LINUX.ORG.RU

История изменений

Исправление Legioner, (текущая версия) :

Где получить полный список публичных логов УЦ которым доверяют мои потенциальные посетители?

Смотришь логи, смотришь браузер+ОС, ставишь в виртуалку и смотришь корни. Уверен, вся эта инфа есть в скомпилированном виде в интернетах, если сам ковыряться не хочешь.

Что делать в случае обнаружения лажи?

Я бы начал с mozilla написав в их security команду и спросил у них, что делать. Они должны знать.

Как доказывать что это LE продался КГБ и выпустил левый сертификат для моей дняфки, а не я по пъяни его получил и забыл?

А как тут что-то можно доказать? Я не знаю. Думаю, можно запросить детали, как LE верифицировало заданный сертификат. Если это была DNS-верификация, можно запросить логи твоего хостера DNS, если они скажут, что не было такой записи, значит это уже не просто твои слова, а слова крупной компании за тобой. Если это была HTTP-верификация, тут уже ничего не докажешь. Всегда могут сказать, что это вирус на вашем дырявом сервере в тот момент был. Очевидно, если такие инциденты будут повторяться, к LE возникнут вопросы, расследования и аудиты.

Ну и в любом случае у тебя есть возможность отреагировать оперативно и в тот же день отозвать посторонний сертификат, минимизировав возможный ущерб.

Исходная версия Legioner, :

Где получить полный список публичных логов УЦ которым доверяют мои потенциальные посетители?

Смотришь логи, смотришь браузер+ОС, ставишь в виртуалку и смотришь корни. Уверен, вся эта инфа есть в скомпилированном виде в интернетах, если сам ковыряться не хочешь.

Что делать в случае обнаружения лажи?

Я бы начал с mozilla написав в их security команду и спросил у них, что делать. Они должны знать.

Как доказывать что это LE продался КГБ и выпустил левый сертификат для моей дняфки, а не я по пъяни его получил и забыл?

А как тут что-то можно доказать? Я не знаю. Думаю, можно запросить детали, как LE верифицировало заданный сертификат. Если это была DNS-верификация, можно запросить логи твоего хостера DNS, если они скажут, что не было такой записи, значит это уже не просто твои слова, а слова крупной компании за тобой. Если это была HTTP-верификация, тут уже ничего не докажешь. Всегда могут сказать, что это вирус на вашем дырявом сервере в тот момент был. Очевидно, если такие инциденты будут повторяться, к LE возникнут вопросы, расследования и аудиты.