Если нет, то почему?

Потому что нефиг пихать швабру в жопу до того как это стало обязательным.

Шифрование почты
CA

Да ты совсем поехал

Да, пользовался бы. Чем китайская швабра лучше нашей?

Не поверите, но они есть и ими пользуются.

У нас только для ЭЦП знаю.

Ну собстно я и намекнул на торговые площадки. :) А ещё возможно где-то для инет банкинга осталось.

Нет. Нужно раскладывать яйца в разные корзины.

Но это в типовом случае. Если же для Вашей деятельности представляет угрозу перлюстрация зарубежными спецслужбами или отзыв Вашего сертификата зарубежным CA по требованию зарубежных же спецслужб, то тогда наоборот - нужно пользоваться отечественным CA.

Этот вопрос надо было задавать до появления LE.

Если бы появился отечественный CA, пользовались бы вы SSL-сертификатами, которые он выпускает? Для сайта, для почты, для шифрования сообщений.

Ясное дело - нет.

Если нет, то почему?

Потому, что в наших реалиях - появиться такой CA может только для обеспечения тотальной слежки и цензуры. И что-бы там не говорили пропагандоны из зомбоящика, другие цели - вторичны. По крайней мере - для обычных пользовательских сайтов и сервисов.

К западным CA - у меня доверия тоже не так много. Но они находятся ТАМ, и особого вреда ЗДЕСЬ от того что я что-то крамольное напишу или прочту в условном пейсбуке - они мне причинить не могут.

PS: я не говорю про использование отечественного CA и шифрования для каких-то критически важных областей, вроде оборонки, или, например, тех-же госуслуг. Там где государству действительно требуется обеспечивать секретность - можно и отечественный CA запилить. Главное его не навязывать всем.

Ну и ещё, всё зависит от того как именно отечественный CA будет управлять приватными ключами. Будет он изготавливать сертификат используя CSR от пользователя, или всё будет делать на своей стороне. В первом случае, с натяжкой, можно говорить о каком-то доверии. И тут ещё можно подумать о его использовании. Во втором случае - однозначно, нет.

ТС, у тебя странные вопросы.

С одной стороны они логичные, но с другой для ответа на них не требуется проводить опрос, а ты ты занимаешься именно этим.

Больше похоже на проведение репрезентативной выборки или определения отношения к затронутой теме, или ещё того хуже выявление тех кто относится к затронутой теме определённым образом.

В любом случае, ты подозрительный тип и я бы тебе не доверял от слова «совсем».

В первом случае, с натяжкой, можно говорить о каком-то доверии.

Насколько я понимаю (а я может что-то не понимаю в SSL), плохой CA может выдать подписать сертификата кому угодно с вашим доменом, скажем секретным службам и они между сервером и клиентом могут создать перехватывающий прокси. Тогда вроде свой приватный ключ, который никому не отдавался, не спасет от MITM, и броузер не покажет проблему, разве не так?

Тогда вроде свой приватный ключ, который никому не отдавался, не спасет от MITM, и броузер не покажет проблему, разве не так?

Для таких вещей есть CertificatePinning/HPKP и подобные механизмы. Но в остальном, вы правы. Мало того - на подобных вещах уже ловили китайцев с подконтрольным им CA. Потому я и говорю, что особого доверия к иностранным CA у меня тоже нет.

Но проблема массовой прослушки отечественного трафика для каких-то конкретных сайтов\сервисов западными чекистами решается как раз таки его маршрутизацией строго внутри страны. В случае каких-то таргетированных атак на конкретных пользователей\ведомства - не спасёт ничего кроме своевременного выявления кибер-лазутчиков. Отечественные CA тут не особо помогут.

У меня такое же представление. Но слишком много легенд и суеверий относительно SSL-сертификатов, что требует прояснения.

ведь по сути, если весь мир будет использовать брендовые сертификаты (COMODO, VeriSign etc), то что мешает им в нужное время в нужном месте для нужных людей выпустить теневой промежуточный сертификат - дублёр и снифферить любой нужный трафик (через MITM).

