Обнаружение tls соединений с сертификатом определенного CA

И чего же начнётся 28 сентября?

PS Срач на хабре уже начался.

Ссылку на срач

Может вот это - https://habr.com/ru/amp/post/688984/ ?

«Нет доверия к этому корневому сертификату» – да, именно так.

Из комментов оттуда.

Там ничего нет про 28 число.

белки_истерички.jpg

я немножко работы по поиску выполнил. теперь твоя очередь поискать.

«Роскомсвобода»: в случае необходимости только «Яндекс Браузер», «Сбер»: нужно ставить сертификаты на каждое устройство

https://habr.com/ru/news/t/689078/

Там тоже нет про 28-е.

Свидетели чебурнета снова поедят говна

ой вей, шо вы к цыферкам придирается, ну кросивое число.
главное скоро будетъ Чебурнет, Адъ и Израилъ !!111 а вы тут в нинужные технические подробности лезете.
надо лезть на баррикады с красными полосато-зведчатыми радужными да вообще похеръ я студент времени до пупа флагами !!!111

бсб же

Кто пойдет на баррикады? Все «борцы с крававым рыжимом» уже полгода как уехали в Узбекистан, Киргизию, Грузию, Сербию или даже дальше.

Увы, никто не освободит нас от крававого рыжима, все бойцы слились, и наслаждаются свободным Ынтырнетом без чигиздских мерзостей. :(

никто не освободит нас от крававого рыжима, все бойцы слились

Слава богу.

Не все уехали. Но те кто остались, будут использовать (и используют) совсем другие методы. Тебе они понравятся гораздо меньше.

Это какие методы, хуже чем чигиздские пытки и прочие мерзости, которые они более ста лет к нам применяют? Хуже чебурнета, промывающего наши скудные мозги проклятой пропагандой нечестивых анти-лгбт ценностей?

Уже баюсь…

нафига тебе dpi для этого? браузер и так истерику устроит в случае проблем с сертификатом. То что сбер и госы переезжают на левые сертификаты, вызывает только недоуменее, почему блин этого не сделали сразу?

Ого, откуда узнал? Или это я такой слоу… Новости только сегодня посыпались.

ТС вбросил и свалил. Вердикт: тролль.

С чего браузер устроит истерику если сертификат сервера подписан доверенным корневым сертификатом?

Пока абсолютно неясно кто создал этот корневой сертификат (подзаконные акты и пр.), кто и как там сможет получать сертификаты.

Главная проблема том, что от выдадут сертификат на *.com и браузеры это сожрут.

То, что нужно было раньше сделать национальный CA - это да. Но то, что творится сейчас - это лютый звездец.

От троля слышу!

В nDPI есть парсер tls, но разобраться в нем без знаний подробностей tls не так просто.

На сколько сложно определить, что используется определенный корневой сертификат?

sh check_http_ssl_cert www.sberbank.ru

depth=2 OU = GlobalSign Root CA - R3, O = GlobalSign, CN = GlobalSign
verify return:1
depth=1 C = BE, O = GlobalSign nv-sa, CN = GlobalSign RSA OV SSL CA 2018
verify return:1
depth=0 C = RU, ST = Moscow, L = Moscow, O = Sberbank of Russia PJSC, CN = sberbank.ru
verify return:1
DONE
notBefore=Aug 27 12:11:06 2021 GMT
notAfter=Sep 28 12:11:06 2022 GMT

Если его не продлят, то будет кучка проблем. Не думаю, что это единственный сертификат который закончится у сбера в ближайшее время.

Невалидный серификат на платежных шлюзах создаст проблемы многим.

кто мешает создать свой национальный CA?

Его и сделали.

https://habr.com/ru/news/t/688840

https://habr.com/ru/post/666520/

https://habr.com/ru/post/663464/

let’s encrypt ещё работает, или уже всё?

А что будет 28-го сентября 2022 года?

У кой-кого сертификаты протухнут… «журналисты и учёные» (ну ты понял)

Ты так пишешь, будто тебя ногам по почкам никогда не били.

Так национальным сертификатом можно любой mitm подписать, об том и срач.

Стрингобраузер не устроит.

Ужос. Вот поставлю Яндекс.Браузер, и сразу же по почкам ногами станут бить? Дык, уже давно поставил. Интересно было, и нужен второй браузер, т.к. работа с разными профилями в FF очень неудобно сделана, а контейнеры (которые в FF) - ещё хуже.

Жду, когда крававые чигизды придут через Яндекс.Браузер бить меня ногами. Сколько ещё осталось ждать?

Вы заставляете меня вспоминать боль. А так - ваши предпочтения в порнушке уже известны кому следует.

А ненациональным нельзя?

Это как?

Можно, но то кого надо mitm

не говори. Посмотрел, это только для юрлиц. Даже ИП не подходят. Судя по инструкции, с софтом не морочились, все на openssl сделали. Немного разочаровывает, думал, что это инициатива типа let’s encrypt

Правда я так понял, они дополняют сертификат сведениями об организации, а такой сертификат уже стоит подороже, а у них он (пока) бесплатен.

На хабре в комментариях говорится, что у Сбера протухает сертификат 28 сентября. И далее в интернете рунете пошла волна «чебурнет с 28 сентября».

Непонятно, каким образом еще один ЦС что-то вообще меняет? А let’s encrypt в свое время уже превратил чебурнет в чебурнет? comodo?

Я понимаю, что вопрос не по адресу, просто недоуменно замечаю, как глупо все это педалируется.

просто недоуменно замечаю, как глупо все это педалируется.

Это же Хабр. Там общаются «самые умные люди из Интернета». Они все планы коварных крававых чигиздов знают наперёд.

Можно. Но это будут последние дни сертификата, и количество жертв mitm будет сильно меньше.

это будут последние дни сертификата

О да, хомячки они же такие - никакой терпимости к зондам АНБ 😁

Сейчас в nDPI можно проверить sha1 первого (серверного) сертификата. Остальные пропускаются без анализа.

Доделать проверку sha1 для всех сертификатов в цепочке достаточно тривиально.

Вопрос закрыт.

Я тебя умоляю. Я же вижу, что на сертификате написано. А если вместо другого сайта мне зонд АНБ - я это увижу.

Но когда ВСЕ сайты предлагают через непонятный браузер с «гарантированным» сертификатом - то типа это то же самое? Ага. КОнечно.

Но это будут последние дни сертификата, и количество жертв mitm будет сильно меньше.

Почему? Кто уничтожит сертификат? Как? В чем разница?

Но когда ВСЕ сайты предлагают через непонятный браузер с «гарантированным» сертификатом - то типа это то же самое?

Что там непонятного в этих браузерах? Обычный хромиум, с тем же списком доверенных CA. В чем разница с любым хромом, edge, файрфоксом или браве?

Моя точка зрения

В массовом сознании введение чебурнета это одномоментное событие. В реальности это процесс. Он стартовал «не вчера». Будет продолжаться и после того часа X, который массы признают как дату введения «в эксплуатацию» чебурнета.

Ага, и все люди ведут себя так же, именно так реальность устроена)

В массовом хомячином сознании чебурнет должен был включиться по рубильнику в Кремле, а в реале его начали организовывать светлоликие эльфы, которые за свободу, равноправие и всё такое.

Это процесс. Танцуют все участвуют. «Старина Ньютон снова актуален*». Кто больше, кто меньше – я не берусь оценивать. Возможно, самые значимые события в этом процессе хомячками (нами) за таковые не воспринимаются.

Возможно, самые значимые события в этом процессе хомячками (нами) за таковые не воспринимаются.

Это 100%

в реале его начали организовывать светлоликие эльфы

Это кто, например?