Пользователи портала государственных услуг Российской Федерации (gosuslugi.ru) получили уведомление о создании государственного удостоверяющего цента со своим корневым TLS-сертификатом, не включённым в хранилища корневых сертификатов операционных систем и основных браузеров. Cертификаты выдаются на добровольной основе юридическим лицам и нацелены на использование в ситуации отзыва TLS-сертификатов в результате санкций. Например, удостоверяющие центры, находящиеся в юрисдикции США, такие как DigiCert, прекратили предоставление сертификатов для сайтов организаций, входящих в санкционный список...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56830
а чебурнет-то все ближе..
Скорее кванмен.ру.Причем делаеют его сейчас не говорящие головы из тель-а-визера, а наши "свободолюбивые" демократичные друзиа, админресурсом рубя (ой, простите, неполиткорректно высказался, компании-магистральные провайдеры сами и с песней в поддержку абсолютно фиолетовых им украинцев, которых по методичке бла-бла-бла Путин, отключают) магистрали.
ЕМНИП, уже джва провайдера так поломали. Культура отмены это вам не шутки.
Двач закрывают, на опеннете комментить не дают, скоро заблочат и лису с хромом.
Если бы в CA Root добавили бы какой-нибудь NameConstraints = *.mddc.ru и выдавали бы его для доменов в нем - то можно было бы и поставить.А так - "доверенный центр" совсем не доверенный )))
в принципе можно завести отдельную копию ФФ только для "Russian Trusted Root CA"
Вот только с поддержкой NameConstraints именно в корневых сертификатах до сих пор не всё хорошо: https://bugs.chromium.org/p/chromium/issues/detail?id=1072083Ну и там всё равно уже навыписывали сертификатов на имена за пределами *.ru и *.рф:
cbr2021.online
econs.online
*.econs.online
vtb.com
mail.vtb.com
www.mail.vtb.com
smtp.vtb.com
autodiscover.vtb.com
www.vtb.com
fincult.info
*.fincult.info
Запад дискридитирует тем самым саму суть интернета. Оказывая медвежию услугу.
Сейчас увидем в российских СМИ массовый возглас: а мы же говорили! И они таки будут правы.
да нужно было не массово отзывать, а только у прокремлевских помоек. тут они облажались
Почему облажались? Кто тебя заставляет на gosuslugi ходить? Ножками давай
> Почему облажались? Кто тебя заставляет на gosuslugi ходить? Ножками давайты, видимо, как-то не тем местом читаешь. госуслуги вообще не при делах (и ОЧЕНЬ надеюсь, что Беларусь не станет частью мордора => даже знать не придется что это за госуслуги)
Мало того, запад дискредитирует даже саму суть криптовалюты, когда пытается ее запретить в России. И уже дискредитрровал такие понятия как свобода слова - это мы видим по тому, как банит Ютуб, Фейсбук и Инстаграм неугодную режиму США информацию.
Ну ничо, веб-макаки же любят централизованные технологии:
1) УЦ
2) DNS
3) стандарты от корпораций (HTML/CSS/HTTP)
4) веб-серверы: крупные поисковики, соц. сети, мессенджерыБаранов всегда кто-то пасёт: или сэр майор или тов. майор.
2) Так есть TRR, браузер сможет ходить в сеть и без DNS сервера
3) По вашему в РФ можно отменить HTML? И что, сразу сайты в текстовые файлы превратятся?
>веб-макакилюбят халяву и чтоб поменьше думать: Готовые CMS, готовые либы, халявные облака, бекапы, которые делаются сами по себе.
Когда уже для работы в интернете нужно будет устанавливать государственный кейлоггер?)
> Когда уже для работы в интернете нужно будет устанавливать государственный кейлоггер?)Зачем государственный? Лучше корпоративный. У иностранной корпорации, в отличие от гос-ва, перед большинством пользователей даже минимальных юридических обязательств нет. Погодите, о чём это я? Оно же уже в каждом смартфоне и добром кол-ве проприетарных осей уже есть в дефолтных настройках )))
Проблема в том, что данные гугловской и майкрософтской телеметрии получают американцы, а наше государство тоже хочет следить потщательнее
Шаг номер два: Постеби любого знакомого айтишника вопросом о сценарии предполагаемой атаки MITM с использованием контролируемого гос-вом (да и любым другим предполагаемым злоумышленником) CA. Прям тест-детектор 😄P.S. Я не говорю, что это не создаёт вектор для потенциальной атаки. Я лишь говорю о том, что подавляющее большинство околоайтишников из моего круга общения понятия не имеют в такие казалось бы несложные вещи. Подчеркну, что из моего круга общения. Возможно, вокруг вас собрались более компетентные и менее заангажированные люди.
