The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В Chrome будет прекращено доверие к сертификатам удостоверяющего центра CNNIC

02.04.2015 08:42

Компания Google приняла решение исключить из списка заслуживающих доверия корневых сертификатов удостоверяющий центр CNNIC, который был уличен в передаче промежуточного корневого сертификата сторонней компании для организации перехвата HTTPS-трафика сотрудников. По мнению Google, в текущем виде CNNIC не может гарантировать отсутствие подобных инцидентов, приводящих к ненадлежащему использованию сертификатов. Для сглаживания данного решения, на ограниченное время сертификаты клиентов CNNIC будут помещены в белый список и продолжат помечаться заслуживающими доверия в Chrome. Одним из условий возвращения доверия к CNNIC в Chrome является внедрение прозрачной схемы распределения сертификатов.

В ответ CNNIC назвал такое решение неприемлемым и непостижимым и пообещал защитить права и интересы своих пользователей.

Дополнение: Разработчики Mozilla также намереваются исключить CNNIC из списка доверительных корневых сертификатов. Возвращение доверия будет возможно после выполнения ряда требований, которые пока находятся на стадии обсуждения. Если требования не будут выполнены, информация о корневом сертификате CNNIC будет удалена из Firefox. На время, необходимое для выполнения требований, в Firefox будут блокированы не все сертификаты CNNIC, а только выписанные после определённого момента.

  1. Главная ссылка к новости (http://googleonlinesecurity.bl...)
  2. OpenNews:
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/41955-tls
Ключевые слова: tls, ssl, chrome
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (111) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, недеанонимизированный (?), 08:58, 02/04/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    как в анекдоте:
    - Давай ему наваляем?
    - а если он нам?
    - а нам то за что?
     
     
  • 2.86, Аноним (-), 15:47, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Я лично уже удалил их сертификат
     
  • 2.114, Michael Shigorin (ok), 18:25, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > как в анекдоте:

    Мне вот это: "Одним из условий возвращения доверия к CNNIC в Chrome является внедрение прозрачной схемы распределения сертификатов" кажется хорошим началом ответного предложения: "Одним из условий возвращения доверия к Google в Китае является внедрение прозрачной схемы взаимодействия с АНБ".

     
     
  • 3.148, недеанонимизированный (?), 13:39, 03/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    я имел ввиду сторону CNNIC как сторону а "нам то за что".
    С вами полностью согласен.
     

  • 1.2, username (??), 09:18, 02/04/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну все, это наш шанс.
     
  • 1.3, Капитан (??), 09:20, 02/04/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Если требования не будут выполнены, информация о корневом сертификате CNNIC будет удалена из Firefox

    Предварительно записал в черный список CA

     
     
  • 2.48, Аноним (-), 12:38, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Предварительно записал в черный список CA

    Превентивно удалил. Пусть дальше выдают левые серты, если хотят :)

     
     
  • 3.68, клоун (?), 14:05, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Mozilla и Google хотят отжать бабла, а вот лично вам какой интерес Вообще схема... большой текст свёрнут, показать
     
     
  • 4.80, Нерасмешенный (?), 15:34, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • –3 +/
    клоун такой клоун. Ищете цирк в другом месте.
     
  • 4.89, Аноним (-), 15:53, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +6 +/
    На этот раз наш клоун чистую правду сказал. Что бывает нечасто, согласен.
     
     
  • 5.96, Аноним (-), 16:22, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Предвзятое мнение редко бывает правдой.
     
     
  • 6.108, Аноним (-), 17:42, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Удобно устроился: объявляешь мнение предвзятым и в дамках. Мудёр бобёр.
     
     
  • 7.110, Аноним (-), 17:45, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    А как надо?
     
     
  • 8.140, Аноним (-), 21:28, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Надо оставаться просто бобром, а не быть мудёром... текст свёрнут, показать
     
  • 6.118, Аноним (-), 19:06, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Скажу больше. Непредвзятых мнений не бывает.
     
  • 6.154, Аноним (-), 00:08, 04/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Предвзятое мнение редко бывает правдой.

