года в зоне .ru таких ресурсов было 109 тыс., в июле 2016 года — 189 тыс., а в июле 2017 года — 531 тыс.

Ну и как бы все поняли да, что корневой сертификат будет внедрятся в браузеры методом нагретого паяльника. Начнется все с Амиго, Яндрекс браузера и браузера Спутник... Ну а там понеслась. Некоторые считают что дойдет до законодательного регулирования. Скоро вам расскажут какие браузеры ставить нужно.

★★★★

появится возможность расшифровать трафик

Каким образом?

Deleted ()

Не угадал автора по заголовку... :(

Скоро вам расскажут какие браузеры ставить нужно.

Нет, просто придется пердолится руками (для вантузов сделают установщик) с установкой этих сертификатов чтоб ходить на теже госуслуги и т.п. «электронное государство».

mandala ★★★★ ()
Ответ на: комментарий от Deleted

Ага, могут выпустить сертификат левый. Но они смогут перехватить трафик только со своими сайтами, а это не имеет смысла — эти сайты у них и так под контролем.

Короче, белки_истерички.жпг

mandala ★★★★ ()

Ну а там понеслась.

Там оно и закончится. Ни FF ни Chromium ничего подобного в свои продукты внедрять не станет, если будет хоть небольшой намёк на компрометацию УЦ.

M$ с их Edge'ом возможно прогнутся, сделают российский билд венды. По типу версии N для ЕС. Но вот прогнётся-ли гугол со своим хромом, или мозилла - это очень большой вопрос. Вангую, что УЦ попадёт в блэклист в этих браузерах сразу и навсегда.

А дальше произойдёт дальнейшая деградация и окукливание интернет отрасли: свои браузеры, скорее всего только под венду или только бинарные сборки, свои несовместимые ни с чем сертификаты (то есть из-за рубежа российские сайты и сервисы работать не будут для НОРМАЛЬНЫХ браузеров) - и как следствие отсутствие каких-либо перспектив на международную конкуренцию отечественных сервисов и продуктов.

Ну а потом лет так ещё через 20 опять будем сокрушаться по поводу того что страна в глубоком технологическом отставании находится. А как-бы тут надо понимать, что в будущем мир ждёт появление сильного ИИ, и возможно, даже, сингулярности. И кто первый эти технологии получит и использует в полной мере, тот и будет рулить миром.

Так что, не волнуйтесь, весь этот бред рано или поздно закончится, навсегда и бесповоротно.

DawnCaster ()
Ответ на: комментарий от DawnCaster

придется пердолится руками (для вантузов сделают установщик) с установкой этих сертификатов чтоб ходить на теже госуслуги и т.п. «электронное государство».

Недоадмины изнасиловали всех журналистов, а те и рады «раскачивать лодку». Сталина на вас нет!

mandala ★★★★ ()
Ответ на: комментарий от DawnCaster

Ну не будет включен наш гос CA в браузеры. А чтоб к врачу звписаться надо доверять. Или спец.сборка лисы(лисисофт с гост-шифрованием, привет!)/я.браузер/мылосрубраузер, или тупо руками добавил, как щас ты добавляешь самоподписаный сертификат.

Или ты думаешь на уровне исходников заблочат как сумантек? Да кому это надо.

mandala ★★★★ ()
Последнее исправление: mandala (всего исправлений: 2)
Ответ на: комментарий от mandala

На самом деле, идея сделать свой УЦ по мировым стандартам - очень здравая. Тут ведь всё держится исключительно на доверии, и особых альтернатив западным сертификатам сейчас и правда нет.

Этот бизнес вполне себе мог-бы выстрелить на западе, не хуже продуктов касперского, например.

Проблема-то в том, что все мы знаем как у нас будет всё это делаться на самом деле. И что внедрятся и работать это будет не на доверии а под принуждением.

