Сертификат Минцифры и гэбня

Это не много и не мало, это ровно столько сколько прописано в законодательстве. Хотя может уже что-то и поменялось, не слежу за этим.

А я тебе еще раз повторю, что аналогия не корректна.

Ну что за детский сад.

...не требую чтобы мне на основании стажа и образования прямо сейчас дали должность директора УЦ. Хотя кстати ко мне периодически подходят и предлагают за вознаграждение формально оформиться на должность директора контор...

Курьеры, курьеры, 30 тыщ одних курьеров.

Да нет, это не курьеры, это реалии. Даже за 3 года стажа около 30к в месяц легко по совместительству, просто за оформление на должность инженера по ИБ. Ничего при этом не делать.

На вопрос про что такое безопасность кстати так никто и не ответил.

Собственно вопрос в том, что делать в случае, если не доверяешь какому-то определенному УЦ.

А они есть какие-то основания, не доверять?

Я предпочитаю добавлять сертификаты конкретных сайтов в исключения

Наверное «конкретные сертификаты сайтов»? А как это поможет от промежуточных и копий корневых.

Ну Ок. Опять же с чего мне верить? Это всего-лишь текст какого-то ноунейма в интернет.
А что не хочешь? Не числиться. Работать. Ты такой спец. Выстроил бы инфраструктуру, которая предотвращает техническую возможность утечек и неправомочного изготовления и распространения. Глядишь и Шадаева сменишь. А то он распустил всех, только и ждут как начать сертификатами налево-направо торговать.

Потому что инженером я уже и так более-менее формально работаю, а директор это уже ответственность. Деньги предлагают не за поработать, и даже не за посидеть в тюрьме, а за то чтобы числиться в нормальной законопослушной конторе. Работать есть кому, но по формальынм признакам люди не имеют право это делать. Хотя в последние лет пять стало проще, хоть сертифицированные онлайн-курсы появились, где можно получить ххотя бы образование сранвительно быстро и недорого.

А спец из меня тот еще, формальный стаж и часы образования они человека спецом делают только с точки зрения законодательства.

Ладно, дело в любом случае не в этом

1. Столь обожаемые зарубежные УЦ, где строгая отчётность и т.д. уже палились на выдаче подделок и не раз.

Кто из них остался при делах?

Массово пока нет, в частных случаях ни что не мешает использовать. А раз ни что не мешает, считай по дефолту, что используют.

Браузеры, сливающие всю активность гуглу и мозилле помешают. Такой УЦ моментально в черный список попадет.

Вспоминается «нельзя купить/продать золотые часы». В гугле не нашёл, поскольку точной цитаты не помню, а выдача запомоена всякими ломбардами.
К тебе у меня никаких претензий вообще быть не может. Ты извини, что я так вот на прессинг перешёл, но у меня всегда подгорало от вопроса выбора вектора доверия. Как можно выбирать, какому УЦ без прозрачности можно доверять, а какому ни в коем случае нельзя? Как вы это делаете? Почему до сих пор вы живёте здесь, а не там, где деньги устные?

Закрылись только датчане, насколько я помню.

копии сертификатов уц будут продавать

А ты точно специалист по ИБ после 500 часов курсов?

А тут ещё не поймали, а визга на 100500 медуз развели.

Более того, сейчас огромное количество людей просто мечтает поймать минцифры, чтобы сказать «я же говорил», поэтому всё, что связано с сертификатами минцифры, изучается намного более скрупулёзно, чем того же гугла.

Нортон, гугл, французское правительство.

Ещё как минимум ЦРУ-шный trustcor. Но тот же Нортон жив и здоров, выдаёт.

100% точно, и в теме безнаказанности на высоком уровне. Могу например вспомнить сравнительно недавнюю историю про аккредитацию УЦ для выдачи ЭП для налоговой, когда ни один УЦ (кроме одного) ее получить не с смог, даже такой гигант как Контур. Зато удивительно быстро получила ее одна контора кажется из города Н, про которую мало кто слышал, которая быстренько пооткрывала типа франчайзингов/филиальчиков по всей стране, устроила специалистов из этих филиальчиков себе в штат на 1/10 ставки и начала выдавать подписи, забрав 100% тех, кто не хотел идти в налоговую мараться о плебс. Я сейчас слегка не в теме, но совсем не удивлюсь если эта история длится до сих пор. Все про это знали, всем было все ясно, ФСБ приходило (а иногда и не приходило, хотя по закону были обязаны) сертифицировать эти филиальчики. Понес ли кто-то ответственность? Нет.

Браузеры, сливающие всю активность гуглу и мозилле помешают. Такой УЦ моментально в черный список попадет.

Пользователи собственноручно ставят сертификат Минцифры, либо яндекс браузер.

Сертификат Минцифры и гэбня (комментарий)

google://mitm с подменой сертификата

Сертификат Минцифры и гэбня (комментарий)

Вопрос был про то, что может сделать ТОЛЬКО лишь серт, без доп. ПО)

Про я-зонды в курсе 😊

Какое доп по? У пользователя стоит сертификат Минцифры в браузере, это всё, что нужно. ТСПУ установлено у всех провайдеров, весь пользовательский трафик идёт через ТСПУ. ТСПУ может подменить всё, что угодно, так как там есть сертификат, позволяющий это делать, подписанный сертификатом Минцифры. Что такое mitm представляешь?

Что такое mitm представляешь?

Смутно :)

ТСПУ может подменить всё, что угодно, так как там есть сертификат

Вот в этом сомневаюся.

Смутно :)

Атака Main in the middle. Злоумышленник вклинивается в соединение между клиентом и сервером, и выдаёт себя за сервер для клиента. При этом он может пересылать запросы клиента на реальный сервер и пересылать ответы сервера обратно клиенту. И, так как клиент устанавливает защищённое соединение не с настоящим сервером, а со злоумышленником, злоумышленнику не надо взламывать зашифрованное соединение.

Вот в этом сомневаюся.

Кто?

Использует ли сейчас власть сертификат минцифры для прослушивания трафика пользователя до третьих сайтов?

Не использует.

То есть, если у сайта есть нормальный сертификат, выданный зарубежным УЦ, но при этом, если на него заходить из России, то будет организован MitM, и пользователь, установивший сертификат минцифры, этого не заметит?

А пользователь, не установивший сертификат минцифры заметит и напишет про это на хабре. А я прочитаю. Поскольку я не читал, значит не было такого.

А пользователь, не установивший сертификат минцифры заметит и напишет про это на хабре. А я прочитаю. Поскольку я не читал, значит не было такого.

Поскольку ты не читал, ты просто об этом не читал. Это не значит, что такого не было. А возможность этого всегда есть.

Возможность есть, не спорю. Всякие стрёмные сертификаты лучше ставить в фаерфокс, откуда и ходить на всякие стрёмные сайты. А на нормальные сайты ходить из гугль хрома, безопасность которого гарантируется всеподавляющей мощью американской военной машины, перед которой даже роскомнадзор пасует.

Именно.

Трасткоровские сертификаты отовсюду выкинули, но он сам живёт вполне и занимается всё той же безопасностью и у них можно заказать и DV и OV и wild.

Так эта контора из города Н выпускала вторичные корневые и поддельные промежуточные сертификаты? Или только наварилась используя блат на выдаче ЭП для конечных пользователей у налоговой?

но он сам живёт вполне

Всё по тому же адресу?

А поддельные сертификаты в этой истории где?

Я не помню какой у них был адрес.

Пользователи собственноручно ставят сертификат Минцифры

Емнип черный список блокирует в т.ч. «собственноручные»

либо яндекс браузер.

Это всем признакам вредоносный троян.

А поддельные, (а точнее настоящие), сертификаты в этрй истории вот где.

Люди которые всем этим управляют - аферисты. Причем аферисты, умеющие проводить масштабные аферы, и привыкшие к абсолютной безнаказанности. От них можно ожидать чего угодно.

В качестве примера - убедить людей установить «сертификаты минцифры», поднять бесплатный ВПН-сервис, с помощью РКН сделать работу в инете невыносимой и загнать людей на этот впн, потому что все остальное или не пробивает файрвол, или сложно или дорого. Дать людям поиграться пару месяцев, а потом установить туда проксю с поддельными/настоящими «сертификатами минцифры» и по быстрому избавить как можно больше людей от паролей, аккаунтов, денег и прочих биткоиндтов. А потом свалить вину на самих жертв, мол мы же вас предупреждали что ВПНы крадут ваши куки. А ботанов, которые начнут блеять про «сертификаты минцифры» которых на этих доменах не должно было быть, начать штрафовать на 300к за возбуждение ненависти к неустановленной группе лиц, пока не заткнутся. И это только первое что в голову пришло помимо банальной распродажи сертификатов, вот как сейчас банковскими базами торгуют. И я уверен, что у них достаточно и других интересных идей которые лично мне в голову не придут, потому что я не аферист.

Ты мне на это возможно в грубой форме возразишь, что это все глупости, и что «не могут же они».

Тогда я тебе на это отвечу, что это ты так думаешь только потому, что меряешь людей по себе. Ты даже не знаешь с какой стороны подойти к реализации такой аферы, и тебе кажется что это невозможно и для других. А это не так. Они знают, могут, не боятся, и при случае обязательно сделают.

Поэтому ко всем этим начинаниям типа «сертификатов минцифры» с неясной пользой для тебя лично отношение может быть только одно - не прикасаться, не использовать, и по аозможности убеждать делать так же других.

Здание заброшенного склада :-)

А технические аргументы будут?

банальной распродажи сертификатов, вот как сейчас банковскими базами торгуют.

Ладно, технические аргументы можешь не приводить, тут и так всё понятно.

Ты для ФБК сценарии не пишешь случайно?

Надо сказать чуваку, что USAID уже закрыли, он походу не в курсе.

А в техническом отношении главные аргумент - ты добровольно отказываешься от всех четырех преимуществ криптографии. Любой узел в инете через который идет твой траф сможет это сделать - незаметно для тебя поднять прокси, который будет на лету выпускать сертификаты для любого домена с которому ты коннектишься, и общаться с тобой от имени этого домена.

Но все-таки самый главный аргумент - это просто не иметь дел с аферистами и шулерами. Не задумываясь особенно о технической стороне вопроса.

Любой узел в инете через который идет твой траф сможет это сделать - незаметно для тебя поднять прокси, который будет на лету выпускать сертификаты для любого домена с которому ты коннектишься, и общаться с тобой от имени этого домена.

И как только он это сделает, вой будет стоять до небес. Воя нет.

Не задумываясь особенно о технической стороне вопроса

А вот задумываться о технической стороне вопроса надо, иначе будешь верить всяким шулерам, которые тебе говорят, что все другие шулеры.

Ну то есть я тебе ответил на вопрос, как это работает в техническом отношении, это уже хорошо, хотя по-моему такая прокся с выпуском сертификатов на лету это очевидная вещь.

На «Воя нет» я тебе тоже отвечу - пока нет. Пока и сертификатов этих «минцифры» почти ни у кого нет в доверенных. А когда будет - будет уже поздно. Будет как с обзвоном по банковским базам - полнейшная безнаказанность. На один отозванный сертификат будет появляться два новых, а на каждом сайте сертификат смотреть никто не будет кем он выпущен, 99% даже не знают где это и не должны знать. Это если просто их будут продавать на черном рынке. А продавать их будут, потому что это Россия, здесь всегда так было и нет оснований полагать, что в данном случае будет какое-то исключение.

А если за дело возьмутся аферисты, которым всем этим делом управляют, то там уже возможны совсем интересные варианты.

Хотя я уже повторяюсь.

Ну нельзя сказать что всё, о чём пишет товарищ, не реализуемо.
Вот например https://www.ssllabs.com/ssltest/analyze.html?d=sberbank.ru
Даже пининга нет. И топ всего-лишь tls-1.2, который уже по факту deprecate.

Какого пининга? HPKP? Так он устарел уже лет 10 как и браузеры его не поддерживают.

Тогда надо СТ и/или Expect-CT, но тут тоже облом.

Пока таких случаев не зафиксировано.

А кто проводит сбор и анализ информации? В любом случае, это если и используется, то не афишируется. Если есть цель, будут использовать, но сбор общих данных? Может быть весь этот вой в СМИ по поводу ИИ, как раз и про то что могут в ближайшем будущем через ИИ всю информацию проводить? Я не знаю, я тупенький.

А кто проводит сбор и анализ информации?

Любой IT-шник. Если у тебя не окажется в браузере корневого сертификата которым подписан сертификат хоста то вместо незаметного MITM пользователь увидит ERR_CERT_AUTHORITY_INVALID.

- Your connection is not private
- Attackers might be trying to steal your information from xxxxxxx.xxx (for example, passwords, messages, or credit cards). Learn more about this warning
- net::ERR_CERT_AUTHORITY_INVALID

Что-то мне это напоминает.

На «Воя нет» я тебе тоже отвечу - пока нет.

Покайтесь, ибо грядет День Великой Подделки Сертификатов, когда каждый VPN обратиться в пыль и все пароли станут известны.

Лишь те, кто уверовал и не поставил себе проклятый сертификат от Минцифры, спасёт свои пароли и обойдёт его чаша сия.

Пока и сертификатов этих «минцифры» почти ни у кого нет в доверенных. А когда будет

И каждый, кто соблазнился и поставил на себе проклятый сертификат Минцифры, приближает день апокалипсиса. Блажен тот, кто не прикасается к этому сертификату, ибо он спасётся. Блаженны проповедники, которые несут свет Истины и уберегают людей от соблазнов. Блаженны отшельники и аскеты, не вкушающие плода проклятого сертификата, ибо они отодвигают наступление Судного Дня.

Ты сам-то замечаешь, что ты на полном серьёзе проповедуешь религию?

Предлагаю автоматизировать
yes | openssl s_client -connect URL:443 2>&1 | grep -c self-signed
Если ноль, то и браузер скорее всего промолчит.
Вот выхлоп если нет корневого сертификата минцифры
yes | openssl s_client -connect sberbank.ru:443 2>&1 | grep -c self-signed
3

Я сейчас не буду спрашивать, зачем надо похерить почти десять лет работы минцифры и других ведомств, чтобы перехватить доступ к, гкхм, сбербанку )

Реализуемо, конечно. И Орешник может по Вашингтону прилететь — технически это реализуемо. И интернет в России можно отключить уже четыре года как, технически это реализуемо.

Много что технически можно реализовать — вопрос в стоимости такого акта по сравнению со стоимостью выгод, которые он принесёт. Украсть пароли от VPN?

Плюс, хрупкий механизм неверия в SSL держится на невысказанном предположении о том, что минцифры хочет взламывать ваши VPN. А оно хочет? Мы лет 10 читали на лоре о том, как минцифры хочет отключить в России интернет, рубильник готов уже четыре года, и внезапно выясняется, что намерения-то такого и нет.

Да, пусть моё предположение будет высказанным: минцифры прекрасно справляется со своими задачами и без взлома VPN.

Емнип черный список блокирует в т.ч. «собственноручные»

Тебе на работе могут выдать свой корневой серт для доступа ко внутренним корпоративным ресурсам. Некоторые антивирусы имеют трафик аналайзеры, фактически они делают MITM на хосте пользователя подсовывая свой корневой серт. Короче, левые корневые сертефикаты вполне обычная практика.

Те же люди, которые заметили предыдущие случае. Любой желающий может проверить сертификат, есть онлайновые сервисы, периодически загружающие сертификаты, есть случайные IT специалисты, есть администраторы сайтов.

И, как я выше говорил, поскольку это минцифры, а не абы кто, в случае, если её поймают за руку, вой будет стоять такой, что ты не сможешь увернуться.

Мы ещё в прошлом обсуждении случая с поддельным сертификатом LE для jabber.ru какой-то набор программ упоминали, лень искать.