The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В РФ началось продвижение собственного корневого TLS-сертификата"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В РФ началось продвижение собственного корневого TLS-сертификата"  +/
Сообщение от opennews (??), 10-Мрт-22, 08:00 
Пользователи портала государственных услуг Российской Федерации (gosuslugi.ru) получили уведомление о создании государственного удостоверяющего цента со своим корневым TLS-сертификатом, не включённым в хранилища корневых сертификатов операционных систем и основных браузеров. Cертификаты выдаются на добровольной основе юридическим лицам и нацелены на использование в ситуации отзыва TLS-сертификатов в результате санкций. Например, удостоверяющие центры, находящиеся в юрисдикции США, такие как DigiCert, прекратили предоставление сертификатов для сайтов организаций, входящих в санкционный список...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56830

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


3. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +7 +/
Сообщение от тигар (ok), 10-Мрт-22, 08:07 
а чебурнет-то все ближе..
Ответить | Правка | Наверх | Cообщить модератору

22. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +26 +/
Сообщение от Dzen Python (ok), 10-Мрт-22, 09:12 
Скорее кванмен.ру.

Причем делаеют его сейчас не говорящие головы из тель-а-визера, а наши "свободолюбивые" демократичные друзиа, админресурсом рубя (ой, простите, неполиткорректно высказался, компании-магистральные провайдеры сами и с песней в поддержку абсолютно фиолетовых им украинцев, которых по методичке бла-бла-бла Путин, отключают) магистрали.

ЕМНИП, уже джва провайдера так поломали. Культура отмены это вам не шутки.

Ответить | Правка | Наверх | Cообщить модератору

32. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +8 +/
Сообщение от КО12345 (ok), 10-Мрт-22, 10:02 
Двач закрывают, на опеннете комментить не дают, скоро заблочат и лису с хромом.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

102. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +5 +/
Сообщение от fi (ok), 10-Мрт-22, 17:01 
Если бы в CA Root добавили бы какой-нибудь NameConstraints = *.mddc.ru и выдавали бы его для доменов в нем - то можно было бы и поставить.

А так - "доверенный центр" совсем не доверенный )))

в принципе можно завести отдельную копию ФФ только для "Russian Trusted Root CA"

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

106. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +/
Сообщение от sigprof (ok), 10-Мрт-22, 17:51 
Вот только с поддержкой NameConstraints именно в корневых сертификатах до сих пор не всё хорошо: https://bugs.chromium.org/p/chromium/issues/detail?id=1072083

Ну и там всё равно уже навыписывали сертификатов на имена за пределами *.ru и *.рф:

cbr2021.online
econs.online
*.econs.online
vtb.com
mail.vtb.com
www.mail.vtb.com
smtp.vtb.com
autodiscover.vtb.com
www.vtb.com
fincult.info
*.fincult.info

Ответить | Правка | Наверх | Cообщить модератору

4. Скрыто модератором  +37 +/
Сообщение от istepan (ok), 10-Мрт-22, 08:15 
Ответить | Правка | Наверх | Cообщить модератору

5. Скрыто модератором  –26 +/
Сообщение от тигар (ok), 10-Мрт-22, 08:18 
Ответить | Правка | Наверх | Cообщить модератору

11. Скрыто модератором  –3 +/
Сообщение от odyn (ok), 10-Мрт-22, 08:42 
Ответить | Правка | Наверх | Cообщить модератору

63. Скрыто модератором  –8 +/
Сообщение от тигар (ok), 10-Мрт-22, 12:41 
Ответить | Правка | Наверх | Cообщить модератору

17. Скрыто модератором  +19 +/
Сообщение от X86 (ok), 10-Мрт-22, 08:56 
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

7. "В РФ началось продвижение собственного корневого TLS-сертифи..."  –12 +/
Сообщение от robux (ok), 10-Мрт-22, 08:24 
Ну ничо, веб-макаки же любят централизованные технологии:
1) УЦ
2) DNS
3) стандарты от корпораций (HTML/CSS/HTTP)
4) веб-серверы: крупные поисковики, соц. сети, мессенджеры

Баранов всегда кто-то пасёт: или сэр майор или тов. майор.

Ответить | Правка | Наверх | Cообщить модератору

88. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +1 +/
Сообщение от Kuromi (ok), 10-Мрт-22, 15:11 
2) Так есть TRR, браузер сможет ходить в сеть и без DNS сервера
3) По вашему в РФ можно отменить HTML? И что, сразу сайты в текстовые файлы превратятся?
Ответить | Правка | Наверх | Cообщить модератору

130. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +1 +/
Сообщение от darkshvein (ok), 13-Мрт-22, 19:51 
>веб-макаки

любят халяву и чтоб поменьше думать: Готовые CMS, готовые либы, халявные облака, бекапы, которые делаются сами по себе.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

9. "В РФ началось продвижение собственного корневого TLS-сертифи..."  –18 +/
Сообщение от SilverCutePony (ok), 10-Мрт-22, 08:33 
Когда уже для работы в интернете нужно будет устанавливать государственный кейлоггер?)
Ответить | Правка | Наверх | Cообщить модератору

13. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +19 +/
Сообщение от timur.davletshin (ok), 10-Мрт-22, 08:49 
> Когда уже для работы в интернете нужно будет устанавливать государственный кейлоггер?)

