«А зачем сайт в интернете выставлять через де-факто несвободные протоколы вроде HTTPS» - автор совсем упоролся?

Не представляю как он может это сделать, если сертификат прикрыть, то такой центр уже давно послали бы.

А, ну, т.е., автор прав, и возможность такая есть? Т.е. таки ж дядя может прикрыть мой конкретный сайт?

Grzegorz

или разумные вещи говорит

автор поста совсем фантазёр

анон говорит про корневые сертификаты но они в самом браузере хранятся

анон говорит про корневые сертификаты но они в самом браузере хранятся

А, ну, т.е. если браузер не обновлять - то автор не прав, да? Т.е. если я сейчас захожу на свой https сайт - то, не обновляя браузер, буду заходить всегда?

Возможность есть, но каких-то случаев отзыва сертификатов за то что мордой не вышел не припомню.

А так и http без s не свободен, про него три браузера всё более и более страшные плашки показывают, так что фактически весь http скоро прикроют для большого процента пользователей.

Возможность есть, но каких-то случаев отзыва сертификатов за то что мордой не вышел не припомню.

А, ну, тогда автор прав. Мир всё дебильнее и дебильнее, полагаю, скоро мы и до этого доживём.

И без хттпс надо скоро будет ходить на поклон к ркн. Покайтесь и обратитесь в сторону одноранговой п2п, грешники!

А, ну, тогда автор прав

После такого странного вывода, соглашусь

Мир всё дебильнее и дебильнее

Выдавателей сертификатов не один и не два, и отзыв сертификата это… такое себе для них.

Чтобы отключить неугодный сайт, гораздо проще воспользоваться национальными файрволами, ну и писать абузы хостингу, платёжным провайдерам и прочим сервисам, которыми пользуется автор сайта.

Возможность есть, но каких-то случаев отзыва сертификатов за то что мордой не вышел не припомню.

Емнип, было. Не могу вспомнить, но было.

Выдавателей сертификатов не один и не два, и отзыв сертификата это… такое себе для них.

Американцы введут санкции на конкретные сайты - например, minenergo.gov.ru, и это станет не «такое себе для них», а единственно верное решение

Кстати, есть национальные выдаватели сертификатов?

Чтобы отключить неугодный сайт, гораздо проще воспользоваться национальными файрволами, ну и писать абузы хостингу, платёжным провайдерам и прочим сервисам, которыми пользуется автор сайта.

И это тоже будет сделано, в случае санкций.

Если уж https://www.president.ir открывается по https, то не думаю что какой-то там миненерге что-то грозит.

Кстати, а почему РКН ещё не додумался абузу выкатить мозилле и гуглу - мол, а почему ваши браузеры в принципе отображают все сайты? Срочно организовать чёрный список!

Короче я тут погуглил, в общем смотри. Есть механизм отзыва SSL сертификатов, он нужен на случай если у тебя украдут приватный ключ от твоего сертификата выданного на 3 года, ты сможешь его отозвать.

Но в конечном итоге доверять или нет сертификату решает браузер и все зависит от того как браузер получает список отозванных сертификатов, я вот такую инфу нагуглил https://www.ssl.com/ru/%D0%B1%D0%BB%D0%BE%D0%B3%D0%B8/%D0%BA%D0%B0%D0%BA-%D0%B1%D1%80%D0%B0%D1%83%D0%B7%D0%B5%D1%80%D1%8B-%D0%BE%D0%B1%D1%80%D0%B0%D0%B1%D0%B0%D1%82%D1%8B%D0%B2%D0%B0%D1%8E%D1%82-%D0%BE%D1%82%D0%BE%D0%B7%D0%B2%D0%B0%D0%BD%D0%BD%D1%8B%D0%B5-%D1%81%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%82%D1%8B-ssl-tls/

Chrome опирается на CRLSets для проверки отзыва. CRLSet - это просто список отозванных сертификатов, который передается в браузер в качестве обновления программного обеспечения.

Есть и другие способы получения списка отозванных сертификатов.

Что в этом случае происходит? Клиенту сообщают что с сертификатом сайта проблемы.

Что с этим делать? Получить новый сертификат, можно у другого CA

Еще бывает что браузеры сами отключают поддержку корневых сертификатов, был какой то скандал с китайскими CA когда гугл обвинял их в том что они выдают свои сертификаты на домен google.com и гугл хром начал считать невалидными все серты выданные этим CA.

В общем там все могут наговнять в рамках своих возможностей но разработчики браузеров могут наговнять больше всех.

Что в общем то и так очевидно но почему то ни кто не паникует по этому поводу, а докопались до CA.

Да мне кажется нет таких браузеров, которые стучатся в ca в реал тайме, да даже в фоне как-то, смысла в этом вообще нет, следовательно прикрыть сайт с помощью отзыва сертификата - плохая идея

Ага, т.е. механизм есть, в хроме и firefox он работает. Возможно, в других браузерах всё будет открываться, несмотря на отзыв сертификата.

Ага, т.е. механизм есть, в хроме и firefox он работает. Возможно, в других браузерах всё будет открываться, несмотря на отзыв сертификата.

Ну вот в хроме он с обновлениями прилетает.

Короче анон не то что бы придумывает, просто паникер.

да даже в фоне как-то, смысла в этом вообще нет, следовательно прикрыть сайт с помощью отзыва сертификата - плохая идея

Почему же? Для владельца сайта это будет нежданчик. Работало-работало, и тут всё, после обновления браузера перестало.

Короче анон не то что бы придумывает, просто паникер.

С одной стороны, да, а с другой - когда-то и цензура в интернете казалась технически абсолютно неосуществимой штукой. С его децентрализацией-то.

в хроме и firefox он работает. Возможно, в других браузерах …

Так нет больше других браузеров. Гугль контролирует и львиную долю сертификатов и львиную долю браузеров. А глядя на тенденции последнего времени — неотключаемый чорный список сайтов это вопрос времени.

Но это имело бы смысл, если один браузер занимал хотя бы 50-60% рынка и у него были бы автоматические обновления

Но это имело бы смысл, если один браузер занимал хотя бы 50-60% рынка и у него были бы автоматические обновления

Пишут, занимает:

Так нет больше других браузеров. Гугль контролирует и львиную долю сертификатов и львиную долю браузеров.

С одной стороны, да, а с другой - когда-то и цензура в интернете казалась технически абсолютно неосуществимой штукой. С его децентрализацией-то.

Просто это похоже на то как некоторые выражают беспокойство по поводу микрофона в яндекс колонках но при этом носят в кармане телефон с микрофоном и камерой. Влияние гугла и мозилы сильно превосходит влияние CA. Столлман был прав и будущее за опенсурсом.

Что ж, согласен. Всегда есть IE, который уже не обновляется, а в https умеет.

Дядя легко может прикрыть доступ к почти любому проекту на любом протоколе. То что всякие там tor и тем более telegram работают лишь значит, что в основных цивилизованных странах за них не принялись. Как примутся, так сначала сделают невозможным дальнейшую разработку(потому что люди же деньги получают с каких-то счетов), а потом и переблокируют на транспортном уровне.

Свободным может быть только тот, против кого не принимают никаких мер, потому что боятся. В современном мире для этого нужен не хороший свободный протокол, а хотя бы парочка ядерных бомб, спрятанных под какими-нибудь крупными городами так, чтобы все знали что бомбы есть, но где и в каком городе - не знали.

Зато kremlin.ru без этого s

Силкроуд 3 года смог проработать.

спрятанных под какими-нибудь крупными городами так, чтобы все знали что бомбы есть

Это будет сложно сделать, если парочку бомб не взорвать - в качестве доказательства. А если взорвать - таких товарищей вычислят. Положат все силы государства, но вычислят.

сертификата выданного на 3 года

И через три года сертификат протухает, так?

И через три года сертификат протухает, так?

да, для этого его и выдают на 1-3 года

Зато kremlin.ru без этого s

он там не сильно то и нужен, только как обязаловка со стороны браузеров.

Это понятно, но я про то, что беззубые никак не смогут обеспечить себе свободу. Такое в природе не бывает. Нужны либо зубы, либо рога, либо бомбы, либо бомбы со средствами доставки и тд и тп.

Тем смешнее всегда слушать рассуждения хлюпиков, толстяков и просто обычных сторонников «нет войне» о свободе. Какими средствами они будут достигать свободного окружения для себя, убеждением?:)

Дядя может, но дядей на рынке сотни и каждый дорожит своей репутацией, т.к. платишь ты им не за сертификат а за репутацию.

А тут я с вами соглашусь…

Дядя может, но дядей на рынке сотни и каждый дорожит своей репутацией, т.к. платишь ты им не за сертификат а за репутацию.

Если к дядям придёт американский РКН, они радостно променяют репутацию на законопослушность.

Ну дык это выходит проблема реализаций браузеров не так ли? Кстати под оффтопиком хромой таки заглядывает и в хранилище доверенных сертификатов венды как я понял. То же самое - под андроед.

И то просто потому, что в нём были заинтересованны. Крупные производства и поставки наркотиков невозможны без замешанных в этом гос служащих и прежде всего силового сектора. Если откуда-то и куда-то поставляются наркотики, то как производящая так и принимающая сторона в этом заинтересованна, как бы там политики не чесали народу. Как в том же развитие биткоин технологий сейчас заинтересованны крупнейшие банки. Им нужно, чтобы технологию доработали до пригодности коммерческого использования. Стартаперы думают, что это их звёздный час. На самом же деле всё просто - так крупные банки и инвесторы экономят, разрабатывая новую процессинговую систему за относительно скромные бюджеты.

Т.е., если за сайтом не следить, то через 1-3 года зайти на него будет по крайней мере сложнее.

Если американский РКН захочет заблокировать твой сает, он и так его заблокирует, ему проще придти к провайдерам.

Если американский РКН захочет заблокировать твой сает, он и так его заблокирует, ему проще придти к провайдерам.

А если американский РКН не поленится, и зайдёт сразу ко всем?

Да. Автор не отличает TLS от PKI.

Тогда это создаст прецедент для появления неамериканских удостоверяющих центров думаю. Вообще, наверняка они есть, с локальной криптой - так точно.

Ну дык это выходит проблема реализаций браузеров не так ли?

А какая вообще проблема? То что CA может отозвать сертификат и у пользователей сайта появится предупреждение? Трафик упадет пока новый серт не сделают?

Тебе не кажется что репутация CA стоит дороже остановки работы твоего сайта на пару дней? Но даже если это и не так то ты можешь сам стать CA как это сделали гугл и вебмани….

То, что новый релиз хрома может отозвать корневые сертификаты для 99% хомячков :)

Тебе не кажется что репутация CA стоит дороже остановки работы твоего сайта на пару дней?

Кажется но в этой схеме есть ещё браузеры и операционки.

«Система считается защищенной если стоимость взлома превышает пользу от взлома»

Вот тут то же самое, есть стоимость отключения твоего сайта на пару дней, а есть стоимость репутации CA или браузеров.

Когда твои сайты будут такими же ценными как сайты гугла начинай пилить свой браузер и регистрируй собственный CA.

Нет. У сертификата есть дата когда он всё.

Ок. Т.е. не обновляя браузер, я смогу заходить на сайт примерно 1-3 года?