    Нет, золотой мой. Оно редко считается правдой. Миллионы мух же не ошибаются, верно?

     
  • 4.109, Аноним (-), 17:45, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ОК, а зачем CNNIC передал промежуточный корневой сертификат сторонней компании, в нарушение всех правил? Типа CNNIC теперь скажет «извините, мы больше так не будем» и всё ок?

    Центр сертификации сознательно нарушил правила и должен быть исключён из списка доверенных. А свои бредовые фантазии про бабло пиши пожалуйста сразу в помойку, а не сюда.

     
  • 4.119, Аноним (-), 19:15, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Про популярность центра сертификации бред полный.
     
     
  • 5.120, Аноним (-), 19:17, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    популярность центра сертификации бред, но вообще описана модель монетизации бесплатного браузера.
     

  • 1.4, Аноним (-), 09:33, 02/04/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    CNNIC уже начал процедуру банкротства?
    Представляю реакцию клиентов...
     
     
  • 2.87, Аноним (-), 15:49, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Пусть предъявляют претензии к CA
     
  • 2.88, Аноним (-), 15:50, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это называется - "Ребята решили полевачить"
     
  • 2.95, Аноним (-), 16:21, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >CNNIC уже начал процедуру банкротства?

    Вот будет смеху если они вместо этого обратятся в ЦК КПК и попросят защиты от империалистического беспредела! :)
    А те в ответ запретят пользоваться хромом в кейтае :) Гугл начнёт процедуру банкротства? :)

    >Представляю реакцию клиентов...

    А представь мой вариант :) Камаз попкорна! :)

     
     
  • 3.97, Аноним (-), 16:25, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > А те в ответ запретят пользоваться хромом в кейтае :) Гугл начнёт
    > процедуру банкротства? :)

    Гугл поддержит новый стартап.

     
  • 3.105, none_first (ok), 17:19, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    остается открытым вопрос - сколько удостоверяющих центров провели аналогичные процедуры в СШП? ;)
    и их, при этом, не раскрыли
     
     
  • 4.155, Аноним (-), 00:09, 04/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > остается открытым вопрос - сколько удостоверяющих центров провели аналогичные процедуры
    > в СШП? ;)
    > и их, при этом, не раскрыли

    Все до единого. Ты все еще веришь в то, что https от чего-то там защищает?

     
  • 3.124, Аноним (-), 19:25, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >А те в ответ запретят пользоваться хромом в кейтае :)

    и сделают свой форк. Почему нет? Уже все сделали форк хромиума.

     

  • 1.6, Xasd (ok), 09:49, 02/04/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > не все сертификаты CNNIC, а только выписанные после определённого момента

    а задним числом -- нельзя выписывать? имея закрытый ключ в своём распояжении.

     
     
  • 2.116, Аноним (-), 18:35, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >а задним числом -- нельзя выписывать? имея закрытый ключ в своём распояжении.

    можно, но в хроме будет whitelist, если встретится сертификат не из списка - CCNIC выдадут пожизненный банан.

     
     
  • 3.156, Аноним (-), 00:10, 04/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >>а задним числом -- нельзя выписывать? имея закрытый ключ в своём распояжении.
    > можно, но в хроме будет whitelist, если встретится сертификат не из списка
    > - CCNIC выдадут пожизненный банан.

    "Если" - хорошее слово.

     

  • 1.7, YetAnotherOnanym (ok), 09:53, 02/04/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Что мешает остальным CA заниматься тем же? И разве CNNIC виноват в том, что их партнёр нарушил взятые на себя обязательства?
    Всё дело в том, что сама идея поставки набора корневых сертификатов в составе ПО порочна в самой своей сути.
     
     
  • 2.8, new_name (?), 10:00, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Почему порочна? А как их передавать по сети? Так подменят же. Просто нет другого варианта как включать их в состав ПО.
     
  • 2.12, rshadow (ok), 10:27, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +12 +/
    Порочна, в первую очередь, идея продавать воздух.
    А вообще правильно все. Кто сеть делает, тот и диктует условия. Мозилловцы вроде горозились бесплатно сертификаты раздавать, так что пусть спасибо скажут. Одно легкое движение руки и сертификационных центров останется всего четыре... Мозилла, гугл, мс и огрызок.
     
