Некоммерческая правозащитная организация Electronic Frontier Foundation (EFF) выступила (https://www.eff.org/deeplinks/2018/06/announcing-starttls-ev...) с новой инициативой STARTTLS Everywhere (https://starttls-everywhere.org/), нацеленной на повсеместное использование шифрования трафика почтовых серверов. В рамках инициативы предложен сервис (https://starttls-everywhere.org/), который позволяет (https://www.eff.org/deeplinks/2018/06/technical-deep-dive-st...) проверить произвольный почтовый сервис на предмет поддержки команды STARTTLS, использования надёжных алгоритмов шифрования и применения заслуживающих доверия сертификатов. В случае выявления проблем выдаются рекомендации по их устранению и корректной настройке.
STARTTLS Everywhere дополняет уже много лет существующий проект HTTPS Everywhere (https://www.eff.org/https-everywhere), в рамках которого развиваются дополнения к Firefox и Chrome, позволяющего на всех сайтах, где это возможно, использовать шифрование трафика. В настоящее время благодаря появлению таких сервисов, как Let's Encrypt, удалось устранить преграды при получении сертификатов и для Web использование шифрованного доступа становится нормой. При помощи STARTTLS Everywhere энтузиасты намерены стимулировать повсеместный переход на шифрование коммуникаций и для трафика почтовых серверов.
Несмотря на то, что доля почтовых серверов с поддержкой STARTTLS достаточно велика (по данным (https://transparencyreport.google.com/safer-email/overview) Google 89% сеансов устанавливаются с шифрованием), остаётся нерешённой существенная проблема - большинство почтовых серверов, поддерживающих STARTTLS, не выполняет проверку сертификатов при установке сеанса. Более того, около половины всех почтовых серверов с поддержкой STARTTLS используют (https://censys.io/ipv4?q=25.smtp.starttls.tls.certificate.pa...) самоподписанные сертификаты, не заверенные удостовреяющим центром.Создаётся замкнутый круг - с одной стороны администраторы почтовых серверов не спешат использовать полноценные сертификаты для STARTTLS, так как их никто не проверяет, а с другой стороны проверку сертификатов невозможно включить, так как на половине серверов используются самодельные сертификаты. Отсутствие верификации сертификатов делает шифрование номинальным и лишь создаёт иллюзию повышения защиты, так как при наличии контроля над любым транзитным узлом в сети остаётся возможность проведения MITM-атаки с подменой сертификата, в рамках которой можно перехватить и модифицировать трафик.
В случае выявления проблем при проверке сертификатов STARTTLS Everywhere предлагает администраторам почтовых серверов готовый скрипт (плагин к certbot (https://github.com/certbot/certbot/tree/master/certbot-postfix) для MTA), запустив который на сервере можно бесплатно получить сертификат Let’s Encrypt для используемых доменов. При проверке учитываются такие факторы как отсутствие возможности использования ненадёжных протоколов SSLv2/v3, соответствие имени почтового сервера и хоста в email с указанным в сертификате именем домена, истечение времени жизни сертификата и связь сертификата цепочкой доверия с корректным корневым сертификатом, присутствующим в списке корневых сертификатов Mozilla (можно найти в Debian-пакете ca-certificates).
Кроме того, для используемого почтового сервера будет предложен блок конфигурации, для корректного использования STARTTLS и полученного сертификата. C целью выявления атак по модификации запросов для отката на установку сеансов без шифрования, в рамках проекта STARTTLS Everywhere также началось ведение списка почтовых серверов (https://www.starttls-everywhere.org/policy-list/), к которым допустимо обращение с использованием шифрования с корректным сертификатом. Если в процессе взаимодействия с почтовым сервером, который упомянут в списке, зафиксирован отказ установить сеанс STARTTLS или использован сомнительный сертификат, то можно сделать вывод о попытке компрометации сервера.
URL: https://www.eff.org/deeplinks/2018/06/announcing-starttls-ev...
Новость: https://www.opennet.ru/opennews/art.shtml?num=48841
EFF нет доверия, после того как они обосрaлись с уязвимостью в https everywhere и долго её не исправляли (и хз исправили ли в итоге или нет).
security, my ass.
> уязвимостью в https everywhereсоус? Сабж не пользую, предпочитая настраивать редиректы вручную, но все равно интересно
А к линуксу доверие не потерял ещё? Неужели подобного не было?
А что за уязвимость?
Почему я не вижу информации об этом в гугле? Он в доле?
О этот несовершенный мир!!
Никому нельзя доверять! Может ночью ты встаешь во сне и сливаешь данные врагу!
Себе тоже не верь! Никому не верь! А эти процессоры, приложения..
все нужно делать самому и писать под себя (не путать с пИсать)
а смысл? Товарищ майор и так имеет доступ к популярным почтовым сервисам. А при шифровании и подписывании пгп можно хоть голубями почту отправлять
Смысл в том, чтобы имея контроль за центрами сертификации можно было выключать любой неугодный сервис просто отозвав его сертификат.
Пока ещё всё вполне работает если у тебя нет TLS, но лет через 5 браузеры и видимо почта ходить не будут, те тебя тупо лишат свободы публикации информации в сети.
> имея контроль за центрами сертификации можно было выключать любой неугодный сервисТы прав. Но это не отменяет того факта, что последняя миля должна быть защищена по дефолту. Сейчас же, любой какер-борщевик в ИТ отделе какого-нибудь макдональдса имеет непозволительно много возможностей анализа трафика юзеров. Это плохой, негодный дефолт. Возможность связываться с сервером без шифрования должна быть, но пусть это принудительно включается
верно. должна быть свобода выбора (например в домашней локалке и на локалхосте не вижу смысла в шифромании вообще)
> например в домашней локалке и на локалхосте не вижу смысла в шифромании вообщеНовость про зараженные роутеры не видели? Китайские устройства или смартфоны тоже на алике не заказываете?
значит ,если везде будет шифрование, то зараженные у-ва перестанут существовать. ну ок.
Звучит как эти устройства не смогут ничего украсть из локалки.
Эта возможность была и 20 лет назад и 40.Теперь все ходят за сертификатами, а потом им перестанут давать.
Напомню что отдельные ЦС уже прикрыли, да, они якобы выдавали кому попало сертификаты.
Но это не отменяет того факта что оставшиеся ЦС выдадут своим локальным силовикам любой сертификат, а поскольку всё ИТ сосредотачивается у амеров, то и рычагов давления у них становится слишком много.Вся эта централизация и прибивания этого гвоздями - это бундамент для будущей цифровой диктатуры.
В инете не должно было централизации и гигантов.
> а поскольку всё ИТ сосредотачивается у амеровНе смешите 金盾工程.
А что, в ЕС есть свои социалочки или поисковики?
По странному стечению обстоятельств что то своё есть там, где был коммунизм: россия, кетай, въетнам. (просто наблюдение, не пропаганда)
>социалочкизачем это нужно?
>поисковики
есть startpage, если глобально. А так - у чехов Seznam какой то. Было бы желание - а импортозамещение найдется
Гoвно твой startpage. Есть duckduckgo.
Оба они гoвно. Лучше федеративного searx ничего нет.
Я не знаю кто за ними стоит.
Грош им всем цена если у них манагемент от амеров.
чо за неадекватный антиамериканизм? штаны постирал?
> А что, в ЕС есть свои социалочки или поисковики?
> По странному стечению обстоятельств что то своё есть там, где был коммунизм:
> россия, кетай, въетнам. (просто наблюдение, не пропаганда)searx, startpage (бывший ixquick), fireball и MetaGer (ровесники гугла), Fragfinn, Unbubble, *VZ
И все они ничего не найдут... зато "свободные".
> И все они ничего не найдут... зато "свободные".https://searx.me/?q=site%3Aopennet.ru%20%22&#...
Но да, всегда есть выбор между некоторым неудобством и гель-смазкой со вкусом клубники. Хотя, в последнее время заметна все большая экономия на смазке, так что крепитесь.
https://www.opennet.ru/opennews/art.shtml?num=45941
> Chrome лишился средств для отключения модуля с поддержкой DRMhttps://support.google.com/chrome/answer/2765944?hl=ru&co=GE...
> С помощью Chrome можно находить и удалять подозрительное ПО. Если во время проверки компьютера браузер обнаружит вредоносную программу, нажмите Удалить. После этого в Chrome будут отключены расширения, а для некоторых функций будут восстановлены настройки по умолчанию.
"что-то своё"? "По странному стечению обстоятельств"? Сразу бы сказал, что это был сарказм.
