Сертификат Минцифры и гэбня

Нет, зато всякие немецкие хостинг-провайдеры используют для этого сертификаты letsencrypt.

А почему появились сертификаты эти, га? Кто это сделал?

«Все, что сделал предъявитель сего сертификата - сделано по моему приказу и для блага государства»

       Генерал-майор              А.Ришелье

Зачем пропускаешь прием таблеток?

Пока таких случаев не зафиксировано. Поверь мне, ты не сможешь пропустить вой, который поднимется в случае чего.

то будет организован MitM,

Как тебе это сам по себе сертификат организует без дополнительного ПО?

Могут конечно.

Но я бы не только слежки опасался, но в первую очередь что эти корневые сертификаты минцифры продадут как все остальное продают, покупатели поднимут бесплатные впн или прокси и начнут с их помощью пароли и деньги тырить у лопоухих клиентов.

Так что лучше не ставить.

Но ведь любой УЦ может это сделать. И поправка, не корневые, а промежуточные.

Не может. В уц отчетность слишком строгая, с видеофиксацией и прочим, сразу запалят.

Тем более что суть не в том чтобы подписать сертификат одого конкретного домена, а чтобы подписывать все домены подряд на лету.

Как тебе это сам по себе сертификат организует без дополнительного ПО?

Тебе ТСПУ мало?

2. Для этого не нужен корневой.
1. Столь обожаемые зарубежные УЦ, где строгая отчётность и т.д. уже палились на выдаче подделок и не раз.
0. Матчасть бы тебе подучить.

Использует ли сейчас власть сертификат минцифры для прослушивания трафика пользователя до третьих сайтов? То есть, если у сайта есть нормальный сертификат, выданный зарубежным УЦ, но при этом, если на него заходить из России, то будет организован MitM, и пользователь, установивший сертификат минцифры, этого не заметит?

Массово пока нет, в частных случаях ни что не мешает использовать. А раз ни что не мешает, считай по дефолту, что используют. Это как если ты случайному Васяну на улице расскажешь все твои пароли, совершенно не факт, что этот Васян воспользуется этой информацией, но уровень твоей безопасности уже от факта потенциальной возможности будет помножен на 0.

1. Столь обожаемые зарубежные УЦ, где строгая отчётность и т.д. уже палились на выдаче подделок и не раз.

Хотелось бы конкретики.

Всё равно хоть убей не соображу как это должно работать)

ТСПУ это же про дпи и шейпинг, как он может что-то там в серт сайта нагадить и это же будет видно тем у кого минцифра не установлена.

Короче не складывается в голове у меня кубик.

Например DigiNotar

https://addons.mozilla.org/en-US/firefox/addon/certificate-pinner/ - вот держи шапочку из фольги если всерьез обеспокоен.
Ну или второй вариант держи 2 бровсера: один с российскими сертификатами (банки, гособслуги и прочее) и без него.

ТСПУ не причем. Злонамеренный удостоверяющий центр (УЦ) может подписать «левый» сертификат для сайта, которым воспользуется MITM для перехвата и подмены трафика.

См. https://www.opennet.ru/opennews/art.shtml?num=35754 https://www.opennet.ru/opennews/art.shtml?num=33127

В данном случае ТС подозревает в злонамеренности УЦ минцифры.

и это же будет видно тем у кого минцифра не установлена

Вообще для выявления факта выписывания «левых» сертификатов есть такая штука как cert trancparency (https://certificate.transparency.dev/howctworks/). Публичные журналы выдачи сертификатов.

Транспаренси (няп) требует активного содействия УЦ.

А вот SSL Observatory да, позволяет выявить и вроде уже выявляла подставные сертификаты. Жаль, что забросили.

Да, не корневой конечно, а промежуточный уц.

Иностранные уц палились на выдаче подделок при условии что при первоначальной проверке домена хостинг маршрутизирует IP не туда, куда указал вебмастер. То есть нужен злой умысел со стороны хостера. Чтобы прямо продали свой сертификат непонятно кому я лично в последние годы не помню такого.

дпи и шейпинг - значит траф проходит через их сервер. При условии что есть возможность подписать сертификат ssl любого домена своим доверенным сертификатом - на этом же сервере разворачивается прокси, который с одной стороны работает с клиентом прикидываясь сервером, а с другой с сервером с которым пытался соединиться клиент, прикидываясь клиентом. Браузер клиента это молча примет, потому что сертификаты минцифры установлены в доверенные, а пользователь не полезет каждый раз проверять с каким конкретно сертификатом работает ssl. И веб сервер с другой стороны точно так же примет.

А если днс свой?

Чтобы прямо продали свой сертификат непонятно кому я лично в последние годы не помню такого.

Вот прямо над твоим сообщением про турок написано. Там вполне так торговали вторичными корневыми сертификатами.