DawnCaster ()
Ответ на: комментарий от DawnCaster

Да ради бога, пусть хоть гостом эти сертификаты обмажут. Это сродни корпоративному ЦА, но только в масштабах страны.

mandala ★★★★ ()
Ответ на: комментарий от mandala

Или ты думаешь на уровне исходников заблочат как сумантек?

Я практически уверен что будет именно как с сумантеком. Потому что это, во-первых, отличная тема для пиара, во-вторых, про доверие я выше написал - такой УЦ не может быть хоть сколько-нибудь доверенным в текущих реалиях.

DawnCaster ()
Ответ на: комментарий от DawnCaster

Но если он не будет выпускать сертификаты свободно, а только по гос.аппарату, то ваще кому какое дело до них? Уволившийся админ поднимит фейк сайт гос.услуг предварительно сперев сертификаты/ключи? Так это и сейчас возможно.

mandala ★★★★ ()
Ответ на: комментарий от mandala

Ага, могут выпустить сертификат левый. Но они смогут перехватить трафик только со своими сайтами, а это не имеет смысла — эти сайты у них и так под контролем.

А как насчёт MITM на западные сайты, у которых сертификат будет свой ? Если там нет certificate pinning - то ведь запросто.

DawnCaster ()
Ответ на: комментарий от DawnCaster

Это скорее попытка обезапасить себя от атаки через заграничный CA. Идея действительно здравая. Ну или завтра мы посремся с сша эпично, они введут санкции и существующие CA быдут вынуждены если не отозвать все сертификаты для наших гос.контор, так минимум новых не выдадут. Соломки подстилают.

mandala ★★★★ ()
Ответ на: комментарий от mandala

Именно вот с этими тезисами без учёта контекста происходящих событий - я согласен.

Но вот в благие намерения государства верится с трудом - я прожил в этой стране слишком много времени что-бы перестать верить всем этим красивым сказкам: всё до чего дотягивается государство со своим регулированием и контролем превращается в говно.

Не будет из этой идеи ничего хорошего, вспомните ещё мои слова. Будет как в Китае - баны ИРЛ за «неправильные» комментарии, рейтинги благонадёжности и надзор с тотальной бюрократией (возможно электронной).

DawnCaster ()

Затем планируется подключить «сайты, где есть персональные данные, финансовые транзакции и юридическая информация»

Только если надеятся, что сайты с такими сертификатами не пройдут условную PCI DSS, или VISA, MasterCard и с такими работать не будет.
Фактически если такой rogue (не знаю каким русским словом лучше заменить) сертификат появится на сайтах яндекса, QIWI, WM, и на сайтах крупных банков. То это будет означать что очень большое количество трафика станет доступно для дальнейшего анализа, ну и своего рода конец коммерции в рунете.

anonymous_sama ★★★★★ ()
Ответ на: комментарий от DawnCaster

Не будет из этой идеи ничего хорошего, вспомните ещё мои слова.

«Хотели как лучше, получилось как всегда»

ну с этим не поспоришь, полностью согласен.

mandala ★★★★ ()
Ответ на: комментарий от mandala

Если будет rogue государственный CA, то они могут выпустить левый сертификат для любого сайта, у которого нет HPKP.

intelfx ★★★★★ ()
Последнее исправление: intelfx (всего исправлений: 1)
Ответ на: комментарий от DawnCaster

Ни FF ни Chromium ничего подобного в свои продукты внедрять не станет,

Поэтому надо форсить Спутник, Амиго и прочие национальные Яндекс-бровзиры.

entefeed ☆☆☆ ()
Ответ на: комментарий от intelfx

Да, ты прав, я это совсем упустил. Это уже было в Казахстане, только там совсем дубово хотели, вот и не взлетело.

Но вообще наши молодцы: показывают всю уязвимость современной инфраструктуры сертификации. Помнишь я говорил в предыдущем обсуждении что надо не укорачивать срок действия сертификата (т.к. это костыль, а не решение проблем), а делать онлайн-валидацию подлинности ресурса в реальном времени?

mandala ★★★★ ()
Ответ на: комментарий от mandala

Помнишь я говорил в предыдущем обсуждении что надо не укорачивать срок действия сертификата (т.к. это костыль, а не решение проблем), а делать онлайн-валидацию подлинности ресурса в реальном времени?

