История изменений
Исправление firkax, (текущая версия) :
Вот тут - поподробнее. Учитывая что у каждой 10к конторы свой корень. Как именно можно подделать корень? Подделывать для хомячков? Ну типа да.. но в риалтайме так можно будет делать через 10-15 лет, а вот расшифровать коммуникацию между доверенными узлами можно будет через 5-8 лет.
Речь про кастомный https без связи с внешним миром или про обычный? Я про то, что в стандартных браузерах, во-первых, в доверенном списке CA (+тех кто имеет подписанные ими intermediate сертификаты) куча сомнительных, потенциально коррумпированных, организаций, а, во-вторых, есть letsencrypt, который в комплекте с bgp spoof (доступно любому не совсем мелкому провайдеру) позволяет выписать сертификат на любой домен. Не говоря уж о том, что провайдер сайта (не говоря уже о хостере) может без всякого bgp спуфинга то же самое сделать.
Смешались в кучу кони, люди… Не ну серьёзно, ты веришь подписанту, если ты пользуешься системой которая верит хуй пойми кому
Повторю, тут было не про сертификат, а про выдачу данных прямиком с сервера по запросу разному степени автоматизации.
контролируешь корень доверия
С таким подходом обычно не https используют а ssh или vpn, хотя конечно угроз это не отменяет - алгоритмы шифрования схожие.
Исправление firkax, :
Вот тут - поподробнее. Учитывая что у каждой 10к конторы свой корень. Как именно можно подделать корень? Подделывать для хомячков? Ну типа да.. но в риалтайме так можно будет делать через 10-15 лет, а вот расшифровать коммуникацию между доверенными узлами можно будет через 5-8 лет.
Речь про кастомный https без связи с внешним миром или про обычный? Я про то, что в стандартных браузерах, во-первых, в доверенном списке CA (+тех кто имеет подписанные ими intermediate сертификаты) куча сомнительных, потенциально коррумпированных, организаций, а, во-вторых, есть letsencrypt, который в комплекте с bgp spoof (доступно любому не совсем мелкому провайдеру) позволяет выписать сертификат на любой домен. Не говоря уж о том, что провайдер сайта (не говоря уже о хостере) может без всякого bgp спуфинга то же самое сделать.
Смешались в кучу кони, люди… Не ну серьёзно, ты веришь подписанту, если ты пользуешься системой которая верит хуй пойми кому
Повторю, тут было не про сертификат, а про выдачу данных прямиком с сервера по запросу разному степени автоматизации.
Исправление firkax, :
Вот тут - поподробнее. Учитывая что у каждой 10к конторы свой корень. Как именно можно подделать корень? Подделывать для хомячков? Ну типа да.. но в риалтайме так можно будет делать через 10-15 лет, а вот расшифровать коммуникацию между доверенными узлами можно будет через 5-8 лет.
Речь про кастомный https без связи с внешним миром или про обычный? Я про то, что в стандартных браузерах, во-первых, в доверенном списке CA (+тех кто имеет подписанные ими intermediate сертификаты) куча сомнительных, потенциально коррумпированных, организаций, а, во-вторых, есть letsencrypt, который в комплекте с bgp spoof (доступно любому не совсем мелкому провайдеру) позволяет выписать сертификат на любой домен. Не говоря уж о том, что провайдер сайта (не говоря уже о хостере) может без всякого bgp спуфинга то же самое сделать.
Исходная версия firkax, :
Вот тут - поподробнее. Учитывая что у каждой 10к конторы свой корень. Как именно можно подделать корень? Подделывать для хомячков? Ну типа да.. но в риалтайме так можно будет делать через 10-15 лет, а вот расшифровать коммуникацию между доверенными узлами можно будет через 5-8 лет.
Речь про кастомный https без связи с внешним миром или про обычный? Я про то, что в стандартных браузерах, во-первых, в доверенном списке CA куча сомнительных, потенциально коррумпированных, организаций, а, во-вторых, есть letsencrypt, который в комплекте с bgp spoof (доступно любому не совсем мелкому провайдеру) позволяет выписать сертификат на любой домен. Не говоря уж о том, что провайдер сайта (не говоря уже о хостере) может без всякого bgp спуфинга то же самое сделать.