P.S. #2: https://sslmate.com/resources/certificate_authority_failures и это не все. Ещё французское правительство при помощи промежуточного сертификата подписывалось некоторыми крупными корпорациями - https://www.theregister.com/2013/12/10/french_gov_dodgy_ssl_.../
И это только то, что я навскидку вспомнил. Их было больше.
Это пусть у безопасников голова болит. Итишникам главное что бы работало.
> Это пусть у безопасников голова болит. Итишникам главное что бы работало.Это характеризует общий уровень компетенции коллег. Абсолютно у всех есть мнение на этот счёт, но описать вектор атаки могут единицы. Случаев атак на коммерческие CA у меня не вспомнил ни один.
А чего там описывать? Приходит дядя с удостоверением и ЦА без разговоров выдаёт ему нужный сертификат. Аналогично провайдер жертвы послушно роутит весь или часть его/её трафика на нужный адрес (или хостинг-провайдер, где живёт сервер, на который ходит жертва, маршрутит куда надо запросы от указанного адреса), а там уже всё готово к приёму дорогого гостя.
> А чего там описывать? Приходит дядя с удостоверением и ЦА без разговоров
> выдаёт ему нужный сертификат. Аналогично провайдер жертвы послушно роутит весь или
> часть его/её трафика на нужный адрес (или хостинг-провайдер, где живёт сервер,
> на который ходит жертва, маршрутит куда надо запросы от указанного адреса),
> а там уже всё готово к приёму дорогого гостя.Погодите, но это же документируемо на стороне того, кого принять желают, более того, ничем не отличается от того, что делалось до этого (ссылки выше).
> документируемо на стороне того, кого принять желают,А многие ли смотрят на сертификат, когда заходят на сайт по https? Я проверяю серт только когда захожу в онлайн-банк (пришлось поставить, увы) - сверяю отпечаток с записанным на бумажке. Всё остальное - иконка с замочком зеленая, браузер не ругается - и ладно.
> - сверяю отпечаток с записанным на бумажке. Всё остальное - иконка
> с замочком зеленая, браузер не ругается - и ладно.Я всегда знал, что тру-ойтишники очень "прогрессивны" и система trust-on-first-use (TOFU) у них реализуется именно так )))
А при чём тут "first use"?
> А при чём тут "first use"?А откуда у тебя "отпечаток, записанный на бумажке" взялся? В банке выдали или ты просто первый раз ему поверил и дальше просто сличаешь, не сменился ли он? Если первое, то я хочу знать имя этого банка, если второе, то ты просто придумал TOFU на бумажке.
Операционистку попросил открыть онлайн-банк на своём рабочем пк и сверить мою распечатку с тем, что будет у нее.
> Операционистку попросил открыть онлайн-банк на своём рабочем пк и сверить мою распечатку
> с тем, что будет у нее.Не, не прокатит. Но да ладно, я примерно так и думал, что это были теоретические измышления.
Что именно не прокатит? Ты не веришь, что девочка из банка открыла у себя сайт онлайн-банка? Или ты считаешь, что в сети банка вероятность МИТМ такая же, как в дикой природе?
> Что именно не прокатит? Ты не веришь, что девочка из банка открыла
> у себя сайт онлайн-банка? Или ты считаешь, что в сети банка
> вероятность МИТМ такая же, как в дикой природе?Дружище, не фантазируй, возвращайся на бренную землю. В реальной жизни в большинстве банков нет браузеров на рабочих местах ВООБЩЕ. Не говоря уже о том, чтобы барышня (что за сексизм? там и парни есть) кликала по твоей просьбе в малопонятные для большинства иконки и надиктовывала серийный номер сертификата, который у меня в FF находится на расстоянии 4 кликов. А вдруг это секретная информация и её после этого уволят?
У этих броузер был и они объясняли что и как делать в онлайн-банке, разворачивая свой монитор к посетителю.
> У этих броузер был и они объясняли что и как делать в
> онлайн-банке, разворачивая свой монитор к посетителю.Имя, сестра! Имя! Что за банк такой? Я туда схожу проверить.