и тогда встаёт другой вопрос, наличие отечественного сертификата позволит избежать этого и то, что у многих представляется как попытка ограничить свободу будет являться тактикой защиты информационного пространства страны (от практики слежения за трафиком из-за рубежа). это то, что сделали в Казахстане.

в вопросе доверять ли своим или чужим многие выбирают «доверять чужим» по принципу они далеко и не посадят. но разве цифровой суверинитет настолько дёшев что им можно поступиться?

или мы приходим к тому, что определённые действия властей, приводящие к подрыву доверия возвращаются в реальном физическом воплощении, когда для граждан лучше сотурдничество с «врагом», чем со «своим».

так или иначе, это если верно, что CA имеют потенциальную возможность выполнения MITM.

в то же время за Verisign уже известна практика работы на лево и на право, когда они, будучи крупнейшим сертифкационным центром вполне легально для провайдеров предоставляли услугу по возможности мониторинга содержимого траффика.

логика простая: если к Verisign доверия нет, то что говорить о других (COMODO, о компрометации которой даже в википедии написано, и других).

а цель одна: наконец вывести на свет истину о том, что самоподписанные сертификаты ничем не хуже брендовых.

или мы приходим к тому, что определённые действия властей, приводящие к подрыву доверия возвращаются в реальном физическом воплощении, когда для граждан лучше сотурдничество с «врагом», чем со «своим».

Не хочу ещё больше вбрасывать, но, ИМХО, именно это и происходит. Только вы неправильно пишете про «сотурдничество с «врагом»». Это звучит как манипулирование и подмена понятий. Мы не на войне (по крайней мере ещё пока). Так что корректнее будет писать про «своих» и «чужих». И да, доверия к ним тоже не много. Просто, угроза исходящая от них для простых пользователей - намного ниже, по причинам которые вы сами и написали выше. Ну или она кажется для пользователей менее значительной. Доверие - штука такая.

а цель одна: наконец вывести на свет истину о том, что самоподписанные сертификаты ничем не хуже брендовых.

Дык, кто-же спорит. Проблема только в отсутствии нормальных механизмов обеспечения доверия для таких сертификатов. В текущей схеме с CA - эти механизмы хотя-бы есть. Другое дело, что работают они плохо.

Больше похоже на проведение репрезентативной выборки

нет

определения отношения к затронутой теме

нет

выявление тех кто относится к затронутой теме определённым образом.

В любом случае, ты подозрительный тип и я бы тебе не доверял от слова «совсем».

понимаешь какая ситуация. перспектива внедрения «Казахского эксперимента» у нас вполне реальна, более того, возможно это произойдёт. и если будет так, то вот такие премудрые караси как ты как раз и будут нести часть ответственности за случившиеся. потому что имея знания и опыт, ты предпочёл отмолчаться, вместо того, чтобы для аудитории внести ясность в это мутное болото под названием SSL-сертификаты для шифрования траффика. множество людей приобретают сертифкаты на свои сайты, следуя призыву повально внедрять https, при этом совершенно не представляя до конца всей полноты вопроса. с другой стороны браузеры внедряют дикие практики в отношении самоподписанных сертификатов, полностью блокируя траффик (даже не предлагая кнопки «пропустить»). с третьей стороны развелись конторы, которые предлагают бесплатно SSL-сертификаты и число их клиентов уже семизначное. и данные феномены всё шире и шире масштабом. но зато ты можешь продолжать отмалчиваться с умным видом.

люди, которые через поисковик заходили б в эту тему, могли бы находить чёткий и краткий ответ на простой вопрос о том, что брендовые сертификаты излишни.

я не топлю за казахский вариант или за изменения законодательства в киберсфере в РФ, я просто хочу, чтобы этот топик помог пользователям в развенчании всех этих мифов вокруг SSL-сертификатов.

Только вы неправильно пишете про «сотурдничество с «врагом»».

