| 1.1, Аноним (-), 11:06, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
а где-нибудь написаны причины, по которым этот дигидонор выпустил левые серты?
| | |
| |
| |
| 3.8, Одмин (?), 13:05, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
там даты не сходятся. Как могли взломать 19-го июля если сертификат выдан 10-го? В общем, пока всё мутно
| | |
| |
| 4.9, ЮзверЪ (?), 13:27, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
"Вторжение в инфраструктуру Certificate Authority (CA) было зафиксировано 19 июля..." - а сколько они там на самом деле паслись, никто кроме взломщиков не знает.
| | |
| 4.33, Аноним (-), 20:11, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
после взлома могли любую дату выставить при генерации. Это ж всего чиселко, и проверяется оно в софте.
| | |
|
|
| 2.4, Аноним (-), 11:41, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
В соседней новости, они утверждают что их взломали: Появилась информация, что обманный сертификат был получен в результате взлома инфраструктуры удостоверяющего центра DigiNotar. Вторжение в инфраструктуру Certificate Authority (CA) было зафиксировано 19 июля, в результате чего атакующим удалось сгенерировать поддельные сертификаты
| | |
| |
| 3.18, Аноним (-), 16:15, 01/09/2011 [^] [^^] [^^^] [ответить]
| +7 +/– |
Они еще и не хотят публиковать список расхаканого:
> список доменов, фигурирующих в отозванных сертификатах по прежнему держится в секрете
За такой подход они получают НЕпочетное звание UNtrusted authority. За такое надо пожизненный вынос корневого сертификата такой ауторити выписывать. Пусть идут рассаду выращивать, может лучше получаться будет.
| | |
|
|
| 1.5, Nicknnn (ok), 12:09, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 dpkg-reconfigure ca-certificates
и снять галочку с DigiNotar
теперь при заходе на сайт сразу будет видно, если там подделка (для известных сайтов). Для других сайтов будет повод насторожиться.
| | |
| |
| 2.29, edo (ok), 18:45, 01/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
 а firefox (iceweasel) разве не свои списки доверенных CA держит?
| | |
| |
| 3.31, Nicknnn (ok), 19:43, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
Да похоже вы правы. Он таскает с собою собственный набор. Занчит нужно удалить там его вручную.
Отмена доверия через dpkg действует только на приложения, которые используют системные настройки. А таких большинство.
| | |
| |
| 4.41, zazik (ok), 13:13, 05/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
 > Да похоже вы правы. Он таскает с собою собственный набор. Занчит нужно
> удалить там его вручную.
> Отмена доверия через dpkg действует только на приложения, которые используют системные
> настройки. А таких большинство.
У меня не удаляется, почему-то. Точнее, удаляется, но потом снова появляется. ФФ, винда.
| | |
|
|
|
| |
| |
| 3.19, Аноним (-), 16:18, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> У них на сайте есть изображение, которое прекрасно иллюстрирует их работу
Блондинки рулят CA? Куда катится этот мир? oO
| | |
| |
| 4.23, Denisiuk (ok), 17:19, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
 > Блондинки рулят CA? Куда катится этот мир? oO
гг, я про человека посередине(сзади) ;)
| | |
|
|
|
| 1.7, фьщьшт (?), 12:39, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
Какие нафиг сертификаты? Уже в куки страшно заглядывать, откуда там все это есть.
| | |
| |
| 2.20, Аноним (-), 16:19, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Какие нафиг сертификаты? Уже в куки страшно заглядывать, откуда там все это есть.
С серверов на которые вы заходили //Капитан
| | |
|
| 1.10, Аноним (-), 13:56, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Брюс Шнайер предупреждал, что эта хрень с деревьями доверия - полная шняга. Достаточно скомпрометировать ОДИН корневой СА - и ПОЛНЫЙ коллапс системы доверия гарантирован. Кушайте с булочкой, ваш X509v3.
| | |
| |
| 2.11, bircoph (ok), 15:01, 01/09/2011 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > Достаточно скомпрометировать ОДИН корневой СА - и ПОЛНЫЙ коллапс системы доверия гарантирован.
Системы доверия, основанной на данном CA.
> Кушайте с булочкой, ваш X509v3.
Проблема в том, что других альтернатив нет. Какую бы систему идентификации хоста вы не строили, всегда нужна будет либо передача некоторой информации по абсолютно доверяемому каналу (например, ключа), либо доверие к 3-й стороне (или сторонам), подтверждающим, что хост — это тот, за кого себя выдаёт.
Пожалуй, единственное улучшение (и усложнение), которое можно сделать — это требовать сертификациями сразу несколькими доверяемыми CA (минимум трое) и блокировка при наличии проблем с хотя бы одной подписью.
| | |
| |
| 3.12, brother anon (?), 15:16, 01/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Системы доверия, основанной на данном CA.
