The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В РФ началось продвижение собственного корневого TLS-сертификата

10.03.2022 06:37

Пользователи портала государственных услуг Российской Федерации (gosuslugi.ru) получили уведомление о создании государственного удостоверяющего центра со своим корневым TLS-сертификатом, не включённым в хранилища корневых сертификатов операционных систем и основных браузеров. Сертификаты выдаются на добровольной основе юридическим лицам и нацелены на использование в ситуации отзыва или прекращения продления TLS-сертификатов в результате санкций. Например, удостоверяющие центры, находящиеся в юрисдикции США, такие как DigiCert, прекратили предоставление сертификатов для сайтов организаций, входящих в санкционный список.

В настоящее время государственный корневой сертификат интегрирован только в продукты Яндекс.Браузер и Атом. Для обеспечения доверия к сайтам, использующим сертификаты от государственного удостоверяющего центра, в других браузерах, требуется ручное добавление корневого сертификата в системное или браузерное хранилище сертификатов.

Среди сайтов, которые уже получили государственные TLS-сертификаты, различные банки (Сбер, ВТБ, ЦБ) и аффилированные с госструктурами организации и проекты. При этом на момент написания новости на основных сайтах Сбер и ВТБ продолжают использоваться традиционные TLS-сертификаты, поддерживаемые во всех браузерах, но отдельные поддомены (например, online-alpha.vtb.ru) уже переведены на новый сертификат.

В случае начала навязывания нового удостоверяющегося центра или выявления фактов злоупотреблений, таких как совершение MITM-атак, вероятно, что производители браузеров Firefox, Chrome, Edge и Safari предпримут действия по добавлению проблемного корневого сертификата в списки отозванных сертификатов, как это уже было сделано с сертификатом, внедрённым для перехвата HTTPS-трафика в Казахстане.



  1. Главная ссылка к новости (https://bugzilla.mozilla.org/s...)
  2. OpenNews: В Firefox, Chrome, Edge и Safari заблокирован сертификат, используемый для перехвата трафика в Казахстане
  3. OpenNews: Казахстан возобновил попытки перехвата HTTPS-трафика
  4. OpenNews: В Firefox, Chrome и Safari заблокирован внедряемый в Казахстане "национальный сертификат"
  5. OpenNews: В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
  6. OpenNews: Китай начал блокировать HTTPS-соединения, устанавливаемые с TLS 1.3 и ESNI
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/56830-tls
Ключевые слова: tls, ssk, crypt, mitm
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (110) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.3, тигар (ok), 08:07, 10/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    а чебурнет-то все ближе..
     
     
  • 2.22, Dzen Python (ok), 09:12, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +26 +/
    Скорее кванмен.ру.

    Причем делаеют его сейчас не говорящие головы из тель-а-визера, а наши "свободолюбивые" демократичные друзиа, админресурсом рубя (ой, простите, неполиткорректно высказался, компании-магистральные провайдеры сами и с песней в поддержку абсолютно фиолетовых им украинцев, которых по методичке бла-бла-бла Путин, отключают) магистрали.

    ЕМНИП, уже джва провайдера так поломали. Культура отмены это вам не шутки.

     
  • 2.32, КО12345 (ok), 10:02, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Двач закрывают, на опеннете комментить не дают, скоро заблочат и лису с хромом.
     
  • 2.102, fi (ok), 17:01, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Если бы в CA Root добавили бы какой-нибудь NameConstraints = *.mddc.ru и выдавали бы его для доменов в нем - то можно было бы и поставить.