>был коммунизм: россия, кетай, въетнамНу Китай сейчас лидер по цифровому контролю за населением. Чего стОят их разработки - "социальный рейтинг" + прогнозирование кем будет ребёнок (тварь дрожащая или творец)
китайское коммунистическое рабство и нам хотят привить посредством импортозамещения
> В инете не должно было централизации и гигантов.И как этому противостоять?
Не пользоваться и других агитировать.
Давно бросил затею агитировать родственников. Люди даже не понимают чем плоха блокировка телеграма и зачем им нужно ишфрование, ведь "намнечегоскрывать". Когда спрашиваю почему не живешь в стеклянном доме и не ставишь камеры себе в спальню и унитаз - делают круглые непонимающие глаза.
Телеграм зло.
Это централизованный сервис, даже если поверить в то, что крипта там надёжная, то остаётся факт деанона юзера по номеру мобилы и слив меты (когда, с кем и сколько общался).Объяснять всё равно нужно.
Симка в метро или один из 100500 сервисов виртуальных номеров.
Там проблема в архитектуре.
Весь трафик идет через сервера.
В теории шифрованный нужно б было p2p
Не нужны такие сложности, уж лучше джаббер и токс.
или matrix.org :-)
Фигня это. Тогда уж Tor/Ring лучше.
п2п/ф2ф/федерации - вот это вот все. Совсем от централизации не спасут - по опыту биткоина видно, например. Но от монополии - да
п2п и федерации они плохо централизуются.
п2п вообще никак, а федерация только если появится крупный игрок который начнёт диктовать свои условия для пиринга. Примерно как гугл диктует другим условия чтобы принимать от них почту.
И ты конечно за Российский кваймен руками и ногами? :)
> Но это не отменяет того факта что оставшиеся ЦС выдадут своим локальным силовикам любой сертификат,Гуглы активно продвигают свою систему мониторинга за сертификатами. Насколько я помню уже сейчас любой центр сертификации обязан вносить все выдаваемые сертификаты в глобальный списко. Далее клиент получивший сертификат с сервера может проверить, есть ли такой в списке. Владелец домена также может проверит наличие выданных сертификатов и сравнить со списком УЦ, у которых запрашивался сертификат для этого домена.
В результате становится довольно сложно сделать так, чтобы и сертификат для твоего домены был кому-то выдан (левому) и ты этого не заметил и клиент подключился к твоему домену и принял такой сертификат. Т.е. конторы из трех букв смогут такое провернуть наверняка (или ты и с ними решил побороться?), а вот фокусов, когда УЦ начал выписывать коммерсантам сертификаты на левые домены, потому что у им продали дорогующую систему безопасности, которая сниффит весь трафик, уже не произойдет.
Ну а гугл кому принадлежит и где сидит?
Так нет разницы между произволом УЦ и произволом силовиков.
> Гуглы активно продвигают свою систему мониторинга за сертификатами.слежка, это слово переводится так.
И еще - как систему шантажа и уничтожения конкурентов, и не более того.> клиент получивший сертификат с сервера может проверить
не, не может.
Это гугль может. А вы - нет. Вручную разьве что, и на каждый http GET отдельно. А, и pkp мы отменили, не забудьте. И crl'ы тоже - "долго грузились" и не позволяли майору видеть, что за домен вы пытаетесь проверить.Этой части api нет ни в одном браузере, да и вообще вам никто не обещал что доступ к этим проверяшкам будет бесплатен и для всех. А про то что вы можете открыть _свой_ CA и вам этот доступ предоставят хотя бы просто за вменяемые деньги - и вовсе никогда речи не шло. Причем тут даже не "походи по базару, поспрашивай", тут надо сливать во все (потому что их всего три? И все у кого надо.)
А вот если кто-то вздумает выдавать сертификаты НЕ сливая гуглю инфу кому он их выдал - его быстренько лишат такой возможности, приравняв их даже не к самоподписанным, а вообще запретив с ними общаться - как это и сделали со startssl, вздумавшей, поверите ли, самой раздавать сертификаты бесплатно - не кланяясь господам действительного положения вещей. Там повод пришлось высосать из пальца, а теперь он - есть. Новых trusted CA не будет, думаю (разьве что опять очередной прожект гугля и его жополизов). А старых потихонечку изведут. Этот низко летел, тот плохо свистел...
starttls йевривере, а если у вас неправильный сертификат, идите нахрен, шлите почту голубями.
>имея контроль за центрами сертификации можно было выключать любой неугодный сервисА имея контроль над запросами США в Интерпол, тоже можно выключать любой неугодный сайт, арестовывать его владельцев, выехавших на отдых в Грецию, вывозить в США, судить по сфабрикованным обвинениям.
А наличие TLS позволяет раскрутить доверие. Сначала через TOFU, а потом через web of trust.
> тупо лишат свободы публикации информации в сети.они сделают тоньше - с самого детства тебе будут прививать "правильное мышление", ты САМ НЕ ЗАХОЧЕШЬ публиковать ничего, не потому, что это будет опасно, а потому что это будет "неправильно".
привет 1984.
>Товарищ майор и так имеет доступ к популярным почтовым сервисам.А товарищ админ промежуточного узла? Или товарищ китайский хакер? Товарищ майор — не единственная угроза в сети.
Иметь почтовый ящик на территории неподконтрольной тов. майору?
Шифруй. Подписывай. КТО МЕШАЕТ?
> Шифруй. Подписывай. КТО МЕШАЕТ?речь не про МЕШАЕТ, а про отсутствие необходимости принуждать к названному в статье
не взлетит.
я попробовал свой домен проверить. не шмогло. оно пытается подключаться с кучей нестыковок и сразу блочится.
я даже попробовал в исключения внести их. но они тутже на других косяках снова улетели в блок. забил на красивую проверку с рекомедациями.... =)
Взлетит, димка, взлетит.
>Более того, около половины всех почтовых серверов с поддержкой STARTTLS используют самоподписанные сертификаты, не заверенные удостоверяющим центром.И правильно делают
А у STARTTLS есть SNI или что-то вроде этого? Если сервер отвечает за множество доменов, то проверка сертификатов не ломается?
по идее нет если прописать все домены, в постфиксе обычно такsmtp_tls_policy_maps = cdb:/etc/postfix/tls_policy
/etc/postfix/tls_policy
gmail.com secure match=.google.com
googlegroups.com secure match=.google.com
googlemail.com secure match=.google.com
hotmail.com secure match=.hotmail.com:.outlook.com
live.com secure match=.hotmail.com:.outlook.com
outlook.com secure match=.hotmail.com:.outlook.com
windowslive.com secure match=.hotmail.com:.outlook.com
mail.ru secure match=mxs.mail.ru
inbox.ru secure match=mxs.mail.ru
bk.ru secure match=mxs.mail.ru
list.ru secure match=mxs.mail.ru
In order for your certificate to be valid for your email domain, it should be unexpired, chain to a valid root, and one of the names on the certificate should either match the domain (the part of an email address after the @) or the server’s hostname (the name of the server, as indicated by an MX record). Короче, сертификат должен матчить mx hostname.
Извините что не по теме, но это просто хохот!!!Firefox Setup 60.0.2 проверенный в VirusTotal выдал это: "Trojan/Win32.SGeneric".
Видимо ты виндyзятник и скачал файрфокс на ваpезнике. :)
>Видимо ты виндyзятник и скачал файрфокс на вapезнике. :)Я и линуксойд и временный виндyзятник, но Вы не правы, я скачал с официального сайта и сначала я даже не хотел проверить на вирусы, но потом взяло верх любопытство (это же GNU) и я проверил.
Я же специально представил данные, более того сегодня и Waterfox проверил и там вирус. Может это и ложное срабатывание но неразу небыло ложного сраб. у PeaZip. Почему?
Да и firefox linux64 чист.
Всё правильно написал. Win32 - это Generic Trojan.
Не позорьте почтенный сервис и столь же почтенную программу.
Просто назовите движок, который так облажался.
Ставлю на NOD32, мне клиентам, имеющим неосторожность им защищаться, многократно приходилось объяснять, что у меня ничего, кроме стандартнейшей libcurl, обращающейся исключительно к официальному сайту программы, в "зараженном" дистрибутиве нет и никогда не было.
>Не позорьте почтенный сервис и столь же почтенную программу.
>Просто назовите движок, который так облажался.
>Ставлю на NOD32, мне клиентам, имеющим неосторожность им защищаться, многократно приходилось объяснять, >что у меня ничего, кроме стандартнейшей libcurl, обращающейся исключительно к официальному сайту >программы, в "зараженном" дистрибутиве нет и никогда не было.Какой антивирус нашёл зловред я не помню и я качал с оффициального сайта.
Я же не обманываю, убедитесь сами.Не обижайтесь, но телеметрия, pocket и будущие нововведения не делают его почтенным.
Угрозы упомянутые Ivan_83 вполне реальные, а ценность шифрования почтового траффика "от сервера до сервера" выглядит довольно сомнительной.
> Угрозы упомянутые Ivan_83 вполне реальные, а ценность шифрования почтового траффика "от
> сервера до сервера" выглядит довольно сомнительной.А вы чужую почту хотите читать по работе или просто интересно?
То, что предлагается в топике, к собственно защите содержимого имеет слабое отношение.Если есть необходимость, содержимое можно (и нужно) шифровать/верифицировать
без предложенного.
Тов. майор, залогиньтесь!
у вас "свобода - это рабство"
Нет. Это у Вас.
А у вас хохлов не так? Чего добились то? А добились цензуры похлеще Рocкомпoзора.
Уже ввели белые списки?
Норм тема, давно пора!
Пользоваться чем то кроме ProtonMail в наши дни - былинный идиотизм. В яндексе, жмыле и мейлсру нет GPG шифрования - зато есть майор. Как минимум 2 из них (яндекс и мейлсру) сотрудничают с ФCБ и автоматически блокируют аккаунты по ключевым словам. Помню когда собирались с ребятами на митинг пpотив кoррyпции в Москве, и обсуждали это дело по яндекс почте - аккаунты заблокировали в этот же день по подозрению на якобы "необычную сетевую активность", у кого-то писали что-то про взлом (хотя заходы всегда были с одного девайса). Понятно что это бред и у всех одновременно никто не мог ничего взломать - была блокировка по ключевым словам. После этого потребовали ввести номер телефона для идентификации линости и разблокировки аккаунта. Естественно никто этого делать не стал, ящики так и остались забанеными. С тех пор общаемся через ProtonMail и не **** себе мозги идиотской шпионской почтой.
> Пользоваться чем то кроме ProtonMail в наши дни - былинный идиотизм.Примерно как доверять чужому пообещавшему их хранить дяде свои секреты или ещё хуже?
>> Пользоваться чем то кроме ProtonMail в наши дни - былинный идиотизм.
> Примерно как доверять чужому пообещавшему их хранить дяде свои секреты или ещё
> хуже?А кто не чужой?
"Ограничения
Поддержка POP3/IMAP/SMTP отсутствует."
Увы, это сводит ценность этого почтового сервера на нет.
Бред же, все есть - для платных пользователей.https://protonmail.com/bridge/
алсо читай иногда прежде чем вбрасывать.
https://protonmail.com/support/knowledge-base/paid-plans/
> IMAP Support via ProtonMail Bridge
Как проверяете, что ProtonMail не отдал вам js с дыркой?
Как найти альтернативу?
Cool story, bro. Такая драма, прямо одновременно рыдаю и пылаю праведным гневом. Но народ уже такими вбросами наелся, пора вам зайти к куратору за новой методичкой.Кстати, интересна слаженная работа ботов по голосованию за сообщения в этом треде.
Кстати, у меня тоже был длительный бокс по переписке с яндексом по поводу блокировки аккаунта аккурат перед митингами. Пароль длинный и сложный. Меняется раз месяц-два. Такая же брехня про взлом и подозртельную активность. На требование представить логи — стухли и разблокировали акк. Но я вообще ни с кем про политику не общался через этот ящик.
Алексей, идите воруйте лес. Это у Вас получается лучше !
Яндекс и Мэйлру ясен пень сотрудничают с ФСБ, как и Гугл с Яху сотрудничают с АНБ. Но про блокировку аккаунтов по ключевым словам - простите, бред какой-то. Давайте проверим. Я сделаю аккаунт на Яндексе, пошлю письмо с "ключевым словом" и посмотрю, заблокируют ли его. Поделитесь вашим ключевым словом? Или это обычное балабольство было?
Хорошая рекомендация, молодец.In April 2017, we received a request from the Swiss Federal Police about an information request coming from a former Soviet republic (not Russia) regarding a case with an immediate threat of bodily harm to innocent civilians. Proton Technologies AG decided to comply immediately with the data request, to the extent that it is possible, given our cryptography, with the understanding that a valid Swiss court order will be immediately delivered to our office as soon as possible.
https://protonmail.com/blog/transparency-report/
Ой, можно подумать, что в яндексе нельзя использовать нормальный дистрибутивный gpg через почтовый клиент. И да, за это почему-то не всех банят.
Теперь напейши в протоне, ка ты будешь убивать рокфеллера и сношать Трампа на крыльце белого дома.
О результатах не сообщай, мы их и так узнаем.
И не такое писал. Полет нормальный. :)
Это ваше Let's encrypt позволит мне получить сертификат, с помощью которого я смогу подписывать сертификаты для моих нужд в моем домене?
> Это ваше Let's encrypt позволит мне получить сертификат, с помощью которого я
> смогу подписывать сертификаты для моих нужд в моем домене?Да, до первого зелёного свистка вверх
не понял...
Сертификат выдаётся на 3 месяца.
Когда наберётся критическая масса леммингов, он ВНЕЗАПНО, станет платным.Со всеми вытекающими.
Вассал моего вассала... ну ты понел)
> Это ваше Let's encrypt позволит мне получить сертификат, с помощью которого я
> смогу подписывать сертификаты для моих нужд в моем домене?Если я правильно понимаю эту структуру, то нет. (то есть да, но это стоит очень приличных денег).
Нет. Там пометка стоит, что серт нельзя использовать как СА.
> Нет. Там пометка стоит, что серт нельзя использовать как СА.Прелестно. Вебсервер, smtl, imap, openvpn сервер и все openvpn клиенты - на них всех надо персонально в этом вашем let's encrypt по сертификату делать? Нафига он такой нужен? В 100500 раз проще иметь сертификат, которым ты можешь подписывать все свои сертификаты, которые тебе нужны.
>> Нет. Там пометка стоит, что серт нельзя использовать как СА.
> Прелестно. Вебсервер, smtl, imap, openvpn сервер и все openvpn клиенты - на
> них всех надо персонально в этом вашем let's encrypt по сертификату
> делать? Нафига он такой нужен? В 100500 раз проще иметь сертификат,
> которым ты можешь подписывать все свои сертификаты, которые тебе нужны.Ниасилил автоматизацию и мониторинг?
Не позволит.
Когда всем серверам навяжут сертификаты и шифрование, то возьмутся за клиентов. Чтобы ходить по сайтикам в инете нужно будет иметь клиентский серт, который будет подписывать и выдавать ваш любимый гугл/провайдер/кто-то другой после проверки вашего паспорта. Это дело конечно не ближайшего будущего, но это будет рано или поздно.
Впрочем, сейчас во многих европейских странах выдают ИД-карты, у которых используются персональные сертификаты, подписанные правительственными органами. Ну вы поняли :)
Выдыхай, параноик...
Этим очевидно с продаж сертификатов капает потому как только ненормальный может поверить в надежность публичных сервисов шифрования.
А ты в какой сервис веруешь?
В тот который пишется исключительно своими ручками...
"Соответствие имени почтового сервера и хоста в email с указанным в сертификате именем домена"Окей, родные, мне на каждый из тысяч клиентских доменов, идущих через мой релей, сертификат получать? Или всем релеям дать одинаковые хостнеймы (HELO одинаковый для всего кластера)?
В текущем виде - не взлетит.
Техническую реализацию инициативы, похоже, доверили даже не студентам, а выпускникам младших классов. Их чекалка не шмогла в разбор MX корректно настроенного домена.
Современные школьники знают только доту, а студенты пьют ягу и играют в пугбе в общаге...
Какая же это все-таки бредятина.
В том же thunderbird можно добавить свой само-подписанный сертификат один раз и он не будет более парить вам мозги по поводу своей самоподписанности, и если случится MITM, то мой почтовый клиент спросит меня - хочу ли я использовать этот сертификат.
Далее, если сертификат я сделал сам у себя - все закрытые ключи будут ТОЛЬКО У МЕНЯ, а не "еще у добрых дядек".
Технически можно выпустить валидный сертификат хоть для microsoft и использовать его для MITM (чтобы из своего Усть-перезассанска прикидываться серверами майкрософт), все зависит от подкупаемости и совестливости конкретного сотрудника УЦ.
ЗЫ: Использование самоподписанных сертификатов - безопаснее, чем чем пользование сертификатами от УЦ.