     
  • 3.60, Anonplus (?), 13:36, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Порочна, в первую очередь, идея продавать воздух.

    Нотариусы, по-вашему, тоже воздух продают? Это не "воздух", а услуга. Авторитетный центр своей репутацией заверяет, что вон тот сайт - действительно тот, за кого себя выдает и принадлежит конкретному Васе Пупкину, а не Пусе Вапкину, который с помощью mitm-атаки перенаправил юзера на поддельную копию сайта.

    То, что авторитетный центр может быть недобросоветсным, не означает, что вся эта инфраструктура бесполезна. Вам когда в магазине поддельный товар продают, вы же не начинаете рассуждать "ну вот, мне МОГУТ продать подделку, давайте закроем все магазины"?

     
     
     
    Часть нити удалена модератором

  • 5.70, клоун (?), 14:13, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты попросил нотариуса заверить копию документа, в котором утверждалось, что ты единоличный владелец ГазПрома (а чё мелочиться).

    Теперь у тебя есть нотариально заверенный документ, но вот владельцем это тебя не делает.

    Тебе продали воздух, а ты этого даже не понял.

    Государство (за мзду) делегировало нотариусу право (за мзду) подтверждать документы.

    Сертификационный центр (за мзду) выдаёт подтверждающие сертификаты.

    В обоих случаях идёт торговля "доверием", которое тебе предлагают (а в ряде случаев обязывают) купить. В средневековье прощениями (индульгенциями) торговали, но, видимо, доверие продаётся лучше.

     
     
  • 6.91, ram_scan (?), 16:13, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Ты попросил нотариуса заверить копию документа, в котором утверждалось, что ты единоличный владелец ГазПрома (а чё мелочиться).
    > Теперь у тебя есть нотариально заверенный документ, но вот владельцем это тебя не делает.

    Ни один нотариус такой подгон не удостоверит. Потому-что за то что удостоверяет отвечает личной шкурой и собственным баблом. И буде дойдет дело до суда удостоверятеля ждет как минимум попадос на бабки, как максимум и попадос на бабки и лес валить.

    Не путайте теплое с мягким.

     
     
  • 7.106, Штунц (?), 17:30, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    нотариус заверяет копии документов, гарантируя, что копия идентична оригиналу.

    Товарищ выше, видимо, имел ввиду, что если клиент принесет нотариусу документ, в котором утверждается, что он (клиент) владелец Газпрома, то нотариус спокойно заверит его копию. Т.к. она идентична. Более того, нотариусу совсем не обязательно понимать, что там написано. Он заверяет идентичность ИЗОБРАЖЕНИЯ.

     
  • 7.107, клоун (?), 17:39, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Бестолочь она и есть бестолочь. Ты даже не понимаешь за что ты нотариусу платишь... Воистинну, говорю я вам: скупой платит дважды, дурак трижды, л-х столько, сколько скажут.

    http://нотариальная-контора-москва.рф/zaverenie_kopiy

    Нотариус своим заверением подтверждает, что копия соответствует оригиналу, а не содержание оригинала.

     
     
  • 8.142, Вовочка (?), 01:23, 03/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Атвы когда-нибудь, ну например передавали домены между юр лицами Там нужно не з... текст свёрнут, показать
     
     
  • 9.147, клоун (?), 11:07, 03/04/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Свою писулю о чём Люди фанатично верят в документы с печатями и столь же фанати... большой текст свёрнут, показать
     
  • 4.149, csdoc (ok), 19:41, 03/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Вот собственно репутацию этого удостоверяющего центра гугл с мозиллой и атакуют ... большой текст свёрнут, показать
     
  • 2.13, Аноним (-), 10:28, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Скорее всего, когда Мозилла и Гугл добавляют сертификат конкретного центра в бра... большой текст свёрнут, показать
     
     
     
     
     
     
     
     
     
