LINUX.ORG.RU

EFF анонсировало инициативу STARTTLS Everywhere

 , , ,


1

2

Организация Electronic Frontier Foundation предоставила новую инициативу - STARTTLS Everywhere, в рамках которой они предлагают повсеместное использование шифрования для серверов электронной почты. Эта инициатива дополняет предыдущую - HTTPS Everywhere, запущенную ещё в 2011 году и направленную на защиту трафика между браузером и веб-сервером.

Так же EFF запустила сервис, позволяющий проверить, поддерживает ли сервер STARTTLS, и какие алгоритмы он поддерживает (устаревшие и небезопасные SSLv2/SSLv3 или TLS). Сервис проверяет валидность используемого сертификата - многие сервера используют самоподписанные сертификаты, не заверенные удостоверяющим центром.

В рамках инициативы представлен инструмент Certbot для автоматического получения сертификата Let's Encrypt и быстрого конфигурирования сервера для его использования. Помимо этого, создана утилита для обновления списка серверов, уже поддерживающих STARTTLS, которая поможет избежать атак, связанных с использованием устаревшего ПО.

>>> Подробности

☆☆

Проверено: tailgunner ()
Последнее исправление: tailgunner (всего исправлений: 7)

С глобализацией Let's Encrypt, получается что мы кладём все яйца в одну корзину и в плане HTTPS и TLS.

sparks ★★★★
()

Неплохо! Certbot юзаю давно, очень удобно.

Pyzia ★★★★★
()

в рамках которой они предлагаю повсеместное

запустила сервис позволяющий проверить

создана утилита <...> STARTTLS, который поможет

всего исправлений: 6

Нужно больше исправлений

micronekodesu ★★★
()
Ответ на: комментарий от sparks

Ты предпологаешь, что у них есть секретный план потом внезапно перестать выдавать сертификаты. Или что тебя смущает?

o-
()

повсеместное использование шифрования для серверов электронной почты. Эта инициатива дополняет предыдущую - HTTPS Everywhere, запущенную ещё в 2011 году и направленную на защиту трафика между браузером и веб-сервером.

Вангую что вскоре гугломыло начнёт отправлять входящие, отправленные без использования шифрования в спам, ну или в /dev/null.

h578b1bde ★☆
()
Ответ на: комментарий от h578b1bde

Скорее окончательно перестанет принимать что-либо отправленное не с крупных шеретопочт. Так бы они давно окуклились и работали бы только сами с собой, но до мировой монополии пока ещё не доползли

StReLoK ☆☆
() автор топика
Ответ на: комментарий от t184256

И чем тебе грозит утекание их ключа? У них как-бы есть резервные CA ключи на которые они перейдут если какой-то будет скомпрометирован.

Боишься, что придется запустить скрипт который получит сертификат подписанный новым CA?

o-
()
Последнее исправление: o- (всего исправлений: 1)
Ответ на: комментарий от o-

Что отзыв их скомпрометированного ключа - процесс далеко не идеальный, не моментальный и запускающийся с некоторой неопределенной задержкой относительно самого факта компрометирования, и некоторое время можно будет делать MitM, которых схавает и не поморщится ~100% актуальных сетевых устройств планеты.

Что, естественно, пугает всегда и для любого успешного корневого CA, но того оратора, как я понял, отдельно пугает усугубление проблемы на почве роста доли Let's Encrypt на рынке.

t184256 ★★★★★
()
Ответ на: комментарий от o-

Условно получается что закрытый ключик подписывающего сертификата это ключи от царства, если их скомпроментируют или какиенить ФСБ/CIA/FBI найдут на них рычаги давления, то смогут прозрачно скомпроментировать все сертификаты, а в случае с Certbot ещё и закрытые ключи поиметь и просто на лету трафик дешифровать

sparks ★★★★
()
Ответ на: комментарий от sparks

а в случае с Certbot ещё и закрытые ключи поиметь и просто на лету трафик дешифровать

тихо, тихо, все гораздо проще при заданном уровне ужаса

t184256 ★★★★★
()
Ответ на: комментарий от sparks

RTFM

Условно получается что закрытый ключик подписывающего сертификата это ключи от царства

Нет.