    А так - "доверенный центр" совсем не доверенный )))

    в принципе можно завести отдельную копию ФФ только для "Russian Trusted Root CA"

     
     
  • 3.106, sigprof (ok), 17:51, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вот только с поддержкой NameConstraints именно в корневых сертификатах до сих пор не всё хорошо: https://bugs.chromium.org/p/chromium/issues/detail?id=1072083

    Ну и там всё равно уже навыписывали сертификатов на имена за пределами *.ru и *.рф:

    cbr2021.online
    econs.online
    *.econs.online
    vtb.com
    mail.vtb.com
    www.mail.vtb.com
    smtp.vtb.com
    autodiscover.vtb.com
    www.vtb.com
    fincult.info
    *.fincult.info

     

  • 1.4, istepan (ok), 08:15, 10/03/2022 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +37 +/
     

     ....ответы скрыты (4)

  • 1.7, robux (ok), 08:24, 10/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –12 +/
    Ну ничо, веб-макаки же любят централизованные технологии:
    1) УЦ
    2) DNS
    3) стандарты от корпораций (HTML/CSS/HTTP)
    4) веб-серверы: крупные поисковики, соц. сети, мессенджеры

    Баранов всегда кто-то пасёт: или сэр майор или тов. майор.

     
     
  • 2.88, Kuromi (ok), 15:11, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    2) Так есть TRR, браузер сможет ходить в сеть и без DNS сервера
    3) По вашему в РФ можно отменить HTML? И что, сразу сайты в текстовые файлы превратятся?
     
  • 2.130, darkshvein (ok), 19:51, 13/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >веб-макаки

    любят халяву и чтоб поменьше думать: Готовые CMS, готовые либы, халявные облака, бекапы, которые делаются сами по себе.

     

  • 1.9, SilverCutePony (ok), 08:33, 10/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –18 +/
    Когда уже для работы в интернете нужно будет устанавливать государственный кейлоггер?)
     
     
  • 2.13, timur.davletshin (ok), 08:49, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +19 +/
    > Когда уже для работы в интернете нужно будет устанавливать государственный кейлоггер?)

    Зачем государственный? Лучше корпоративный. У иностранной корпорации, в отличие от гос-ва, перед большинством пользователей даже минимальных юридических обязательств нет. Погодите, о чём это я? Оно же уже в каждом смартфоне и добром кол-ве проприетарных осей уже есть в дефолтных настройках )))

     
     
  • 3.15, SilverCutePony (ok), 08:51, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Проблема в том, что данные гугловской и майкрософтской телеметрии получают американцы, а наше государство тоже хочет следить потщательнее
     

  • 1.10, timur.davletshin (ok), 08:39, 10/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Шаг номер два: Постеби любого знакомого айтишника вопросом о сценарии предполагаемой атаки MITM с использованием контролируемого гос-вом (да и любым другим предполагаемым злоумышленником) CA. Прям тест-детектор 😄

    P.S. Я не говорю, что это не создаёт вектор для потенциальной атаки. Я лишь говорю о том, что подавляющее большинство околоайтишников из моего круга общения понятия не имеют в такие казалось бы несложные вещи. Подчеркну, что из моего круга общения. Возможно, вокруг вас собрались более компетентные и менее заангажированные люди.

    P.S. #2: https://sslmate.com/resources/certificate_authority_failures и это не все. Ещё французское правительство при помощи промежуточного сертификата подписывалось некоторыми крупными корпорациями - https://www.theregister.com/2013/12/10/french_gov_dodgy_ssl_cert_reprimand/

    И это только то, что я навскидку вспомнил. Их было больше.

     
     
  • 2.12, TheCat (ok), 08:46, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это пусть у безопасников голова болит. Итишникам главное что бы работало.
     
     
  • 3.23, timur.davletshin (ok), 09:15, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Это пусть у безопасников голова болит. Итишникам главное что бы работало.

    Это характеризует общий уровень компетенции коллег. Абсолютно у всех есть мнение на этот счёт, но описать вектор атаки могут единицы. Случаев атак на коммерческие CA у меня не вспомнил ни один.

     
     
  • 4.75, YetAnotherOnanym (ok), 13:29, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А чего там описывать? Приходит дядя с удостоверением и ЦА без разговоров выдаёт ему нужный сертификат. Аналогично провайдер жертвы послушно роутит весь или часть его/её трафика на нужный адрес (или хостинг-провайдер, где живёт сервер, на который ходит жертва, маршрутит куда надо запросы от указанного адреса), а там уже всё готово к приёму дорогого гостя.
     
     
  • 5.79, timur.davletshin (ok), 13:56, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > А чего там описывать? Приходит дядя с удостоверением и ЦА без разговоров
    > выдаёт ему нужный сертификат. Аналогично провайдер жертвы послушно роутит весь или
    > часть его/её трафика на нужный адрес (или хостинг-провайдер, где живёт сервер,
    > на который ходит жертва, маршрутит куда надо запросы от указанного адреса),
    > а там уже всё готово к приёму дорогого гостя.

    Погодите, но это же документируемо на стороне того, кого принять желают, более того, ничем не отличается от того, что делалось до этого (ссылки выше).

     
     
  • 6.104, YetAnotherOnanym (ok), 17:16, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > документируемо на стороне того, кого принять желают,

    А многие ли смотрят на сертификат, когда заходят на сайт по https? Я проверяю серт только когда захожу в онлайн-банк (пришлось поставить, увы) - сверяю отпечаток с записанным на бумажке. Всё остальное - иконка с замочком зеленая, браузер не ругается - и ладно.


     
     
  • 7.112, timur.davletshin (ok), 22:22, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > - сверяю отпечаток с записанным на бумажке. Всё остальное - иконка
    > с замочком зеленая, браузер не ругается - и ладно.

    Я всегда знал, что тру-ойтишники очень "прогрессивны" и система trust-on-first-use (TOFU) у них реализуется именно так )))

     
     
  • 8.113, YetAnotherOnanym (ok), 22:33, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А при чём тут first use ... текст свёрнут, показать
     
     
  • 9.114, timur.davletshin (ok), 23:39, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А откуда у тебя отпечаток, записанный на бумажке взялся В банке выдали или ты... текст свёрнут, показать
     
     
  • 10.116, YetAnotherOnanym (ok), 01:23, 11/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Операционистку попросил открыть онлайн-банк на своём рабочем пк и сверить мою ра... текст свёрнут, показать
     
     
  • 11.117, timur.davletshin (ok), 07:09, 11/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не, не прокатит Но да ладно, я примерно так и думал, что это были теоретические... текст свёрнут, показать
     
     
  • 12.119, YetAnotherOnanym (ok), 13:40, 11/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Что именно не прокатит Ты не веришь, что девочка из банка открыла у себя сайт о... текст свёрнут, показать
     
     
  • 13.121, timur.davletshin (ok), 20:06, 11/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Дружище, не фантазируй, возвращайся на бренную землю В реальной жизни в большин... текст свёрнут, показать
     
     
  • 14.123, YetAnotherOnanym (ok), 12:06, 12/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У этих броузер был и они объясняли что и как делать в онлайн-банке, разворачивая... текст свёрнут, показать
     
     
  • 15.124, timur.davletshin (ok), 12:17, 12/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Имя, сестра Имя Что за банк такой Я туда схожу проверить ... текст свёрнут, показать
     
     
  • 16.126, aploskov.dev (ok), 19:02, 12/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Хм, ну зайди в ВТБ, к примеру Там вполне себе должен быть либо браузер, либо чт... текст свёрнут, показать
     
     
  • 17.127, timur.davletshin (ok), 20:06, 12/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Напомни, как там из приложения на электрон посмотреть оператору сертификат ... текст свёрнут, показать
     
     
  • 18.128, aploskov.dev (ok), 20:29, 12/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я не web-разраб, но когда-то, если меня не подводит память, в приложениях на Ele... текст свёрнут, показать
     
     
  • 19.129, timur.davletshin (ok), 20:50, 12/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот именно про это я и говорил чуть выше Всё это ваши измышлизмы, не более Име... текст свёрнут, показать
     
  • 16.131, YetAnotherOnanym (ok), 06:29, 14/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    РСХБ... текст свёрнут, показать
     
  • 11.132, fi (ok), 13:41, 17/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    не прокатит - серты меняются Надо смотреть всю цепочку - кто выдал а эта подп... текст свёрнут, показать
     
  • 2.14, Neandertalets (ok), 08:51, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +15 +/
    Т.е. вариант, что MITM ранее был возможен со стороны УЦ - не смущал раньше, а тут - стал смущать? Или "это другое!"?
     
