Почему бы, например, Yandex...

Потому что «свободный западный мир, райский сад в джунглях» не будет принимать их в браузерах, ссылаясь на прослушку, КГБ, и прочии радости великой России, так же как и сейчас не принимают наш серт для госов.

Можно как сделали с гос.сертом – пихать их самому в браузер, но тогда это не аналог Let’s Encrypt.

Вот ты вроде, Стёпа, и мент – а такие вопросы задаешь.

Потому что «свободный западный мир, райский сад в джунглях» не будет принимать их в браузерах

так похоже не будет ничего такого, я имею ввиду великий фаервол и всё такое

так похоже не будет ничего такого

Обязательно не будет!

Но потом…

UPD:

я имею ввиду великий фаервол и всё такое

А, за это не могу сказать, разницы тут нет, я думал ты про другое.

Почему бы, например Yandex…

Решил я в пятницу полазить в интернетах этих ваших с мобильного билайна, интернет у билайн как ни странно работал и все было нормально. Но в один момент будучи на m.vk.ru решил я перейти по ссылке без ‘https’ и что вы думаете - перекинуло меня на фишинговый сайт, где билайн предлагал поиграть со мной в игру.

«Не может быть, подумал я, господин ведь не может обуть, кинуть, отнять последнее. Наверное это фишинг этих из соседнего государства по завету одного сдешнего модератора», опять подумал я, и нажал пару кнопок.

«Ещё как может!» Сказал мне господин и подключил мне какую-то платную игру за 30 рублей.

«Ладно, подумал я, телефон не мой а конторский, может это один билайн шалит, попробую со своего теле2». И что вы думаете?! Теле2 тоже решил поиграть со мной в игру за те же бабки. На лицо какой-то странный сговор.

Так к чему это я: что яндекс в рф, что вконтакте - все они принадлежат одному господину, который и играет с нами в такие игры. Так зачем ему вводить какой-то Let’s Encrypt или что-то подобное: кто ему поверит, кто будет этим пользоваться зная, что эти господа с лёгкостью вмешиваются в трафик, как он сам будет обувать граждан неужто подменять сертификаты? Не верю — господин на это неспособен!!!

ну если так, то кидает тебя великодушно сам господин, а так будет любой холоп

и явно не на 30 рублей

Кто ему будет доверять?

МСВС и яндекс браузер

Не может быть, подумал я, господин ведь не может обуть, кинуть, отнять последнее.

Ты как вчера родился, Опсосы с самого своего появления были конторами мошенников, которые при любом удобном и неудобном случае прогреют тебя на шекели.

ну если так, то кидает тебя великодушно сам господин, а так будет любой холоп

и явно не на 30 рублей

Да я уже понял, что в нашем интернете лучше без https по ссылкам не переходить и отечественными сертификатами не пользоваться. Во избежания попадания на деньги.

МСВС

Доверять коммерческой компании (которая еще и славится утечками данных), пусть даже и с бутылкой в технологическом отверстии?

яндекс браузер

Этим кто-то пользуется?

корочя мысль такая, пусть сделают, а там видно будет, гугль тоже кому надо рута давно дал

корочя мысль такая, пусть сделают

Это бессмысленно. У госконтор и приближенных нет проблем с деньгами, чтобы пользоваться бесплатными сертификатами.

А обычный Васян, которому надо поднять vps_очку никогда не будет доверять сертификату Яндекса.

гугль тоже кому надо рута давно дал

Даже не сомневаюсь, но та бутылка очень далеко.

https://www.gosuslugi.ru/landing/tls

«Аналог» выглядит вот так. И если это уже делает Минцифры, то другим вряд ли разрешат.

Разрешение не требуется. Ты можешь хоть сам публичное CA поднять и выдавать всем сертификаты, вопрос только в том чтобы с браузерами договориться чтоб они твой CA считали настоящим.

Яндекс сам с собой очевидно договориться сможет (в свой браузер), а вот с остальными проблема, но минцифры тут ни при чём.

яндекс браузер

Этим кто-то пользуется?

Пользуюсь и вполне добровольно. Даже ебилды правлю, когда они забывают обновить версию.

Единственный браузер, который на данный момент умеет ошибочную кодировку в адресной строке фиксить. Раньше лиса умела, но потом, когда они перешли на омнибар кастрированный, все расширения это делающие отвалились. Вот тогда я на яндекс и ушел.

А применяя какие логические умозаключения ты перешёл от нешифрованного интернета к отечественным сертификатам? Есть примеры?

лучше … отечественными сертификатами не пользоваться

Вы хотите сказать, что для каждого сайта нужно будет смотреть кто выдал сертификат?

Ок, они сделают. А кто корневые сертификаты от хряндекса в ff, хромога и пр. софт добавит?

ну если так, то кидает тебя великодушно сам господин, а так будет любой холоп

Нну, а так ли уж велика разница? Не нажимайте, не вводите, не отвечайте.

Этим кто-то пользуется?

Я пользуюсь, ради переводов.

А что, что-то началось? У меня вон везде LE нормально работает.

началось но не случилось

перекинуло меня на фишинговый сайт, где билайн предлагал поиграть со мной в игру.

Поиграл?

Ну как случится, так и приходите.

ну согласись, что хотя бы в порядке импортозамещения должен быть аналог сопоставимый по качеству

с автообновлением, автовыдачей и т. п.

почему это только гугль обеспокоило?

до LE 99% сайтов было на 80м порту

Ну даже без привязки к импортозамещению ты в чем-то прав, да. Только вот есть нюанс → оно должно бы быть ещё и признанным во всем мире, а не только в единственном взятом госдурастве. Иначе смысла в этом нет никакого.

когда-то можно было договориться, сейчас сложнее

Хватит давать им идеи!

Шифрование усложняет цензуру. Ещё вопросы?

А применяя какие логические умозаключения ты перешёл от нешифрованного интернета к отечественным сертификатам? Есть примеры?

Когда ютуб ещё замедлятся ещё и не планировал, а эти господа уже проводили эксперименты по подмене домена и подсовыванию левых сертификатов на ютуб. Лично я такое на мтс’е натыкался.

согласен, всё так, но в итоге имеют невозможность расшифровывать трафик вообще, вместо этого контролировали бы некоторые ресурсы

веб-браузер делает это за тебя.

Нет. Никогда нельзя было. Это очень выгодный рынок который поделен между «правильными пацанами» - ну а чего вы хотели, когда чуть ли не половина коммерсов тебе ежегодно заносит бабала за сраную цепочку байтов прикрытую хэшем. Так что этот рыночек очень быстро стал кого надо рыночком, и никого лищних им не надо.

Если бы это было возможно, то у яндекса того же или у ВК давно бы уже свои CA были.

Не уловил где там по ссылке про подсовывание левых сертификатов? Речь про заглушку «сайт заблокирован»?

Не сделать аналог Let’s Encrypt

Потому, что мировая общественность не доверит русским выпускать сертификаты, которым будут доверять западные браузеры. А сертификаты, которым не будут доверять западные браузеры, не нужны владельцам русских сайтов. По крайней мере сегодня. Если условный яндекс браузер достигнет доли рынка в условные 90%, может тогда и можно будет думать о своих независимых удостоверяющих центрах.

А всё идёт к тому, что однажды certbot отвалится по таймауту

Ну наймёшь администратора, он тебе настроит, чтобы всё работало как раньше. Это же не сложно. Я играю с русскими в онлайн-игру, где надо заходить в дискорд, который нынче в России часто блокируется. У простых заводчан не вызывает никаких существенных проблем настроить средства обхода цензуры. Почему это может вызвать проблемы у пользователя лора, для меня загадка, но, повторюсь, в крайнем случае заплатишь специалисту.

почему это только гугль обеспокоило?

Потому, что гугл владеет браузером, которым пользуются почти все люди. И имеет техническую возможность видеть весь трафик этих людей.

Потому, что гугл владеет рекламной сетью, которая установлена почти на всех сайтах. И имеет техническую возможность видеть все запросы на эти сайты.

Потому, что гугл владеет поисковиком, который является парадным входом в интернет почти для всех людей.

Т.е. для гугла шифрование между браузером и серверов не является препятствием. Запрос шифруется в хроме и/или расшифровывается на сервере гугла.

