LE и GlobalSign всё, куда двигаться за сертификатом, остаётся только Минцифры, но...

Кому надо возьмут корневик и добавят себе.
По вебу будут ходить всякими я-бразерсами и хром-гостами.
Сервисные прикладухи в смартах проапгрейдятся и всё будет вшито унутре.
Борцы с режимом конечно же ничего ставить не будут и обломаются. Но, тут есть нюанс. Борцам как бы и не надо всех этих сервисов, они же борцы, или кто. Так что они ничего и не потеряют.

С чего это LE всё? Если ты про новость несколько дней назад, то там только гос сайтов касается, а им и так давно пора гос сертификатами пользоваться.

Уже говорил. Если бы у нас немного больше думали не о том как запрещать доступ к информации, то давно могли бы выпустить OpenSource браузер без телеметрий, с поддержкой ГОСТ-шифрования и с сертификатами от Минцифры. Для сайтов бы простые сертификаты от Минцифры выдавались бы всем в мире бесплатно и автоматически как Let's Encrypt. Это стоило бы не так дорого, по сравнению с закупками ТСПУ, зато действительно было бы импортозамещение и фак санкциям. Использовалось бы даже не только россиянами.

у нас схожие мысли

Почему бы, например, Yandex...

То что ты пишешь про выпуск браузера - вопрос даже не к минцифры а к текущей политической идеологии. А именно, в соответствии с ней государство не хочет никакие продукты производить само, а хочет чтобы их делали частные компании. Ну вот, яндекс сделал браузер, исходя из своих интересов. Скажи спасибо что проидвигают теперь его, а не что-то мейлрушное (у них там три штуки «браузеров» было, если не больше), которое было бы заведомо намного хуже. Можешь и сам сделать, внести его в реестр российского ПО, может быть его тоже будут продвигать?

Сертификаты вроде и сейчас бесплатно выдают, но не автоматически.

А как сертификаты связаны с ТСПУ я не понял.

переходи на http везде, где возможно

Использовалось бы даже не только россиянами.

Не будут. Сейчас браузеров на любой вкус, всё равно используют хром. А вот предустановленные браузеры не так часто сносят. Так что это вопрос не выдачи сертификатов, а лоббирования предустановки ПО

как получить сертификат минцифры смотрели? через ГУ и недоступно для физлиц.
На этом всё.

Остальное уже обсудили в другой теме рядом про LE

государство не хочет никакие продукты производить само, а хочет чтобы их делали частные компании.

Неважно, могло бы заказать частной компании.

Ну вот, яндекс сделал браузер, исходя из своих интересов.

Проприетарный и который чересчур много хочет знать о клиенте.

Можешь и сам сделать, внести его в реестр российского ПО, может быть его тоже будут продвигать?

Там есть юридические засады с реализацией шифрования.

Сейчас браузеров на любой вкус, всё равно используют хром.

Массово, наверное, не будут. Но используют и Firefox и другие браузеры. Официальный браузер от государства без телеметрии и с алгоритмом шифрования в TLS, независимым от американских служб, получил бы кое-какое признание. Возможно меньшее даже, чем Firefox, но получил бы клиентов и вне РФ, его еще у них стали бы запрещать Ж)

Я вот это вот читаю и охреневаю - вы вообще осознаеет сколько нужно ресурсов, денег, чтобы запилить полноценный браузер и поддеривать хотя бы форк приличный? Вы так много знаете таких проектов в мире? Откуда бабки?

Я вот это вот читаю и охреневаю - вы вообще осознаеет сколько нужно ресурсов, денег, чтобы запилить полноценный браузер и поддеривать хотя бы форк приличный?

А как же куча васянских хромоклонов, думаешь там прямо так много бабок в них влито? Да много ли финансирования у того же ungoogled chromium? Вот его взять, допилить чутка и можно под гос шильдиком выпускать, со встроенным блэкджеком и сертификатами.

Откуда бабки?

60млрд на борьбу с квнами нашли же.

https://cryptopro.ru/products/chromium-gost
Держи, пользуйся

Настало время сделать свой суверенный интернет на Gemini. В крайнем случае можно использоыать Micron.

по ссылке написано что требуется криптопровайдер ГОСТ для работы с ГОСТ-протоколами, существуют ли открытые криптопровайдеры?

Полноценный браузер (не хромоклон), при наличии должной мотивации, может сделать даже один человек. Но у него на это уйдёт неприемлемо большое количество времени, да и делать с расчётом «результат когда-нить потом» никто не хочет.

А у государства же однозначно и ресурсы и деньги есть, не хватает чего-то другого.

Насчеет открытых (применительно к этому браузеру) сомневаюсь. Есть условно бесплатные.

То то в мире так много (нет) полноценных самостоятельных браузеров, что может каждый.

Если бы у нас немного больше думали не о том как запрещать доступ к информации

Ого, так и до танцпола не далеко ☺️ Если бы у нас больше думали не об этом, не было бы санкций в первую очередь, и много чего другого не было бы.

Вообще LE вроде английским по белому сказали что санкции касаются только госконтор

Ты только первую строчку прочитал? Я написал на второй, почему нет.

Все (ну или почти всё) упирается в trust scope сертификата CA. Сейчас любому корневому серту или любому CA который получил делегирование от этого серта браузеры доверяют для любого сайт. Поэтому текущих условия добавлять сертификат минцифры или кого угодно чревато - даже я, например, при всей моей «ватности», не стану этого делать - ибо родные госорганы и регуляторы без вариантов попытаются за-MitM-ить весь трафик в лучшем казахском стиле.

А вот если появится возможность ограничить зону действия корневого сертификата или сертификата CA, это бы сняло много проблем.

Например, если бы можно было сделать CA чей сертификат валиден только для доменов RU/SU/РФ, то тот же минцифры, яндекс, вк или кто угодно мог бы сделать свои CA, и эти CA не могли бы быть использованы для того чтобы устроить MitM для сайтов вне зон RU/SU/РФ. Причем это не обязательно даже вносит в стандарт - просто добавляя Root/CA в браузер или в систему где то дополнительно прошивалось бы ограничение явно. GS/LE например доверены для всех зон, минцифры только для зоны RU

И всё, проблема решена. Ну а пересобрать опенсорсный браузер с добавкой такой логики наверное уже не так сложно - тот же «Chromium trusted» какой нибудь, где это реализовано было бы в браузере.

Государств тоже много, но мало в каких пилят свои браузеры. И в основном это форки.

яндекс сделал браузер

В жопу яндекс браузер. Говно в котором без входа в учетку яндекса даже закладку не сохранить (да, я пользуюсь закладками). И это мы еще не начали говорить о доверии (точнее его отсутствии) к этой конторе.

Проблемы форка в количестве и глубине расхождений. Если не желать перепилить всё, а добавить одну сравнительно небольшую фичу - то скорее всего, это было бы вполне посильно. Но вопрос в том, что частники этого делать не станут - это ведь не несет им непосредственной выгоды, да и вообще в России опенсорс делают только от нужды - либо когда лицензия принуждает, либо если продукт сдох и его выкидывают на мороз. Причем опенсорс игнорят настолько, что часто тупо внаглую кладут прибор на базовую лицензию.

Если ты не из госконторы и не санкционной конторы типа Max, то ты можешь по-прежнему пользоваться LE сертификатами. Их отзывают точечно вручную у определённых сущностей, которыми ты не являешься. А если являешься, то у тебя есть начальник, который скажет куда идти и ничего не надо решать.

я даже не знаю, кто там и что будет отзывать, но я нашим ссылку скинул, инфу от ИБ пока ждём, может они сами знали, может закрутились, но с GS предлагалось ехать на LE, а мужики в проектах теперь бороды теребят, неохота потом всё переделывать в ужасе

Так в Mozilla Firefox исключения примерно так и работают: через привязку исключения к домену.
Только вот на всяких сложных веб-сайтах типа сбербанка куча неочевидных доменов.
Но в принципе можно «опасный» сертификат и в локальном веб-браузерном хранилище держать, в отдельном профиле веб-браузера.

Но это все касается ПК, а вот что со смартфонами делать - неясно.

Ну а пересобрать опенсорсный браузер с добавкой такой логики наверное уже не так сложно - тот же «Chromium trusted» какой нибудь, где это реализовано было бы в браузере.

если все равно пересобирать, то лучше эту логику вынести сразу в плагин

Потому что везде распильщики бюджетов.

Так в Mozilla Firefox исключения примерно так и работают: через привязку исключения к домену.

Там привязывается сертификат сайта, а надо привязывать CA. Привязанный сертификат действует только до его продления, а так же фф иногда забывает эти исключения сам по себе.

Но это все касается ПК, а вот что со смартфонами делать - неясно.

Ясно же, в мусорку нести. И вовсе не из-за сертификатов.

Вообще LE вроде английским по белому сказали что санкции касаются только госконтор

университеты, например, тоже госконторы за очень редкими исключениями.

родные госорганы и регуляторы без вариантов попытаются за-MitM-ить весь трафик в лучшем казахском стиле.

Вся эта история с сертификатами уже достаточно длинная, лет 30 наберётся. Не подскажете, в каких юрисдикциях уже были скандалы с выдачей левых сертификатов?

Ну я например вообще делаю Origin сертификат, который валидный только для CF на 10 лет, и я всегда за CF. Но кому прям важно, чтобы сайт работал даже если Cloudflare заблокировал неадекватный оператор, то тут я хз.

Да, и?

Среди всех санкций это самая большая тупость. По сути помогают властям РФ распространить сертификат минцифры на устройства юзеров. Что в перспективе даёт возможность MITM-ить весь трафик (как одно время пытались сделать в Казахстане), а не только российский.

и не санкционной конторы

Сегодня не санкционная, а завтра кто знает. А переделывать через пол года мало кого обрадует. Это как с оплатой сервисов, сегодня ты сделал себе европейскую карту, а завтра её заблокировали и ты ни один сервис продлить подписку не можешь. И ладно если это музончик, а если из-за этого работа конторы встанет?

А если являешься, то у тебя есть начальник, который скажет куда идти и ничего не надо решать.

А если он сам такой начальник? Ну точнее человек в его конторе, который должен решать. И за негодное решение с него спросят.

PS: И я сейчас не конкретно про ТС, а даже про его начальника, который может читать этот топик.

Правильно! Пусть студенты с самого первого курса знают, что для интернета нужен только сертификат минцифры, зарубежные технологии – недоступный харам.

Не нужно быть наивным. Это пока для гос контор. И вообще, докажи что ты не верблюд.

Если бы у нас … то давно могли бы

Так нету никаких «у нас». Когда ныло ныть, есть, а когда работу работать, то тут нужны какие-то конкретные люди и организации, которые всё сделают и за всё заплатят. А выгода им какая? Вот, вложил имярек свои личные бабки в разработку тру-либерти-опен браузера (и продолжает вкладывать. Это ж браузер, тут нужно бежать изо всех сил, чтобы просто оставаться на месте), а ему за это что? Пока ответа на этот фундаментальный вопрос не получено.

Если ты не из госконторы и не санкционной конторы типа Max, то ты можешь по-прежнему пользоваться LE сертификатами.

Гром не грянет, мужик не перекрестится.

Не подскажете, в каких юрисдикциях уже были скандалы с выдачей левых сертификатов?

А ты точно не путаешь MitM от регуляторного /надзорного / силового ведомства и выдачу левого сертификата не тому владельцу? И было такое как раз в благословенных евроамериканских деймократиях

Так то второе - это следствие халатности, и не важно в какой юрисдикции, так что получается пострадавших три стороны - CA, владелец сервиса чей серт перевыпустили и пользователи сервиса.

А вот первое - целенаправленный узаконенный процесс, когда пострадавшими являются только две стороны, владелец сервиса и пользователи сервиса, а сам CA здесь действует заодно с тем кто пытается перехватить трафик.

Я точно не путаю, что российское государство ни в чём таком замечено не было. А вот некоторые иностранные делали нехорошие вещи с сертификатами. Так как сертификаты это про доверие, то, очевидно, лучше доверять своему государству, чем подозрительному чужому.

P.S. И если уж мечтать, так по крупному. Отчего бы государству (ни у кого другого таких ресурсов нет) не признать (и записать в Конституцию), что веб — говноворох говнотехнологий, обосрался на уровне идеи и не может быть исправлен никаким образом. После чего создать нормальную платформу распределённых коммуникаций с учётом имеющегося опыта. Как-никак пол века прошло, пора бы сделать выводы.

Так нету никаких «у нас». Когда ныло ныть, есть, а когда работу работать, то тут нужны какие-то конкретные люди и организации, которые всё сделают и за всё заплатят. А выгода им какая?

А какая выгода от разработок много чего, что в основном только гражданам мешает на их же налоги.

Какая-то. Каждый случай нужно рассматривать отдельно. Если что-то делается, значит есть тому причина.

А вот некоторые иностранные делали нехорошие вещи с сертификатами.

Строго говоря, не могу припомнить ни одно государство в мире, которое на государственном уровне что-то делало или приказывало с сертификатами. Даже в Казахстане и не скрывали, что mitm затеяли. Но отчего-то репутация сложилась такая, что ожидание вполне логичное: у гражданина от государства не может быть тайн, сюда же сорм-1,2, законы Яровой, курс на ликвидацию всякой анонимности, штрафы за поиск неугодной информации, форшмак из банковской тайны и на этом фоне, что вот честно-честно государство не захочет краем глаза, конечно же только против педофилов и для поимки и предотвращения теpaктов, подсмотреть внутрь трафика?

Не, милиционеры и должны знать какого цвета у тебя трусы. И у всех твоих знакомых. На то они и милиционеры. Работа такая - знать.

Но - только милиционеры. Не банки, не озоны, не ещё какие комерсы.

Вот от того, что я произношу вслух «надо бы запастись бензином», и на следующий день озон начинает предлагать купить канистры - вот этого прям зубы сводит. Какое там mitm, какие там сертификаты, когда у тебя в кармане чужие уши лежат. И даже не милицейские.

А ТЦИ это и есть минцифра? В NIC.RU есть ТЦИ и по ГОСТУ шифрование, и обычное. За денежку притом.

через ГУ

да

и недоступно для физлиц.

Доступно. Но там нет ACME, только ручками. Зато джва варианта - простой на 3 месяца или сложный на год.

простой

сложный

капец, а хотелось бы как у LE, на ручках, автоматом