Какую роль здесь играет днс сервер?

А при чем тут днс, трафик-то все равно маршрутизируется провайдером через фильтрующие сервера. IP при этом не меняется.

И я вот кстати думаю что до сих пор не сделали установку сертификатов минцифры обязательной только потому, что сами понимают, что это будет конец всей онлайн экономике страны. Сертификаты обязательно продадут и такие прокси будут стоять у каждого второго провайдера.

Кто их продаст?

А вот с самого верха кто всем этим заведует те и проддут, тек кто на 100% уверены в своей безнаказаности. Причем продадут не один раз, а много. Один сертификат отзовут через неделю или две будет продан новый.

Почему сейчас этого не делают? Кто мешает?

IP при этом не меняется.

Ну если так тогда да.

В целом вроде понял схему, но мне кажется больно мудрёно. Вон с ютубом-то мудрили и полсети лежало. Да и конкретно самой минцифре думаю есть чем заняться и без всего этого.

Да и получается как обычно - держать отдельно ось\машину для работы. Ну или наоборот что-то супердоверенное в чём разбираешься для чувствительных данных.

Во первых откуда ты знаешь что не делают? Во вторых эти сертификаты минцифры серйчас мало у кого стоят, так что овчинка выделки не стоит. А вот если они будут стоять у большинства - это уже другое дело.

Один сертификат отзовут через неделю или две будет продан новый.

механизмов отзыва корневых сертификатор не существует и быть не может, by design.

Не корневые продадут, а выпустят промежуточные, которыми уц подписывают. Или прямо копии сертификатов уц будут продавать.

А откуда ты знаешь, что делают. Или будут делать.
Как поймают - будет понятно. А то ведь забугорные ловили и ничего, вон люди даже пруфов требуют, значит ничего про это не знают. А тут ещё не поймали, а визга на 100500 медуз развели.

Транспаренси (няп) требует активного содействия УЦ.

Да, но сертификаты тех, кто не участвует, веб-браузеры могут помечать как небезопасные.

серйчас мало у кого стоят

Как минимум у всех пользователей яндекс-браузера)

А мне не надо доказательств, я просто не ставлю себе этот сертификат потому что знаю где живу и сплю себе спокойно.

У меня кстати 500+ часов образования по специальности ИБ и более 5 лет стаж, так что по закону имею право занимать должность директора УЦ.

Кстати знаете ли вы что такое безопасность? Только чур не подсматривать в интернеты.

То есть ты будешь торговать если у тебя будет возможность?

Я лично торговать не буду, но при чем здесь я. Первое правило - не пытаться других судить по себе.

Откуда ты знаешь, что не будешь? И откуда мне знать, что уже не занимаешь должность и не торгуешь?

А откуда ты знаешь, что делают. Или будут делать.

достаточно того, что имеют тех. возможность.

Как поймают - будет понятно.

См. https://www.opennet.ru/opennews/art.shtml?num=54284

Ну, Казахстан. Хорошо. Я подожду что-нибудь более родное.

достаточно того, что имеют тех. возможность.

Любой УК имеет такую возможность.
У меня вот тоже есть техническая возможность для 131 УК РФ.

Так тебя в этом никто и не пытается убедить, мне все равно уверен ыт во мне или нет. Я тебе на компьютер не предлагаю ставить свои скрипты например.

власть тебя забодишеймит, с сертификатом или без
будешь знать как жрать после шести!

А вдруг ты будешь руководить УЦ и будешь торговать сертификатами для госорганов.
Ты просто получил демонстрацию того, что подход работает в любую сторону.

У меня вот тоже есть техническая возможность для 131 УК РФ.

кстати, россия - это единственное место в мире, где изнасиловать можно через интернет. абсурду в этом плане нет предела, так что даже не имея возможности, ты можешь по 131 сесть

500 часов это типа много? 2 месяца протирания штанов за партой, где ровным счетом не научили ничему

Любой УК имеет такую возможность.

Ну как бы да. Собственно вопрос в том, что делать в случае, если не доверяешь какому-то определенному УЦ.

Я предпочитаю добавлять сертификаты конкретных сайтов в исключения, благо Mozilla Firefox позволяет это сделать относительно легко.

А я тебе еще раз повторю, что аналогия не корректна. Я никого не прошу ничего ставить на свой компьютер и не требую чтобы мне на основании стажа и образования прямо сейчас дали должность директора УЦ. Хотя кстати ко мне периодически подходят и предлагают за вознаграждение формально оформиться на должность директора контор, которые выдают сертификаты от имени УЦ, потому что есть стаж и есть образование.

изнасиловать можно через интернет

Пруфы?

Если считать парами, то если две пары в неделю, то примерно 8 семестров обучения.