Зачем государственный? Лучше корпоративный. У иностранной корпорации, в отличие от гос-ва, перед большинством пользователей даже минимальных юридических обязательств нет. Погодите, о чём это я? Оно же уже в каждом смартфоне и добром кол-ве проприетарных осей уже есть в дефолтных настройках )))

Ответить | Правка | Наверх | Cообщить модератору

15. "В РФ началось продвижение собственного корневого TLS-сертифи..."  –1 +/
Сообщение от SilverCutePony (ok), 10-Мрт-22, 08:51 
Проблема в том, что данные гугловской и майкрософтской телеметрии получают американцы, а наше государство тоже хочет следить потщательнее
Ответить | Правка | Наверх | Cообщить модератору

10. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +2 +/
Сообщение от timur.davletshin (ok), 10-Мрт-22, 08:39 
Шаг номер два: Постеби любого знакомого айтишника вопросом о сценарии предполагаемой атаки MITM с использованием контролируемого гос-вом (да и любым другим предполагаемым злоумышленником) CA. Прям тест-детектор 😄

P.S. Я не говорю, что это не создаёт вектор для потенциальной атаки. Я лишь говорю о том, что подавляющее большинство околоайтишников из моего круга общения понятия не имеют в такие казалось бы несложные вещи. Подчеркну, что из моего круга общения. Возможно, вокруг вас собрались более компетентные и менее заангажированные люди.

P.S. #2: https://sslmate.com/resources/certificate_authority_failures и это не все. Ещё французское правительство при помощи промежуточного сертификата подписывалось некоторыми крупными корпорациями - https://www.theregister.com/2013/12/10/french_gov_dodgy_ssl_.../

И это только то, что я навскидку вспомнил. Их было больше.

Ответить | Правка | Наверх | Cообщить модератору

12. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +1 +/
Сообщение от TheCat (ok), 10-Мрт-22, 08:46 
Это пусть у безопасников голова болит. Итишникам главное что бы работало.
Ответить | Правка | Наверх | Cообщить модератору

23. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +6 +/
Сообщение от timur.davletshin (ok), 10-Мрт-22, 09:15 
> Это пусть у безопасников голова болит. Итишникам главное что бы работало.

Это характеризует общий уровень компетенции коллег. Абсолютно у всех есть мнение на этот счёт, но описать вектор атаки могут единицы. Случаев атак на коммерческие CA у меня не вспомнил ни один.

Ответить | Правка | Наверх | Cообщить модератору

75. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +/
Сообщение от YetAnotherOnanym (ok), 10-Мрт-22, 13:29 
А чего там описывать? Приходит дядя с удостоверением и ЦА без разговоров выдаёт ему нужный сертификат. Аналогично провайдер жертвы послушно роутит весь или часть его/её трафика на нужный адрес (или хостинг-провайдер, где живёт сервер, на который ходит жертва, маршрутит куда надо запросы от указанного адреса), а там уже всё готово к приёму дорогого гостя.
Ответить | Правка | Наверх | Cообщить модератору

79. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +/
Сообщение от timur.davletshin (ok), 10-Мрт-22, 13:56 
> А чего там описывать? Приходит дядя с удостоверением и ЦА без разговоров
> выдаёт ему нужный сертификат. Аналогично провайдер жертвы послушно роутит весь или
> часть его/её трафика на нужный адрес (или хостинг-провайдер, где живёт сервер,
> на который ходит жертва, маршрутит куда надо запросы от указанного адреса),
> а там уже всё готово к приёму дорогого гостя.

Погодите, но это же документируемо на стороне того, кого принять желают, более того, ничем не отличается от того, что делалось до этого (ссылки выше).

Ответить | Правка | Наверх | Cообщить модератору

104. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +/
Сообщение от YetAnotherOnanym (ok), 10-Мрт-22, 17:16 
> документируемо на стороне того, кого принять желают,

А многие ли смотрят на сертификат, когда заходят на сайт по https? Я проверяю серт только когда захожу в онлайн-банк (пришлось поставить, увы) - сверяю отпечаток с записанным на бумажке. Всё остальное - иконка с замочком зеленая, браузер не ругается - и ладно.


Ответить | Правка | Наверх | Cообщить модератору

112. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +/
Сообщение от timur.davletshin (ok), 10-Мрт-22, 22:22 
> - сверяю отпечаток с записанным на бумажке. Всё остальное - иконка
> с замочком зеленая, браузер не ругается - и ладно.

Я всегда знал, что тру-ойтишники очень "прогрессивны" и система trust-on-first-use (TOFU) у них реализуется именно так )))

Ответить | Правка | Наверх | Cообщить модератору

113. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +/
Сообщение от YetAnotherOnanym (ok), 10-Мрт-22, 22:33 
А при чём тут "first use"?
Ответить | Правка | Наверх | Cообщить модератору

114. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +/
Сообщение от timur.davletshin (ok), 10-Мрт-22, 23:39 
> А при чём тут "first use"?

А откуда у тебя "отпечаток, записанный на бумажке" взялся? В банке выдали или ты просто первый раз ему поверил и дальше просто сличаешь, не сменился ли он? Если первое, то я хочу знать имя этого банка, если второе, то ты просто придумал TOFU на бумажке.

