Проект Mozilla разослал (http://blog.mozilla.com/security/2012/02/17/message-to-certi.../) всем удостоверяющим центрам, корневые сертификаты которых поставляются в составе Firefox и других продуктов Mozilla, письмо (https://wiki.mozilla.org/CA:Communications#February_17.2C_2012) с требованием отозвать все выданные сторонним организациям вторичные корневые сертификаты.
В последнее время входят в обиход случаи (http://www.opennet.ru/opennews/art.shtml?num=33034) генерации вторичных корневых сертификатов для обеспечения работы систем, направленных на транзитный перехват и расшифровку SSL-трафика, например систем корпоративного отслеживания утечек данных. Генерируемые для подобных систем вторичные корневые сертификаты позволяют создать корректный и не вызывающий подозрения сертификат для любого сайта в сети, без привлечения удостоверяющего центра, авторизированного на выполнение подобных операций.
Mozilla публично осудила такую практику и счи...URL: http://blog.mozilla.com/security/2012/02/17/message-to-certi.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=33127
В будущем нужно без спроса удалят. А лучше всего заставить их специфицироваться у мозилы.
Давно пора! С подачи гугала и разработчики гуглохрома начинают борьбу с этими оглоедами.
Наконец-то стали наводить порядок.
> Наконец-то стали наводить порядок.Фиг ли толку? С самого начала вменяемым людям было ясно, что понятия "доверие" и "безопасность" ортогональны. А теперь, когда поезд ушел, начали порядок наводить?
Прикол в том, что сейчас тупо неведомо, где доверие может присутствовать, а где его нет. Поди, проверь банковские транзакции на доверительность, ага.
Напротив, доверие и безопасность это одно и то же. Только тут доверия нет и быть не может.
> Напротив, доверие и безопасность это одно и то же.O_O
вот люди доверяли дигинотару. были ли они при этом в безопасности?
> вот люди доверяли дигинотару. были ли они при этом в безопасности?Они для начала пролошились доверяя кривой схеме с кучей ауторитей, где каждый может удостоверить все. Какое тут к черту доверие к таким схемам? Лохоразвод.
вопрос не в том. вопрос в том, что *доверяли*. были ли они при этом в безопасности?как ещё понятней сказать, что «доверие» и «безопасность» понятия совершенно не связаные?
кстати, ты совсем-совсем не можешь себе представить ситуацию, когда ты в безопасности с тем, кому не доверяешь, и наоборот? попробуй, это забавно.
> кстати, ты совсем-совсем не можешь себе представить ситуацию, когда ты в безопасности
> с тем, кому не доверяешь, и наоборот? попробуй, это забавно.Первое - затруднительно. Недоверие кому-то - это осознание потенциальной опасности исходящей от данного субъекта по отношению к тебе. Второе - запросто.
> Первое — затруднительно.совершенно не затруднительно. «недоверие» тоже штука субъективная, и может базироваться на неверных посылках.
Чего затруднительного-то?
Я не доверяю соседской собаке, но она на цепи, а у меня пистолет.
А ещё я не доверяю форточке, но у меня нет форточки и есть пистолет, на случай если кто принесёт в дом форточку.
И всё хорошо.
Еще после первой новости я зашел на сайт Trustwave, посмотрел параметры сертификата и удалил из FF все 2, которые в нем упоминались.После этого меня заинтересовал вопрос, а нельзя ли из JavaScript посмотреть параметры сертификата? Оказалось, что они недоступны для JavaScript. Тогда было бы достаточно просто сделать проверку подмены цепочки сертификатов: получаешь данные всей цепочки (они ведь приходят в FF) и отправляешь из AJAX'ом на сервер, и он сверяет цепочку, которую получил клиент и то, что ему отдал сервер. Че бы мозилловцам не сделать такую возможность. И пусть барыги продают кому угодно что угодно, но когда пользователь получив окошко от FF, что SSL соединение прослушивается начнет парить мозг своему начальнику на работе или провайдеру дома, то чуваки быстро сообразят, что такая прослушка себе дороже. Ну а владелец домена с сертификатом от такого CA никогда с ним больше не свяжется.
Никакую бучу поднимать не надо, лучше создавать преимущества для тех CA, которые не торгуют доверием.
> Еще после первой новости я зашел на сайт Trustwave, посмотрел параметры сертификата
> и удалил из FF все 2, которые в нем упоминались.
