LINUX.ORG.RU

Если нет, то почему?

Потому что нефиг пихать швабру в жопу до того как это стало обязательным.

Deleted
()
Ответ на: комментарий от Deleted

Да, пользовался бы. Чем китайская швабра лучше нашей?

mandala ★★★★★
()
Ответ на: комментарий от mandala

Ну собстно я и намекнул на торговые площадки. :) А ещё возможно где-то для инет банкинга осталось.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)

Нет. Нужно раскладывать яйца в разные корзины.

Но это в типовом случае. Если же для Вашей деятельности представляет угрозу перлюстрация зарубежными спецслужбами или отзыв Вашего сертификата зарубежным CA по требованию зарубежных же спецслужб, то тогда наоборот - нужно пользоваться отечественным CA.

funky
()

Этот вопрос надо было задавать до появления LE.

Deleted
()

Если бы появился отечественный CA, пользовались бы вы SSL-сертификатами, которые он выпускает? Для сайта, для почты, для шифрования сообщений.

Ясное дело - нет.

Если нет, то почему?

Потому, что в наших реалиях - появиться такой CA может только для обеспечения тотальной слежки и цензуры. И что-бы там не говорили пропагандоны из зомбоящика, другие цели - вторичны. По крайней мере - для обычных пользовательских сайтов и сервисов.

К западным CA - у меня доверия тоже не так много. Но они находятся ТАМ, и особого вреда ЗДЕСЬ от того что я что-то крамольное напишу или прочту в условном пейсбуке - они мне причинить не могут.

PS: я не говорю про использование отечественного CA и шифрования для каких-то критически важных областей, вроде оборонки, или, например, тех-же госуслуг. Там где государству действительно требуется обеспечивать секретность - можно и отечественный CA запилить. Главное его не навязывать всем.

DawnCaster ★★
()

Ну и ещё, всё зависит от того как именно отечественный CA будет управлять приватными ключами. Будет он изготавливать сертификат используя CSR от пользователя, или всё будет делать на своей стороне. В первом случае, с натяжкой, можно говорить о каком-то доверии. И тут ещё можно подумать о его использовании. Во втором случае - однозначно, нет.

DawnCaster ★★
()
Последнее исправление: DawnCaster (всего исправлений: 1)

ТС, у тебя странные вопросы.

С одной стороны они логичные, но с другой для ответа на них не требуется проводить опрос, а ты ты занимаешься именно этим.

Больше похоже на проведение репрезентативной выборки или определения отношения к затронутой теме, или ещё того хуже выявление тех кто относится к затронутой теме определённым образом.

В любом случае, ты подозрительный тип и я бы тебе не доверял от слова «совсем».

vvn_black ★★★★★
()
Ответ на: комментарий от DawnCaster

В первом случае, с натяжкой, можно говорить о каком-то доверии.

Насколько я понимаю (а я может что-то не понимаю в SSL), плохой CA может выдать подписать сертификата кому угодно с вашим доменом, скажем секретным службам и они между сервером и клиентом могут создать перехватывающий прокси. Тогда вроде свой приватный ключ, который никому не отдавался, не спасет от MITM, и броузер не покажет проблему, разве не так?

Aber ★★★★★
()
Ответ на: комментарий от Aber

Тогда вроде свой приватный ключ, который никому не отдавался, не спасет от MITM, и броузер не покажет проблему, разве не так?

Для таких вещей есть CertificatePinning/HPKP и подобные механизмы. Но в остальном, вы правы. Мало того - на подобных вещах уже ловили китайцев с подконтрольным им CA. Потому я и говорю, что особого доверия к иностранным CA у меня тоже нет.

Но проблема массовой прослушки отечественного трафика для каких-то конкретных сайтов\сервисов западными чекистами решается как раз таки его маршрутизацией строго внутри страны. В случае каких-то таргетированных атак на конкретных пользователей\ведомства - не спасёт ничего кроме своевременного выявления кибер-лазутчиков. Отечественные CA тут не особо помогут.

DawnCaster ★★
()
Последнее исправление: DawnCaster (всего исправлений: 2)
Ответ на: комментарий от Aber

У меня такое же представление. Но слишком много легенд и суеверий относительно SSL-сертификатов, что требует прояснения.

ведь по сути, если весь мир будет использовать брендовые сертификаты (COMODO, VeriSign etc), то что мешает им в нужное время в нужном месте для нужных людей выпустить теневой промежуточный сертификат - дублёр и снифферить любой нужный трафик (через MITM).