Ответить | Правка | Наверх | Cообщить модератору

116. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +/
Сообщение от YetAnotherOnanym (ok), 11-Мрт-22, 01:23 
Операционистку попросил открыть онлайн-банк на своём рабочем пк и сверить мою распечатку с тем, что будет у нее.

Ответить | Правка | Наверх | Cообщить модератору

117. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +1 +/
Сообщение от timur.davletshin (ok), 11-Мрт-22, 07:09 
> Операционистку попросил открыть онлайн-банк на своём рабочем пк и сверить мою распечатку
> с тем, что будет у нее.

Не, не прокатит. Но да ладно, я примерно так и думал, что это были теоретические измышления.

Ответить | Правка | Наверх | Cообщить модератору

119. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +/
Сообщение от YetAnotherOnanym (ok), 11-Мрт-22, 13:40 
Что именно не прокатит? Ты не веришь, что девочка из банка открыла у себя сайт онлайн-банка? Или ты считаешь, что в сети банка вероятность МИТМ такая же, как в дикой природе?
Ответить | Правка | Наверх | Cообщить модератору

121. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +/
Сообщение от timur.davletshin (ok), 11-Мрт-22, 20:06 
> Что именно не прокатит? Ты не веришь, что девочка из банка открыла
> у себя сайт онлайн-банка? Или ты считаешь, что в сети банка
> вероятность МИТМ такая же, как в дикой природе?

Дружище, не фантазируй, возвращайся на бренную землю. В реальной жизни в большинстве банков нет браузеров на рабочих местах ВООБЩЕ. Не говоря уже о том, чтобы барышня (что за сексизм? там и парни есть) кликала по твоей просьбе в малопонятные для большинства иконки и надиктовывала серийный номер сертификата, который у меня в FF находится на расстоянии 4 кликов. А вдруг это секретная информация и её после этого уволят?

Ответить | Правка | Наверх | Cообщить модератору

123. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +1 +/
Сообщение от YetAnotherOnanym (ok), 12-Мрт-22, 12:06 
У этих броузер был и они объясняли что и как делать в онлайн-банке, разворачивая свой монитор к посетителю.
Ответить | Правка | К родителю #121 | Наверх | Cообщить модератору

124. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +/
Сообщение от timur.davletshin (ok), 12-Мрт-22, 12:17 
> У этих броузер был и они объясняли что и как делать в
> онлайн-банке, разворачивая свой монитор к посетителю.

Имя, сестра! Имя! Что за банк такой? Я туда схожу проверить.

Ответить | Правка | К родителю #123 | Наверх | Cообщить модератору

126. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +/
Сообщение от aploskov.dev (ok), 12-Мрт-22, 19:02 
Хм, ну зайди в ВТБ, к примеру. Там вполне себе должен быть либо браузер, либо что-то, завернутое в электрон.
Ответить | Правка | К родителю #124 | Наверх | Cообщить модератору

127. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +1 +/
Сообщение от timur.davletshin (ok), 12-Мрт-22, 20:06 
> либо браузер, либо что-то, завернутое в электрон.

Напомни, как там из приложения на электрон посмотреть оператору сертификат?

Ответить | Правка | К родителю #126 | Наверх | Cообщить модератору

128. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +/
Сообщение от aploskov.dev (ok), 12-Мрт-22, 20:29 
>> либо браузер, либо что-то, завернутое в электрон.
> Напомни, как там из приложения на электрон посмотреть оператору сертификат?

Я не web-разраб, но когда-то, если меня не подводит память, в приложениях на Electron были доступны Developer Tools:

Ctrl + Shift + I >> Security >> View Certificate.

Или для Mac OS:

⌘ + Option + I >> Security >> View Certificate.

Сейчас, наверно, тоже есть решение, но надо покопать. Хотя, боюсь, там всё же браузер. Впрочем, это то ещё извращение бегать по банкам и просить их отпечаток сертификата. Думаю, если сильно попросить менеджера - тебе этот сертификат дадут для установки в систему. В любом случае - в случае паранойи обратись к сотруднику банка, он с тебя хоть копеечку имеет.

Ответить | Правка | К родителю #127 | Наверх | Cообщить модератору

129. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +1 +/
Сообщение от timur.davletshin (ok), 12-Мрт-22, 20:50 
> Я не web-разраб, но когда-то, если меня не подводит память, в приложениях
> на Electron были доступны Developer Tools:

Вот именно про это я и говорил чуть выше. Всё это ваши измышлизмы, не более. Имени реального банка от оппонента я так и не услышал.

Ответить | Правка | К родителю #128 | Наверх | Cообщить модератору

131. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +/
Сообщение от YetAnotherOnanym (ok), 14-Мрт-22, 06:29 
РСХБ
Ответить | Правка | К родителю #124 | Наверх | Cообщить модератору

132. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +/
Сообщение от fi (ok), 17-Мрт-22, 13:41 
не прокатит - серты меняются. Надо смотреть всю цепочку - кто выдал.