если их скомпроментируют или какиенить ФСБ/CIA/FBI найдут на них рычаги давления, то смогут прозрачно скомпроментировать все сертификаты,

Нет, не смогут.

man Certificate authority

man Certificate Transparency

а в случае с Certbot ещё и закрытые ключи поиметь и просто на лету трафик дешифровать

Иди посмотри что делает Certbot.

o-
()
Последнее исправление: o- (всего исправлений: 1)
Ответ на: комментарий от t184256

Что отзыв их скомпрометированного ключа - процесс далеко не идеальный, не моментальный и запускающийся с некоторой неопределенной задержкой относительно самого факта компрометирования

Чем это отличается от такой же проблемы с любым другим CA? Кто угодно из всех этих 50 или сколько их там CA может навыдавать сертификатов для любых доменов.

и некоторое время можно будет делать MitM, которых схавает и не поморщится ~100% актуальных сетевых устройств планеты.

Ты видимо пропустил новость, но хромоног с Мая уже требует для всех сертификатов выданных с Апреля 2018 обязательное наличие в логах Certificate Transparency. Так что MitM будет очень не долгим и не будет работать в хроме который покрывает добрые 60% или сколько там у него рынка.

ERR_CERTIFICATE_TRANSPARENCY_REQUIRED и большое страшное красное окно.

o-
()
Последнее исправление: o- (всего исправлений: 2)

ничего, что приватность и неподверженность цензоршипу прогнила в норню в SMTP? что, слабо задвинуть новый распределённый протокол, да? - тяжело, ага.. неудачные решения прошлых лет - давно подхвачены массами, и любые вменяемые новые решения - будут погребены по причине невостребованности.

anonymous
()
Ответ на: комментарий от o-

покрывает добрые 60% или сколько там у него рынка.

Надо уточнять - в определенных локализованных регионах земли

kto_tama ★★★★★
()

1. STARTTLS уязвим к downgrade-атакам, например.
Стрипнуть STARTTLS в начале диалога, и закончилось шифрование.
Безусловно, дырка эта совсем незначительна. Да и не дырка вообще, а фича, известная лишь немногим. STARTTLS включён на серверах, на клиентах. Во всяких интернет-доках люто рекомендован к использованию.

2. Параллельно, используются tcp-порты 993/995/465 с принудительным SSL/TLS перед IMAP/POP3/SMTP. Это даёт хоть какую-то реальную защиту канала связи.
В инете много документации с упоминаниями, что порты 993/995/465 - это ваще deprecated легаси днищще для лохов, нестандарт, чоткие пацаны юзают STARTTLS. Эти номера портов в IANA стандартизированы на какой-то левак, и т.д.

3. И тут внезапно выезжает EFF...
Очень завуалировано предлагается создать публичный белый список mail-серверов, поддерживающих STARTTLS, чтобы клиенты могли избегать этих детских STRIPTLS-атак, сверяясь со списком.

shahid ★★★★★
()
Ответ на: комментарий от o-

Ты предпологаешь, что у них есть секретный план потом внезапно перестать выдавать сертификаты.

Цензура в интернете?! Ну не станут же они так делать!

ugoday ★★★★★
()

For me, the entry field in my email client shouldn't be labeled «STARTTLS», it should be labeled «do you feel lucky, punk?».

anonymous
()
Ответ на: комментарий от o-

Не надо секретного плана. Один серьезный факап и все мы будем по уши в дерьме, а сдохнуть ей уже не дадут, т.к. весь интернет будет от нее зависеть.

mandala ★★★★★
()
Ответ на: комментарий от o-

Речь про почту и шифрование почтовых протоколов, а ты про хром вещаешь. Не вебом единым живем (сам юзаю их сертификаты для других протоколов).

И да, монополия это хреново, жду конкурента, протоколы же и ПО открытое (вот это и странно что они одни до сих пор).

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от mandala

Речь про почту и шифрование почтовых протоколов, а ты про хром вещаешь.

Там ответ изначально был на высер про Let's Encrypt, но ок. Ты думаешь тот же gmail не будет проверять проверяет SSL сертификаты почтовых серверов через Certificate Transparency? Благо у GMail доля рынка тоже не маленькая.

И да, монополия это хреново

Вообще не спорю, но это не повод светить голым задом везде отказываясь от шифрования.

o-
()
Ответ на: комментарий от o-

высер про Let's Encrypt

Ну так сегодня его юзают для всего подряд, а не только веб, вот я про что. И плохо что одна контора начинает играть такую важную роль в сфере шифрования.

то не повод светить голым задом везде отказываясь от шифрования

Абсолютно согласен, но указывать на «все яйца в одной корзине» надо, не все это понимают интуитивно.