и тогда встаёт другой вопрос, наличие отечественного сертификата позволит избежать этого и то, что у многих представляется как попытка ограничить свободу будет являться тактикой защиты информационного пространства страны (от практики слежения за трафиком из-за рубежа). это то, что сделали в Казахстане.

в вопросе доверять ли своим или чужим многие выбирают «доверять чужим» по принципу они далеко и не посадят. но разве цифровой суверинитет настолько дёшев что им можно поступиться?

или мы приходим к тому, что определённые действия властей, приводящие к подрыву доверия возвращаются в реальном физическом воплощении, когда для граждан лучше сотурдничество с «врагом», чем со «своим».

так или иначе, это если верно, что CA имеют потенциальную возможность выполнения MITM.

в то же время за Verisign уже известна практика работы на лево и на право, когда они, будучи крупнейшим сертифкационным центром вполне легально для провайдеров предоставляли услугу по возможности мониторинга содержимого траффика.

логика простая: если к Verisign доверия нет, то что говорить о других (COMODO, о компрометации которой даже в википедии написано, и других).

а цель одна: наконец вывести на свет истину о том, что самоподписанные сертификаты ничем не хуже брендовых.

Alexanderuser
() автор топика
Ответ на: комментарий от Alexanderuser

или мы приходим к тому, что определённые действия властей, приводящие к подрыву доверия возвращаются в реальном физическом воплощении, когда для граждан лучше сотурдничество с «врагом», чем со «своим».

Не хочу ещё больше вбрасывать, но, ИМХО, именно это и происходит. Только вы неправильно пишете про «сотурдничество с «врагом»». Это звучит как манипулирование и подмена понятий. Мы не на войне (по крайней мере ещё пока). Так что корректнее будет писать про «своих» и «чужих». И да, доверия к ним тоже не много. Просто, угроза исходящая от них для простых пользователей - намного ниже, по причинам которые вы сами и написали выше. Ну или она кажется для пользователей менее значительной. Доверие - штука такая.

а цель одна: наконец вывести на свет истину о том, что самоподписанные сертификаты ничем не хуже брендовых.

Дык, кто-же спорит. Проблема только в отсутствии нормальных механизмов обеспечения доверия для таких сертификатов. В текущей схеме с CA - эти механизмы хотя-бы есть. Другое дело, что работают они плохо.

DawnCaster ★★
()
Последнее исправление: DawnCaster (всего исправлений: 3)
Ответ на: комментарий от vvn_black

Больше похоже на проведение репрезентативной выборки

нет

определения отношения к затронутой теме

нет

выявление тех кто относится к затронутой теме определённым образом.

В любом случае, ты подозрительный тип и я бы тебе не доверял от слова «совсем».

понимаешь какая ситуация. перспектива внедрения «Казахского эксперимента» у нас вполне реальна, более того, возможно это произойдёт. и если будет так, то вот такие премудрые караси как ты как раз и будут нести часть ответственности за случившиеся. потому что имея знания и опыт, ты предпочёл отмолчаться, вместо того, чтобы для аудитории внести ясность в это мутное болото под названием SSL-сертификаты для шифрования траффика. множество людей приобретают сертифкаты на свои сайты, следуя призыву повально внедрять https, при этом совершенно не представляя до конца всей полноты вопроса. с другой стороны браузеры внедряют дикие практики в отношении самоподписанных сертификатов, полностью блокируя траффик (даже не предлагая кнопки «пропустить»). с третьей стороны развелись конторы, которые предлагают бесплатно SSL-сертификаты и число их клиентов уже семизначное. и данные феномены всё шире и шире масштабом. но зато ты можешь продолжать отмалчиваться с умным видом.

люди, которые через поисковик заходили б в эту тему, могли бы находить чёткий и краткий ответ на простой вопрос о том, что брендовые сертификаты излишни.

я не топлю за казахский вариант или за изменения законодательства в киберсфере в РФ, я просто хочу, чтобы этот топик помог пользователям в развенчании всех этих мифов вокруг SSL-сертификатов.

Alexanderuser
() автор топика
Ответ на: комментарий от DawnCaster

Только вы неправильно пишете про «сотурдничество с «врагом»».

утрируя. но боюсь у некоторых. представления именно в таких понятиях. с другой стороны такая дефиниция звучит логичнее в ракурсе постановки вопроса.

корректнее будет писать про «своих» и «чужих»

да это будет выглядить чище.