а эта подпись не более того чтоб сравнить в тек. работе сотрудника центра СА

Ответить | Правка | К родителю #116 | Наверх | Cообщить модератору

14. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +15 +/
Сообщение от Neandertalets (ok), 10-Мрт-22, 08:51 
Т.е. вариант, что MITM ранее был возможен со стороны УЦ - не смущал раньше, а тут - стал смущать? Или "это другое!"?
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

18. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +7 +/
Сообщение от тоже Анонимemail (ok), 10-Мрт-22, 09:03 
УЦ имел сдерживающий фактор - устроив MItM, он опозорится на весь мир.
В данном же случае мы имеем дело с организацией, не имеющей такого сдерживающего фактора.
Ответить | Правка | Наверх | Cообщить модератору

20. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +12 +/
Сообщение от timur.davletshin (ok), 10-Мрт-22, 09:07 
> УЦ имел сдерживающий фактор - устроив MItM, он опозорится на весь мир.
> В данном же случае мы имеем дело с организацией, не имеющей такого
> сдерживающего фактора.

Comodo, DigiNotar до сих пор на рынке? А у них были наиэпичнейшие просёры всех полимеров уровня "подписали кучу сертификатов типа «я - Google»".

Ответить | Правка | Наверх | Cообщить модератору

37. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +1 +/
Сообщение от тоже Анонимemail (ok), 10-Мрт-22, 11:05 
> А у них были наиэпичнейшие просёры всех полимеров

Давайте не делать вид, что вы не понимаете разницы между факапом и "ради нее все и писалось".

Ответить | Правка | Наверх | Cообщить модератору

43. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +8 +/
Сообщение от llolik (ok), 10-Мрт-22, 11:25 
>> А у них были наиэпичнейшие просёры всех полимеров
> Давайте не делать вид, что вы не понимаете разницы между факапом и "ради нее все и писалось".

Ну и, справедливости ради, давайте не делать вид, что принципиально это выглядит, как что-то другое. Вся инфраструктура корневых сертификатов построена исключительно на доверии к CA. К этому самому доверию, как вот сейчас видим, возникают вопросы.

Ответить | Правка | Наверх | Cообщить модератору

45. "В РФ началось продвижение собственного корневого TLS-сертифи..."  –4 +/
Сообщение от тоже Анонимemail (ok), 10-Мрт-22, 11:30 
> принципиально это выглядит

На шкаф будем залезать?

> возникают вопросы.

У кого? Вы правда верите, что последние события подорвали доверие к американским УЦ в Штатах и Европе? Да ни одна собака не почесалась. Им-то такой сценарий не грозит.

Ответить | Правка | Наверх | Cообщить модератору

51. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +7 +/
Сообщение от timur.davletshin (ok), 10-Мрт-22, 11:47 
> У кого? Вы правда верите, что последние события подорвали доверие к американским
> УЦ в Штатах и Европе? Да ни одна собака не почесалась.
> Им-то такой сценарий не грозит.

Давайте будем честными, выбор регистратора и CA у подавляющего большинства администраторов определялся ценой, а не степенью политических рисков. Описанные выше случаи грубейшего нарушения процедур обращения не имели НИКАКИХ далекоидущих последствий для виновных. Компании продолжают работать. А "замочек" от условного Comodo даёт юридических гарантий не больше, чем ничего. Но, идёт с заметным политическим обременением, как теперь выясняется.

Ответить | Правка | Наверх | Cообщить модератору

56. "В РФ началось продвижение собственного корневого TLS-сертифи..."  –5 +/
Сообщение от тоже Анонимemail (ok), 10-Мрт-22, 11:53 
Давайте будем совсем честными: что-то изменилось только внутри одного большого политического обременения вследствие грубейшего нарушения процедур. Доверие не может не быть обоюдным.
Ответить | Правка | Наверх | Cообщить модератору

55. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +9 +/
Сообщение от llolik (ok), 10-Мрт-22, 11:51 
>> принципиально это выглядит
> На шкаф будем залезать?

Не буду. Система, где тебе отзывают сертификат не по компрометации, а по желанию третьей стороны, вопросов не вызывает? Совсем? Я бы понял отказ в продлении (типа отказ в услугах сертификации, на основании законодательного запрета работы с), но отзыв - это как понимать?

>> возникают вопросы.
> Вы правда верите, что последние события подорвали доверие к американским УЦ в Штатах и Европе?

Мир заканчивается на Штатах и Европе?

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

52. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +4 +/
Сообщение от timur.davletshin (ok), 10-Мрт-22, 11:49 
>>> А у них были наиэпичнейшие просёры всех полимеров
>> Давайте не делать вид, что вы не понимаете разницы между факапом и "ради нее все и писалось".
> Ну и, справедливости ради, давайте не делать вид, что принципиально это выглядит,
> как что-то другое. Вся инфраструктура корневых сертификатов построена исключительно на
> доверии к CA. К этому самому доверию, как вот сейчас видим,
> возникают вопросы.

Скорее даже не к ЦА, а к компаниям, проводящим аудиты этих ЦА, т.е. к Mozilla Corp., Microsoft Corp., Google Corp.

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

25. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +5 +/
Сообщение от Neandertalets (ok), 10-Мрт-22, 09:28 
> УЦ имел сдерживающий фактор - устроив MItM, он опозорится на весь мир.
> В данном же случае мы имеем дело с организацией, не имеющей такого сдерживающего фактора.

   Глупости что первая часть предложения, что вторая.