Хм, ну зайди в ВТБ, к примеру. Там вполне себе должен быть либо браузер, либо что-то, завернутое в электрон.
> либо браузер, либо что-то, завернутое в электрон.Напомни, как там из приложения на электрон посмотреть оператору сертификат?
>> либо браузер, либо что-то, завернутое в электрон.
> Напомни, как там из приложения на электрон посмотреть оператору сертификат?Я не web-разраб, но когда-то, если меня не подводит память, в приложениях на Electron были доступны Developer Tools:
Ctrl + Shift + I >> Security >> View Certificate.
Или для Mac OS:
⌘ + Option + I >> Security >> View Certificate.
Сейчас, наверно, тоже есть решение, но надо покопать. Хотя, боюсь, там всё же браузер. Впрочем, это то ещё извращение бегать по банкам и просить их отпечаток сертификата. Думаю, если сильно попросить менеджера - тебе этот сертификат дадут для установки в систему. В любом случае - в случае паранойи обратись к сотруднику банка, он с тебя хоть копеечку имеет.
> Я не web-разраб, но когда-то, если меня не подводит память, в приложениях
> на Electron были доступны Developer Tools:Вот именно про это я и говорил чуть выше. Всё это ваши измышлизмы, не более. Имени реального банка от оппонента я так и не услышал.
РСХБ
не прокатит - серты меняются. Надо смотреть всю цепочку - кто выдал.а эта подпись не более того чтоб сравнить в тек. работе сотрудника центра СА
Т.е. вариант, что MITM ранее был возможен со стороны УЦ - не смущал раньше, а тут - стал смущать? Или "это другое!"?
УЦ имел сдерживающий фактор - устроив MItM, он опозорится на весь мир.
В данном же случае мы имеем дело с организацией, не имеющей такого сдерживающего фактора.
> УЦ имел сдерживающий фактор - устроив MItM, он опозорится на весь мир.
> В данном же случае мы имеем дело с организацией, не имеющей такого
> сдерживающего фактора.Comodo, DigiNotar до сих пор на рынке? А у них были наиэпичнейшие просёры всех полимеров уровня "подписали кучу сертификатов типа «я - Google»".
> А у них были наиэпичнейшие просёры всех полимеровДавайте не делать вид, что вы не понимаете разницы между факапом и "ради нее все и писалось".
>> А у них были наиэпичнейшие просёры всех полимеров
> Давайте не делать вид, что вы не понимаете разницы между факапом и "ради нее все и писалось".Ну и, справедливости ради, давайте не делать вид, что принципиально это выглядит, как что-то другое. Вся инфраструктура корневых сертификатов построена исключительно на доверии к CA. К этому самому доверию, как вот сейчас видим, возникают вопросы.
> принципиально это выглядитНа шкаф будем залезать?
> возникают вопросы.У кого? Вы правда верите, что последние события подорвали доверие к американским УЦ в Штатах и Европе? Да ни одна собака не почесалась. Им-то такой сценарий не грозит.
> У кого? Вы правда верите, что последние события подорвали доверие к американским
> УЦ в Штатах и Европе? Да ни одна собака не почесалась.
> Им-то такой сценарий не грозит.Давайте будем честными, выбор регистратора и CA у подавляющего большинства администраторов определялся ценой, а не степенью политических рисков. Описанные выше случаи грубейшего нарушения процедур обращения не имели НИКАКИХ далекоидущих последствий для виновных. Компании продолжают работать. А "замочек" от условного Comodo даёт юридических гарантий не больше, чем ничего. Но, идёт с заметным политическим обременением, как теперь выясняется.
Давайте будем совсем честными: что-то изменилось только внутри одного большого политического обременения вследствие грубейшего нарушения процедур. Доверие не может не быть обоюдным.
>> принципиально это выглядит
> На шкаф будем залезать?Не буду. Система, где тебе отзывают сертификат не по компрометации, а по желанию третьей стороны, вопросов не вызывает? Совсем? Я бы понял отказ в продлении (типа отказ в услугах сертификации, на основании законодательного запрета работы с), но отзыв - это как понимать?
>> возникают вопросы.
> Вы правда верите, что последние события подорвали доверие к американским УЦ в Штатах и Европе?Мир заканчивается на Штатах и Европе?
>>> А у них были наиэпичнейшие просёры всех полимеров
>> Давайте не делать вид, что вы не понимаете разницы между факапом и "ради нее все и писалось".