    Часть нити удалена модератором

  • 10.115, Michael Shigorin (ok), 18:32, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это, очевидно, были arisu и User294 -- у каждого свой более чем характерный поче... текст свёрнут, показать
     
     
  • 11.117, arisu (ok), 18:43, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    не вижу в этом ничего ненормального я не утверждал, что у меня иммунитет ой, а... текст свёрнут, показать
     
     
  • 12.137, Michael Shigorin (ok), 20:16, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    А в чём именно для меня должна быть дикость, если и сам смотрю на человека, а не... текст свёрнут, показать
     
     
  • 13.138, arisu (ok), 20:19, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    в том, что ты так не считаешь пытаешься сделать вид, что так считаешь, может, д... текст свёрнут, показать
     
     
  • 14.143, Michael Shigorin (ok), 01:36, 03/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Много на себя берёшь Подумай о различии понятийных базисов на досуге и о том, ... текст свёрнут, показать
     
     
  • 15.144, arisu (ok), 01:47, 03/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    вполне по силам мне, впрочем, совершенно неинтересно, согласен ты со мной или н... текст свёрнут, показать
     
     
  • 16.146, Michael Shigorin (ok), 02:48, 03/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Не кури это больше ... текст свёрнут, показать
     
  • 3.32, Анонимус_б6 (ok), 11:54, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    эм, каждому взрослому человеку по достижении им возраста 18 лет вручать ЭЦП, выданное федеральным казначейством и годное 2 года? Разработать соответствующий софт, который будет работать на стороне банка (или госуслуг или чего угодно еще), имея соединение с серверами федерального казнчейства, и проверять подлинность Васи-сантехника?

    зы: я не специалист ни разу, просто высказал мнение

     
     
  • 4.35, Аноним (-), 12:13, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Поменяется только третья сторона, которой нужно доверять.
     
  • 4.38, правдоруб (?), 12:27, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Это автоматически означает, что государство сможет подписывать от лица человека.
     
  • 4.51, Crazy Alex (ok), 12:56, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Проблема не в том, чтобы проверить подлинность Васи - с этим и логины/пароли вместе со всякими токенами справяются. Проблема в том, как проверить подлинность банка. Или фейсбука. Или ещё какого сервиса. Который, возможно, находится за пределами РФ и чхать на неё хотел, а возможно - это какой-нибудь wikileaks, который государству не доверяет в принципе.
     
     
  • 5.53, arisu (ok), 13:08, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    и эта проблема в принципе не решается без личного получения от другой стороны удостоверяющего токена, по неэлектрическим каналам.

    частичное решение — web of trust с жёстко контролируемыми кольцами доверия.

     
     
  • 6.64, Crazy Alex (ok), 13:50, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    "Чётко контролируемыми" - означает ручную работу по выбору. А вот рандомные запросы к нескольким участникам пула серверов, хранящих данные о предлагаемых сервером сертификатах + pinning - выглядит менее геморройным для пользователя.
     
     
  • 7.150, csdoc (ok), 19:54, 03/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > А вот рандомные запросы к нескольким участникам пула серверов,
    > хранящих данные о предлагаемых сервером сертификатах
    > + pinning - выглядит менее геморройным для пользователя.

    Что будет происходить в случае устаревания
    сертификата и необходимости его замены на новый?

    И как участники пула серверов будут знать, что сайту www.google.com
    соответствует именно вот этот сертификат ХХХХХХХХХХХХХХХ, а не какой-то другой?

     
  • 3.34, YetAnotherOnanym (ok), 12:08, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > и хочет быть уверенным, что этот сайт действительно принадлежит конкретному банку

    Вот именно - чтобы Вася был уверен. То, что уверенность Васи можен не иметь ничего общего с реальным положением дел, уже никого не волнует. Вася пребывает в уверенности, банк в случае чего обвинит самого Васю, создатели броузера тоже ни за что не отвечают (Вася принял лицензионное соглашение), а то, что у Васи, на самом деле, в броузере открыт сайт злобных хацкеров, подписанный ключом любого из CA - это потом будут его проблемы.

     
     
  • 4.129, Аноним (-), 19:35, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    это проблемы банка, а не Васи. Банку по жалобе Васи или по решению суда придется деньги вернуть.
     
     
  • 5.151, csdoc (ok), 19:58, 03/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > это проблемы банка, а не Васи. Банку по жалобе Васи
    > или по решению суда придется деньги вернуть.

    Не вернет. Банк скажет "вы стали жертвой мошенничества со стороны неустановленных лиц, рекомендуем вам обратиться в правоохранительные органы с соответствующим заявлением".

    Банк не отвечает за последствия от наличия вирусов/троянов на компьютере Васи
    и/или MITM-прокси между компьютером Васи и сервером банка.

    И никакой суд не заставит его нести такую ответственность.

     
  • 3.43, Аноним (-), 12:33, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > (Вася обычный сантехник и "компьютеры не умеет").

    Знаешь анекдот про "когда же будет хорошо?". Вот сантехнику Васе в плане криптографии будет хорошо и безопасно примерно тогда же. В смысле, вообще совсем ничего не знать о криптографии - не получится. Но это не значит что нельзя сделать интерфейс с которым смог бы работать даже сантехник, если он способен понять некоторые совсем базовые моменты.

    Ну, примерно как я хоть и не сантехник, но в курсе где перекрваыть воду, etc.

     
     
  • 4.52, Crazy Alex (ok), 13:04, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    В прицнипе можно и чтобы совсем ничего не знал, если это будет отдельное устройство для доступа к банку. CA тогда, кстати, абсолютно без надобности. А так - дело обычно даже не в неграмотности, а в нежелании изучить правила безопасного серфинга. Банки-то, в общем, обычно имеют комплекс мер, которые позволяют легко отличить фишинговый сайт - вроде персонализированного приветствия на странице. В этом плане со всякими фейсбуками хуже.
     
     
  • 5.152, csdoc (ok), 20:03, 03/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > А так - дело обычно даже не в неграмотности, а в нежелании изучить
    > правила безопасного серфинга. Банки-то, в общем, обычно имеют
    > комплекс мер, которые позволяют легко отличить фишинговый сайт
    > - вроде персонализированного приветствия на странице.

    Персонализированное приветствие никак не поможет защититься от MitM-proxy,
    которое имеет поддельный сертификат банка, подписанный корневым сертификатом,
    которому доверяет браузер клиента.

     
  • 2.21, sokolow (ok), 11:14, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Правильным решением было бы в каждой стране сделать по одному жестко контроллируемому корневому CA, выдающему сертификаты конечным пользователям. Если какой-то из них скомпрометировал себя, то поганой метлой его из браузеров.

    А всех этих посредников-нахлебников промежуточных CA давно пора распустить, если кто хочет пусть зарабатывает на приложениях и железе для электронных подписей, там тоже дел не впроворот

     
     
  • 3.33, vitalif (ok), 12:01, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Не, вот это как раз хреновое решение, т.к. к тебе сразу ФСБ полезет, а не только госдеп...
     
     
  • 4.94, ram_scan (?), 16:20, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Не, вот это как раз хреновое решение, т.к. к тебе сразу ФСБ
    > полезет, а не только госдеп...

    Есть мнение, что ФСБ по сравнению с госдепом - милейшие парни.

     
     
  • 5.98, Аноним (-), 16:34, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Мнение сильно зависит в какой из двухъ контор ты работаешь :)))
     
  • 5.100, правдоруб (?), 16:45, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Госдеп далеко и я для них Неуловимый Джо, а ФСБ рядом...
     
     
  • 6.132, Аноним (-), 19:39, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    так можно доиграться до того что фсб не будет, а обозленный госдеп станет рядом.
    Или вообще ни фсб, ни тебя не будет
     
  • 3.36, Аноним (-), 12:15, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мультирут сертификатес. Траст нот оне.
     
  • 3.39, правдоруб (?), 12:29, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >выдающему сертификаты конечным пользователям

    В каком смысле?

     
     
  • 4.46, sokolow (ok), 12:36, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    В прямом. В нынешней схеме у сертификата 100500 УЦ в цепочке. А надо, чтоб был один но надежный.
     
     
  • 5.49, правдоруб (?), 12:42, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >но надежный

    И где его взять?

     
     
  • 6.123, Аноним (-), 19:24, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >>но надежный
    > И где его взять?

    Я надежный, верь мне.

     
  • 6.159, Аноним (-), 00:15, 04/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >>но надежный
    > И где его взять?

    У своего корреспондента. Лично. В руки. Как в PGP предполагалось.

     
  • 2.59, Sluggard (ok), 13:35, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > И разве CNNIC виноват в том, что их партнёр нарушил взятые на себя обязательства?

    Виноват, это именно CNNIC передал вторичный корневой сертификат тем, у кого нет права на обращение с ним.

     
  • 2.81, Аноним (-), 15:36, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > порочна в самой своей сути.

    Свобода вообще порочна.

     

     ....большая нить свёрнута, показать (45)

  • 1.9, Аноним (-), 10:11, 02/04/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    наверно продан без разрешения гугла
     
  • 1.10, Аноним (-), 10:18, 02/04/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    Амеры как всегда в своем стиле. Если Американская контора накосячила http://www.opennet.dev/opennews/art.shtml?num=33034 с сертификатами, то мы пошумим и разойдемся (еще бы, бодаться себе дороже). Если это сделала неамериканская контора - заблокируем, прессанем, засудим, - пусть откупаются, если смогут. Отозвали бы тогда сертификат Trustwave, наверняка, ни китайцы, ни кто другой так внаглую продавать сертификаты не стали бы.

    Та же ситуация в сфере "инноваций". Патентные разборки между американскими конторами - много шума, понта и пустой выхлоп, т.к. чтобы реально прижать америнканскую контору в штатах нужно сильно постараться (и получить решение суда).  С иностранными компаниями в штатах бодаться проще - там достаточно решения торговой комиссии, потому Samsung в штатах всегда в проигрышном положении...

    Сплошное лицемерие, бабки и сказки про заботу о пользователях.

    Сделали бы в браузере доступ из JavaScript к информации о полученном сертификате сервера - через месяц был бы список ВСЕХ центров сертификации, которые торгуют доверием налево, через год у них не осталось бы ни одного клиента. Но, гуглу и мозилле нужно контролировать, кто будет работать на ранке, а кто нет.

     
     
  • 2.56, anonymous (??), 13:15, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    В том случае сертификат не был похищен злоумышленниками, поэтому общественный резонанс был меньше?
    В целом согласен с Вами, отвратительная практика, но давайте не будем лицемерить, дело то не в американцах - люди склонны делить мир на своих и чужих.
     
     
  • 3.58, anonymous (??), 13:35, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Прошу прощения, перечитал предыдущую новость, в данном случае тоже не было злоумышленников, не уверен почему я так ее понял. Ситуации полностью идентичные
     
     
  • 4.66, Crazy Alex (ok), 13:54, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Разница в том, что TrustWave сам дал по башке тем, кто выданный вторичный корневой использовал не так, как обязывался, а этих поймали на горячем.
     
     
  • 5.71, Аноним (-), 14:22, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще-то нет никакой разницы TrustWave продали сертификат для использования в ... большой текст свёрнут, показать
     
     
  • 6.74, Crazy Alex (ok), 14:48, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    во-первых, идея в том, что Trustwave пошел на сотрудничество (и сертификат таки был в TPM), а в случае с CNNIC - никаких попыток отзыва, похоже, не было и клиент явно не соблюдал политики, связанные с хранением сертификата - да, проверка этого в данном случае - тоже ответственность CNNIC.

    Во-вторых - насколько я понимаю, никто CNNIC особо не хоронит. Ключ выкинули, сертифкаты доменов - в вайтлист, после реализации CNNIC  Certificate Transparency добавят новый. Болезненно, но не смертельно. Когда был случай с TrustWave механихмов, чтобы подобное сделать, ещё не было, и выкинуть сертификат TrustWave - значило бы нарушить работу кучи его клиентов.

     
     
  • 7.77, Аноним (-), 15:05, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    IMHO, был сертификат в HSM или в открытом виде - разница невелика. В обоих случаях его нужно  отозвать, т.к. само наличие такого сертификата у левых людей подрывает доверие к TLS, потому что третьей стороне доверять уже нельзя.

    Но самое главное, пока контроль за этой системой находится у кучки CA и гугла с мозиллой, подобные ситуации будут повторяться регулярно (еще дедушка Маркс в позапрошлом веке сказал, на что пойдут капиталисты ради прибыли). Так что для наведения порядка необходимо, чтобы контроль частично был и у простых администраторов серверов с веб-программистами.

     
     
  • 8.127, Crazy Alex (ok), 19:33, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Его промежуточный корневой и отозвали в случае TrustWave Я, правда, не понима... большой текст свёрнут, показать
     
     
  • 9.141, Аноним (-), 21:39, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет никакой разницы Вообще никакой Потому что TrustWave не имел права отдавать... большой текст свёрнут, показать
     
  • 2.63, Crazy Alex (ok), 13:46, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Насколько я смог выяснить, понимаю, с Trustwave вышла довольно простая ситуация. Во-первых, они сами рассказали о проблеме. Наказывать за это выносом корневого сертификата - значит гарантировать, что остальные будут молчать до последнего. Во-вторых ситуация с DigiNotar создала огромное количество проблем для его клиентов. Учитывая, что TrustWave на порядок крупнее и его сертификатами пользовалась куча правительственных агенств и крупных бизнесов - сочли, что ущерб будет слишком велик. Я бы сказал, что это вполне заслуживающая внимания точка зрения - не стоит мышей ядерной бомбой уничтожать, даже если они всерьёз допекли.
     
     
  • 3.76, Аноним (-), 14:53, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В таком случае ситуация развивалась таким образом 1 TrustWave сознательно прод... большой текст свёрнут, показать
     
     
  • 4.78, Crazy Alex (ok), 15:06, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Пара ошибок.

    1) Мозилла не решала исключить их сертификат. Тоже "задумалась", выкатила письмо для CA, рассказав, что так делать нехорошо и что мониторить можно только свои домены. И всё.

    2) не траствейв не по зубам, а масса их клиентов. Которым не впились проблемы с ровного места. Неужели так сложно понять, что отзыв корневого сертификата - это удар  не только по CA, но и по его клиентам?

     
     
  • 5.79, правдоруб (?), 15:33, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ты неправильно ставишь вопрос, ударом по его клиентам являются левые сертификаты.
     
     
  • 6.121, Crazy Alex (ok), 19:21, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Нормально я ставлю вопрос. Левые сертификаты - оно да, но куча ругани на вполне легитимные сайты - это вполне реальные потери для бизнесов и их клиентов. И это тоже часть уравнения, которую надо учитывать.
     
     
  • 7.139, Andrey Mitrofanov (?), 21:16, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > но куча ругани на вполне легитимные сайты с сертификатами от вполне легитимных зас*анцев - это вполне реальные потери иллюзий для бизнесов и их клиентов.

    //fixed

     
  • 5.83, arisu (ok), 15:41, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Неужели так сложно понять, что отзыв
    > корневого сертификата - это удар  не только по CA, но
    > и по его клиентам?

    а кому это интересно? с точки зрения обычного человека это выглядит так: CA сознательно налажал, его пожурили, на безопасность end users всем наплевать.

    впрочем, ситуацию спасает то, что подавляющее большинство пользователей непроходимо тупо, и подобные умозаключения вне их интеллектуальных возможностей.

     
     
  • 6.122, Crazy Alex (ok), 19:23, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот тем, кто принимал решение, оказалось интересно. И правильно, в общем-то - иначе бы пострадала куча совершенно не относящегося к делу народа - тех, кто пользовался сертификатами убитого CA и их клиентов. Сейчас есть другая механика (белые списки) - её используют.
     
     
  • 7.131, arisu (ok), 19:36, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну вот тем, кто принимал решение, оказалось интересно.

    конечно. жаль, что интересна им прибыль, а не безопасность. ожидаемо, но всё равно жаль.

     
     
  • 8.135, Crazy Alex (ok), 19:53, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Кхм, а для чего, по-твоему, безопасность Чтобы убытков не было от действий всяк... текст свёрнут, показать
     
     
  • 9.136, arisu (ok), 20:03, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    нет но это долгий и бессмысленный разговор ... текст свёрнут, показать
     
  • 6.161, Аноним (-), 00:17, 04/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> Неужели так сложно понять, что отзыв
    >> корневого сертификата - это удар  не только по CA, но
    >> и по его клиентам?
    > а кому это интересно? с точки зрения обычного человека это выглядит так:
    > CA сознательно налажал, его пожурили, на безопасность end users всем наплевать.

    На носу заруби - где есть доверие, нет и не может быть никакой безопасности.

    > впрочем, ситуацию спасает то, что подавляющее большинство пользователей непроходимо тупо,
    > и подобные умозаключения вне их интеллектуальных возможностей.

    Другие не лучше.

     
  • 2.82, Аноним (-), 15:39, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Амеры как всегда в своем стиле.

    Хорошо шашкой махать на патриотическом коне? Вникать не надо.

     
     
  • 3.101, Аноним (-), 16:49, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> Амеры как всегда в своем стиле.
    > Хорошо шашкой махать на патриотическом коне? Вникать не надо.

    А если вникать мил человек, то ... надо пересесть с коня за пульт Тополя :-р
    Так что радуйся что пока просто шашкой :)

     
  • 2.134, Аноним (-), 19:42, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    двойные стандарты помогают поддерживать статус сверхдержавы.
     
  • 2.153, csdoc (ok), 20:18, 03/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Сделали бы в браузере доступ из JavaScript к информации о полученном сертификате
    > сервера - через месяц был бы список ВСЕХ центров сертификации, которые
    > торгуют доверием налево, через год у них не осталось бы ни
    > одного клиента. Но, гуглу и мозилле нужно контролировать, кто будет работать
    > на ранке, а кто нет.

    Может быть имеет смысл публично озвучить им эту инициативу/предложение?

    Вдруг они возьмут и сделают эту фичу в своих браузерах?

    После чего все браузеры у которых нет такой фичи можно будет считать небезопасными.

    Если не захотят такое делать - было бы интересно почитать отмазки, почему не хотят.

     

     ....большая нить свёрнута, показать (24)

  • 1.57, Sluggard (ok), 13:33, 02/04/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > В ответ CNNIC назвал такое решение неприемлемым и непостижимым и пообещал защитить права и интересы своих пользователей.

    Нормально так. Они сперва всякой шобле раздают корневые сертификаты, а потом удивляются, чего это им не хотят доверять. Совсем уже охренели?

     
  • 1.67, Aceler (ok), 14:03, 02/04/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > По мнению Google, в текущем виде CNNIC не может гарантировать отсутствие подобных инцидентов

    А кто может?

     
     
  • 2.69, arisu (ok), 14:08, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> По мнению Google, в текущем виде CNNIC не может гарантировать отсутствие подобных инцидентов
    > А кто может?

    гугель намекает, что по мнению гугеля — гугель может.

     
  • 2.75, Crazy Alex (ok), 14:49, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Гугль утверждает, что вот эта штука, как минимум, улучшит ситуацию - http://www.certificate-transparency.org/
     
     
  • 3.90, правдоруб (?), 16:07, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А почему http? Как я могу быть уверен, что это не левый сайт?
     
     
  • 4.162, Аноним (-), 00:17, 04/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > А почему http? Как я могу быть уверен, что это не левый
    > сайт?

    По уникальному IPv6.

     
  • 3.92, Aceler (ok), 16:15, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Гарантии отсутствия подобных инцидентов она даёт? Не даёт.
     
     
  • 4.130, Crazy Alex (ok), 19:36, 02/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    В смысле - не даёт?
     
  • 2.145, fi (ok), 02:13, 03/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Главная ошибка CA - отсутствия интеграции с DNS, ну и сильное запаздывание  DNSSEC. Получение по FQDN ip, и отсутствия проверки валидность сертификата для него.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру