let's encrypt присоединился к санкциям

Дык право на ошибку у всех есть, но ведь вы об этом как-то узнали раз ссылку даёте

Это проблема вашего браузера. Настройте свой браузер чтобы у вас так было

target=_blank - запиши это где-нибудь.

Ахахахахахахахахахахаха.

Напиши себе расширение, добавляющее target=_blank, и перестань офтопить.

Ты учишь людей что им делать - ну так не удивляйся если тебе подсказывают куда тебе нужно пройти

Это мой технический совет.

НАФИГ В ЭТОЙ ЖИЗНИ не нужно открывать КАЖДУЮ ссылку на новой вкладке. Прими таблы, и не дури нормальным людям голову!

левые дубликаты сертификатов для перехвата трафика

Дык право на ошибку у всех есть

Люсьен, перелогинься.

Потому что, как ты будешь читать текст в который находится по ссылке не уходя с данного форума ?

Я вот хочу свободно нажимать на ссылки на этом форуме, без перехода. А может я потом не вернусь ?

Очень забавно это читать, учитывая, что тут привели пример с jabber.org и Hetzner. У них за этот инцидент, почему-то, лицензию УЦ никто не отозвал и не отменил их. Им можно, уважаемые люди, понимать надо.

Примера, когда ФСБ воспользовалась НУЦ для того, чтобы перехватить чей-то зашифрованный трафик, так и не нашлось. И Certificate Transparency, на НУЦ, внезапно, работает.

И про WoSign и инцидент с китайцами было, про их конкретные косячки, за которые их отменили. Ради кого они творили дичь, история умалчивает. Но это не помешало китайцам обзавестись новеньким TrustAsia.

Потому, всё это как-то однобоко. Стрелочка в одну сторону.

Очень забавно это читать, учитывая, что тут привели пример с jabber.org и Hetzner. У них за этот инцидент, почему-то, лицензию УЦ никто не отозвал и не отменил их.

У Hetzner нет своего УЦ. Нельзя отозвать то, чего нет.

Если бы в РФ были возможны УЦ, которые по указке

Хм, а как контролируют другие УЦ на отсутствие второй двери? Какие то организационные меры или защита алгоритма? Смену хоть байта в сертификате обнаружить невозможно?

Хм, а как контролируют другие УЦ на отсутствие второй двери? Какие то организационные меры или защита алгоритма? Смену хоть байта в сертификате обнаружить невозможно?

Есть журнал Certificate Transparency, в который попадают все выпущенные сертификаты. Сертификат, которого нет в журнале, не будет приниматься браузерами (тут есть оговорки для корпоративных УЦ, но тут это не важно). Журнал криптографически защищен и менять что-то в нем не возможно.

Так что какой-то защиты нет, но если кто-то выпустит левый сертификат на «google.com», то об этом будет известно.

в браузерах еще и OID-ы прибиты на ключевые сайты, так что google.com сертификат выданый левым маленьким ЦС (например правительством Нидерландов, да у них есть свой ЦС! Дигинотар умер, но зато этих вынесли в корень) работать не будет

Для прочих есть DNS CAA, если поддерживается DNS-сервером


кстати была децентрализованная технология, DANE (!), с размещением ключей RSA в записях DNS, даже поддерживалась в Chrome, но потом ее убрали,т.к. «не взлетело»

по ссылке речь идёт про почту для организаций, которая и так платная.

2 или 3 ящика можно бесплатно, чего для личной почты для домена вполне достаточно

ну а кто сказал что это только для организаций?

Испокон веков доменная почта на яндехсе была платной, разве не?

было время, когда она называлась почта для домена (PDD) и это было бесплатно
а потом они переехали на интерфейс для организаций и выдавили PDD туда, а потом и денежек захотелось... Ж - жадность.

Самое грустное, что весьма вероятно в ответ тоже что-нибудь запретят

ну примерно так и есть

запрещают использовать сертификаты отличные от минцифры для большого списка учреждений

т.е. форсят государственный ЦА (и mitm на тспу :))

Еще форсят государственный единый VPN, который будет позволять от имени зарубежного IP получать исходные коды и документацию, но не позволит обходить блокировку контента. Меня такой вариант устраивает, ведь именно скачать доки или еще что то легальное мне только и надо

ну так этот госвпн тоже забанят

там же смысл дать доступ к тому, что заблокировано с той стороны

доступ к тому, что заблокировано с той стороны

Именно так

Ага, забанят на той стороне. Как будто бы эрефяне самые умные в мире, лол. Их в дверь, они в окно. В щели вот теперь просачиваются. Нет, врач сказал в морг, значит в морг.

Давно от этой системы CA отказываться надо. Вон во всяких i2p, yggdrasil и прочих tor’ах нет единых центров сертификации, но шифрование работает. Почему так же не сделать?

Почему так же не сделать?

Потому что кто-то перестанет получать деньги за воздух.

Очень хорошо, что не наказывают частных лиц и негосударственные компании. Очень большие молодцы. Действительно стоят на страже свободы и справедливости.

Так не единого удостоверяющего узла, их много

На самом деле есть. Это твой браузер. Именно он является единой точкой доверия, от которой доверие уже переходит к удостоверяющим центрам и так далее. Есть несколько людей на планете, которые принимают решение о том, какие УЦ вносить и какие УЦ исключать из списка доверенных УЦ браузера. Именно на них в конечном счёте сходится всё.

А учитывая, что хром и сафари ныне являются де-факто монополистами, даже аргумент о том, что браузеров много, будет весьма спорным.

Более того. В браузере есть не только механизм доверия. Но и механизм недоверия. Когда казахстанские власти проводили эксперимент с массовым MITM и подменяли сертификат подписанным с помощью некоего государственного УЦ, этот государственный УЦ достаточно быстро был внесён в чёрный список УЦ хром и мозиллы и со следующим обновлением подобный MITM перестал работать даже у тех, кто вручную внёс государственный УЦ в список доверенных.

На самом деле спроектировать в интернете что-то, являющееся по-настоящему независимым от единого узла, очень сложно. Едва ли возможно. Этому противоречат привычки и интересы большинства людей. Почти всегда появляются крупнейшие узлы, крупнейшие провайдеры, крупнейшие реализации, которые очень быстро под себя подминают всех остальных. Google вообще мастерски это делает. Крупнейший браузер - Chrome. Крупнейший электронный почтовый сервис - Gmail.

монополисты по браузерному движку отнюдь не управляют тем, какую связку корневых сертификатов будут класть в альтернативные браузеры, пусть даже и на том же движке.

См например Naenara, как пример крайности, где есть только свои сертификаты и нет никаких других.

DNSSEC+DANE

это работало. но корню мирового зла надо привязать интернеты к корню удостоверящих центров, поэтому технология ушла в историю.
А иначе как запрещать всяким иранцам, (северо)корейцам и русским ?

Если ты делаешь сайт для обычных людей, тебе нужен сертификат, который будет работать у обычных людей. Т.е. тебе нужен сертификат, которому в конечном счёте доверяет именно команда, разрабатывающая Google Chrome.

увы, да.
Впрочем, стоит уточнить, что не Google Chrome, а «99.9% браузеров», как заявляют о себе УЦ.

И это не сертификат Минцифры, а хотя бы ЛЕ.

Шило на мыло же. Вместо доверия СА нужно доверять организации, управляющей ZSK, KSK ключами и подписью корневой зоны. Разве денег конечным пользователям платить не надо, но речь же не об этом.

Если ты делаешь сайт для обычных людей, тебе нужен сертификат, который будет работать у обычных людей.

Добавляешь сертификат в Яндекс Браузер, после чего у обычных людей всё работает.

Я не знаю ни одного человека, который бы пользовался яндекс браузером.

получается «обычные люди» в крепости

то что название на ней Свободный_мир не отменяет прикреплённости к ней

Держите в курсе.