> Ну и, справедливости ради, давайте не делать вид, что принципиально это выглядит,
> как что-то другое. Вся инфраструктура корневых сертификатов построена исключительно на
> доверии к CA. К этому самому доверию, как вот сейчас видим,
> возникают вопросы.Скорее даже не к ЦА, а к компаниям, проводящим аудиты этих ЦА, т.е. к Mozilla Corp., Microsoft Corp., Google Corp.
> УЦ имел сдерживающий фактор - устроив MItM, он опозорится на весь мир.
> В данном же случае мы имеем дело с организацией, не имеющей такого сдерживающего фактора.Глупости что первая часть предложения, что вторая.
Когда говорящие головы говорили про резервирование корневых DNS у нас в стране и технические решения, не позволяющие уронить всю сеть кому-то "там" - "прогрессивные" анонимы кричали про чебурнет и бида-бида.
Когда говорящие головы говорили про стресс-тесты общей локалко-глобалки, в том числе и магистралей у нас в стране - "прогрессивные" анонимы кричали про чебурнет и бида-бида.
Когда умные анонимы говорили про опасность централизации и самого механизма сертификации "где-то там" в принципе - "прогрессивные" анонимы кричали про "ой, да пришла эра глобализма, когда УЦ как копрорации уже выше политики" и Казахстан.Когда "прогрессивному" анониму приспичило зайти госуслуги, у которого ну совершенно внезапно отозвали сертификат за непослушание вашингтонскому обкому, внезапно оказалось "ОЙ!".
Что, сынку, помогли тебе твои добрые американцы? Им похер, у них сеть и так работать будет. А вот ты для них враг, которого до поры трогать было чревато, а сейчас даже бонус за травлю дадут: какие-то дикари посмели себя обезопасить от накачанных идеологией и оружием зигующих фриков, причем вразрез с речами хозяев мира!
> А вот ты для них врагПричем враг вне зависимости от политических взглядов.
Блокировка Визы и Мастеркард за рубежом больше сказалась на оппозиционно настроенных гражданах.
Я о том же.
Понимаю вой про чебурнеты; принимаю аргументы противников; знаю, что будет делаться в огороженном загончике - а оно почти всегда вырождается в тотальное сраколизательство админов-модераторов, особенно если слабо развито голосование ногами, но вот факты.
Ну решение Визы и Мастера и правда странное и неразумное. В стране трафик через НСПК + есть МИР + есть оплата по QR кодам СБП. В результате нарушить работу карт внутри РФ не удалось ни сейчас, ни даже потом.
Во внешку в теории CUP, хотя там не все так просто. В результате удар пришелся по гражданам за границей и гражданам пользователям иностранных сервисов.
Опять же взять условный VPN - народу говорят "уходите из под цензуры VPN-ом" и тут же лишают людей возможности платить за VPN без заморочек.Я даже не удивлюсь если через неделю решение отменят. Или нет.
Как раз объяснимое, хоть да, неразумное.
а) Демонстрация силы нам и одновременное успокоение своих неоколоний вмешательством, при этом не давая повода на военные действия - реально опасно, взаимное гарантированное уничтожение это не шутки и даже клоуны в их телевизорах не мозгом, но мозжечком это понимают.
б) Психологическое давление на вылезшие из благословенных виртуальных мирков (лакшери- и реально виртуального интернетного мирка) организмы: навали побольше громких заголовков и хомячок сам себя дальше убедит во всем, что угодно. Главное, чтобы хомя не анализировал ситуацию - что VPN можно оплатить китайской картой; что люди, которым есть что терять уже имеют полный набор средств оплаты сторонних процессинговых контор.Да, смешно. Не, будут отменять позже и со скрипом, типа "мы вам ниибическую услугу делаем, белые рюсские варвары, малитесь на нас!". Мне просто интересно, как потом эти конторы обратно пытаться процессинг на себя переводить будут и как лезть обратно на рынок карт, если 90%, что БРИКС массово от них откажется, как ненадежных, а у нас обе системы по истечению автоматом заменены на мир?
https://theins.ru/politika/248511
Всё по этому плану. Давно пора mesh сети в массы.
символично что серваки НР
> https://theins.ru/politika/248511
> Всё по этому плану
> а также кабельная инфраструктура, включающая все кабели,
> приходящие из-за рубежа.
> Вот именно это и планируется взять под контроль.
> если взять под контроль эту инфраструктуру, то, ...
> можно достичь тотального контроля над сетью.А как они достигнут тотального контроля над сетью со спутников Старлинка?
Убирать вражеские спутники технически уже возможно, но политически до этого требуется ещё немного дорасти. Да и мусор на орбите самим же помешает.
Или в сегменете спутникового интернета пока это будут достигать запретом на установку спутниковых антенн у пользователей?
Спутник-шпион висит над нашей территорией. Чего там политически дорастать? Не убрали - сами виноваты.
Можно глушить или сбивать. Армейский рэб никто не отменял, можно попробовать аккуратно уронить.Принудительная регистрация блин...
>А как они достигнут тотального контроля над сетью со спутников Старлинка?Путём изнасиловантя дубинками пользователей оного
> https://theins.ru/politika/248511
> Всё по этому плану
> Существует проект РАРН который по сути является
> полной копией европейского реестра IP адресовКак это копией?
Т.е. в России будут точно такие же адреса, как и за её пределами? 😲
Нет, читай внимательнее. Будет как RIPE, только все ip будут выделены себе. Т.е. 8.8.8.8 будет российским адресом на территории россии.
>online-alpha.vtb.ruНе получилось зайти через яндекс браузер. КриптоПро установил. А так хотелось зайти через российский сертификат. У меня в этот момент в голове играла музыка из read alert.
Не знаю про ЯБраузер, через FF нормально заходит, после того как серт в хранилище добавишь.
> Не знаю про ЯБраузер, через FF нормально заходит, после того как серт
> в хранилище добавишь.Ну так яшке уже должен быть встроен. Где взять сертификат?
> Ну так яшке уже должен быть встроен.С обновлением ЯБр-а, наверно, прилетит.
> Где взять сертификат?
> Не знаю про ЯБраузер, через FF нормально заходит, после того как серт в хранилище добавишь.Или просто скажешь "да, я в курсе, что у них гранаты не той системы".
>> Не знаю про ЯБраузер, через FF нормально заходит, после того как серт в хранилище добавишь.
> Или просто скажешь "да, я в курсе, что у них гранаты не той системы".Ну тоже вариант. На оффтопе FF умеет работать с системным хранилищем и можно просто в системные добавить и всё работает. На Линуксах, насколько я помню, не умеет и нужно добавлять в собственное хранилище.
> нужно добавлять в собственное хранилище.Кому - нужно? Мне лично - в хрен не уперлось.
>> нужно добавлять в собственное хранилище.
> Кому - нужно? Мне лично - в хрен не уперлось.Ну не добавляй. Я какбы не настаиваю.
Прогрессивная тусовочка всю жизнь боялась Чебурнета изнутри, а он пришёл снаружи от их же кумиров-светочей свободы, бгг
Ну ладно, справедливости ради надо всё-таки отметить, что чебурнет идёт с обоих сторон.
> а он пришёл снаружиЭто где он пришел? Американская фирма отказала в услуге нескольким банкам, они тут же купили ту же услугу у бельгийской. Где тут Чебурнет?
> Это где он пришел?В гугль умеешь? Тогда погугли такие названия как Cogent и Lumen.
> погугли такие названия как Cogent и Lumen.Этого еще не видел. Но это тоже не блокировка и изоляция (в которой смысл Чебурнета), а отказ в услуге. Предпочитаете дружить с Азией - вот через нее и ходите.
> Но это тоже не блокировка и изоляция (в которой смысл Чебурнета), а отказ в услуге.Ох уж эта казуистика...
Типа, если товарищ майор отключает - это чебурнет. Если сэр майор отключает - это отказ в услуге.
Сестра, в этой палате Этодругин заканчивается! Срочно везите еще!
> Ох уж эта казуистика...Именно казуистика. "Отключает" от сэра майора - это отказ авиакомпании перевозить авиадебошира из черного списка. "Отключает" от товарища майора - это запрет на выезд из страны. Вы можете сколько угодно рассуждать, что раз вы не можете полететь на этом самолете - то какая для вас разница. Но она от этого не исчезнет.
> "Отключает" от сэра майора - это отказ авиакомпании перевозить авиадебошира из черного списка.Весь вопрос в том - кто именно добавляет в этот черный список и за что. Пока это выглядит так, что в этом самолёте летит пассажир первого класса, который бегает по всему салону, материт других пассажиров, обливает их дерьмом, бъет по голове и в целом творит что хочет, а ему и слова никто не говорит, потому что он является одним из совладельцев авиакомпании. Стюардессы молча стоят, потупив взгляд и делают вид, что ничего не происходит. И тут один из остальных пассажиров, которого происходящее уже достало, встаёт и говорит, что пора бы заканчивать этот балаган и лететь спокойно дальше. И тут к нему подбегают стюардессы, начинают орать, что это он дебошир и как вообще посмел встать тут и рот раскрыть на Белого Господина. Самолёт останавливают в первом попавшемся аэропорте, возразившего пассажира из самолета выбрасывают и самолёт летит дальше.
> Вы можете сколько угодно рассуждать, что раз вы не можете полететь на этом самолете - то какая для вас разница. Но она от этого не исчезнет.
Если в твоём понимании надо было лететь и обтекать на этом чудесном самолёте и дальше - ну, у тебя еще есть шанс его догнать и продолжить сей полёт. Тебя, в общем-то, никто и не держит - границы наружу не закрыты. Ах, да, там же уже перестали не только давать бочку варенья и корзину печенья, но и вообще пускать честных и совестливых. Печалька. Но ты не переживай. Постоишь на коленях немножко, поизвиняешься за то, что русский - может и простят и на коврик в прихожей пустят.
> встаёт и говорит, что пора бы заканчивать этот балаган и лететь спокойно дальшеТак благостно описать текущие события даже бывший владелец дачи на Комо не смог бы.
Вы молодец, такие вы очень нужны этой стране.
> Так благостно описать текущие события даже бывший владелец дачи на Комо не смог бы.Ну, давай ты попробуешь найти сколько Силы Добра убили людей (причем, именно мирных) в Ираке, потом внезапно обнаружишь, что вторглись они туда по совершенно выдуманной причине, совершили там немало военных преступлений, а потом покажешь мне - сколько санкций было применено за это к США, кто и от чего их за это отключил, и т.п.
Этодругин понадобится, или свой еще не закончился?Это, если что, не к "текущим событиям", это к тому - "а судьи кто"?
> Это, если что, не к "текущим событиям"Вот именно. Ваш пламенный порыв направлен строго в сторону.
Действенный препарат, не зря вы его постоянно упоминаете.
> Вот именно. Ваш пламенный порыв направлен строго в сторону.Ну, ты же игнорируешь неудобные тебе тезисы, почему другим нельзя?
По текущим событиям рассуждать о чем-то определенно можно будет тогда, когда эти события закончатся и победители нам расскажут - кто был прав, а кто виноват. Пример с Ираком очень показателен, потому что это стопудовейшая "зеркалочка". Там ровно так же одна страна устроила "спецоперацию" в другой стране, помахав в ООН пробиркой с ночной поллюцией Колина Пауэлла. Убила кучу людей, совершила кучу военных преступлений и фактически уничтожила эту страну. Однако, пользуясь своей исключительностью и правом победителя на своё изложение событий - не понесла за это не только практически никакой ответственности и наказания, но и даже просто публичного порицания и каких-либо упрёков вообще. И теперь эта высокодуховная нация пытается судить других за примерно такие же действия.
Если в твоём понимании такое положение вещей является нормальным и надо немедленно перед ними падать на колени и извиняться, то - поздравляю, ты явно живешь совестливо и не по лжи.> Действенный препарат, не зря вы его постоянно упоминаете.
Его популярность в последние дни резко возросла, особенно среди тех, кому слишком уж не хочется принимать простой факт, что как прежде ничего уже не будет.
> как прежде ничего уже не будетЯ слишком верю в людей, чтобы поверить, что вы искренне этому рады.
>> как прежде ничего уже не будет
> Я слишком верю в людей, чтобы поверить, что вы искренне этому рады.Причем тут то, рад я этому, или нет? Есть вещи, ход которых не зависит от моей личной радости, или несчастья. Я вполне разделяю неудовольствие людей от происходящего. У меня самого много планов по бороде пошли, цены в магазинах вызывают оторопь, и так далее и тому подобное.
Но от того, что я буду просто сидеть и плакаться об этом - всё как прежде не станет. И любые мои другие действия тоже ничего не вернут. Следовательно, сокрушаться и переживать об этом просто не имеет никакого смысла. Надо жить дальше и исходить из тех реалий, что есть сегодня.
