История изменений
Исправление Stanson, (текущая версия) :
В MitM от роскомнадзора, или кто там этими сертификатами занимается.
Между тем, CNNIC в отличии от «роскомпозора или кто там этими сертификатами занимается», уже ловили за жопу за выпуск левых сертификатов для известных сайтов именно для MitM.
И именно firefox и chrome снова и снова пихают «Trusted» CA от CNNIC в хранилище своих сертификатов при каждом обновлении.
При этом, то, что неизвестно сколько сертификатов для MitM выпустили всякие амазоны, диджисерты и прочие летсенкрипты вовсе не является доказательством что они этого не делали.
Так что уж кто бы вякал про MitM, так уж точно не мозилла с гуглем.
В /etc/ssl/certs сертификаты контролирует рут системы. В хранилищах браузеров сертификаты контролирует производитель браузера.
Вообще, конечно, шифрование это вообще не браузера собачье дело. Браузер должен рендерить HTMLку и больше ничего. Ни резолвинг, ни установление соединения, ничего кроме рендеринга HTMLки браузер делать не должен в принципе.
Сертификатам вообще не место в браузере, это не его собачье дело.
ЗЫ: Это без учёта того, что вообще вся система Trusted CA должна быть уничтожена на корню, ибо является принципиально неустранимой дырищей в безопасности. То, что какие-то мазиллы с гуглями считают их Trusted ыообще ни разу не означает что они действительно Trusted для юзера. Любой самоподписанный сертификат намного секьюрнее сертификата подписанного чужими дядями. Которые легко могут подписать что угодно, кому угодно. Нет вообще никаких гарантий что они этого не делают, нет никакого способа для конечного пользователя проверить что они этого не делают, и нет вообще никакого наказания за то, что они это делают. Полнейший идиотизм. Один чужой дядя (мерзкий, причём, скользкий, всё норовит сзади зайти и считает это нормой) говорит - «вот ты, юзер должен безоговорочно доверять вот этому моему списку чужих дядей». И в этом списке дяди ничуть не менее мерзкие. Охеренно секьюрно, ага, щаз. Надо быть конченным дебилом чтобы на это покупаться.
Вот честно, всякие минцифры и роскомпозоры начинают выглядет не так уж и мерзко по сравнению с этой мразотой.
Исходная версия Stanson, :
В MitM от роскомнадзора, или кто там этими сертификатами занимается.
Между тем, CNNIC в отличии от «роскомпозора или кто там этими сертификатами занимается», уже ловили за жопу за выпуск левых сертификатов для известных сайтов именно для MitM.
И именно firefox и chrome снова и снова пихают «Trusted» CA от CNNIC в хранилище своих сертификатов при каждом обновлении.
При этом, то, что неизвестно сколько сертификатов для MitM выпустили всякие амазоны, диджисерты и прочие летсенкрипты вовсе не является доказательством что они этого не делали.
Так что уж кто бы вякал про MitM, так уж точно не мозилла с гуглем.
В /etc/ssl/certs сертификаты контролирует рут системы. В хранилищах браузеров сертификаты контролирует производитель браузера.
Вообще, конечно, шифрование это вообще не браузера собачье дело. Браузер должен рендерить HTMLку и больше ничего. Ни резолвинг, ни установление соединения, ничего кроме рендеринга HTMLки браузер делать не должен в принципе.
Сертификатам вообще не место в браузере, это не его собачье дело.
ЗЫ: Это без учёта того, что вообще вся система Trusted CA должна быть уничтожена на корню, ибо является принципиально неустранимой дырищей в безопасности. То, что какие-то мазиллы с гуглями считают их Trusted ыообще ни разу не означает что они действительно Trusted для юзера. Любой самоподписанный сертификат намного секьюрнее сертификата подписанного чужими дядями. Которые легко могут подписать что угодно, кому угодно. Нет вообще никаких гарантий что они этого не делают, нет никакого способа для конечного пользователя проверить что они этого не делают, и нет вообще никакого наказания за то, что они это сделают. Полнейший идиотизм. Один чужой дядя (мерзкий, причём, скользкий, всё норовит сзади зайти и считает это нормой) говорит - «вот ты, юзер должен безоговорочно доверять вот этому моему списку чужих дядей». И в этом списке дяди ничуть не менее мерзкие. Охеренно секьюрно, ага, щаз. Надо быть конченным дебилом чтобы на это покупаться.
Вот честно, всякие минцифры и роскомпозоры начинают выглядет не так уж и мерзко по сравнению с этой мразотой.