> Че бы мозилловцам не сделать такую возможность. И пусть барыги
> продают кому угодно что угодно, но когда пользователь получив окошко от
> FF, что SSL соединение прослушивается начнет парить мозг своему начальнику на
> работе или провайдеру дома, то чуваки быстро сообразят, что такая прослушка
> себе дороже.Trustwave выдал корневой сертификат! Никакой подмены - нет. В этом вся проблема. FF может либо доверять цепочкам идущим от корня Trustwave либо не доверять. Но а любом случае факта подмены нет поскольку подпись то реальная.
Trustwave нагибают потому что он выдал сертификат позволяющий делать реальных подписи для любых доменов.
Либо менять практику центров сертификации, на что никто пока не пойдет. Либо отсекать залетевшие CA по одному.
Лолшто? Достаточно пройтись по цепочке и посмотреть ее сертификаты. Сертификат с уровнем CA в цепочке должен быть только 1. Root-level. Если такой сертификат присутствует уровнем ниже - блокировать. Вычисляется автоматикой на ура. Даже делать ничего не надо. Выводи себе браузером (никаких даже жабаскриптов не надо, как предлагал товарищ выше) предупреждение, мол, так и так, тут какая-то подозрительная цепочка. Скорее всего трафик слушают. Убигай, выгибай.
Не в том сейчас Мозилла положении, чтобы ультиматумы ставить… Но лучше поздно, чем никогда.
А что придёт на смену SSL? Допустимо ли придумать аналог SSL на основе PGP, с децентрализованной системой доверия?
> А что придёт на смену SSL? Допустимо ли придумать аналог SSL на
> основе PGP, с децентрализованной системой доверия?SSL от PGP ничем по сути не отличается и да, использовать децентрализованную систему доверия можно и нужно.
PGP само по себе на потоковое шифрование ни разу не рассчитано. Как минимум нужно поверх него реализовать некий сетевой протокол для установления шифрованных соединений.
> PGP само по себе на потоковое шифрование ни разу не рассчитано.Вы как бы можете передать ключ симметричного шифрования используя асимметричное и ... правда получится нечто типа того что в SSL :)
> А что придёт на смену SSL? Допустимо ли придумать аналог SSL на
> основе PGP, с децентрализованной системой доверия?Вообще-то уже пришло, TLS (:
Дело ведь не в самом SSL (это просто криптоалгоритм), а в инфраструктуре ключей.Придумать допустимо что угодно, пока ещё не придумали запретить думать.
>> А что придёт на смену SSL? Допустимо ли придумать аналог SSL на
>> основе PGP, с децентрализованной системой доверия?
> Вообще-то уже пришло, TLS (:
> Дело ведь не в самом SSL (это просто криптоалгоритм)ССЛ ниразу не крипто.
>Проект Mozilla разослал всем удостоверяющим центрам, корневые сертификаты которых поставляются в составе Firefox и других продуктов Mozilla, письмо с _требованием_Читаю оригинал:
Dear Certification Authority,
This note _requests_ a set of immediate actions on your behalf, as a participant in the Mozilla root program._Please_ reply by March 2, 2012, to confirm completion of the following actions or state when these actions will be completed. ...
Где указано, что требует? И на каким основании может _требовать_, не возникло мысли?
И что корневые центры в лице своих руководителей могут корректно послать Kathleen Wilson, Module Owner of Mozilla's CA Certificates Module далеко-далеко, и будут полностью вправе?
>И что корневые центры в лице своих руководителей могут корректно послать Kathleen Wilson, Module Owner of Mozilla's CA Certificates Module далеко-далеко, и будут полностью вправе?А ты почитай предыдущие письма, где они тоже "request immediate action" по разным поводам. И чего-то не посылают. Кому нужен будет сертификат от центра, чей корневой сертификат Мозилле не известен?
Корпорациям, которые используют системы с вторичными корневыми сертификатами и Firefox 3.6 (ну хорошо, может быть Firefox 10, раз уж он ESR) и будут использовать ещё несколько лет?
в 10ке выпустят 10.0.3, в котором выкинут лишние сертификаты. Делов-то.
> в 10ке выпустят 10.0.3, в котором выкинут лишние сертификаты. Делов-то.Гм. Вам не приходило в голову, что корпорация может, например, и пересобрать 10.0.3 с невыкинутыми сертификатами? Хотя, скорее всего, просто в приказном порядке перейдут на что-то ещё, например IE. Если вы думаете, что вменяемой корпорации использование свободного софта важнее политики информбезопасности, Вы сильно ошибаетесь.
Только вот назвать Firefoxом законно не смогут.
смогут :)... Mozilla вродебы теперь разрешает Firefox-сборки -- называть одноимённо "Firefox"...однако вот не думаю что корпорации будут заниматься пересборкой... :-D ...оно им надо?
если говносертификаты выкинут из Firefox.. то типичной реакцией (сначало) -- станет то что www-сайты будут менять SSL-провайдеров на тех котоыре ещё работают в новых Firefox
...и теперь возникает вопрос -- "в чём будет профит от <специфичного> Firefox в котором говносертификаты ещё не выкинуты? или профит от перехода на MsIE?"
:-)
> ...и теперь возникает вопрос -- "в чём будет профит от <специфичного> Firefox
> в котором говносертификаты ещё не выкинуты? или профит от перехода на
> MsIE?"Осёл работает тока в венде, которой по определению доверять нельзя.
> Только вот назвать Firefoxом законно не смогут.И впадут от этого в депрессию?
>Вам не приходило в голову, что корпорация может, например, и пересобрать 10.0.3 с невыкинутыми сертификатами?А вам не приходило в голову, что если все компьютеры находятся под единым контролем, то контролирующая сторона может собрать такой Firefox, который будет просто по команде от центрального сервера рапортовать о какой угодно защите соединения с каким угодно сертификатом? Даже если они не смогут назвать его законно Firefox'ом - назовут Iceweasel'ом и скажут сотрудникам, что, мол, "для просмотра сайтов надо пользоваться браузером Iceweasel, установленном на рабочих компьютерах".
Это может быть труднее и немного дороже, чем просто купить сертификат, но куда безопаснее для всего остального мира.
И после двух месяцев согласований корпоративное начальство не утвердит-таки обновление на 10.0.3.А через полгода поставят в планы миграцию на Хром.
> И после двух месяцев согласований корпоративное начальство не утвердит-таки обновление
> на 10.0.3.
> А через полгода поставят в планы миграцию на Хром.А чем Хром лучше? Чем грузины?
> А чем Хром лучше?тем, что исходников нет, аудиту не подлежит, зато нескучный интерфейс.
>> А чем Хром лучше?
> тем, что исходников нет, аудиту не подлежит, зато нескучный интерфейс.Чхал я на интерфейс и на исходники. Я, как и ты, не только не анализирую исходники, но даже их не читаю. Это не мое хобби и не работа. Чесать свое ЧСВ тем, что я умею делать ./configure && make && make install? Я клал на это.
На моей машине он прежде всего значительно шустрей лисы и полностью готов к употреблению.
> Я, как и ты, не только не анализирую исходники, но даже их не читаю.всё-таки у тебя поломаный телепатор.
> Чхал я на интерфейс и на исходники. Я, как и ты,Он не только читает исходники но еще и пишет их. Если ты унылая потреб-дь, это еще не означает что и все остальные - такое же унылое и беззаботное хомяковатое фуфло.
>И чего-то не посылают.Есть много способов указать на место в этом мире крайне корректно.
> Кому нужен будет сертификат от центра, чей корневой сертификат Мозилле не известен?
А с каких пор мир замыкаеться на Мозилле? Без предустановленных корневых сертификатов в этом изделии отстановяться коммуникации?
> А с каких пор мир замыкаеться на Мозилле? Без предустановленных корневых сертификатов
> в этом изделии отстановяться коммуникации?Нет. Без предустановленного корневого сертификата - или хотя бы без цепочки сертификатов, восходящих к предустановленному - сертификаты от CA не будут по умолчанию приниматься в Мозилле. А значит, если владелец сайта купит у этого CA себе сертификат, большое количество пользователей на тот сайт ходить не будет, потому что "сайт поддельный".
Вряд ли мозилловцы с пулеметами заставляют кого-либо участвовать в их "CA Programme".
Ваш К.О.
>> А с каких пор мир замыкаеться на Мозилле? Без предустановленных корневых сертификатов
>> в этом изделии отстановяться коммуникации?
> Нет. Без предустановленного корневого сертификата - или хотя бы без цепочки сертификатов,
> восходящих к предустановленному - сертификаты от CA не будут по умолчанию
> приниматься в Мозилле. А значит, если владелец сайта купит у этого
> CA себе сертификат, большое количество пользователей на тот сайт _ходить_ не
> _будет_, потому что "сайт поддельный".У вас есть статистика, или это ваши личные предположения?
>У вас есть статистика, или это ваши личные предположения?Точной статистики, сколько людей не соглашаются соединятьс без действительного сертификати, у меня нет, так что можно считать, что предположения. Но не безосновательные. Они основаны на том, что это далеко не первое требование Мозиллы к CA, и CA их выполняют. А также на том, что когда сайт попадает в блэклисты, например, Гугла за вредоносное ПО, его посещаемость значительно снижается - вне зависимости от того, решена ли уже проблема и где именно она была. А также на том, что люди все же жалуются на недоверенные сертификаты.
>>У вас есть статистика, или это ваши личные предположения?
> Точной статистики, сколько людей не соглашаются соединятьс без действительного сертификати,
> у меня нет, так что можно считать, что предположения. Но не
> безосновательные.Да, естественно небезосновательные, и разумно понятные. Просто без конкретики все получается диалог о сферических конях в вакууме. К тому же требование отозвать вторичные корневые сертификаты, предполагаю, не снимает проблемы процента компрометации - запросы-объем сертификатов это не снизит, следовательно объем инфраструктуры X.509, размазаной по миру, не уменьшиться, так, смысл, предполагаю, более имеют вторичные эффекты. Элементы PR тоже присуствуют.
Впрочем, нам бы их заморочки :)
> Где указано, что требует? И на каким основании может _требовать_, не возникло мысли?Читайте до конца:
"As a CA in Mozilla’s root program you are ultimately responsible for certificates issued by you and any intermediate CAs that chain up to your roots. After April 27, 2012, if it is found that a subordinate CA is being used for MITM, we will take action to mitigate, including and up to removing the corresponding root certificate. Based on Mozilla’s assessment, we may also remove any of your other root certificates, and root certificates from other organizations that cross-sign your certificates."Они даже не требуют, а приказывают.
>[оверквотинг удален]
> Читайте до конца:
> "As a CA in Mozilla’s root program you are ultimately responsible for
> certificates issued by you and any intermediate CAs that chain up
> to your roots. After April 27, 2012, if it is found
> that a subordinate CA is being used for MITM, we will
> take action to mitigate, including and up to removing the corresponding
> root certificate. Based on Mozilla’s assessment, we may also remove any
> of your other root certificates, and root certificates from other organizations
> that cross-sign your certificates."
> Они даже не требуют, а приказывают.Нет там приказа. С таким же успехом и я могу вам приказывать.
Ультимативная форма есть. "Если вы после 27 не ...то мы ... уххх! удалим ваш сертификат из своего поделия."Не, мне тоже не во всем нравиться политика коммерческих CA, но товарищи из Мозиллы тоже еще те перцы... испугали барана новыми воротами.
Кому нужен УЦ которому нет доверия? Мозилловцы хорошо нагнули их на самом деле.
> Кому нужен УЦ которому нет доверия? Мозилловцы хорошо нагнули их на самом деле.Вы прочитали само письмо? Причем здесь "нагнули"?
>> Кому нужен УЦ которому нет доверия? Мозилловцы хорошо нагнули их на самом деле.
> Вы прочитали само письмо? Причем здесь "нагнули"?Читал. И хорошо понимаю последствия. Те кому реально нужны сертификаты очень чутко реагируют на подобные вещи. Т.к. вся схема с УЦ строится на доверии, то есть основания полагать, что подорванное доверие не самым мелким игроком на браузерном рынке отразится на работе УЦ.
Думаю тут будет уместна аналогия с скомпроментированным сервером. После разбора причин его просто уничтожают и ставят заново.
>>> Кому нужен УЦ которому нет доверия? Мозилловцы хорошо нагнули их на самом деле.
>> Вы прочитали само письмо? Причем здесь "нагнули"?
> Читал. И хорошо понимаю последствия. Те кому реально нужны
> сертификаты очень чутко реагируют на подобные вещи.
> Т.к. вся схема с УЦ строится на доверии...На доверии? Гм.. :) Даже в старой поговорке "Доверяй, но проверяй".
И ... матчасть."Она" строиться на строгом соблюдении производственных процедур (методик) организациями.
И открытой перекрестной проверке качества исполнения этих процедур независимыми экспертными организациями. То есть - результате независимой сертификации процедур сертификации открытых ключей.Рекомендую почитать для начала методику сертификачии качества деятельности ISO9001, и проникнуться ее смыслом. Тогда и критерии безопасности будут понятнее.
Имеющиеся случаи компрометации организаций - да, это неприятно. В различных странах есть и банки, управляющие которых мошеничают. Для исключения подобных ситуаций и вырабатываются методики независимого аудита.
а верисигн, значит, у которого в сети гуляет неизвестно кто, неизвестно когда, неизвестно зачем — довереный. угу.
> а верисигн, значит, у которого в сети гуляет неизвестно кто, неизвестно когда,
> неизвестно зачем — довереный. угу.А ты почаще доверяй неведомо кому, кого ты ни разу не видел, но который мамой клянется, что заслуживает доверия.
лично у меня давно нет «довереных сертификатов».
> лично у меня давно нет «довереных сертификатов».Ты живешь в лесу, у тебя нет банковской карточки, ты бездомный и всех посылаешь?
я живу в городе. у меня есть дом. у меня нет «банковской карточки» и я не собираюсь её заводить. ещё вопросы?
> И что корневые центры в лице своих руководителей могут корректноМогут, Мозилла выпиливает сертификаты. Пользователи заходят на сайты, фирефокс орёт что дескать сайт плохой. Посещения падают. Владельцы сайтов наезжают на центр сертификации (ибо за сертификат сайта деньги плачены), типа какого х..я их сайт теперь помечен как левый. ??? PROFIT?
А может быть и так: "Когда я в банк онлайн захожу, в Мозиле какое-то непонятное окошко выскакивает, и чего-то там пишет, а Опере и Експлорере всё нормально работает, не буду больше Мозилой пользоваться, буду пользоваться Оперой".
Баранов ничто не спасёт, как о них не заботься.
> Баранов ничто не спасёт, как о них не заботься.Вот только когда со счета лимон одним махом #$нется а СБ банка объяснит что за фигня - баран имеет все шансы слегка поумнеть :)
Поскольку лично ты никогда не имел лимона на банковском счету, расскажу тебе, что в подобной ситуации СБ банка будет не у дел. А управляющий лично поедет к клиенту объясняться, вилять хвостом и выплачивать страховки. Которые потом в силовом порядке истребует с удостоверяющего центра, согласно политике CPS, в которой оговаривается величина страховки одиночной транзакции заданной величины.
> Поскольку лично ты никогда не имел лимона на банковском счету,А откуда ты знаешь сколько и чего на моем счету? Во шарлатанов привалило :). А тебе никогда не приходила мысль о том что я догадываюсь о проблемах онлайн-банкинга далеко не с потолка?
> расскажу тебе, что в подобной ситуации СБ банка будет не у дел. А
> управляющий лично поедет к клиенту объясняться, вилять хвостом и выплачивать страховки.В нормальных банках (не шарашкиных конторах Noname, inc, где в СБ гопник-знакомый директора), СБ обычно все-таки расследует инциденты с безопасностью электронных платежей. В частности левый серт сайта онлайн-банка должен их серьезно заинтересовать.
> Которые потом в силовом порядке истребует с удостоверяющего центра, согласно политике
> CPS, в которой оговаривается величина страховки одиночной транзакции заданной величины.Как бы банк должен заинтересовать сам факт что кто-то подделал защищенную область их сайта и серт на нее. Это потенциально позволяет иметь легитимных клиентов банка направо-налево, просто hijack'ая их SSL сессию путем подсовывания фэйкового сертификата.
Баранов...не спасёт. Понятия доверенность и безопасность, вполне ! :-)
> Баранов...не спасёт. Понятия доверенность и безопасность, вполне ! :-)Понятия "доверие" и "безопасность" ортогональны, чувак. Только ты этого не поймешь. Расскажи матерому ГБшнику, почему он должен доверять Васе Пупкину. Пока ГБшник Васеньку не проскринит до десятого колена и досье в сейф не положит - хрена лысого там будет доверие. Что следует из сказанного? Нет отношения "доверие - безопасность". Есть отношение "знание - доверие - безопасность".
Компрене ву?
> А может быть и так: "Когда я в банк онлайн захожу, в
> Мозиле какое-то непонятное окошко выскакивает, и чего-то там пишет, а Опере
> и Експлорере всё нормально работает, не буду больше Мозилой пользоваться, буду
> пользоваться Оперой".
> Баранов ничто не спасёт, как о них не заботься.Опера? Эксплорер? "Мне сын сказал, что в интернет выходить нажав по рыжему значку, а ваш сайт какой-то неправильный"...
Люди, которые знают, что такое "Опера" и "Эксплорер" обычно не жалуются на "Непонятное окошко", а способны по крайней мере сообщить, какая надпись появляется в этом окошке.
> Опера? Эксплорер? "Мне сын сказал, что в интернет выходить нажав по рыжему
> значку, а ваш сайт какой-то неправильный"...А если darwinawards.com почитать, то еще и не таких амеб найти можно :)
Вобщем, единственный сертификат, которому можно доверять - это тот, который тебе закатали на флешку в офисе конторы, с которой ты собрался общаться.
> Вобщем, единственный сертификат, которому можно доверять - это тот, который тебе закатали
> на флешку в офисе конторы, с которой ты собрался общаться.это в том случае, если у них давно уже ключи не попёрли при помощи няшного виндового троянчика.
>> Вобщем, единственный сертификат, которому можно доверять - это тот, который тебе закатали
>> на флешку в офисе конторы, с которой ты собрался общаться.
> это в том случае, если у них давно уже ключи не попёрли
> при помощи няшного виндового троянчика.Тоже могёт быть.
>> Вобщем, единственный сертификат, которому можно доверять - это тот, который тебе закатали
>> на флешку в офисе конторы, с которой ты собрался общаться.
> это в том случае, если у них давно уже ключи не попёрли
> при помощи няшного виндового троянчика.Какого троянчика? Не несите чепуху, бросте.
1 Приватные ключи для подписи заявлений в норме зашифрованы и имеют код, хранящийся отдельно на бумаге отдельно и изолирован физически, часто состоящий их двух частей. Доступ к ключам дешифровки приватного ключа центра сертификации имеют строго ограниченные лица.
2 Вычислительные системы, на которых происходит подпись заявленного ключа (сертификация), в норме изолированы от сети, и к ним имеют доступ только строго ограниченные лица в ограниченном помещении, в норме изолированном от съема инфомации радиосредствами.
3 В случае подозрения на компрометацию все ключи в иерархии в норме отбъявляються скомпрометированными и отзываются.
4 Код расшифровки приватного ключа клиента центра сертификации в норме вводиться лично клиентом в момент генерации запроса на сертификацию, и более нигде не фигурирует. Даже если его сертификат (открытая подписанная часть) будет опубликована на заборе, это ничего не меняет - это открытая часть.
Если где-то виндовые троянчики и хранящиеся приватные ключи не шифрованы - тот сам себе злостный буратина.
Вообще, рекомендую поучить матчасть.
>>> Вобщем, единственный сертификат, которому можно доверять - это тот, который тебе закатали
>>> на флешку в офисе конторы, с которой ты собрался общаться.
>> это в том случае, если у них давно уже ключи не попёрли
>> при помощи няшного виндового троянчика.
> Какого троянчика? Не несите чепуху, бросте.Тю!
> 1 Приватные ключи для подписи заявлений в норме зашифрованы и имеют код,
> хранящийся отдельно на бумаге отдельно и изолирован физически, часто состоящий их
> двух частей. Доступ к ключам дешифровки приватного ключа центра сертификации имеют
> строго ограниченные лица.Тю!
> 2 Вычислительные системы, на которых происходит подпись заявленного ключа (сертификация),
> в норме изолированы от сети, и к ним имеют доступ только
> строго ограниченные лица в ограниченном помещении, в норме изолированном от съема
> инфомации радиосредствами.Тю! У Диджинотара тоже был докУмент "CPS", в котором написано - "Мамой клянусь, инфраструктура PKI находится в неизвестной пещере под Скалистыми Горами!"
> 3 В случае подозрения на компрометацию все ключи в иерархии в норме
> отбъявляються скомпрометированными и отзываются.И как быстро ты узнаешь об отзыве корневого СА, чувак?
> 4 Код расшифровки приватного ключа клиента центра сертификации в норме вводиться лично
> клиентом в момент генерации запроса на сертификацию, и более нигде не
> фигурирует. Даже если его сертификат (открытая подписанная часть) будет опубликована на
> заборе, это ничего не меняет - это открытая часть.Расскажи это хомяку, у которого в 1С пароль администратора "123", потому что ничего более сложного он запомнить не способен.
> Если где-то виндовые троянчики и хранящиеся приватные ключи не шифрованы - тот
> сам себе злостный буратина.Ты не поверишь, чувак. Они не шифрованы почти ни в одной системе сдачи налоговой и финансовой отчетности.
> Вообще, рекомендую поучить матчасть.
Мы в курсе. Но вот, понимаешь, беда. Проблемы безопасности - организационные и матчастью они - вишь ты! - не решаются.
>>>> Вобщем, единственный сертификат, которому можно доверять - это тот, который тебе закатали
>>>> на флешку в офисе конторы, с которой ты собрался общаться.
>>> это в том случае, если у них давно уже ключи не попёрли
>>> при помощи няшного виндового троянчика.
>> Какого троянчика? Не несите чепуху, бросте.
> Тю!Чувак, ты написал лишь бы возразить? :)
Твои аргументы - эти типовое пионерское искажение, передергивание, когда из нескольких случаев, а то и одного, нарушения методики делаеться вывод о ее низком качестве вообще и всегда.
Выводы в случае систем безопасности делаются статистически, и далее на основании оценки удельных затрат на поддержание рисков НД вносятся корректировки в методику.
И ее в конкретную реализацию на конкретном месте.
Так что тюкать можешь кому другому.
И вообще ответ был насчет "троянчиков".
> Твои аргументы - эти типовое пионерское искажение, передергивание, когда из нескольких
> случаев, а то и одного, нарушения методики делаеться вывод о ее низком качестве вообще и всегда.Ну вон у верисайна тоже в сети творится непонятно что. Учитывая что они могут подписывать некоторые вещи в режиме _онлайн_ - какое в гопу физическое разделение??? Вы упоролись???
>> Твои аргументы - эти типовое пионерское искажение, передергивание, когда из нескольких
>> случаев, а то и одного, нарушения методики делаеться вывод о ее низком качестве вообще и всегда.
> Ну вон у верисайна тоже в сети творится непонятно что. Учитывая что
> они могут подписывать некоторые вещи в режиме _онлайн_ - какое в
> гопу физическое разделение??? Вы упоролись???Во первых, у вас в момент написания случилась истерика. Прекращайте истерики, это не аргумент :)
Во вторых, постарайтесь не хамить.Еще раз. Нарушение критериев безопасности в частном случае не обначает компрометации всей системы и методики безопасности в ее независимых элементах.
Вы делаете из одного случая при наличии сотен, если не тысяч удостоверяющих центров по всему миру, в разных странах с разной юрисдикцией, слишком много выводов безо всяких оснований.
"В Гвинее до сих пор людей едят. Какие в опу права человека в Европе?"
Не знал, что такое возможно! Так можно любой сайт под колпаком держать!? Интересно, а сколько всего в мире УЦ?
> Не знал, что такое возможно! Так можно любой сайт под колпаком держать!?SSL такой SSL. Любой будак прописаный в корневые сертификаты может кому угоно что угодно удостоверить. Такая фигня.
>> Не знал, что такое возможно! Так можно любой сайт под колпаком держать!?
> SSL такой SSL. Любой будак прописаный в корневые сертификаты может кому угоно
> что угодно удостоверить. Такая фигня.Обоснуйте пожалуйста. Как вы это сделаете?
>>> Не знал, что такое возможно! Так можно любой сайт под колпаком держать!?
>> SSL такой SSL. Любой будак прописаный в корневые сертификаты может кому угоно
>> что угодно удостоверить. Такая фигня.
> Обоснуйте пожалуйста. Как вы это сделаете?Погуглить уже не судьба? Почитать стандарт x509v3? Головой подумать, наконец?
>>>> Не знал, что такое возможно! Так можно любой сайт под колпаком держать!?
>>> SSL такой SSL. Любой будак прописаный в корневые сертификаты может кому угоно
>>> что угодно удостоверить. Такая фигня.
>> Обоснуйте пожалуйста. Как вы это сделаете?
> Погуглить уже не судьба? Почитать стандарт x509v3? Головой подумать, наконец?Не, вывод ваш. Вы если чего-то и читали, то в объеме "как за 5 минут сделать сертификат для апача".
Интересно, как вы подпишете чей-то сертификат, если у вашего сертификата, подписанного CA не будет свойств "для сертификации" от CA, а будет указано "только для мыла"?
Хочу видеть. Не тиснете в форум? И что бы все проверки проходили корректно?
И почему вы упёрлись в SSL? Как в наиболее известное применение сертификатов? Вообще-то X.509 поддерживает очень большой список ПО.
В нашем мире все относительно. Даже безопасность! :)
> В нашем мире все относительно. Даже безопасность! :)SSLная безопасность - близка к нулю. Как ни относи.
>> В нашем мире все относительно. Даже безопасность! :)
> SSLная безопасность - близка к нулю. Как ни относи.Обоснуйте пожалуйста ваше заявление.
> Обоснуйте пожалуйста ваше заявление.Дохрена идиотов как root of trust. При том кретинизм любого из подставляет _всю_ схему. Надежность на уровне карточного домика. Единственный вменяемый юзеж SSL который я вижу - что-то типа OpenSSL, когда я сам себе ауторити, при том единственно верная и только так.
>> Обоснуйте пожалуйста ваше заявление.
> Дохрена идиотов как root of trust. При том кретинизм любого из подставляет
> _всю_ схему. Надежность на уровне карточного домика. Единственный вменяемый юзеж SSL
> который я вижу - что-то типа OpenSSL, когда я сам себе
> ауторити, при том единственно верная и только так.Убеди анонимного Васю Пупкина, что твоему самоподписному серту можно и нужно доверять. Особенно корневому серту. Думаешь, Вася будет звонить по телефону, указанному в серте, чтобы таой несуществуюбщий колл-центр продиктовал ему для сверки дайджест? Щаз...
> Убеди анонимного Васю Пупкина, что твоему самоподписному серту можно и нужно доверять.Comodohacker уже убедил всех что он - гугл, мозилла, скайп, яху и кого я там еще забыл. Это стоило DigiNotar'у процедуры банкротства. Только вот не он первый, не он последний. Схема когда любой козел может расписаться в том что он Папа Римский и по этому поводу его придется селить в Ватикане - дефективна by design.
удалил Trustwave из chrome (встроенные виндовые)правильно все делают
Приятно, что не все в этом мире определяют за деньги.
Спасибо мозилле за то, что они улучшают веб.
> Приятно, что не все в этом мире определяют за деньги.
> Спасибо мозилле за то, что они улучшают веб.Ты не поверишь, чувак - основное применение SSL и технологий PKI - это обеспечение безопасности банковских транзакций. Так что твое заявление ничего не стоит, бессеребренник ты наш.
Ждем аналогичных заявлений от гугла.
Большинству юзеров всеравно на то что браузер во всю кричит что там небезопасно, сертификат левый, сайт вообще мошеннический.. он упорно будет материться и тыкать ДАДАДА я хочу открыть..
> Большинству юзеров всеравно на то что браузер во всю кричит что там
> небезопасно, сертификат левый, сайт вообще мошеннический.. он упорно будет материться
> и тыкать ДАДАДА я хочу открыть..До тех пор пока человек реально не озабочен безопасностью.. например своих денег. Мне так и с правильными сертификатами страшно вводить номер своей карты.
штука в том, что обычный пользователь надеется на профессионализм компьютерных слесарей. жизни не хватит всё на свете изучать. я вот вынужден доверять хирургам, например: сам и не умею, и не могу.это всё я к чему? к тому, что «система прогнила». она сделана неудобно. неинтуитивно и неудобно. юзер знать не знает про всякие там «сертификаты», «корневые удостоверяющие центры», etc. и не хочет знать. и это его право. юзер предполагает, что security делали профессионалы, а не «хирурги» типа «ну, мы тут разрезали, идите, дома зашьёте себе».
а по итогам у нас есть:
а) система псевдобезопасности, которой доверять себе дороже;
б) даже если система о чём-то и предупреждает, делает это она так громоздко и непонятно, что пользователи подтвердят ей что угодно, лишь бы избавиться от таких «услуг».такие дела.
Когда вы идете к хирургу или слесарю прежде всего вы оцениваете риски. И если пьяному дяде Васе вы еще доверите починку автомобиля, то к хирургу требования будут совершенно другими.
Если вы сидите дома и разглядываете девочек, то действительно разницы никакой. Но когда речь идет о деньгах, то будете более осмотрительны. В противном случае кто виноват покажет зеркало.> юзер предполагает, что security делали профессионалы
И профессионалы говорят: не влезай - хуже будет.
> И профессионалы говорят: не влезай - хуже будет.А потом получается Титаник...
>> юзер предполагает, что security делали профессионалы
> И профессионалы говорят: не влезай — хуже будет.для того, чтобы отличить профессионалов от «профессионалов», нужен опять же опыт в предметной области. на виду-то в основном «профессионалы», которые убеждают пассажиров «титаника», что «всё идёт по плану».
Ну так мозг всегда включать нужно. не можешь отличить - найди того кто может.
> Ну так мозг всегда включать нужно. не можешь отличить — найди того
> кто может.желаю тебе услышать подобное предложение в момент, когда срочно нужна операция, и ты вынужден выбирать хирурга. понять ты, конечно, и тогда ничего не поймёшь, но есть большая надежда, что с таким апломбом или не успеешь выбрать, или выберешь неверно. конец немного предсказуем.
p.s. да, хирург был занят изучением основ криптографии и современного её применения, ему некогда было учить анатомию.
Срочно? Вот так вот внезапно ни с того ни сего отвалилась печень? Извини, дорогой(раз уж мы на "ты") так не бывает. Проблема была и раньше, как минимум на тонком плане, просто кое-кто дотянул до последнего момента.
В действительно экстренных случаях проблема выбора слегка другая. Либо выбираешь из того, что есть, либо решают за тебя.(по крайней мере что касается медицины).
Но насколько я понимаю проблема выбора относительно интернетов не стоит так остро.
Система гнилая.. да.. изначально гнилая.