Конечно, помню, и я с этим согласен.

intelfx ★★★★★ ()
Ответ на: комментарий от intelfx

Вот интересно когда что-то будет толковое в этом направлении. Let's Encrypt пока со своим протоколом очень далеки от этого (и когда кто-нибудь еще сделает также или подобно?). А сегодня даже проверка отзыва нормально не работает (если бы работала, «суточные» сертификаты имели бы больше смысла).

mandala ★★★★ ()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от mandala

А сегодня даже проверка отзыва нормально не работает

Почему?

intelfx ★★★★★ ()
Ответ на: комментарий от mandala

Но они смогут перехватить трафик только со своими сайтами

Зачем им перехватывать существующую сессию? Они смогут терминировать сессию где им удобно, а тебе отдавать зашифрованную доверенным госсертификатом.

aidaho ★★★★★ ()
Ответ на: комментарий от intelfx

Браузер не достучавшись до куда там он идет проверять, молча принимает сертификат, если он с виду валидный (а может быть скомпрометированый и отозваный. Гипотетически атакающий может дропнуть запрос проверки «не отозван ли сертификат», раз идет атака). Хз почему, видимо боятся множества ложных срабатываний.

mandala ★★★★ ()
Последнее исправление: mandala (всего исправлений: 2)
Ответ на: комментарий от mandala

Браузер не достучавшись до куда там он идет проверять, молча принимает сертификат, если он с виду валидный

Серьёзно? Я думал, у CRL есть срок действия, и если браузер не может скачать актуальный CRL, он говорит «всё плохо»...

intelfx ★★★★★ ()
Ответ на: комментарий от mandala

Это уже было в Казахстане, только там совсем дубово хотели, вот и не взлетело.

Это было в Китае. Там взлетело, и успешно летало — Мозиллы до Эпла, и от Дебиана до Гугля — все китайский корневой сертификат поставляли, пока там не замахнулись на святое^W^W на сам Гугль. Только тогда все внезапно прозрели.

Zmicier ★★★★★ ()
Ответ на: комментарий от intelfx

Насколько я понял, когда интересовался — да, это было вот буквально месяц назад, т.е. инфа должна быть свежая. Если я что-то не так понял и дела обстоят лучше — буду только рад если ошибаюсь.

mandala ★★★★ ()
Ответ на: комментарий от Zmicier

Рынок несоизмерим — теперь там вичаты и прочие байду разные и бабос достался самим китаезам. Может быть это было не только госрегулирование, но и выдавливание конкурентов с рынка.

mandala ★★★★ ()
Последнее исправление: mandala (всего исправлений: 1)

Чувак, ты путаешь сертификаты.

Shadow ★★★★★ ()

Начнется все с Амиго, Яндрекс браузера и браузера Спутник...

Начнется все с Chromium, с Chromium и с Chromium. Починил.

Suigintou ★★★★ ()

Очень быстро умельцы запилят патчик или расширение, блокирующее госсертификат для зон кроме «ru». Криптоанархисты могут спась спокойно, а остальным до лампочки.

dimss ★★★★★ ()
Последнее исправление: dimss (всего исправлений: 1)
Ответ на: комментарий от Deleted

Каким образом?

Выпустят сертификат на *, отдадут его гос. органам, а те будут делать MiTM.

Black_Shadow ★★★★★ ()
Ответ на: комментарий от Black_Shadow

Эх, а я-то думал там инновационные нанотехнологии в криптоанализе.

Deleted ()
Ответ на: комментарий от DawnCaster

Не будет из этой идеи ничего хорошего, вспомните ещё мои слова. Будет как в Китае - баны ИРЛ за «неправильные» комментарии, рейтинги благонадёжности и надзор с тотальной бюрократией (возможно электронной).

Ну, тогда появится «новый» вид бизнеса для хомячков:" Мы прокачаем ваш рейтинг благонадёжности до 9К, обращайтесь на сайт anylvl.com".

justAmoment ★★★★★ ()

√ Вот когда станут обращать внимание на айти, тогда и поговорим
√ Вот когда будут сажать за пиратство, тогда и поговорим
√ Вот когда начнут блокировать сайты, тогда и поговорим
√ Вот когда начнут прикрывать это защитой детей, тогда и поговорим
√ Вот когда начнут делать это массово, тогда и поговорим
√ Вот когда обяжут хранить все данные о гражданах РФ на территории России, тогда и поговорим
√ Вот когда обяжут мессенджеры выдавать переписку, тогда и поговорим
√ Вот когда запретят анонимность в интернете, тогда и поговорим
==Вы находитесь здесь==
* Вот когда запретят шифрование в интернете, тогда и поговорим
* Вот когда введут белые списки, тогда и поговорим
* Вот когда заблокируют заграничный интернет, тогда и поговорим
* Вот когда национализируют все айти-компании, тогда и поговорим
* Вот когда введут интернет по талонам, тогда и поговорим
* Вот когда настанет СССР 2.0 (или Северная Корея, кому что больше не нравится), тогда и поговорим

Promusik ★★★★ ()
Последнее исправление: Promusik (всего исправлений: 1)
Ответ на: комментарий от NextGenenration

Их нет даже в Китае, да и если введут, то охуеют от просьб добавлять сайтики свечных заводиков, ларьков и прочих автомастерских.

watashinoshi ()
Ответ на: комментарий от mandala

Ну или завтра мы посремся с сша эпично, они введут санкции и существующие CA быдут вынуждены если не отозвать все сертификаты для наших гос.контор, так минимум новых не выдадут. Соломки подстилают.

Допустим отзовут, что страшного случится, кроме того, что браузеры ругнутся? Свои УЦ кстати и так есть и не один, используются в частности для ЕГАИС и еще для чего-то. Зачем нужно еще что-то, да к тому же с намеком на обязательность

praseodim ★★★ ()
Последнее исправление: praseodim (всего исправлений: 1)
Ответ на: комментарий от praseodim

Отзовут и в коде забанят так, что исключение не кинешь. Придется амигу юзать с троянами. :D

mandala ★★★★ ()
Ответ на: комментарий от dimss

А вот правда, почему бы не делать корневые сертификаты на доменную зону, как wildcard?

TheAnonymous ★★★★★ ()
Ответ на: комментарий от mandala

трафик для яровой хранить должны провайдеры. соответственно, они будут устраивать mitm

duraki ★★★ ()
Ответ на: комментарий от watashinoshi

Белый список - список того что ни в коем случае нельзя блокировать. В таком виде уже есть.

ЗЫ кто на аватарке?

NextGenenration ★★ ()
Ответ на: комментарий от watashinoshi

А это скорее не белый список, а античёрный

Тут, наверное, сказывается недостаток терминологии... Интересно, как будет звучать определение антибелого списка?

NextGenenration ★★ ()
Ответ на: комментарий от mandala

именно. и самое главное, что у них быстро скоммуниздят эти сертификаты. потому что госуслуги - рассадник троянов и всякой пакости и они не лечатся.

Iron_Bug ★★★★ ()
Ответ на: комментарий от NextGenenration

В антибелом списке все что не в черном. Т.е. оно не в белом списке и его потенциально можно блокирнуть по запросу любой блондинки с айфончиком или пузатика не понимающего в IT.

Promusik ★★★★ ()
Последнее исправление: Promusik (всего исправлений: 1)
Ответ на: комментарий от DawnCaster

Будет как в Китае - баны ИРЛ за «неправильные» комментарии

Ты про Россию? Давно есть уже такое :)

xtraeft ★★☆☆ ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)