Больше центров сертификации: прекрасных и честных

появится возможность расшифровать трафик

Каким образом?

Не угадал автора по заголовку... :(

Скоро вам расскажут какие браузеры ставить нужно.

Нет, просто придется пердолится руками (для вантузов сделают установщик) с установкой этих сертификатов чтоб ходить на теже госуслуги и т.п. «электронное государство».

Ага, могут выпустить сертификат левый. Но они смогут перехватить трафик только со своими сайтами, а это не имеет смысла — эти сайты у них и так под контролем.

Короче, белки_истерички.жпг

Ну а там понеслась.

Там оно и закончится. Ни FF ни Chromium ничего подобного в свои продукты внедрять не станет, если будет хоть небольшой намёк на компрометацию УЦ.

M$ с их Edge'ом возможно прогнутся, сделают российский билд венды. По типу версии N для ЕС. Но вот прогнётся-ли гугол со своим хромом, или мозилла - это очень большой вопрос. Вангую, что УЦ попадёт в блэклист в этих браузерах сразу и навсегда.

А дальше произойдёт дальнейшая деградация и окукливание интернет отрасли: свои браузеры, скорее всего только под венду или только бинарные сборки, свои несовместимые ни с чем сертификаты (то есть из-за рубежа российские сайты и сервисы работать не будут для НОРМАЛЬНЫХ браузеров) - и как следствие отсутствие каких-либо перспектив на международную конкуренцию отечественных сервисов и продуктов.

Ну а потом лет так ещё через 20 опять будем сокрушаться по поводу того что страна в глубоком технологическом отставании находится. А как-бы тут надо понимать, что в будущем мир ждёт появление сильного ИИ, и возможно, даже, сингулярности. И кто первый эти технологии получит и использует в полной мере, тот и будет рулить миром.

Так что, не волнуйтесь, весь этот бред рано или поздно закончится, навсегда и бесповоротно.

придется пердолится руками (для вантузов сделают установщик) с установкой этих сертификатов чтоб ходить на теже госуслуги и т.п. «электронное государство».

Недоадмины изнасиловали всех журналистов, а те и рады «раскачивать лодку». Сталина на вас нет!

Эмм...

Ну не будет включен наш гос CA в браузеры. А чтоб к врачу звписаться надо доверять. Или спец.сборка лисы(лисисофт с гост-шифрованием, привет!)/я.браузер/мылосрубраузер, или тупо руками добавил, как щас ты добавляешь самоподписаный сертификат.

Или ты думаешь на уровне исходников заблочат как сумантек? Да кому это надо.

На самом деле, идея сделать свой УЦ по мировым стандартам - очень здравая. Тут ведь всё держится исключительно на доверии, и особых альтернатив западным сертификатам сейчас и правда нет.

Этот бизнес вполне себе мог-бы выстрелить на западе, не хуже продуктов касперского, например.

Проблема-то в том, что все мы знаем как у нас будет всё это делаться на самом деле. И что внедрятся и работать это будет не на доверии а под принуждением.

Да ради бога, пусть хоть гостом эти сертификаты обмажут. Это сродни корпоративному ЦА, но только в масштабах страны.

Или ты думаешь на уровне исходников заблочат как сумантек?

Я практически уверен что будет именно как с сумантеком. Потому что это, во-первых, отличная тема для пиара, во-вторых, про доверие я выше написал - такой УЦ не может быть хоть сколько-нибудь доверенным в текущих реалиях.

Но если он не будет выпускать сертификаты свободно, а только по гос.аппарату, то ваще кому какое дело до них? Уволившийся админ поднимит фейк сайт гос.услуг предварительно сперев сертификаты/ключи? Так это и сейчас возможно.

Ага, могут выпустить сертификат левый. Но они смогут перехватить трафик только со своими сайтами, а это не имеет смысла — эти сайты у них и так под контролем.

А как насчёт MITM на западные сайты, у которых сертификат будет свой ? Если там нет certificate pinning - то ведь запросто.