Alexanderuser
() автор топика
Ответ на: комментарий от Alexanderuser

разве цифровой суверинитет настолько дёшев что им можно поступиться

Дёшев? Поступиться? Он однозначно вреден и его нужно выжигать калёным железом.

вполне легально для провайдеров предоставляли услугу по возможности мониторинга содержимого траффика

Ссылку?

самоподписанные сертификаты ничем не хуже брендовых

Cамоподписанный сертификат эквивалентен незащищённому соединению.

slovazap ★★★★★
()
Ответ на: комментарий от slovazap

Cамоподписанный сертификат эквивалентен незащищённому соединению.

Не эквивалентен ни разу: если вы можете проверить его подлинность, то он будет ничем не хуже любого другого «нормального» сертификата.

DawnCaster ★★
()
Ответ на: комментарий от Alexanderuser

могли бы находить чёткий и краткий ответ на простой вопрос

о том, что брендовые сертификаты излишни

Тут есть противоречие, которые сводят твоё понимание вопроса на нет.

vvn_black ★★★★★
()
Ответ на: комментарий от DawnCaster

Не эквивалентен ни разу: если вы можете проверить его подлинность

Так это «если» ключевое. Если оно не было сразу написано большими буквами, утверждающий врёт и не понимает как работает TLS и CA инфраструктура. И ещё надо добавлять что работающих для простого пользователя «способов проверить его подлинность» кроме CA сейчас не существует.

slovazap ★★★★★
()
Последнее исправление: slovazap (всего исправлений: 2)
Ответ на: комментарий от slovazap

Cамоподписанный сертификат эквивалентен незащищённому соединению.

root-сертификат сертификационных центров является самоподписанным

Alexanderuser
() автор топика
Ответ на: комментарий от Alexanderuser

http://youngblog.hoster-ok.com/a-stoit-li-dorveryat-verisign/ http://xml.coverpages.org/NetDiscovery.html

А вы сами-то читали? Если что, там нет ни слова про прослушивание SSL.

root-сертификат сертификационных центров является самоподписанным

Я в курсе, и это никак не прибавляет корректности вашему заявлению.

slovazap ★★★★★
()
Ответ на: комментарий от slovazap

домодерировались, что специалисты слиняли с этого форума. по важным, существенным вопросам толком нечего ответить, одно хамство.

теперь только раздел Talks живой по сути. и то там сидят эксперты по школьникам и неуверенные в себе личности, которым в радость самоутверждаться через вонючие ответы посетителям форума.

P.S.: когда в РФ внедрят таки «казахский вариант» с сертификатами, я по крайней мере буду понимать, что это общество заслуживает такого.

P.P.S.:2 DawnCaster - спасибо.

Alexanderuser
() автор топика
Ответ на: комментарий от Alexanderuser

суверинитет настолько дёшев

Имеет место недопонимание роли государства в жизни современных человеков. Исторически и(в большинстве случаев) аж до начала прошлого столетия его роль – монополизация права «суверена» грабить местное население. Затем пришли «демократии», которые обещали безкровную передачу этого права. И вот тут мы сейчас находимся – на выработку лучшего варианта у нас просто не было времени.

Т.о. слово «суверенитет» для отдельного «гражданина» по прежнему означает примерно то же, что и «в лапах». Кроме тех, кому повезло оказаться на территориях, контролируемых более комфортными версиями.

DonkeyHot ★★★★★
()
Ответ на: комментарий от Alexanderuser

А ведь ты реально не читал, что там по ссылке. NetDiscovery - это про то, что бы провайдеры сотовой связи могли просто и удобно мониторить трафик. Это само тебе не хорошо и не плохо (зависит от целей мониторинга), но вот про расшифровку ssl-трафика там нет ни слова.

CaveRat ★★
()
Ответ на: комментарий от Alexanderuser

самоподписанные сертификаты ничем не хуже брендовых.

на него проще провести атаку MITM, по скольку не нужно договариваться с дядечкой о предоставлении теневого сертификата

SR_team ★★★★★
()
Ответ на: комментарий от Alexanderuser

с другой стороны браузеры внедряют дикие практики в отношении самоподписанных сертификатов

Это да, дебилизм. Не понимаю, почему они сайты с самоподписанным сертом считают опаснее, чем сайты с голым http

SR_team ★★★★★
()
Ответ на: комментарий от SR_team

Потому что иллюзия безопасности опаснее её отсутствия. // КО

t184256 ★★★★★
()

Нет. Если бы в вашем дворе появилась шаурмятня, вы бы перестали ходить в рестораны?

AlexAT
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.