Проблема в том, что система в равной степени доверяет всем CA, если сломать хотя бы один то безопасность под угрозой.
| | |
| |
| |
| 5.21, Аноним (-), 16:22, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Ваши предложения в студию.
Выделить особо доверяемых которые вскоре оборзеют от привилегированного положения и превратятся в диктаторов-уродов наподобии верисайна, только еще в пять раз хуже.
| | |
| |
| 6.25, bircoph (ok), 17:42, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
Взламают особо доверяемых. Дальше что?
Не существует невзламываемых систем — ломается всё, вопрос в том, за какие деньги.
Кроме того, таких систем будет не много, значит будет легко скомпрометировать всё. А вот если будет много центров сертификации (скажем так, тысячи) и будет требование множественной подписи разными CA, при котором проблемы хоть с одной делают сертификат не действительным — это будет надёжнее. Можно ещё веса присваивать разным CA, но это уже более тонкий вопрос.
| | |
| |
| 7.27, Аноним (-), 17:57, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Взламают особо доверяемых. Дальше что?
> Не существует невзламываемых систем — ломается всё, вопрос в том, за какие
> деньги.
> Кроме того, таких систем будет не много, значит будет легко скомпрометировать всё.
> А вот если будет много центров сертификации (скажем так, тысячи) и
> будет требование множественной подписи разными CA, при котором проблемы хоть с
> одной делают сертификат не действительным — это будет надёжнее. Можно ещё
> веса присваивать разным CA, но это уже более тонкий вопрос.
Это все уже было. Как раз так система сейчас и действует (ну только без весов). И что - те же яйца предлагаешь сделать, только вид сбоку?
Видишь ли, дорогой друг, доверие, как и свежесть, не бывает разных весовых степеней. Оно либо есть - либо нет. Компрене?
| | |
| 7.38, Аноним (-), 19:44, 02/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Взламают особо доверяемых. Дальше что?
Я так и знал что необходим тег <sarcasm>. К сожалению, он отсутствует в стандарте HTML5 :(
> Не существует невзламываемых систем — ломается всё, вопрос в том, за какие деньги.
Конечно! Универсальный способ: покупаем компанию - и все, мы их взломали!
> Кроме того, таких систем будет не много, значит будет легко скомпрометировать всё.
> А вот если будет много центров сертификации (скажем так, тысячи) и
> будет требование множественной подписи разными CA, при котором проблемы хоть с
> одной делают сертификат не действительным — это будет надёжнее. Можно ещё
> веса присваивать разным CA, но это уже более тонкий вопрос.
Ну вот это выглядит более реалистично. Правда, опять же, риск что сломают несколько из - не отменяет, но вероятность что этого хватит для успешной подделки сертификата и правда понижает.
| | |
|
|
|
|
| 3.28, Аноним (-), 17:59, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> Достаточно скомпрометировать ОДИН корневой СА - и ПОЛНЫЙ коллапс системы доверия гарантирован.
> Системы доверия, основанной на данном CA.
>> Кушайте с булочкой, ваш X509v3.
> Проблема в том, что других альтернатив нет. Какую бы систему идентификации хоста
> вы не строили, всегда нужна будет либо передача некоторой информации по
> абсолютно доверяемому каналу (например, ключа), либо доверие к 3-й стороне (или
> сторонам), подтверждающим, что хост — это тот, за кого себя выдаёт.
> Пожалуй, единственное улучшение (и усложнение), которое можно сделать — это требовать
> сертификациями сразу несколькими доверяемыми CA (минимум трое) и блокировка при наличии
> проблем с хотя бы одной подписью.
Алгоритм присяжных? Это и в жизни-то не работает. В реальном суде присяжных. Особое мнение одного присяжного мешало хоть кого-то посадить?
А тут начнутся - я зуб даю! - усложнения в виде мажоритарного алгоритма, весовых коэффициентов степеней доверия и тому подобное. Что приведет только к эскалации проблемы.
| | |
|
|
| 1.34, Ононим (?), 05:45, 02/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Зашел сейчас на gosuslugi.ru, а там сертификат истек. Вот думаю можно ли доверять после этого этому сайту. :)
| | |
| |
| 2.37, Аноним (-), 19:39, 02/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Зашел сейчас на gosuslugi.ru, а там сертификат истек. Вот думаю можно ли
> доверять после этого этому сайту. :)
Отечественным чиновничьим сайтам вообще доверять не стоит. Особенно - персональные данные. Так как это фуфло зачастую наполовину писалось методом откатов и распилов, по знакомству/блату. Ну так, глядя на количество фэйлов на страницу сайта. А то опять будете потом бухтеть - ой, а чойта в ларьке продается диск с БД "все пользователи сайта госуслуги - 2011"?!
| | |
|
| 1.42, Аноним (-), 22:27, 05/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
ну собственно и за что люди им деньги платят ? надо наплодить как хостингов, за рубль на 50 лет сертификатами банчить и будет все ок.
| | |
|