Это скорее попытка обезапасить себя от атаки через заграничный CA. Идея действительно здравая. Ну или завтра мы посремся с сша эпично, они введут санкции и существующие CA быдут вынуждены если не отозвать все сертификаты для наших гос.контор, так минимум новых не выдадут. Соломки подстилают.

Именно вот с этими тезисами без учёта контекста происходящих событий - я согласен.

Но вот в благие намерения государства верится с трудом - я прожил в этой стране слишком много времени что-бы перестать верить всем этим красивым сказкам: всё до чего дотягивается государство со своим регулированием и контролем превращается в говно.

Не будет из этой идеи ничего хорошего, вспомните ещё мои слова. Будет как в Китае - баны ИРЛ за «неправильные» комментарии, рейтинги благонадёжности и надзор с тотальной бюрократией (возможно электронной).

Затем планируется подключить «сайты, где есть персональные данные, финансовые транзакции и юридическая информация»

Только если надеятся, что сайты с такими сертификатами не пройдут условную PCI DSS, или VISA, MasterCard и с такими работать не будет.
Фактически если такой rogue (не знаю каким русским словом лучше заменить) сертификат появится на сайтах яндекса, QIWI, WM, и на сайтах крупных банков. То это будет означать что очень большое количество трафика станет доступно для дальнейшего анализа, ну и своего рода конец коммерции в рунете.

Не будет из этой идеи ничего хорошего, вспомните ещё мои слова.

«Хотели как лучше, получилось как всегда»

ну с этим не поспоришь, полностью согласен.

Если будет rogue государственный CA, то они могут выпустить левый сертификат для любого сайта, у которого нет HPKP.

Ни FF ни Chromium ничего подобного в свои продукты внедрять не станет,

Поэтому надо форсить Спутник, Амиго и прочие национальные Яндекс-бровзиры.

Да, ты прав, я это совсем упустил. Это уже было в Казахстане, только там совсем дубово хотели, вот и не взлетело.

Но вообще наши молодцы: показывают всю уязвимость современной инфраструктуры сертификации. Помнишь я говорил в предыдущем обсуждении что надо не укорачивать срок действия сертификата (т.к. это костыль, а не решение проблем), а делать онлайн-валидацию подлинности ресурса в реальном времени?

Помнишь я говорил в предыдущем обсуждении что надо не укорачивать срок действия сертификата (т.к. это костыль, а не решение проблем), а делать онлайн-валидацию подлинности ресурса в реальном времени?

Конечно, помню, и я с этим согласен.

Вот интересно когда что-то будет толковое в этом направлении. Let's Encrypt пока со своим протоколом очень далеки от этого (и когда кто-нибудь еще сделает также или подобно?). А сегодня даже проверка отзыва нормально не работает (если бы работала, «суточные» сертификаты имели бы больше смысла).

А сегодня даже проверка отзыва нормально не работает

Почему?

Но они смогут перехватить трафик только со своими сайтами

Зачем им перехватывать существующую сессию? Они смогут терминировать сессию где им удобно, а тебе отдавать зашифрованную доверенным госсертификатом.

Браузер не достучавшись до куда там он идет проверять, молча принимает сертификат, если он с виду валидный (а может быть скомпрометированый и отозваный. Гипотетически атакающий может дропнуть запрос проверки «не отозван ли сертификат», раз идет атака). Хз почему, видимо боятся множества ложных срабатываний.

Да, я затупил, уже разобрались.

Браузер не достучавшись до куда там он идет проверять, молча принимает сертификат, если он с виду валидный

Серьёзно? Я думал, у CRL есть срок действия, и если браузер не может скачать актуальный CRL, он говорит «всё плохо»...

Это уже было в Казахстане, только там совсем дубово хотели, вот и не взлетело.

Это было в Китае. Там взлетело, и успешно летало — Мозиллы до Эпла, и от Дебиана до Гугля — все китайский корневой сертификат поставляли, пока там не замахнулись на святое^W^W на сам Гугль. Только тогда все внезапно прозрели.

Насколько я понял, когда интересовался — да, это было вот буквально месяц назад, т.е. инфа должна быть свежая. Если я что-то не так понял и дела обстоят лучше — буду только рад если ошибаюсь.