А вот для провайдеров шифрование является препятствием. Без шифрования они видят всё то же самое. Видят все запросы пользователя, видят все ответы. Видят, куда ты ходишь, могут собирать на тебя досье и продавать это досье заинтересованным лицам. Т.е. по сути имеют техническую возможность конкурировать с гуглом за счёт доступа к нешифрованному трафику.

Поэтому гугл продвинул шифрование. Оно не мешает гуглу, оно мешает потенциальным конкурентам гугла, и это всё выглядит очень пристойно, мол мы за защиту пользователя.

Шифрование усложняет цензуру. Ещё вопросы?

А с другой точки зрения шифрование увеличивает урон от цензуры.

Представь себе, что роскомнадзор решил заблокировать статью на википедии.

Через HTTP он имеет техническую возможность это делать, причём 99% пользователей этого не заметят, т.к. заблокирована будет конкретная статья.

С TLS 1.2 придётся либо перешифровывать весь трафик у всех провайдеров, исходящий с доменом википедии (требует серьёзных мощностей), либо блокировать весь домен целиком. Цензоры пошли по второму пути.

С ESNI придётся блокировать вообще все IP-адреса, замеченные в раздаче трафика от википедии. Если это будет крупный CDN, легко заблокировать половину полезного интернета.

Т.е. легко видеть, как внедрение шифрования напрямую ведёт к интернету по белым спискам, по сути своей.

Лет пятнадцать назад можно было наивно считать, что они не посмеют, что народ не позволит. Сегодня лично я думаю, что посмеют.

И если вернуться к исходной точке, вполне может случиться ситуация, когда проще сдаться и вернуть в строй HTTP. И пусть блокируют чего хотят. Всё равно чаще всего они блокируют то, что не очень жалко терять. Интернет это часть цивилизации и цензура это часть цивилизации. Свобода слова мало кому нужна, если она вообще когда-то существовала, в чём я даже не вполне уверен на сегодняшний день (хотя всё же верю в светлый град на холме, ведь если не верить в него, то жить станет совсем грустно).

В Казахстане подсовывали. Мне лично. В рамках неких «учений по информационной безопасности». На моём домашнем интернете. Подменяли сертификат на некотором проценте запросов. Это было в течение одного дня. Т.е. у них уже несколько лет назад было оборудование, которое позволяло заворачивать туда трафик и перешифровывать его на лету в масштабах многомиллионного города.

https://telecom.kz/ru/publication/172469 кажется вот новость, там и корневой сертификат скачать можно, с которым всё работало. Обратите внимание на ссылку на закон «Об утверждении Правил выдачи и применения сертификата безопасности», т.е. под это дело и юридическую базу загодя подготовили.

За Россию говорить не буду, но не удивлюсь.

Не уловил где там по ссылке про подсовывание левых сертификатов? Речь про заглушку «сайт заблокирован»?

Лично я такое на мтс’е натыкался.

Ещё разок: мне лично подсовывали.

Про Казахстан история известная и кажется это было ещё при предыдущем президенте

Что подсовывали? Где почитать подробности?

Ты можешь хоть сам публичное CA поднять и выдавать всем сертификаты, вопрос только в том чтобы с браузерами договориться чтоб они твой CA считали настоящим.

вот достаточно взглянуть на LE. С самого момента создания их корневой сертификат пропихивали сами знаете кто, а для начала он был кросс-подписаный каким-то уже существующим CA. Потом в 2021-м году этот корневой сертификат от другого CA сдох. Но по-прежнему нашлись уникумы у которых вся эта балалайка не работала. по другой ихней же ссылке они пишут вот так:

Come late 2021, our cross-signed intermediates and DST Root CA X3 itself were expiring. And while all up-to-date browsers at that time trusted our root, over a third of Android devices were still running old versions of the OS which would suddenly stop trusting websites using our certificates.

т.е. более трети ведройдров не работало с LE, когда момент просрачивания DST Root настал в 2021м.

Из миллиардов устройств обязательно найдется что-то, что не успеет даже за 10 лет начать доверять новому корневому. Ах да, они же сами об этом пишут

Ты можешь хоть сам публичное CA поднять и выдавать всем сертификаты

с точки зрения одмена локалхоста, наверно можешь. но вообще-то существует куча правил и всего остального как сертификат должен быть заполнен и все прочее. как его хранить (речь естественно про корневый) и все прочее. тебе нужно будет минимум полгода каждодневного ресерча и изучения полсотни RFC и отраслевых стандартов от CA/Browser Alliance и прочей ботвы выучить на зубок, чтобы просто сделать «невсратый корневой сертификат», с которым уже можно работать дальше. потому что даже единого мнения и набора правил для линтера сертификатов не существует.

так что нет, не можешь. разве что во влажных мечтах или для целей тестирования локалхоста.

но вообще-то существует куча правил и всего остального как сертификат должен быть заполнен и все прочее

Это всё бесполезная бюрократическая графомания. На самом деле правило только одно: если твой CA есть в популярных браузерах - он хороший. А как ты с браузерами договоришься чтобы они его себе засунули дело десятое.

Если в популярных браузерах его нет - то опять же всем пофиг как он оформлен, работать будет только у тех кто сам его себе добавит.

они же сами на своей сайтике пишут что еще не со всеми ведройдрами разобрались до конца. Хоть это и было пару лет назад. но фактом не перестает быть.

по данным 2023 года

In the last three years, the percentage of Android devices which trust our ISRG Root X1 has risen from 66% to 93.9%.

логистическую сигма-кривую напомнить?

еще ок пикча у них на сайте: https://letsencrypt.org/images/2023.07.10-android-version-distribution.png

кроме самого подпихивания файлика, есть еще куча других админстративных препонов связанных с самим файликом.

ты мыслишь как айтишник, занимающийся тупой починкой чайников с помощью молотка.

если даже гуглу понадобился почти десяток лет, чтобы пропихнуть свой новый CA, так что же им мешало на самом деле это сделать быстрее?

А как ты с браузерами договоришься чтобы они его себе засунули дело десятое.

да, сначала два кружочка (два файлика сгенерил одной командой openssl) и потом аж сразу целая сова вышла. короче, ты не в теме, лучше помолчал бы. дальше двух кружочков ты даже не изучал вопрос.

Если в популярных браузерах его нет - то опять же всем пофиг как он оформлен, работать будет только у тех кто сам его себе добавит.

ты забываешь что by design, не существует механизма отзыва корневого сертификата с точки зрения протоколов SSL/TLS

однако в самих браузерах и операционных системах (типа шиндошца и яббла) есть свои механизмы чтобы заблочить тот или иной корневой сертификат на случай БП. потому что каждый бровзер имеет свой «независимый» от майора канал получения информации о «доверенных» сертификатах.

CRLite и CRLset соотвественно для мозиллы и гугла. бровзер каждые 12 часов их чекает, тихо и незаметно. но откуда очередному 5-звездочному клоуну об этом вообще знать?

если какой-то гений попробует очень масштабно что-то внедрять, то эгойный корневой сертификат запросто сами владельцы бровзеров смогут отруЪскамнадзорить.

т.е. вполне возможна ситуация, когда кроме условного зоднобровзера со стрингами, ни в одном другом нормальном и цивильном бровзере оно не будет работать, потому что просто перестанет с очередным обновлением вот этих вот «черных списков».

«свободный западный мир, райский сад в джунглях»

а нам он зачем? Мы делаем для себя

Вот ты нафлудил тут бесполезную простыню, а суть не меняется. Если авторы браузера твой сертификат примут - он работает у их пользователей. Если не примут - работает только у тех юзеров которые сами его добавят (т.е. почти ни у кого). Всё остальное это детали твоих договорённостей с браузерами.

У любого уважающего себя инженера есть свой инструмент.

ты просто не догадываешься сколько всего надо преодолеть и сколько разных защитных механизмов существует уже работающих десятки лет, мог бы просто признаться в этом, хотя бы сам себе.

мне плевать на тебя. я написал чтобы другие почитали как оно на самом деле и не тешили себя иллюзиями.

Ты совсем тупой? Плевать какие там механизмы. «Рубильник» в руках у авторов браузера, как они захотят так и будет. Все механизмы будут работать именно на их выбор. Поэтому тебе нужно чтобы они сделали его в твою пользу, и ничего кроме этого тебе не нужно.