утрируя. но боюсь у некоторых. представления именно в таких понятиях. с другой стороны такая дефиниция звучит логичнее в ракурсе постановки вопроса.

корректнее будет писать про «своих» и «чужих»

да это будет выглядить чище.

разве цифровой суверинитет настолько дёшев что им можно поступиться

Дёшев? Поступиться? Он однозначно вреден и его нужно выжигать калёным железом.

вполне легально для провайдеров предоставляли услугу по возможности мониторинга содержимого траффика

Ссылку?

самоподписанные сертификаты ничем не хуже брендовых

Cамоподписанный сертификат эквивалентен незащищённому соединению.

Cамоподписанный сертификат эквивалентен незащищённому соединению.

Не эквивалентен ни разу: если вы можете проверить его подлинность, то он будет ничем не хуже любого другого «нормального» сертификата.

могли бы находить чёткий и краткий ответ на простой вопрос

о том, что брендовые сертификаты излишни

Тут есть противоречие, которые сводят твоё понимание вопроса на нет.

Не эквивалентен ни разу: если вы можете проверить его подлинность

Так это «если» ключевое. Если оно не было сразу написано большими буквами, утверждающий врёт и не понимает как работает TLS и CA инфраструктура. И ещё надо добавлять что работающих для простого пользователя «способов проверить его подлинность» кроме CA сейчас не существует.

Ссылку?

http://youngblog.hoster-ok.com/a-stoit-li-dorveryat-verisign/

http://xml.coverpages.org/NetDiscovery.html

Cамоподписанный сертификат эквивалентен незащищённому соединению.

root-сертификат сертификационных центров является самоподписанным

http://youngblog.hoster-ok.com/a-stoit-li-dorveryat-verisign/ http://xml.coverpages.org/NetDiscovery.html

А вы сами-то читали? Если что, там нет ни слова про прослушивание SSL.

root-сертификат сертификационных центров является самоподписанным

Я в курсе, и это никак не прибавляет корректности вашему заявлению.

домодерировались, что специалисты слиняли с этого форума. по важным, существенным вопросам толком нечего ответить, одно хамство.

теперь только раздел Talks живой по сути. и то там сидят эксперты по школьникам и неуверенные в себе личности, которым в радость самоутверждаться через вонючие ответы посетителям форума.

P.S.: когда в РФ внедрят таки «казахский вариант» с сертификатами, я по крайней мере буду понимать, что это общество заслуживает такого.

P.P.S.:2 DawnCaster - спасибо.

суверинитет настолько дёшев

Имеет место недопонимание роли государства в жизни современных человеков. Исторически и(в большинстве случаев) аж до начала прошлого столетия его роль – монополизация права «суверена» грабить местное население. Затем пришли «демократии», которые обещали безкровную передачу этого права. И вот тут мы сейчас находимся – на выработку лучшего варианта у нас просто не было времени.

Т.о. слово «суверенитет» для отдельного «гражданина» по прежнему означает примерно то же, что и «в лапах». Кроме тех, кому повезло оказаться на территориях, контролируемых более комфортными версиями.

Допускаю, что юноша имел ввиду smtps.

А ведь ты реально не читал, что там по ссылке. NetDiscovery - это про то, что бы провайдеры сотовой связи могли просто и удобно мониторить трафик. Это само тебе не хорошо и не плохо (зависит от целей мониторинга), но вот про расшифровку ssl-трафика там нет ни слова.

самоподписанные сертификаты ничем не хуже брендовых.

на него проще провести атаку MITM, по скольку не нужно договариваться с дядечкой о предоставлении теневого сертификата

с другой стороны браузеры внедряют дикие практики в отношении самоподписанных сертификатов

Это да, дебилизм. Не понимаю, почему они сайты с самоподписанным сертом считают опаснее, чем сайты с голым http

Потому что иллюзия безопасности опаснее её отсутствия. // КО

Нет. Если бы в вашем дворе появилась шаурмятня, вы бы перестали ходить в рестораны?