Рынок несоизмерим — теперь там вичаты и прочие байду разные и бабос достался самим китаезам. Может быть это было не только госрегулирование, но и выдавливание конкурентов с рынка.

Чувак, ты путаешь сертификаты.

Начнется все с Амиго, Яндрекс браузера и браузера Спутник...

Начнется все с Chromium, с Chromium и с Chromium. Починил.

Очень быстро умельцы запилят патчик или расширение, блокирующее госсертификат для зон кроме «ru». Криптоанархисты могут спась спокойно, а остальным до лампочки.

Каким образом?

Выпустят сертификат на *, отдадут его гос. органам, а те будут делать MiTM.

Эх, а я-то думал там инновационные нанотехнологии в криптоанализе.

Не будет из этой идеи ничего хорошего, вспомните ещё мои слова. Будет как в Китае - баны ИРЛ за «неправильные» комментарии, рейтинги благонадёжности и надзор с тотальной бюрократией (возможно электронной).

Ну, тогда появится «новый» вид бизнеса для хомячков:" Мы прокачаем ваш рейтинг благонадёжности до 9К, обращайтесь на сайт anylvl.com".

√ Вот когда станут обращать внимание на айти, тогда и поговорим
√ Вот когда будут сажать за пиратство, тогда и поговорим
√ Вот когда начнут блокировать сайты, тогда и поговорим
√ Вот когда начнут прикрывать это защитой детей, тогда и поговорим
√ Вот когда начнут делать это массово, тогда и поговорим
√ Вот когда обяжут хранить все данные о гражданах РФ на территории России, тогда и поговорим
√ Вот когда обяжут мессенджеры выдавать переписку, тогда и поговорим
√ Вот когда запретят анонимность в интернете, тогда и поговорим
==Вы находитесь здесь==
* Вот когда запретят шифрование в интернете, тогда и поговорим
* Вот когда введут белые списки, тогда и поговорим
* Вот когда заблокируют заграничный интернет, тогда и поговорим
* Вот когда национализируют все айти-компании, тогда и поговорим
* Вот когда введут интернет по талонам, тогда и поговорим
* Вот когда настанет СССР 2.0 (или Северная Корея, кому что больше не нравится), тогда и поговорим

* Вот когда введут белые списки, тогда и поговорим

Какбе уже

Их нет даже в Китае, да и если введут, то охуеют от просьб добавлять сайтики свечных заводиков, ларьков и прочих автомастерских.

Ну или завтра мы посремся с сша эпично, они введут санкции и существующие CA быдут вынуждены если не отозвать все сертификаты для наших гос.контор, так минимум новых не выдадут. Соломки подстилают.

Допустим отзовут, что страшного случится, кроме того, что браузеры ругнутся? Свои УЦ кстати и так есть и не один, используются в частности для ЕГАИС и еще для чего-то. Зачем нужно еще что-то, да к тому же с намеком на обязательность

Отзовут и в коде забанят так, что исключение не кинешь. Придется амигу юзать с троянами. :D

А вот правда, почему бы не делать корневые сертификаты на доменную зону, как wildcard?

трафик для яровой хранить должны провайдеры. соответственно, они будут устраивать mitm

Белый список - список того что ни в коем случае нельзя блокировать. В таком виде уже есть.

ЗЫ кто на аватарке?

Я хз. А это скорее не белый список, а античёрный.

А это скорее не белый список, а античёрный

Тут, наверное, сказывается недостаток терминологии... Интересно, как будет звучать определение антибелого списка?

именно. и самое главное, что у них быстро скоммуниздят эти сертификаты. потому что госуслуги - рассадник троянов и всякой пакости и они не лечатся.

В антибелом списке все что не в черном. Т.е. оно не в белом списке и его потенциально можно блокирнуть по запросу любой блондинки с айфончиком или пузатика не понимающего в IT.

Кажется чёрный список подходит под определение антибелого

Будет как в Китае - баны ИРЛ за «неправильные» комментарии

Ты про Россию? Давно есть уже такое :)