     
  • 3.18, тоже Аноним (ok), 09:03, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +7 +/
    УЦ имел сдерживающий фактор - устроив MItM, он опозорится на весь мир.
    В данном же случае мы имеем дело с организацией, не имеющей такого сдерживающего фактора.
     
     
  • 4.20, timur.davletshin (ok), 09:07, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +12 +/
    > УЦ имел сдерживающий фактор - устроив MItM, он опозорится на весь мир.
    > В данном же случае мы имеем дело с организацией, не имеющей такого
    > сдерживающего фактора.

    Comodo, DigiNotar до сих пор на рынке? А у них были наиэпичнейшие просёры всех полимеров уровня "подписали кучу сертификатов типа «я - Google»".

     
     
  • 5.37, тоже Аноним (ok), 11:05, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А у них были наиэпичнейшие просёры всех полимеров

    Давайте не делать вид, что вы не понимаете разницы между факапом и "ради нее все и писалось".

     
     
  • 6.43, llolik (ok), 11:25, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +8 +/
    >> А у них были наиэпичнейшие просёры всех полимеров
    > Давайте не делать вид, что вы не понимаете разницы между факапом и "ради нее все и писалось".

    Ну и, справедливости ради, давайте не делать вид, что принципиально это выглядит, как что-то другое. Вся инфраструктура корневых сертификатов построена исключительно на доверии к CA. К этому самому доверию, как вот сейчас видим, возникают вопросы.

     
     
  • 7.45, тоже Аноним (ok), 11:30, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > принципиально это выглядит

    На шкаф будем залезать?

    > возникают вопросы.

    У кого? Вы правда верите, что последние события подорвали доверие к американским УЦ в Штатах и Европе? Да ни одна собака не почесалась. Им-то такой сценарий не грозит.

     
     
  • 8.51, timur.davletshin (ok), 11:47, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Давайте будем честными, выбор регистратора и CA у подавляющего большинства админ... текст свёрнут, показать
     
     
  • 9.56, тоже Аноним (ok), 11:53, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Давайте будем совсем честными что-то изменилось только внутри одного большого п... текст свёрнут, показать
     
  • 8.55, llolik (ok), 11:51, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Не буду Система, где тебе отзывают сертификат не по компрометации, а по желанию... текст свёрнут, показать
     
  • 7.52, timur.davletshin (ok), 11:49, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >>> А у них были наиэпичнейшие просёры всех полимеров
    >> Давайте не делать вид, что вы не понимаете разницы между факапом и "ради нее все и писалось".
    > Ну и, справедливости ради, давайте не делать вид, что принципиально это выглядит,
    > как что-то другое. Вся инфраструктура корневых сертификатов построена исключительно на
    > доверии к CA. К этому самому доверию, как вот сейчас видим,
    > возникают вопросы.

    Скорее даже не к ЦА, а к компаниям, проводящим аудиты этих ЦА, т.е. к Mozilla Corp., Microsoft Corp., Google Corp.

     
  • 4.25, Neandertalets (ok), 09:28, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > УЦ имел сдерживающий фактор - устроив MItM, он опозорится на весь мир.
    > В данном же случае мы имеем дело с организацией, не имеющей такого сдерживающего фактора.

       Глупости что первая часть предложения, что вторая.

     

  • 1.19, Dzen Python (ok), 09:04, 10/03/2022 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +38 +/
     

     ....ответы скрыты (4)

  • 1.27, uis (ok), 09:37, 10/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    https://theins.ru/politika/248511
    Всё по этому плану. Давно пора mesh сети в массы.
     
     
  • 2.35, mos87 (ok), 10:44, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    символично что серваки НР
     
  • 2.38, rvs2016 (ok), 11:14, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > https://theins.ru/politika/248511
    > Всё по этому плану
    > а также кабельная инфраструктура, включающая все кабели,
    > приходящие из-за рубежа.
    > Вот именно это и планируется взять под контроль.
    > если взять под контроль эту инфраструктуру, то, ...
    > можно достичь тотального контроля над сетью.

    А как они достигнут тотального контроля над сетью со спутников Старлинка?
    Убирать вражеские спутники технически уже возможно, но политически до этого требуется ещё немного дорасти. Да и мусор на орбите самим же помешает.
    Или в сегменете спутникового интернета пока это будут достигать запретом на установку спутниковых антенн у пользователей?

     
     
  • 3.62, Тот_ещё_аноним (ok), 12:38, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Спутник-шпион висит над нашей территорией. Чего там политически дорастать? Не убрали - сами виноваты.
    Можно глушить или сбивать. Армейский рэб никто не отменял, можно попробовать аккуратно уронить.

    Принудительная регистрация блин...

     
  • 3.110, uis (ok), 21:49, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >А как они достигнут тотального контроля над сетью со спутников Старлинка?

    Путём изнасиловантя дубинками пользователей оного

     
  • 2.40, rvs2016 (ok), 11:19, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > https://theins.ru/politika/248511
    > Всё по этому плану
    > Существует проект РАРН который по сути является
    > полной копией европейского реестра IP адресов

    Как это копией?
    Т.е. в России будут точно такие же адреса, как и за её пределами? 😲

     
     
  • 3.111, uis (ok), 21:51, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет, читай внимательнее. Будет как RIPE, только все ip будут выделены себе. Т.е. 8.8.8.8 будет российским адресом на территории россии.
     

  • 1.28, Шарп (ok), 09:40, 10/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >online-alpha.vtb.ru

    Не получилось зайти через яндекс браузер. КриптоПро установил. А так хотелось зайти через российский сертификат. У меня в этот момент в голове играла музыка из read alert.

     
     
  • 2.29, llolik (ok), 09:50, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не знаю про ЯБраузер, через FF нормально заходит, после того как серт в хранилище добавишь.
     
     
  • 3.30, Шарп (ok), 09:55, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Не знаю про ЯБраузер, через FF нормально заходит, после того как серт
    > в хранилище добавишь.

    Ну так яшке уже должен быть встроен. Где взять сертификат?

     
     
  • 4.33, llolik (ok), 10:15, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну так яшке уже должен быть встроен.

    С обновлением ЯБр-а, наверно, прилетит.
    > Где взять сертификат?

    https://www.gosuslugi.ru/tls?_=1646892923023

     
  • 3.39, тоже Аноним (ok), 11:18, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Не знаю про ЯБраузер, через FF нормально заходит, после того как серт в хранилище добавишь.

    Или просто скажешь "да, я в курсе, что у них гранаты не той системы".

     
     
  • 4.44, llolik (ok), 11:27, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >> Не знаю про ЯБраузер, через FF нормально заходит, после того как серт в хранилище добавишь.
    > Или просто скажешь "да, я в курсе, что у них гранаты не той системы".

    Ну тоже вариант. На оффтопе FF умеет работать с системным хранилищем и можно просто в системные добавить и всё работает. На Линуксах, насколько я помню, не умеет и нужно добавлять в собственное хранилище.

     
     
  • 5.46, тоже Аноним (ok), 11:31, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > нужно добавлять в собственное хранилище.

    Кому - нужно? Мне лично - в хрен не уперлось.

     
     
  • 6.49, llolik (ok), 11:44, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >> нужно добавлять в собственное хранилище.
    > Кому - нужно? Мне лично - в хрен не уперлось.

    Ну не добавляй. Я какбы не настаиваю.

