The party must go on!

То, что openssl.org исходники публикуют исключительно в виде тарболов - для меня однозначный и проверенный признак низкой культуры продукта.

ЗЫ А ещё у них на сайте можно было сделать unsubscribe любого емейла из мейллистов без всякого подтверждения :) Случайно наткнулся не далее как год назад, доложил админу.

накинулись на бедную опенэсеселочку аки зверюги

Бедной опенэсеселочке хотят сделать липосакцию, пластику, посадить на диету и заставить заниматься физкультурой. Звери.

! Причем практика показала, что к самоаодписанным сертификатам доверия больше.

Угу, особенно у пользователей, когда они зайдут на какой-нибудь openbiosproject.tld, а там «небезопасное соединение, советуем вам покинуть сайт» от твоего браузера.

Хм. Гентушники для своей багзилы наконец-то заюзали нормальный сертификат.

certificate pinning

And what?! Не, конечно клево свалить всю ответственность на юзера, но так или иначе надо проверять достоверность, особенно если self-signed серт может сделать каждый.

Ну да, MITM рулит...

man certificate pinning

And what?!

Как образом атакующий сможет успешно выполнить MITM атаку, если нам известен правильный сертификат/его отпечаток и браузер отказывается продолжать работу, когда этот самый сертификат меняется?

Вот децентрализованное решение http://www.theregister.co.uk/2013/11/03/crypto_boffins_propose_getting_rid_of...

если нам известен правильный сертификат/его отпечаток

Мне интересно как, в таком случае, осуществляет отзыв скомпроментированного серта? Возвращаясь к MITM, да, на компе у человека который знает серт, браузер материться - гут. Этот человек заходит с андроида, который понятия не имеет о серте на том конце и вот в этом месте может возникнуть MITM. Я же говорю, не стоит доверять безопасность юзера ему самому. Вот если обмениваться сертами через p2p... Конечно есть свои «подводные камни», но лучше чем бегать с пачкой сертов по инету

Мне интересно как, в таком случае, осуществляет отзыв скомпроментированного серта?

Не знаю возможно ли впиливать CRLDistributionPoints в самоподписной сертификат, но для такого дела можно и свой CA сделать, ключ которого хранить в оффлайновом хранилище.

self-signed de-facto объявленны вне закона.

Так почему я не могу получить cert на site.org и быть его CA на субдомены? А не могу, потому что SSL is broken

Криптография должна быть бесплатной и анархичной. Толко так она может победить. Текущая ситуация с CA — это тупик эволюции.

Посмотри, как сделал autistici.

http://www.autistici.org/en/ca/index.html

А именно: http://www.autistici.org/en/ca/verify.html

Для широких масс юзеров не подойдет, но для гиков — вполне.

Хотя да, гики или устанавливают дополнения для браузеров, которые следят за сменой сертификатов, или вырубают все CA и вручную добавляют исключения.

Ещё трекер: http://freshbsd.org/search?q=libssl

Охренеть. Спасибо.

и свой CA

т.е. возвращаемся к CA. Внимание вопрос - для чего городить огород если «все уже сделано до нас»? Я понимаю такое в рамках ынтырпрайза, но в глобальной сети выглядит как-то странно.

т.е. возвращаемся к CA.

Вопрос не в том, чтобы всем поголовно пользоваться именно self-signed сертификатами, а в том, чтобы перестать слепо доверять слабому звену в виде корневых сертификатов CA, которыми напичкан любой браузер/операционная система.

Внимание вопрос - для чего городить огород если «все уже сделано до нас»?

То что сделано до нас мягко говоря сломано. Большинство браузеров и прочего софта доверяет одновременно нескольким сотням (!) организаций, уполномоченным сертифицировать практически что угодно, и достаточно скромпроментировать всего лишь одну из них (прецеденты уже были), для того чтобы успешно и весьма незаметно («Но ведь замочек-то зелененький, значит безопасно!») проводить MITM атаки по всему интернету.