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от ugoday

Ну да. Вот щас прямо очень сложно организовать цензуру и забанить пол интернета, а вот как только введут шифрование так сразу это станет в 100 раз проще.

Хорошая теория - но нет. Если сейчас хочется зацензурить email сервер, то вполне достаточно чтобы почта с него не приходила на основные N серверов. Не приходит с сервера на GMail - считай никому сервер и не нужен.

o-
()
Ответ на: комментарий от o-

Ну да. Вот щас прямо очень сложно организовать цензуру и забанить пол интернета

Как конкретно гугль может забанить половину интернета?

ugoday ★★★★★
()
Ответ на: комментарий от ugoday

Как конкретно гугль может забанить половину интернета?

Отключить ее от своего поиска и рекламной сети, например. Тогда для большей части хомячков совсем не останется ничего кроме фейсбука и одобренной гуглом половины интернета.

Собственно гугл, фейсбук и прочие крупые социалки вполне удачно уже цензурируют интернет и без какой-либо необходимости в наличии шифрования. Сайты не нужно цензурировать если о них никто не узнает.

o-
()
Ответ на: комментарий от o-

Отключить ее от своего поиска и рекламной сети, например.

Это хорошая мера, чтобы сократить приток новых пользователей. Но совершенно не мешающая старым.

ugoday ★★★★★
()

HTTPS Everywhere

не нужно.

про starttls — пусть будет.

anonymous
()
Ответ на: комментарий от ugoday

Для площадок уровня лора это не критично. А вот раскрутится более-менее большому проекту глобально станет не возможно практически.

mandala ★★★★★
()
Ответ на: комментарий от mandala

А вот раскрутится более-менее большому проекту глобально станет не возможно практически.

Ставим ссылку на сайт с раскрученного ресурса и отключенный от гугла ресурс внезапно принимает новых посетителей. Был бы я жидомасоном, мне бы стало обидно.

ugoday ★★★★★
()
Ответ на: комментарий от ugoday

Тут же заговор, жидомоссонская закулиса не даст ставить ссылку. Например, в условиях рекламных соглашений.

mandala ★★★★★
()
Ответ на: комментарий от o-

Что, естественно, пугает всегда и для любого успешного корневого CA, но того оратора, как я понял, отдельно пугает усугубление проблемы на почве роста доли Let's Encrypt на рынке.

Чем это отличается от такой же проблемы с любым другим CA?

А ты, я смотрю, не читатель.

Ты видимо пропустил новость, но хромоног с Мая уже требует для всех сертификатов выданных с Апреля 2018 обязательное наличие в логах Certificate Transparency

Пропустил, спасибо, буду знать.

t184256 ★★★★★
()
Ответ на: комментарий от o-

обязательное наличие в логах

Емнип, если нет ответа Certificate Transparency (не нет в логах, а нет ответа сервиса), то сетификат считается валидным, что было признано не багом, а фичей (актуально в локалках без инета, например).

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 2)
Ответ на: комментарий от mandala

Оу, а это конечно интересно. Есть ссылка на багтрекер хромиума?

И да, странно. Сейчас нашел другие источники - говорят типа совсем обязательным будет только и Июля с выходоам 68 хрома. Хотя уже в мае многие писали что стало обязательным.

o-
()
Ответ на: комментарий от o-

Ссылки на багтрекер нет, помню что было обсуждение в виде отдельной новости где то вроде на опеннете и возможно у нас в толксах.

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 1)

Организация Electronic Frontier Foundation предоставила новую инициативу - STARTTLS Everywhere, в рамках которой они предлагают повсеместное использование шифрования для серверов электронной почты.

Начали за здравие...

Сервис проверяет валидность используемого сертификата - многие сервера используют самоподписанные сертификаты, не заверенные удостоверяющим центром.

Кончили за упокой.

Чо-то судя по последним событиям EFF уже совсем скоро окончательно в говно скатится.

Stanson ★★★★★
()

Что то запахло монополизмом. И баблом для избранных

anonymous
()

Я из-за чудаков на букву М в ukr.net, затребовавших шифрование для SMTP, уже несколько лет не могу с нативного клиента в телефоне почту отправлять. И сертификаты свежие закинуть не получается. Благо, хоть IMAP ещё работает без шифрования. Мало того, они недавно в форму входа засунули для Opera Mini рекапчу, теперь и там не работает. Благо, хоть в NetFront открывается... и там даже лучше, ибо мобильная версия у них поддерживает хоткеи для WAP-браузеров, а Opera Mini их не умеет.

bodqhrohro_promo
()
Ответ на: комментарий от bodqhrohro_promo

Что у тебя за трубка? Для симбы есть profimail, для жабы вроде тоже что-то с поддержкой SSL/TLS было.