     

  • 1.31, Fracta1L (ok), 09:55, 10/03/2022 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +20 +/
     
     
  • 2.36, Admino (ok), 11:01, 10/03/2022 Скрыто ботом-модератором     [к модератору]
  • –2 +/
     
  • 2.41, тоже Аноним (ok), 11:21, 10/03/2022 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 3.47, Celcion (ok), 11:40, 10/03/2022 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
     
  • 4.53, тоже Аноним (ok), 11:49, 10/03/2022 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 5.58, Celcion (ok), 12:10, 10/03/2022 Скрыто ботом-модератором     [к модератору]
  • +5 +/
     
     
  • 6.60, тоже Аноним (ok), 12:34, 10/03/2022 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
     
  • 7.67, Celcion (ok), 12:53, 10/03/2022 Скрыто ботом-модератором     [к модератору]
  • +3 +/
     
     
  • 8.72, тоже Аноним (ok), 13:25, 10/03/2022 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
     
  • 9.76, Celcion (ok), 13:37, 10/03/2022 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
     
  • 10.81, тоже Аноним (ok), 14:10, 10/03/2022 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
     
  • 11.84, Celcion (ok), 14:32, 10/03/2022 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
     
  • 12.97, тоже Аноним (ok), 16:40, 10/03/2022 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 13.103, Celcion (ok), 17:07, 10/03/2022 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 8.77, YetAnotherOnanym (ok), 13:47, 10/03/2022 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     

     ....ответы скрыты (14)

  • 1.34, mos87 (ok), 10:43, 10/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    TLS - Тов. Лейтенант Старший
     
  • 1.78, Ilya Indigo (ok), 13:55, 10/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Хотят под предлогом борьбы со санциями провернуть Казахстанский сценарий?
    Да нет уж, кушайте сами Let's Encrypt прекрасно работает и не собирается никого ограничивать!
     
     
  • 2.82, тоже Аноним (ok), 14:11, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вы все еще пребываете в плену иллюзии, что наше мнение кого-то волнует?
     
  • 2.83, llolik (ok), 14:19, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Да нет уж, кушайте сами Let's Encrypt прекрасно работает

    Пока работает. Ключевое слово ПОКА.
    > и не собирается никого ограничивать!

    Ну да, где-то я это уже слышал.

     
     
  • 3.85, Ilya Indigo (ok), 14:50, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну да, где-то я это уже слышал.

    Это называется: "Слышу звон - не знаю где он"!

     
     
  • 4.89, Тинус Лорвальдс (ok), 15:14, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Илюша, ну почитай ты уже наконец кто такие let's encrypt, кто ими владеет, за чей счёт, где зарегистрированы. И перестань писать бред. Если они сегодня тебя нахер не послали, так не переживай - завтра пошлют, и повод найдут.
     
     
  • 5.91, Juha (ok), 15:29, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    https://habr.com/ru/company/itsumma/news/t/571368/
     
  • 4.90, llolik (ok), 15:21, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Это называется: "Слышу звон - не знаю где он"!

    Что там GitHub/GitLab? Совсем не обсуждают ограничения? А, ограничились пока "сидим, курим, ждём указаний". Просто напомню, что они, как и Let's Encrypt, юридическое лицо, зарегистрированное на территории США. А значит обязано соблюдать их законодательство, в том числе и экспортное.

     
     
  • 5.92, Ilya Indigo (ok), 15:35, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >> Это называется: "Слышу звон - не знаю где он"!
    > Что там GitHub/GitLab? Совсем не обсуждают ограничения? А, ограничились пока "сидим, курим,
    > ждём указаний". Просто напомню, что они, как и Let's Encrypt, юридическое
    > лицо, зарегистрированное на территории США. А значит обязано соблюдать их законодательство,
    > в том числе и экспортное.

    С GitLab всё и так понятно, а даже если и к github-у закроют доступ (в Крыму давно запрещено комитить и создавать закрытые проекты), то это лишь один из инструментов разработки, не сравнимый со значимостью с Let's Encrypt. Сравнить по значимости можно только с полной блокировкой гугла (gmail, google, youtube) но к тому времени, скорее все автономные системы РФ отключат от интернета и будет уже без разницы что там с сертификатами.

     
  • 2.105, YetAnotherOnanym (ok), 17:21, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > не собирается никого ограничивать

    Блажен, кто верует.

     

  • 1.80, antontony91 (ok), 13:59, 10/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Чебурнет.

    Молитесь, чтобы не было как в Туркмении, будете подбирать IP адреса за любые деньги чтобы зайти а нормальный интернет :)

     
  • 1.86, Kuromi (ok), 15:01, 10/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну тут вариант один - держим две копии\профиля браузера. В один добавляем сертификат-скрепу, в другой нет. Нужно воспользоваться подсанкционным сервисом - используем скрепную копию, все остальное время - чистую. Так риск попыток подсовывать нацсертификат под все сайты сильно уменьшатся. Хотя конечно они там много чего еще придумают. А вот как они будут бороться с возможным блеклистом сертификата со стороны разработчиков браузеров - интересно.
     
     
  • 2.94, Celcion (ok), 15:56, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Ну тут вариант один - держим две копии\профиля браузера. В один добавляем сертификат-скрепу, в другой нет. Нужно воспользоваться подсанкционным сервисом - используем скрепную копию, все остальное время - чистую. Так риск попыток подсовывать нацсертификат под все сайты сильно уменьшатся.

    Не забудь еще шапочку из фольги нацепить - так риск еще более снизится.
    А если серьезно - уровень технической грамотности людей на Опеннете, конечно, удручает. Как тут правильно выше заметили, столько "знатоков" рассказывает про то, как их секретный трафик на порнхаб мамка расшифрует, а вот пояснить каким они себе видят вектор атаки и подсовывание MitM - не могут рассказать даже в теории.
    Если кто не в курсе - в большинстве крупных компаний уже давно стоят такие MitM-прокси и весь трафик сотрудников благополучно расшифровывается. Только вот проблема в том, что "незаметно" оно всё равно не происходит. И браузеры орут, что с сертификатом что-то не то, и часть программ просто не работает нормально. А на уровне страны такое сделать, да так, чтобы еще и никто не заметил - это уже нечто из разряда фантастики.
    Можно, конечно, предположить, что это чуть более выполнимо, если работа ведется относительно какого-то конкретного индивида. Только вот если за тобой целенаправленно следят ребята в погонах - может быть, про сертификаты думать уже в любом случае чуток поздно?

     
     
  • 3.95, Dzen Python (ok), 16:24, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Таки да. Вот только ты немного не прав.

    В принципе прозрачное MItM-прокси до IT-контор возможно и при этом сравнительно быстро и дёшево реализуемо - для страны в которой эти конторы или держат штаб-квартиры, или имеют подавляющую долю акционеров, или просто очень ощутимый процент выручки. Вспомни, как просачивались новости с англонета - у нас это не переводят - как Цукерберга гоняли в конгресс и как он там расшаркивался. Ты просто уже изначально герр-майоровский корневой сертификат получишь в системе. Как страшно жить, да. Годике в 15-16м уже вскользь всплывала инфа про немецкий государственный троян, её так же у нас практически не переводили. Думаю, 90% западных корневых сертификатов доверять можно только очень условно.

     
     
  • 4.100, Celcion (ok), 16:53, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Таки да. Вот только ты немного не прав.

    Ну, я имел в виду именно глобальное MitM-проксирование всего и всех. Понятно, что точечно и по конкретным ресурсам, которые сами себе такой сертификат поставят - оно без проблем работать будет и так. Но если все ресурсы из "оставшихся" и так будут либо российскими, либо "приземлёнными", то товарищ майор и так получит все нужные сведения напрямую, не утруждая себя излишними шагами по расшифровыванию чего-либо.
    Поэтому, все эти шапочки из фольги тем более не имеют смысла: на локальных ресурсах и без них про тебя все и всё узнают. А на удалённых... Ну, если ты настолько супер-профи, что не видишь при соединении, что тебе сертификат подменили, например, при соединении по VPN - то может тебе стоит самому себе задать ряд неприятных вопросов?

     
  • 3.98, тоже Аноним (ok), 16:46, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > И браузеры орут, что с сертификатом что-то не то

    Обязать Я.Браузер не орать и запретить использование всех остальных.

    > да так, чтобы еще и никто не заметил - это уже нечто из разряда фантастики.

    Не заметил, что по новому закону MItM должен стоять у каждого провайдера для хранения содержимого зашифрованного трафика? Да-с, сложновато...


     
     
  • 4.101, Celcion (ok), 16:54, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Не заметил, что по новому закону MItM должен стоять у каждого провайдера для хранения содержимого зашифрованного трафика? Да-с, сложновато...

    А процитируй-ка, пожалуйста, этот "новый закон". И ссылкой на сам закон, пожалуйста.
    Спасибо.

     
     
  • 5.107, Твайлайт Спаркл (ok), 17:52, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Пакет Яровой?
     
     
  • 6.115, Celcion (ok), 00:07, 11/03/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Пакет Яровой?

    Где там про MitM-прокси? Или, как обычно, слышал звон, да не знаешь где он?

     

  • 1.96, basffnn23 (ok), 16:36, 10/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Напоминаю, что все блокировки в Интернете вводились также под благовидным предлогом - защита детей от нехорошего контента. К чему все это привело каждый может увидеть сам.

    С корневым сертификатом скорее всего будет точно также. Сначала его раздадут банкам, школам, вузам и государственным учреждениям, а когда достаточный процент населения удастся заставить его установить, тут же включат гос. MITM ибо DPI системы и сохранение всего трафика вводили в том числе для этой цели.

     
     
  • 2.99, Тинус Лорвальдс (ok), 16:49, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    К сожалению, всё именно так и обстоит. Если появляется простой инструмент давления, значит им обязательно воспользуются рано или поздно.
     
  • 2.108, Ivan_83 (ok), 19:23, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы сами то пробовали в мобилке/планшете сертификат поставить левый?
    Я вот нет, и понятия не имею как это делается.
    99% пользователей даже по комиксам это врядли осилит.
    Им только вариант один - поставить готовыйбраузер с сертификатами.

    На компах ситуация чуть по лучше, но не сильно.

    В отличии от казахстана тут эту тему никто не форсит, оно как временная мера если завтра вообще начнут массово отзывать сертифкаты, чтобы совсем всё не встало.

    Собственно злоупотребления обязательно начнутся если оно взлетит, но пока в этом направлении никто не давит.

     
     
  • 3.109, SilverCutePony (ok), 21:23, 10/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На андроиде всё просто - программа запрашивает установку сертификата и на экран выводится просьба ввести пароль разблокировки/графический ключ/отпечаток пальца, затем появляется системное уведомление с сообщением, что в случае установки постороннего сертификата весь трафик может отслеживаться и просьбой согласиться на это действие
     
     
  • 4.125, glebliutsko (ok), 18:09, 12/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вот только приложения по умолчанию не доверяют пользовательским сертификатам. Его либо нужно ставить в системное хранилище (для чего нужен root), либо модифицировать манифест приложения
     
  • 2.118, benu (ok), 10:51, 11/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Блин, шапочки из фольги заканчиваются.
     
     
  • 3.120, EuPhobos (ok), 18:29, 11/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Используй шапочки Фарадея, они по-лучше будут.
     

  • 1.122, MelkorBSD (ok), 21:04, 11/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    То есть Firefox обновлять не стоит, если он занимается откровенным вредительством по части сертификатов?
     



    Отправка комментариев в данном обсуждении разрешена только зарегистрированным участникам.
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру