Браузер Chrome будет требовать (https://groups.google.com/a/chromium.org/forum/#!topic/ct-po... для всех публичных сертификатов, созданных после 30 апреля 2018 года, включения журналирования как минимум в два журнала Certificate Transparency (https://www.certificate-transparency.org/). Это означает, что с этой даты все сертификаты, которые не будут логироваться в Certificate Transparency будут автоматически отвергнуты браузером, с отображением соответствующей ошибки.
В настоящее время все удостоверяющие центры, зарегистрированные в CCADB (http://ccadb.org/) (Common CA Database), получили уведомление о предстоящих изменениях и готовятся к применению Certificate Transparency. Для предприятий, на которых используются собственные внутренние сертификаты, предоставлена опция, позволяющая отключить обязательную проверку в Certificate Transparency через задание централизованных правил (https://support.google.com/chrome/a/answer/187202), привязанных к учётным записям пользователей.Certificate Transparency базируется на идее ведения независимого публичного лога всех выданных сертификатов, не позволяющего удостоверяющему центру сгенерировать сертификат без отражения в этом логе. Владельцам сертификатов и пользователям публичный лог даёт возможность проводить независимый аудит всех изменений и действий удостоверяющих центров, что позволит сразу отслеживать любые попытки скрытого создания поддельных записей.
Для защиты от искажения данных задним числом при хранении в логе Certificate Transparency применяется древовидная структура "Дерево Меркла (https://ru.wikipedia.org/wiki/TTH)" (Merkle Tree), в которой каждая ветка верифицирует все нижележащие ветки и узлы, благодаря совместному (древовидному) хешированию. Имея конечный хэш пользователь может удостовериться в корректности всей истории операций, а также в корректности прошлых состояний БД (корневой проверочный хэш нового состояния базы вычисляется с учётом прошлого состояния).
URL: https://groups.google.com/a/chromium.org/forum/#!topic/ct-po...
Новость: http://www.opennet.dev/opennews/art.shtml?num=48159
И все самодельные серты от домашнего уц тоже надо будет туда отправлять?
Нет, надо удалить Chrome.
И установить Firefox на предприятия с Active Directory и стюардессами!
https://wiki.mozilla.org/Deployment:Deploying_Firefox
https://www.mozilla.org/en-US/firefox/organizations/
Да-да, и с навечно отключённым жабоскриптом.
Вы сами-то по ссылке ходили? Сходите.
Никаких работающих тулзов для централизованой настройки мозилл нет. Те, что были — были так себе, но это не важно, потому что они много лет не актуальны.
> Нет, надо удалить Chrome.Не поможет. Это даст лишь временную передышку, ибо шизофрения в этой теме - заразна: остальные браузеры тоже будут создавать преграды для доступа к сайтам.
Вообще, вижу, наступает эра заката эпохи World Wide Web...!
В конце 90-х появилось и начало разрастаться новое информационное пространство - WWW - а совсем по простому - Интернет, хотя Интернет - это не WWW, но для непрограммистов и для разных маркетолухов это - одно и то же. Тогда был энтузиазм и понеслась разработка сайтов, т.к. это была новое пространство, информацию из которого мог черпать кто угодно.
Теперь же начинают создавать такие браузеры, которые будут блокировать доступ к сайтам и постепенно вся эта повсеместно протянутая паутина уйдёт в небытие так же, как в него в своё время отправились разные там FIDO, USENET'ы, Gopher'ы и всякие прочие подобные системы, которые когда-то были популярными, а потом перестали быть интересными большинству. Хотя может быть их время опять придёт как раз в связи с тем, что WWW будет отмирать из-за шизофренических браузеров. :-)
Ничего не изменится. Сложности для разработчиков сайтов только прибавилось чуток...
Большинство и не юзало ваши фидонеты никогда. А меньшинство продолжает юзать что-то подобное на тор.
Когда большинство освоило пк на уровне "выйти в интернет" им уже надо было конкрентно открыть соц сеть и вот тот видеосервис и еще пару простых готовых для юзера сайтов.
Привет letsencrypt? Во всех смыслах.Гугл - чудаки.
Let's Encrypt изначально логи Certificate Transparency поддерживает.
> Привет letsencrypt? Во всех смыслах.
> Гугл - чудаки.Гугл один из главных спонсоров вышеупомянутого letsencrypt-а
> Привет letsencrypt? Во всех смыслах.
> Гугл - чудаки.иксперты опеннета тут как тут
> Гугл - чудаки.Не то слово! Но более важная проблема в том, что они такие не одни. За ними последуют и остальные! И тогда наступит полный каюк! Беспрепятственного доступа к информации в WWW больше не будет!
И грядет конец света! Истинно говоря я Вам !!!
>> Гугл - чудаки.
> Не то слово! Но более важная проблема в том, что они такие
> не одни. За ними последуют и остальные! И тогда наступит полный
> каюк! Беспрепятственного доступа к информации в WWW больше не будет!Если кто-то сможет самолично удалять сертификаты из списка, то это будет контроль за распространением инфы, а если не сможет (хотя бы восприпятствовать занесению твоего сертификата в список), то ничего не изменится.
А доступ к CT? По Https? :)
IP клиента/анонима при заходе на HTTPS/1.0-1.1 и HTTP/2.0 сайты тоже будет записывать?
>IP клиентаЗаписывает любой вебсервер.
>анонимаАнонимность в интернете это миф.
> Анонимность в интернете это миф.Ну давай, деанонимизируй меня.
Ща Мишаня придёт и деонанирует нас всех.
надо же, полный абзац вместо бузворда "блокчейн"
Я считаю, что hashmap - это блокчейн. Сатоси Накамото - гений.
Вы можете считать, что угодно, но в абзаце, насколько я вижу, описан именно блокчейн.
Только не линейный, а древовидный.
В mercurial тоже описан блокчейн, не линейный, а древовидный. Или нет?
Сэр, почитайте про блокчейн, в нем ничего суперинновационного нет, технологии старые. Так что писать везде про блокчейн слегка глупо.
>Сэр, почитайте про блокчейн, в нем ничего суперинновационного нет, технологии старые.Школоте ещё не объясняли что всё новое делается из старого и хорошо знакомого? :)
> Школоте ещё не объясняли что всё новое делается из старого и хорошо
> знакомого? :)Зачем открывать школоте страшные тайны бытия? Этак школота перестанет покупать каждый год новый смартфон и компьютер и машину раз в три года, голосовать за уточек и ходить в церковь.
Блокчейн без блоков?
Если частью каждой записи является хэш предыдущей записи, то эта запись - блок блокчейна.
Я не прав?
Нет, просто запись содержит часть предыдущей записи.
О учитель! Я, позднорожденный, безрассуден и глуп.
Укажи же мне это критичное отличие, которого мои старые и слабые глаза не могут увидеть.
Разве что в очень вырожденном виде. По-хорошему блокчейн подразумевает именно группировку записей в блоки с фиксированным максимальным размером и генерацию этих блоков с более-менее постоянной скоростью независимо от наличия в них содержимого. Я не готов внятно объяснять, что это даёт, но если невнятно - то так обеспечивается хоть как-то предсказуемый таймстампинг и куча разных дополнительных валидаций начиная с банальной защиты от спама.
Я так понимаю, что записи в обсуждаемом дереве как раз должны вписываться в фиксированный размер. Там же конкретные поля ограниченной длины. Записи в логе по заранее известному поводу...
А вот зачем блокчейну генерить пустые блоки, если в него и так поток будет идти постоянно - имхо, спорный вопрос.
Фиксированный размер - имеется в виду фиксированный максимальный размер блока. Пустые блоки надо плодить, когда потока нет, разумеется. Если есть - то их, конечно, не будет.
> древовидная структура "Дерево Меркла" (Merkle Tree)так и пишите подобно смарт-контрактам
тогда уже блокчейну. Смарт контракт это о другом.
Торент файлы использовали эту структуру задолго до.
>> древовидная структура "Дерево Меркла" (Merkle Tree)
> так и пишите подобно смарт-контрактамиксперты опеннета, золотая коллекция
я хоть и ярый фанатик гугла, но даже я чутка возмущен
> я хоть и ярый фанатик гугла, но даже я чутка возмущенЧем? Тем что китайские удостоверяющие центы не смогут продавать на черном рынке валидные сертификаты ко всему интернету?
и некитайские на белом тоже не смогут - потому что мало поклониться в ноженьки владельцам списков trusted ca (напоминаю, одно из условий там, к примеру - пройти аудит п-сами, неспособными собственный сайт настроить), так теперь еще и надо дополнительно кланяться владельцам списков сертификатов. А гугл хочет - принимает твои сертификаты в свой список, а хочет - шлет тебя нах.Ну, разумеется же, для того чтоб каждый юзер мог убедиться...стоп-стоп-стоп...какой юзер, чего юзер и как именно он будет убеждаться? Убеждаться будет гугл, и второй (афиллированный с ними же) владелец чудо-списка.
there should be only ONE.
> there should be only ONE.СAN be only one
Если ты конечно не фанат гугла и не выражаешь сугубо свое личное мнение.
Hold fast!
В том то и дело, что фраза
>как минимум в двасразу приводит идею к изначальной ситуации.
Я правильно понял, что новость касается только удостоверяющих центров, которые выпускают сертификаты, и они сами будут информировать CT о выпусках?
Т.е. конечного владельца сертификата это мало должно волновать?
Да, пока все идет, как задумано.
Задумано, что теперь для подделки сертификата нужно будет не один ключ (для подписывания), а два (еще и для публикации в логе).
Но, поскольку и то, и другое все СА автоматизируют в единое автоматическое действие (не руками же им ковыряться), то, как и раньше, достаточно будет одной взломанной учетки.
Публичный лог нужен не для блокировки выпуска сертификата (от имени другуго CA, не имея его приватного ключа, который обычно находится на hsm, это все равно сделать невозможно). Он сделан, чтобы кто угодно мог (включая владельца домена) взять и проверить, на какой домен когда, в каком количестве и кем были выпущены сертификаты.Теперь как раз можно не гадать, выпускает ли какой-то CA втихаря дубли сертов для твоего сайта, а удосоверисться, что такого не происходит или поймать злодея за руку.
что раньше мог делать только гугл, теперь доступно всем.
> Теперь как раз можно не гадать, выпускает ли какой-то CA втихаря дубли
> сертов для твоего сайта, а удосоверисться, что такого не происходитЧто не как не помешает тому СА что выдал ваш сертификат, распространять его побайтовые копии копии среди третьих лиц.
Само наличие СА, ака третьей стороны, которой все должны доверять по умолчанию, является профанацией понятия безопасность.
Побайтовые копии даже сейчас никто не может распространять. Приватный ключ сертификата генериуется вами локально, а в ЦС на подпись передаётся только публичная часть.
А какое отношение инфраструктура PKI имеет к понятию безопасность?Когда незнакомый человек тебе представился, что его зовут Вася Пупкин, он родился 12 февраля 1982 года и он прописан по адресу ул. Ленина, дом 10, кв. 15, то если ты ему не веришь, то требуешь паспорт. Если не веришь в подлинность паспорта проверяешь его паспорт на знаки защиты. Если думаешь, что это старый, якобы, утерянный, а потом перевыданный паспорт с измененными данными в ЗАГСе, направляешь запрос на проверку в МВД.
При этом вне зависимости от подлинности паспорта, сам Вася или кто-то третий всё равно может тебя избить и ограбить.
Я к тому, что речь об удостоверении и доверии, а не о безопасности.С сертификатами примерно также. Юр. лицо приобрело домен. Юр. лицо покупает сертификат, доказывающий и показывающий клиенту право пользования доменным именем (DV) или доменом в привязке к юр лицу (OV), или доменом в привязке к юр. лицу, удостоверяя, что юр. лицо существует и ведёт реальную деятельность в соответствии с регистрационными документами (EV). Каждый сертификат - это страховой полис, согласно которому удостоверяющий центр выплачивает сумму денег в случае компрометации. Как и любой страховой полис он выдаётся на ограниченный срок и трактуется бизнесом юр. лица как обычная страховка (принимается к НУ и разносится с разбивкой подневно на РБП).
Причём тут вообще безопасность-то?! Вы еще скажите, что вас там ОСАГО или КАСКО защищает от аварии.
> Что не как не помешает тому СА что выдал ваш сертификат, распространять его побайтовые копии копии среди третьих лиц.
Их ожидают выплаты по страховкам.
> не отличает туалетную бумагу "страховай полис" от криптографических гарантий
В большинстве случаев (в интернете) вообще наплевать, какое там лицо или совсем даже морда. А важно:
1) чтобы ты в следующий раз общался с тем же лицом
2) чтобы, придя по ссылке, о которой где-то в доверенном источнике узнал, ты попал именно туда, а не к левому дяде
3) чтобы ваш обмен данными не подменил левый хрен.Причём всё это не на уровне "шпионских игр", а вполне себе обычных задач - пообщаться со знакомыми, купить что-то в интернет-магазине и оплатить покупку, оставить резюме у потенциального работодателя и так далее.
Вот PKI/TLS всё это отлично обеспечивает.
> Что не как не помешает тому СА что выдал ваш сертификат, распространять
> его побайтовые копии копии среди третьих лиц.вы бы это... хоть википедию бы почитали, что-ли.
Побайтовая копия и так выдается каждому юзеру, посетившему твой сайт. Но вместе с ней выдается кое-что еще, и CA в этом никак не участвует.
> Само наличие СА, ака третьей стороны, которой все должны доверять по умолчанию,
> является профанацией понятия безопасность.профанацией являются попытки делать выводы, не разбираясь в предмете.
CA не отвечает за безопасность твоего соединения. CA только подтверждает тот факт, что сертификат, предъявленный той стороной, подлинный, и выдан более-менее тому человеку, которому на момент выдачи принадлежал сайт. А не тов.майор посередке сам себе его выдал специально ради тебя.
> Т.е. конечного владельца сертификата это мало должно волновать?да, он просто получит письмо щастья примерно такого содержания:
бла-бла-бла, despite our best efforts твой сертификат продлению не подлежит, а через пол-года и вовсе автоматически превратится в тыкву, вместе с CA его выдавшим, экипаж желает тебе приятного полета.И идет подключать троянский скрипт для letsencrypt. Совершенно случайно именно в этот момент научившийся wildcard.
Вроде только к сертификатам привыкли. Буквально пару лет назад у юзверей-сайтошлепов были вопросы. Так снова все переделывают костыльно, так ещё и централизованно.
Все быстро, решительно сочуствуем туповатым юзверям-сайтошлепам.
Расслабься, больно не будет. Даже ничего не почувствуешь.
Даёшь все сертификаты в публичный децентрализованный блокчейн!
> Даёшь все сертификаты в публичный децентрализованный блокчейн!Намного лучшее решение, чем "Давайте дадим левым Васям полное право удостоверять ваш сайт и барыжыть воздухом, т.е. кучкой байт по конским ценам. Почему конткретно вот тем Васям а не вот этим? Вам знать не нужно."
> "Почему конткретно вот тем Васям а не вот этим? Вам знать не нужно."Вместо xkcd: https://bugzilla.mozilla.org/show_bug.cgi?id=647959 :]
"Отличная шутка" (с) Петросян
Первый раз вижу Мишу без минусов.
Когда уже эту сертификацию сделают простой до немогу
> Когда уже эту сертификацию сделают простой до немогу
dnf install letsencrypt
letsencrypt --text --email vasia@pupkin.com \
--domains www.example.com,example.com,foo.example.com \
--agree-tos --renew-by-default --manual certonly
Куда уж проще.
> dnf install letsencryptНеужто в федорке до сих пор letsencrypt, а не certbot?
>> dnf install letsencrypt
> Неужто в федорке до сих пор letsencrypt, а не certbot?
dnf provides letsencryptcertbot-0.21.1-1.fc27.noarch
кстати блокчейн это похоже как раз для этого отлично подойдет, а вот для денег он совсем не катит, но его туда впихивают вовсю
а потом когда логирующих серверов тоже образуется челая куча -- они придумают ещё один серер с цифровой подписью который будет проверять что логирующие серверы тоже не накосячили?то есть -- не проще ли тогда было бы -- наоборот -- удалить все CA-центры кроме например одного.
вместо придумывания очередной контролирующей сущности?
> то есть -- не проще ли тогда было бы -- наоборот --
> удалить все CA-центры кроме например одного.Удалить все CA-центры ДО одного.
Поправил.
ЦА не нужны! Нужно как в ssh, если что-то поменялось при подключении сразу сообщать пользователю(и рвать подключение, хотя это надо сделать опциональным)!..Короче Certificate Патруль встроить по дефолку во все браузеры! Но ты попробуй это до миллионов домохозяик донести?
Как узнать что подключение к сайту валидное при первом заходе на сайт?
А после смены сертификата владельцем?
> то есть -- не проще ли тогда было бы -- наоборот --
> удалить все CA-центры кроме например одного.принадлежащего гуглю. Именно над этим и работаем.
> вместо придумывания очередной контролирующей сущности?
это временная подпорка.
Очередной велосипед по захвату власти над сертификатами.Как по мне возможность самому подключать несколько источников получения сертификатов(некое подобие репозитория публичных сертификатов) лучше чем один контролирующий узел.
> Очередной велосипед по захвату власти над сертификатами.
> Как по мне возможность самому подключать несколько источников получения сертификатов(некое
> подобие репозитория публичных сертификатов) лучше чем один контролирующий узел.Этак Вам каждое утро придется заходить в гости к товарищам обслуживающих все Вами подключенные источники, и с пристрастием спрашивать не приснилось ли этим товарищам, что нибудь нехорошее этой ночью.
Ну так по крайней мере источник не один.
Сейчас остается надеяться, что разработчикам браузера чего не приснилось
при выпуске новой версии браузера.
слудующий шаг отказ от СА :-)Когда каждый сможет туда запихнуть свой самоподписанный церт и тем самым поддтвердить что верить ему можно.
Усё пытаются и пытаются плохую концепция са подпорками подпереть.
ню-ню - бох в помощь.
Частенько в итоге получаются вполне рабочие штуки. TCP/IP тот же вспомнить - там костылей - Эйфелеву башню построить хватит.
Просто роутеры не умеют в SCTP...
>Это означает, что с этой даты все сертификаты, которые не будут логироваться в Certificate Transparency, будут автоматически отвергнуты браузером, с отображением соответствующей ошибки.И это правильно.
Надеюсь можно будет внести "УЦ" в исключения.
Мы конечно рады за компнию Гугль, что они в своём собственнном ЦА выписали себе 8123 сертификатов в домене *.google.com (по информации из того самого CT, по состоянию на сейчас), включая всякие там принтсерверы в разных городах мира, но обычно компании не занимаются эксгебиционизмом и все это выписывается во внутреннем ЦА организации, не светя во внешний мир, и какого хрена теперь надо будет скакать с бубном и отрывать еще и эту проверку, чтобы в браузере попасть в корпоративный портал или на интерфейс IPMI или КВМ, совершенно не понятно.И уж точно всю эту простыню имен, которые из интернета не доступны, светить всем подряд во внешних списках вовсе не обязательно (даже если сходить купить суб ЦА за 100500 денег, чтобы внешний СТ принял в свои списки наши имена, да там кроме денег еще и требований выше крыши, оно нам надо?).
И как они себе представляют вообще все вот это для внутрикорпоративных систем.. доступа к интернету нет и не предвидится, за ненадобностью. Ни у сервера ни у клиента. все ? не сметь ? гугль запретил ? ну ладно, в винде через политику вроде отрезается.. а с планшета ? А нельзя ли наоборот, кому это вдруг надо, пускай себе включат. Сделайте крыжик в настройках. А остальных не трогате. А то как 2 президента, часовые пояса туда, часовые пояса сюда, админы всей страны при деле... толку все одно - 0.
Слово print в хостнейме в случае гугла, скорее, говорит о том, что это часть сервиса google cloud print, а не принт-сервер.
А хто их знаеть...printserver.msk.corp.google.com для примера.
Кстати, по прошествии года.. сертификаты выданные корпоративным ЦА естественно не попадают ни в какой СТ, но при этом никакой гугло хром на них не жалуется..
Хотите сказать, что одного президента вам вполне хватает? Второй не нужен?
созданные после 30 апреля 2018 года, включались как минимум в два общедоступных журнала Certificate Transparency. Это означает, что с этой даты все сертификаты, которые не будут логироваться в Certificate Transparency, будут автоматически отвергнуты браузером, с отображением соответствующей ошибки.
и ? третье мая 2018. Свежий гуглохром (линукс). Сходил выписал себе на своем ЦА сертификат. чтото браузер не него не ругается.. Ни в какие CT сертификат естественно попасть не сможет никак, CA то свой, они не примут наш сертификат. (правил централизованных естественно тоже никто не настраивал)Valid from: Thu, 03 May 2018 10:12:42 GMT
Valid until: Sat, 02 May 2020 10:12:42 GMT