StReLoK ☆☆
() автор топика
Ответ на: комментарий от StReLoK

Что у тебя за трубка?

OS X100 (комментарий)

для жабы вроде тоже что-то с поддержкой SSL/TLS было

И держать его постоянно в фоне, шоб батарею жрало? И так вон опера жрёт, ибо постоянно запущена. А только на отправку запускать — не лучше принципиально, чем шебморду открывать. Вообще, я года 4 назад тыкал несколько жабоклиентов для почты, но оно всё какое-то убогое. Может, не нашёл просто Тот Самый Офигенный?

bodqhrohro_promo
()
Ответ на: комментарий от sparks

ЕМНИП клиент протокола ACME - открыт. Ничто не мешает тебе запилить свою реализацию сервера(базовая часть там не так уж и сложна, с OCSP правда придется поплясать). Другое дело, что стать корневым ЦС, который будет доверенным во всех браузерах - задача куда более нетривиальная.

Pinkbyte ★★★★★
()
Ответ на: комментарий от ugoday

Как конкретно гугль может забанить половину интернета?

Элементарно, рупор «кровавай кремлёвской пропаганды» (с) уже спешит на помощь:
https://youtu.be/Wbjv_n8nHQI?t=6m03s
Смотреть с 6:03, и на 6:43 начинается про гугль:

СМИ, которые не вошли в белый список, будут гасится в поисковых системах, т.е. их новости будет труднее найти...

Они говорят: «Совершенно недопустимо, чтобы при запросе в гугле, например [...], первыми выходят новости RT и Sputnik»...


Где-то мы это видели? Ах да, 2011 год:

Вы не понимаете, что если событие не «гуглится» - его не происходило. Лишь немного коррелируя поисковые запросы уже можно управлять умами людей. Подкручивая рейтинги нужным блогам, можно устраивать пятиминутки ненависти. Можно скрывать любые болячки общества, которые никуда не пропадут. И никто не заметит что недополучит информацию. Что его взгляд сузят на нужных предметах.

shahid ★★★★★
()
Ответ на: комментарий от o-

Хотя уже в мае многие писали что стало обязательным.

Дык нельзя же без заложенной дырки выпустить технологию безопасности для широких масс. А то вдруг она действительно окажется безопасной. Также как и сабжевый STARTTLS, который пиарится сабжевой АНБшной прокладкой с чудесным выходом во все мировые СМИ.

shahid ★★★★★
()
Последнее исправление: shahid (всего исправлений: 1)
Ответ на: комментарий от shahid

Вот, вы дали мне ссылку и я могу по ней перейти. И кто угодно с лора может по ней перейти. А лор — крупный, посещаемый ресурс. Гугль может забанил уже этот afon-ru.com, а туда всё равно люди ходят. Обидно и делать нечего. Однако, если у «плохого» сайта оперативно отозвать сертификат, то поток посеещний на него резко снизится. Тоже не панациея, конечно, но ещё один кирпичик в стене.

ugoday ★★★★★
()
Ответ на: комментарий от ugoday

Обидно и делать нечего.

Гугл и поисковики, бесконечные немобильные мёртвые сайты с мёртвой инфой, вечнодырявые SSL-TLS-PKI; CT и всякая распиаренная пыль в глаза - технологии заканчивающий «эры» вёб-2.0. Осознание к людям уже приходит, оно витает в воздухе, вопреки любой пропаганде с любой стороны. Поэтому, переход на следующую ступень развития интернета будет быстрым, немного осталось.

shahid ★★★★★
()
Ответ на: комментарий от shahid

переход на следующую ступень развития интернета будет быстрым, немного осталось

И каким же будет этот следубщий этап?

tailgunner ★★★★★
()
Ответ на: комментарий от shahid

бесконечные немобильные мёртвые сайты с мёртвой инфой

Мне подходит, заверните. Бесконечные живые сайты с живой инфой (автогенераторами содержимого?) пускай останутся грядущим поколениеям. Всё лучшее — детям.

ugoday ★★★★★
()
Ответ на: комментарий от Stanson

кстати, я теперь знаю кого «благодарить» за всеобщий https даже там где она нафиг не нужен! типа уютных хомячков из 3 страниц. тоже думаю, что всё дело в контроле.

mumpster ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.