Разве денег конечным пользователям платить не надо

поэтому и не взлетело. PKI это было бы крайне не выгодно

DNSSEC, ну так или иначе это более «самостоятельная» система, в сравнении с PKI,
во времена распространения DANE в зоне .ru DNSSEC не работал еще, так что я тестировала с .net
Тут пойдет речь о доверии к системе DNS в целом, даже с PKI вы так или иначе доверяете DNS и сама PKI доверяет DNS при выдаче сертификатов, так что в случае DNSSEC+DANE используется только доверие к DNS, а PKI отпадает как лишнее ненужное звено, зависящее от неких жадных толстосумов, которые торгуют подписями к сертификатам, и еще пытаются что-то регулировать (как в детской сказке - «этому дала, этому дала, а этому - не дала»)

я не знаю ни одного человека, который бы стал добавлять сертификат для просмотра чужого сайта

для просмотра чужого сайта

Зависит от мотивации, если это картинки с котятами, то проще сменить сайт. А если нужно свою задолженность по алиментам проверить и это можно сделать только на одном государственном сайте с государственным сертификатом, то …

который бы стал добавлять сертификат

Предполагается, что в яндекс браузере он уже есть (ну или будет, в случае нужды они там договорятся). Поэтому для нормального человека есть выбор: пердолиться с сертификатами либо взять браузер, гдё всё работает из коробки.

мне вот пришлось для приложения парковки поставить сертификат
а иначе не оплатить, паркомат можно конечно бегать искать ... но за это время уже штраф выпишут

это называется - _вынудили_
не будем об этом. добровольно без принуждающих крайних обстоятельств никто сертификаты ставить не будет.

А яндекс браузер (предустановленный) я вчера с нового ноутбука как вирус удаляла. Они даже деинсталлятор не сделали и в список установленных программ не добавили. Какое к ним уважение после этого? Оно и до этого ниже плинтуса уже опустилось.

Это две разные вещи. Одно дело «толстосумы, которые торгуют подписями к сертификатам, и еще пытаются что-то регулировать» и другое — «США, которые пытаются превратить контролируемые ими технологии в оружие». Эти темы следует обсуждать отдельно. В случае DNSSEC США точно так же может запретить своим холопам взаимодействовать с людьми из России и либо тут DNSSEC превращается в тыкву, либо делается своя инфраструктура ключей и ситуация не отличается от создания своего СА.

мне вот пришлось для приложения парковки поставить сертификат

добровольно без принуждающих крайних обстоятельств

Вы бы и парковку оплачивать не стали. Дураков нет. Если чуть обобщить, то главное «принуждающее обстоятельство» называется «цивилизация», т.е. система запретов и ограничений + иерархия авторитетов. Так что перед вами есть выбор: уйти в лес или исполнять законы государства, в котором живёте.

контролировать DNS будет сложнее, чем запретить УЦ выдавать сертификаты

https://ru.wikipedia.org/wiki/Корневые_серверы_DNS

даже если на этот шаг пойдут, то это будет равносильно примерно тому, что прекратят обмен трафика в точках обмена, это уже серьезный сценарий близкий к апокаплиптическому для интернета (в том числе) и в целом.


А вот на уровне УЦ не давать сертификатов... Это - очередной этап «вываривания лягушки»

«цивилизадница»
это то, куда пришла цивилизация.

Ладно, это уже не тема для публичного обсуждения.

ни одного человека, который бы пользовался яндекс браузером

Тогда я земляной червяк, 28% сограждан пользуются им. Параллельно сталкиваюсь с Chrome и разница очень серьезная

Не, вы овощи же. Я сам как образцовый патиссон им пользуюсь иногда.

уйти в лес

Да щаз, там тебя лесник быстро научит родину любить.

Ну есть бесплатный план у ZeroSSL, но говорят они тоже выпустили подобное предупреждение, мол если нам скажут кого-то отрезать из-за сранкций - мы отрежем.

я там выше ссылочку уже давала на их справку, у них полная блокировка по TLD


вот, если лениво искать - https://help.zerossl.com/hc/en-us/articles/360060119833-Restricted-Countries

Аудиторию хрома таки на яндекс-браузер успешно пересаживают. Да и я бы, если бы вообще допускал пользование браузерами на хромодвижке, скорее установил бы яндекс чем другие его виды.