> подбегают стюардессы, начинают орать, что это он дебоширПрямо как моя классная руководительница. У нее в классе были те, кому можно, и те кому нельзя. Если кто-то из тех, кому нельзя, давал отпор тому, кому можно - сразу двойка за поведение и вызов родителей в школу "ваш сын дерётся". А вот тем, кому можно - можно было всё (ну, почти, чтобы только не стало предметом нежелательного внимания со стороны), и без всяких для них последствий.
TLS - Тов. Лейтенант Старший
Хотят под предлогом борьбы со санциями провернуть Казахстанский сценарий?
Да нет уж, кушайте сами Let's Encrypt прекрасно работает и не собирается никого ограничивать!
Вы все еще пребываете в плену иллюзии, что наше мнение кого-то волнует?
> Да нет уж, кушайте сами Let's Encrypt прекрасно работаетПока работает. Ключевое слово ПОКА.
> и не собирается никого ограничивать!Ну да, где-то я это уже слышал.
> Ну да, где-то я это уже слышал.Это называется: "Слышу звон - не знаю где он"!
Илюша, ну почитай ты уже наконец кто такие let's encrypt, кто ими владеет, за чей счёт, где зарегистрированы. И перестань писать бред. Если они сегодня тебя нахер не послали, так не переживай - завтра пошлют, и повод найдут.
https://habr.com/ru/company/itsumma/news/t/571368/
> Это называется: "Слышу звон - не знаю где он"!Что там GitHub/GitLab? Совсем не обсуждают ограничения? А, ограничились пока "сидим, курим, ждём указаний". Просто напомню, что они, как и Let's Encrypt, юридическое лицо, зарегистрированное на территории США. А значит обязано соблюдать их законодательство, в том числе и экспортное.
>> Это называется: "Слышу звон - не знаю где он"!
> Что там GitHub/GitLab? Совсем не обсуждают ограничения? А, ограничились пока "сидим, курим,
> ждём указаний". Просто напомню, что они, как и Let's Encrypt, юридическое
> лицо, зарегистрированное на территории США. А значит обязано соблюдать их законодательство,
> в том числе и экспортное.С GitLab всё и так понятно, а даже если и к github-у закроют доступ (в Крыму давно запрещено комитить и создавать закрытые проекты), то это лишь один из инструментов разработки, не сравнимый со значимостью с Let's Encrypt. Сравнить по значимости можно только с полной блокировкой гугла (gmail, google, youtube) но к тому времени, скорее все автономные системы РФ отключат от интернета и будет уже без разницы что там с сертификатами.
> не собирается никого ограничиватьБлажен, кто верует.
Чебурнет.Молитесь, чтобы не было как в Туркмении, будете подбирать IP адреса за любые деньги чтобы зайти а нормальный интернет :)
Ну тут вариант один - держим две копии\профиля браузера. В один добавляем сертификат-скрепу, в другой нет. Нужно воспользоваться подсанкционным сервисом - используем скрепную копию, все остальное время - чистую. Так риск попыток подсовывать нацсертификат под все сайты сильно уменьшатся. Хотя конечно они там много чего еще придумают. А вот как они будут бороться с возможным блеклистом сертификата со стороны разработчиков браузеров - интересно.
> Ну тут вариант один - держим две копии\профиля браузера. В один добавляем сертификат-скрепу, в другой нет. Нужно воспользоваться подсанкционным сервисом - используем скрепную копию, все остальное время - чистую. Так риск попыток подсовывать нацсертификат под все сайты сильно уменьшатся.Не забудь еще шапочку из фольги нацепить - так риск еще более снизится.
А если серьезно - уровень технической грамотности людей на Опеннете, конечно, удручает. Как тут правильно выше заметили, столько "знатоков" рассказывает про то, как их секретный трафик на порнхаб мамка расшифрует, а вот пояснить каким они себе видят вектор атаки и подсовывание MitM - не могут рассказать даже в теории.
Если кто не в курсе - в большинстве крупных компаний уже давно стоят такие MitM-прокси и весь трафик сотрудников благополучно расшифровывается. Только вот проблема в том, что "незаметно" оно всё равно не происходит. И браузеры орут, что с сертификатом что-то не то, и часть программ просто не работает нормально. А на уровне страны такое сделать, да так, чтобы еще и никто не заметил - это уже нечто из разряда фантастики.
Можно, конечно, предположить, что это чуть более выполнимо, если работа ведется относительно какого-то конкретного индивида. Только вот если за тобой целенаправленно следят ребята в погонах - может быть, про сертификаты думать уже в любом случае чуток поздно?
Таки да. Вот только ты немного не прав.В принципе прозрачное MItM-прокси до IT-контор возможно и при этом сравнительно быстро и дёшево реализуемо - для страны в которой эти конторы или держат штаб-квартиры, или имеют подавляющую долю акционеров, или просто очень ощутимый процент выручки. Вспомни, как просачивались новости с англонета - у нас это не переводят - как Цукерберга гоняли в конгресс и как он там расшаркивался. Ты просто уже изначально герр-майоровский корневой сертификат получишь в системе. Как страшно жить, да. Годике в 15-16м уже вскользь всплывала инфа про немецкий государственный троян, её так же у нас практически не переводили. Думаю, 90% западных корневых сертификатов доверять можно только очень условно.
> Таки да. Вот только ты немного не прав.Ну, я имел в виду именно глобальное MitM-проксирование всего и всех. Понятно, что точечно и по конкретным ресурсам, которые сами себе такой сертификат поставят - оно без проблем работать будет и так. Но если все ресурсы из "оставшихся" и так будут либо российскими, либо "приземлёнными", то товарищ майор и так получит все нужные сведения напрямую, не утруждая себя излишними шагами по расшифровыванию чего-либо.
Поэтому, все эти шапочки из фольги тем более не имеют смысла: на локальных ресурсах и без них про тебя все и всё узнают. А на удалённых... Ну, если ты настолько супер-профи, что не видишь при соединении, что тебе сертификат подменили, например, при соединении по VPN - то может тебе стоит самому себе задать ряд неприятных вопросов?
> И браузеры орут, что с сертификатом что-то не тоОбязать Я.Браузер не орать и запретить использование всех остальных.
> да так, чтобы еще и никто не заметил - это уже нечто из разряда фантастики.
Не заметил, что по новому закону MItM должен стоять у каждого провайдера для хранения содержимого зашифрованного трафика? Да-с, сложновато...
> Не заметил, что по новому закону MItM должен стоять у каждого провайдера для хранения содержимого зашифрованного трафика? Да-с, сложновато...А процитируй-ка, пожалуйста, этот "новый закон". И ссылкой на сам закон, пожалуйста.
Спасибо.
Пакет Яровой?
> Пакет Яровой?Где там про MitM-прокси? Или, как обычно, слышал звон, да не знаешь где он?
Напоминаю, что все блокировки в Интернете вводились также под благовидным предлогом - защита детей от нехорошего контента. К чему все это привело каждый может увидеть сам.С корневым сертификатом скорее всего будет точно также. Сначала его раздадут банкам, школам, вузам и государственным учреждениям, а когда достаточный процент населения удастся заставить его установить, тут же включат гос. MITM ибо DPI системы и сохранение всего трафика вводили в том числе для этой цели.
К сожалению, всё именно так и обстоит. Если появляется простой инструмент давления, значит им обязательно воспользуются рано или поздно.
Вы сами то пробовали в мобилке/планшете сертификат поставить левый?
Я вот нет, и понятия не имею как это делается.
99% пользователей даже по комиксам это врядли осилит.
Им только вариант один - поставить готовыйбраузер с сертификатами.На компах ситуация чуть по лучше, но не сильно.
В отличии от казахстана тут эту тему никто не форсит, оно как временная мера если завтра вообще начнут массово отзывать сертифкаты, чтобы совсем всё не встало.
Собственно злоупотребления обязательно начнутся если оно взлетит, но пока в этом направлении никто не давит.
На андроиде всё просто - программа запрашивает установку сертификата и на экран выводится просьба ввести пароль разблокировки/графический ключ/отпечаток пальца, затем появляется системное уведомление с сообщением, что в случае установки постороннего сертификата весь трафик может отслеживаться и просьбой согласиться на это действие
Вот только приложения по умолчанию не доверяют пользовательским сертификатам. Его либо нужно ставить в системное хранилище (для чего нужен root), либо модифицировать манифест приложения
Блин, шапочки из фольги заканчиваются.
Используй шапочки Фарадея, они по-лучше будут.
То есть Firefox обновлять не стоит, если он занимается откровенным вредительством по части сертификатов?