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

19. Скрыто модератором  +38 +/
Сообщение от Dzen Python (ok), 10-Мрт-22, 09:04 
Ответить | Правка | Наверх | Cообщить модератору

21. Скрыто модератором  +24 +/
Сообщение от istepan (ok), 10-Мрт-22, 09:08 
Ответить | Правка | Наверх | Cообщить модератору

24. Скрыто модератором  +14 +/
Сообщение от Dzen Python (ok), 10-Мрт-22, 09:17 
Ответить | Правка | Наверх | Cообщить модератору

87. Скрыто модератором  +5 +/
Сообщение от Kuromi (ok), 10-Мрт-22, 15:08 
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

93. Скрыто модератором  +2 +/
Сообщение от Dzen Python (ok), 10-Мрт-22, 15:52 
Ответить | Правка | Наверх | Cообщить модератору

27. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +/
Сообщение от uis (ok), 10-Мрт-22, 09:37 
https://theins.ru/politika/248511
Всё по этому плану. Давно пора mesh сети в массы.
Ответить | Правка | Наверх | Cообщить модератору

35. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +3 +/
Сообщение от mos87 (ok), 10-Мрт-22, 10:44 
символично что серваки НР
Ответить | Правка | Наверх | Cообщить модератору

38. "В РФ началось продвижение собственного корневого TLS-сертифи..."  –1 +/
Сообщение от rvs2016 (ok), 10-Мрт-22, 11:14 
> https://theins.ru/politika/248511
> Всё по этому плану
> а также кабельная инфраструктура, включающая все кабели,
> приходящие из-за рубежа.
> Вот именно это и планируется взять под контроль.
> если взять под контроль эту инфраструктуру, то, ...
> можно достичь тотального контроля над сетью.

А как они достигнут тотального контроля над сетью со спутников Старлинка?
Убирать вражеские спутники технически уже возможно, но политически до этого требуется ещё немного дорасти. Да и мусор на орбите самим же помешает.
Или в сегменете спутникового интернета пока это будут достигать запретом на установку спутниковых антенн у пользователей?

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

62. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +1 +/
Сообщение от Тот_ещё_аноним (ok), 10-Мрт-22, 12:38 
Спутник-шпион висит над нашей территорией. Чего там политически дорастать? Не убрали - сами виноваты.
Можно глушить или сбивать. Армейский рэб никто не отменял, можно попробовать аккуратно уронить.

Принудительная регистрация блин...

Ответить | Правка | Наверх | Cообщить модератору

110. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +3 +/
Сообщение от uis (ok), 10-Мрт-22, 21:49 
>А как они достигнут тотального контроля над сетью со спутников Старлинка?

Путём изнасиловантя дубинками пользователей оного

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

40. "В РФ началось продвижение собственного корневого TLS-сертифи..."  –2 +/
Сообщение от rvs2016 (ok), 10-Мрт-22, 11:19 
> https://theins.ru/politika/248511
> Всё по этому плану
> Существует проект РАРН который по сути является
> полной копией европейского реестра IP адресов

Как это копией?
Т.е. в России будут точно такие же адреса, как и за её пределами? 😲

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

111. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +2 +/
Сообщение от uis (ok), 10-Мрт-22, 21:51 
Нет, читай внимательнее. Будет как RIPE, только все ip будут выделены себе. Т.е. 8.8.8.8 будет российским адресом на территории россии.
Ответить | Правка | Наверх | Cообщить модератору

28. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +/
Сообщение от Шарп (ok), 10-Мрт-22, 09:40 
>online-alpha.vtb.ru

Не получилось зайти через яндекс браузер. КриптоПро установил. А так хотелось зайти через российский сертификат. У меня в этот момент в голове играла музыка из read alert.

Ответить | Правка | Наверх | Cообщить модератору

29. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +2 +/
Сообщение от llolik (ok), 10-Мрт-22, 09:50 
Не знаю про ЯБраузер, через FF нормально заходит, после того как серт в хранилище добавишь.
Ответить | Правка | Наверх | Cообщить модератору

30. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +/
Сообщение от Шарп (ok), 10-Мрт-22, 09:55 
> Не знаю про ЯБраузер, через FF нормально заходит, после того как серт
> в хранилище добавишь.

Ну так яшке уже должен быть встроен. Где взять сертификат?

Ответить | Правка | Наверх | Cообщить модератору

33. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +1 +/
Сообщение от llolik (ok), 10-Мрт-22, 10:15 
> Ну так яшке уже должен быть встроен.

С обновлением ЯБр-а, наверно, прилетит.
> Где взять сертификат?

https://www.gosuslugi.ru/tls?_=1646892923023

Ответить | Правка | Наверх | Cообщить модератору

39. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +/
Сообщение от тоже Анонимemail (ok), 10-Мрт-22, 11:18 
> Не знаю про ЯБраузер, через FF нормально заходит, после того как серт в хранилище добавишь.

Или просто скажешь "да, я в курсе, что у них гранаты не той системы".

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

44. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +/
Сообщение от llolik (ok), 10-Мрт-22, 11:27 
>> Не знаю про ЯБраузер, через FF нормально заходит, после того как серт в хранилище добавишь.
> Или просто скажешь "да, я в курсе, что у них гранаты не той системы".

Ну тоже вариант. На оффтопе FF умеет работать с системным хранилищем и можно просто в системные добавить и всё работает. На Линуксах, насколько я помню, не умеет и нужно добавлять в собственное хранилище.

Ответить | Правка | Наверх | Cообщить модератору

46. "В РФ началось продвижение собственного корневого TLS-сертифи..."  –3 +/
Сообщение от тоже Анонимemail (ok), 10-Мрт-22, 11:31 
> нужно добавлять в собственное хранилище.

Кому - нужно? Мне лично - в хрен не уперлось.

Ответить | Правка | Наверх | Cообщить модератору

49. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +/
Сообщение от llolik (ok), 10-Мрт-22, 11:44 
>> нужно добавлять в собственное хранилище.
> Кому - нужно? Мне лично - в хрен не уперлось.

Ну не добавляй. Я какбы не настаиваю.

Ответить | Правка | Наверх | Cообщить модератору

31. Скрыто модератором  +20 +/
Сообщение от Fracta1L (ok), 10-Мрт-22, 09:55 
Ответить | Правка | Наверх | Cообщить модератору

36. Скрыто модератором  –2 +/
Сообщение от Admino (ok), 10-Мрт-22, 11:01 
Ответить | Правка | Наверх | Cообщить модератору

41. Скрыто модератором  –1 +/
Сообщение от тоже Анонимemail (ok), 10-Мрт-22, 11:21 
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

47. Скрыто модератором  +1 +/
Сообщение от Celcion (ok), 10-Мрт-22, 11:40 
Ответить | Правка | Наверх | Cообщить модератору

53. Скрыто модератором  +/
Сообщение от тоже Анонимemail (ok), 10-Мрт-22, 11:49 
Ответить | Правка | Наверх | Cообщить модератору

58. Скрыто модератором  +5 +/
Сообщение от Celcion (ok), 10-Мрт-22, 12:10 
Ответить | Правка | Наверх | Cообщить модератору

60. Скрыто модератором  +1 +/
Сообщение от тоже Анонимemail (ok), 10-Мрт-22, 12:34 
Ответить | Правка | Наверх | Cообщить модератору

67. Скрыто модератором  +3 +/
Сообщение от Celcion (ok), 10-Мрт-22, 12:53 
Ответить | Правка | Наверх | Cообщить модератору

72. Скрыто модератором  +1 +/
Сообщение от тоже Анонимemail (ok), 10-Мрт-22, 13:25 
Ответить | Правка | Наверх | Cообщить модератору

76. Скрыто модератором  +1 +/
Сообщение от Celcion (ok), 10-Мрт-22, 13:37 
Ответить | Правка | Наверх | Cообщить модератору

81. Скрыто модератором  +1 +/
Сообщение от тоже Анонимemail (ok), 10-Мрт-22, 14:10 
Ответить | Правка | Наверх | Cообщить модератору

84. Скрыто модератором  +2 +/
Сообщение от Celcion (ok), 10-Мрт-22, 14:32 
Ответить | Правка | Наверх | Cообщить модератору

97. Скрыто модератором  +/
Сообщение от тоже Анонимemail (ok), 10-Мрт-22, 16:40 
Ответить | Правка | Наверх | Cообщить модератору

103. Скрыто модератором  +1 +/
Сообщение от Celcion (ok), 10-Мрт-22, 17:07 
Ответить | Правка | Наверх | Cообщить модератору

77. Скрыто модератором  +2 +/
Сообщение от YetAnotherOnanym (ok), 10-Мрт-22, 13:47 
Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

34. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +1 +/
Сообщение от mos87 (ok), 10-Мрт-22, 10:43 
TLS - Тов. Лейтенант Старший
Ответить | Правка | Наверх | Cообщить модератору

78. "В РФ началось продвижение собственного корневого TLS-сертифи..."  –3 +/
Сообщение от Ilya Indigo (ok), 10-Мрт-22, 13:55 
Хотят под предлогом борьбы со санциями провернуть Казахстанский сценарий?
Да нет уж, кушайте сами Let's Encrypt прекрасно работает и не собирается никого ограничивать!
Ответить | Правка | Наверх | Cообщить модератору

82. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +3 +/
Сообщение от тоже Анонимemail (ok), 10-Мрт-22, 14:11 
Вы все еще пребываете в плену иллюзии, что наше мнение кого-то волнует?
Ответить | Правка | Наверх | Cообщить модератору

83. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +2 +/
Сообщение от llolik (ok), 10-Мрт-22, 14:19 
> Да нет уж, кушайте сами Let's Encrypt прекрасно работает

Пока работает. Ключевое слово ПОКА.
> и не собирается никого ограничивать!

Ну да, где-то я это уже слышал.

Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

85. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +/
Сообщение от Ilya Indigo (ok), 10-Мрт-22, 14:50 
> Ну да, где-то я это уже слышал.

Это называется: "Слышу звон - не знаю где он"!

Ответить | Правка | Наверх | Cообщить модератору

89. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +/
Сообщение от Тинус Лорвальдс (ok), 10-Мрт-22, 15:14 
Илюша, ну почитай ты уже наконец кто такие let's encrypt, кто ими владеет, за чей счёт, где зарегистрированы. И перестань писать бред. Если они сегодня тебя нахер не послали, так не переживай - завтра пошлют, и повод найдут.
Ответить | Правка | Наверх | Cообщить модератору

91. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +2 +/
Сообщение от Juha (ok), 10-Мрт-22, 15:29 
https://habr.com/ru/company/itsumma/news/t/571368/
Ответить | Правка | Наверх | Cообщить модератору

90. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +1 +/
Сообщение от llolik (ok), 10-Мрт-22, 15:21 
> Это называется: "Слышу звон - не знаю где он"!

Что там GitHub/GitLab? Совсем не обсуждают ограничения? А, ограничились пока "сидим, курим, ждём указаний". Просто напомню, что они, как и Let's Encrypt, юридическое лицо, зарегистрированное на территории США. А значит обязано соблюдать их законодательство, в том числе и экспортное.

Ответить | Правка | К родителю #85 | Наверх | Cообщить модератору

92. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +/
Сообщение от Ilya Indigo (ok), 10-Мрт-22, 15:35 
>> Это называется: "Слышу звон - не знаю где он"!
> Что там GitHub/GitLab? Совсем не обсуждают ограничения? А, ограничились пока "сидим, курим,
> ждём указаний". Просто напомню, что они, как и Let's Encrypt, юридическое
> лицо, зарегистрированное на территории США. А значит обязано соблюдать их законодательство,
> в том числе и экспортное.

С GitLab всё и так понятно, а даже если и к github-у закроют доступ (в Крыму давно запрещено комитить и создавать закрытые проекты), то это лишь один из инструментов разработки, не сравнимый со значимостью с Let's Encrypt. Сравнить по значимости можно только с полной блокировкой гугла (gmail, google, youtube) но к тому времени, скорее все автономные системы РФ отключат от интернета и будет уже без разницы что там с сертификатами.

Ответить | Правка | Наверх | Cообщить модератору

105. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +/
Сообщение от YetAnotherOnanym (ok), 10-Мрт-22, 17:21 
> не собирается никого ограничивать

Блажен, кто верует.

Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

80. "В РФ началось продвижение собственного корневого TLS-сертифи..."  –1 +/
Сообщение от antontony91 (ok), 10-Мрт-22, 13:59 
Чебурнет.

Молитесь, чтобы не было как в Туркмении, будете подбирать IP адреса за любые деньги чтобы зайти а нормальный интернет :)

Ответить | Правка | Наверх | Cообщить модератору

86. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +/
Сообщение от Kuromi (ok), 10-Мрт-22, 15:01 
Ну тут вариант один - держим две копии\профиля браузера. В один добавляем сертификат-скрепу, в другой нет. Нужно воспользоваться подсанкционным сервисом - используем скрепную копию, все остальное время - чистую. Так риск попыток подсовывать нацсертификат под все сайты сильно уменьшатся. Хотя конечно они там много чего еще придумают. А вот как они будут бороться с возможным блеклистом сертификата со стороны разработчиков браузеров - интересно.
Ответить | Правка | Наверх | Cообщить модератору

94. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +2 +/
Сообщение от Celcion (ok), 10-Мрт-22, 15:56 
> Ну тут вариант один - держим две копии\профиля браузера. В один добавляем сертификат-скрепу, в другой нет. Нужно воспользоваться подсанкционным сервисом - используем скрепную копию, все остальное время - чистую. Так риск попыток подсовывать нацсертификат под все сайты сильно уменьшатся.

Не забудь еще шапочку из фольги нацепить - так риск еще более снизится.
А если серьезно - уровень технической грамотности людей на Опеннете, конечно, удручает. Как тут правильно выше заметили, столько "знатоков" рассказывает про то, как их секретный трафик на порнхаб мамка расшифрует, а вот пояснить каким они себе видят вектор атаки и подсовывание MitM - не могут рассказать даже в теории.
Если кто не в курсе - в большинстве крупных компаний уже давно стоят такие MitM-прокси и весь трафик сотрудников благополучно расшифровывается. Только вот проблема в том, что "незаметно" оно всё равно не происходит. И браузеры орут, что с сертификатом что-то не то, и часть программ просто не работает нормально. А на уровне страны такое сделать, да так, чтобы еще и никто не заметил - это уже нечто из разряда фантастики.
Можно, конечно, предположить, что это чуть более выполнимо, если работа ведется относительно какого-то конкретного индивида. Только вот если за тобой целенаправленно следят ребята в погонах - может быть, про сертификаты думать уже в любом случае чуток поздно?

Ответить | Правка | Наверх | Cообщить модератору

95. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +/
Сообщение от Dzen Python (ok), 10-Мрт-22, 16:24 
Таки да. Вот только ты немного не прав.

В принципе прозрачное MItM-прокси до IT-контор возможно и при этом сравнительно быстро и дёшево реализуемо - для страны в которой эти конторы или держат штаб-квартиры, или имеют подавляющую долю акционеров, или просто очень ощутимый процент выручки. Вспомни, как просачивались новости с англонета - у нас это не переводят - как Цукерберга гоняли в конгресс и как он там расшаркивался. Ты просто уже изначально герр-майоровский корневой сертификат получишь в системе. Как страшно жить, да. Годике в 15-16м уже вскользь всплывала инфа про немецкий государственный троян, её так же у нас практически не переводили. Думаю, 90% западных корневых сертификатов доверять можно только очень условно.

Ответить | Правка | Наверх | Cообщить модератору

100. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +/
Сообщение от Celcion (ok), 10-Мрт-22, 16:53 
> Таки да. Вот только ты немного не прав.

Ну, я имел в виду именно глобальное MitM-проксирование всего и всех. Понятно, что точечно и по конкретным ресурсам, которые сами себе такой сертификат поставят - оно без проблем работать будет и так. Но если все ресурсы из "оставшихся" и так будут либо российскими, либо "приземлёнными", то товарищ майор и так получит все нужные сведения напрямую, не утруждая себя излишними шагами по расшифровыванию чего-либо.
Поэтому, все эти шапочки из фольги тем более не имеют смысла: на локальных ресурсах и без них про тебя все и всё узнают. А на удалённых... Ну, если ты настолько супер-профи, что не видишь при соединении, что тебе сертификат подменили, например, при соединении по VPN - то может тебе стоит самому себе задать ряд неприятных вопросов?

Ответить | Правка | Наверх | Cообщить модератору

98. "В РФ началось продвижение собственного корневого TLS-сертифи..."  –1 +/
Сообщение от тоже Анонимemail (ok), 10-Мрт-22, 16:46 
> И браузеры орут, что с сертификатом что-то не то

Обязать Я.Браузер не орать и запретить использование всех остальных.

> да так, чтобы еще и никто не заметил - это уже нечто из разряда фантастики.

Не заметил, что по новому закону MItM должен стоять у каждого провайдера для хранения содержимого зашифрованного трафика? Да-с, сложновато...


Ответить | Правка | К родителю #94 | Наверх | Cообщить модератору

101. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +1 +/
Сообщение от Celcion (ok), 10-Мрт-22, 16:54 
> Не заметил, что по новому закону MItM должен стоять у каждого провайдера для хранения содержимого зашифрованного трафика? Да-с, сложновато...

А процитируй-ка, пожалуйста, этот "новый закон". И ссылкой на сам закон, пожалуйста.
Спасибо.

Ответить | Правка | Наверх | Cообщить модератору

107. "В РФ началось продвижение собственного корневого TLS-сертифи..."  –2 +/
Сообщение от Твайлайт Спаркл (ok), 10-Мрт-22, 17:52 
Пакет Яровой?
Ответить | Правка | Наверх | Cообщить модератору

115. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +3 +/
Сообщение от Celcion (ok), 11-Мрт-22, 00:07 
> Пакет Яровой?

Где там про MitM-прокси? Или, как обычно, слышал звон, да не знаешь где он?

Ответить | Правка | Наверх | Cообщить модератору

96. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +5 +/
Сообщение от basffnn23 (ok), 10-Мрт-22, 16:36 
Напоминаю, что все блокировки в Интернете вводились также под благовидным предлогом - защита детей от нехорошего контента. К чему все это привело каждый может увидеть сам.

С корневым сертификатом скорее всего будет точно также. Сначала его раздадут банкам, школам, вузам и государственным учреждениям, а когда достаточный процент населения удастся заставить его установить, тут же включат гос. MITM ибо DPI системы и сохранение всего трафика вводили в том числе для этой цели.

Ответить | Правка | Наверх | Cообщить модератору

99. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +3 +/
Сообщение от Тинус Лорвальдс (ok), 10-Мрт-22, 16:49 
К сожалению, всё именно так и обстоит. Если появляется простой инструмент давления, значит им обязательно воспользуются рано или поздно.
Ответить | Правка | Наверх | Cообщить модератору

108. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +1 +/
Сообщение от Ivan_83 (ok), 10-Мрт-22, 19:23 
Вы сами то пробовали в мобилке/планшете сертификат поставить левый?
Я вот нет, и понятия не имею как это делается.
99% пользователей даже по комиксам это врядли осилит.
Им только вариант один - поставить готовыйбраузер с сертификатами.

На компах ситуация чуть по лучше, но не сильно.

В отличии от казахстана тут эту тему никто не форсит, оно как временная мера если завтра вообще начнут массово отзывать сертифкаты, чтобы совсем всё не встало.

Собственно злоупотребления обязательно начнутся если оно взлетит, но пока в этом направлении никто не давит.

Ответить | Правка | К родителю #96 | Наверх | Cообщить модератору

109. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +1 +/
Сообщение от SilverCutePony (ok), 10-Мрт-22, 21:23 
На андроиде всё просто - программа запрашивает установку сертификата и на экран выводится просьба ввести пароль разблокировки/графический ключ/отпечаток пальца, затем появляется системное уведомление с сообщением, что в случае установки постороннего сертификата весь трафик может отслеживаться и просьбой согласиться на это действие
Ответить | Правка | Наверх | Cообщить модератору

125. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +/
Сообщение от glebliutsko (ok), 12-Мрт-22, 18:09 
Вот только приложения по умолчанию не доверяют пользовательским сертификатам. Его либо нужно ставить в системное хранилище (для чего нужен root), либо модифицировать манифест приложения
Ответить | Правка | Наверх | Cообщить модератору

118. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +/
Сообщение от benu (ok), 11-Мрт-22, 10:51 
Блин, шапочки из фольги заканчиваются.
Ответить | Правка | К родителю #96 | Наверх | Cообщить модератору

120. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +/
Сообщение от EuPhobos (ok), 11-Мрт-22, 18:29 
Используй шапочки Фарадея, они по-лучше будут.
Ответить | Правка | Наверх | Cообщить модератору

122. "В РФ началось продвижение собственного корневого TLS-сертифи..."  +2 +/
Сообщение от MelkorBSD (ok), 11-Мрт-22, 21:04 
То есть Firefox обновлять не стоит, если он занимается откровенным вредительством по части сертификатов?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру