The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Mozilla объявляет ультиматум удостоверяющим центрам

18.02.2012 13:19

Проект Mozilla разослал всем удостоверяющим центрам, корневые сертификаты которых поставляются в составе Firefox и других продуктов Mozilla, письмо с требованием отозвать все выданные сторонним организациям вторичные корневые сертификаты.

В последнее время становятся обычной практикой случаи генерации вторичных корневых сертификатов для обеспечения работы систем, направленных на транзитный перехват и расшифровку SSL-трафика, например, систем корпоративного отслеживания утечек данных. Генерируемые для подобных систем вторичные корневые сертификаты позволяют создать корректный и не вызывающий подозрения сертификат для любого сайта в сети, без привлечения удостоверяющего центра, авторизованного на выполнение подобных операций.

Mozilla публично осудила такую практику и считает действия по выдаче вторичных корневых сертификатов недопустимыми, даже если подобные сертификаты используются в закрытой сети, только для внутренних корпоративных нужд. В частности, это подрывает основной принцип сертификации - удостоверяющий центр должен являться единственным первичным звеном, полностью контролировать процесс и нести полную ответственность за все подписанные сертификаты. Поэтому нельзя допустить включение в цепочку утверждения сертификатов сторонних и неподконтрольных удостоверяющему центру компаний.

В связи с этим, Mozilla предъявила удостоверяющим центрам несколько требований:

  • Отозвать все выданные сторонним лицам вторичные корневые сертификаты и уничтожить используемые для хранения этих сертификатов HSM-модули.
  • Опубликовать серийные номера данных сертификатов и сигнатуры корневых сертификатов, используемых для их подписи. Подобная информация позволит Mozilla и другим заинтересованным лицам определить и блокировать все сертификаты, созданные с использованием вторичных корневых сертификатов.

Удостоверяющие центры должны выполнить данные требования до 27 апреля. Если требования не будут выполнены, Mozilla удалит из списка корневых сертификатов, поставляемого в составе своих продуктов, сертификаты удостоверяющих центров, уличённых в практике продажи вторичных корневых сертификатов. В частности, речь ведётся об удостоверяющем центре Trustwave. После удаления сертификата из списка корневых сертификатов Mozilla, все другие сертификаты, подписанные данным удостоверяющим центром, будут отображаться в Firefox как не заслуживающие доверия.

  1. Главная ссылка к новости (http://blog.mozilla.com/securi...)
  2. OpenNews: В Firefox намерены блокировать сертификаты удостоверяющего центра Trustwave
  3. OpenNews: GlobalSign временно приостановил выдачу SSL-сертификатов из-за возможной компрометации
  4. OpenNews: Раскрыты данные о взломах инфраструктуры VeriSign в 2010 году
  5. OpenNews: Взлом аккаунта в удостоверяющем центре Comodo привёл к генерации 9 обманных SSL-сертификатов
  6. OpenNews: В Firefox обнаружен неизвестный корневой сертификат
Лицензия: CC-BY
Тип: Тема для размышления
Ключевые слова: mozilla, ssl, cert, ca
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (96) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Tito (??), 14:10, 18/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    В будущем нужно без спроса удалят. А лучше всего заставить их специфицироваться у мозилы.
     
  • 1.2, paulus (ok), 14:14, 18/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    Давно пора! С подачи гугала  и разработчики гуглохрома начинают борьбу с этими оглоедами.
     
  • 1.3, bircoph (ok), 14:16, 18/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Наконец-то стали наводить порядок.
     
     
  • 2.5, Аноним (-), 14:19, 18/02/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Наконец-то стали наводить порядок.

    Фиг ли толку? С самого начала вменяемым людям было ясно, что понятия "доверие" и "безопасность" ортогональны. А теперь, когда поезд ушел, начали порядок наводить?

    Прикол в том, что сейчас тупо неведомо, где доверие может присутствовать, а где его нет. Поди, проверь банковские транзакции на доверительность, ага.

     
     
  • 3.12, Аноним (-), 16:52, 18/02/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Напротив, доверие и безопасность это одно и то же. Только тут доверия нет и быть не может.
     
     
  • 4.22, arisu (ok), 18:39, 18/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Напротив, доверие и безопасность это одно и то же.

    O_O
    вот люди доверяли дигинотару. были ли они при этом в безопасности?

     
     
  • 5.68, Аноним (-), 03:33, 19/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > вот люди доверяли дигинотару. были ли они при этом в безопасности?

    Они для начала пролошились доверяя кривой схеме с кучей ауторитей, где каждый может удостоверить все. Какое тут к черту доверие к таким схемам? Лохоразвод.

     
     
  • 6.86, arisu (ok), 15:01, 19/02/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    вопрос не в том. вопрос в том, что *доверяли*. были ли они при этом в безопасности?

    как ещё понятней сказать, что «доверие» и «безопасность» понятия совершенно не связаные?

    кстати, ты совсем-совсем не можешь себе представить ситуацию, когда ты в безопасности с тем, кому не доверяешь, и наоборот? попробуй, это забавно.

     
     
  • 7.116, Аноним (-), 08:21, 22/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > кстати, ты совсем-совсем не можешь себе представить ситуацию, когда ты в безопасности
    > с тем, кому не доверяешь, и наоборот? попробуй, это забавно.

    Первое - затруднительно. Недоверие кому-то - это осознание потенциальной опасности исходящей от данного субъекта по отношению к тебе. Второе - запросто.

     
     
  • 8.124, arisu (ok), 13:16, 22/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    совершенно не затруднительно 171 недоверие 187 тоже штука субъективная, и м... текст свёрнут, показать
     
  • 8.127, GG (ok), 13:38, 22/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Чего затруднительного-то Я не доверяю соседской собаке, но она на цепи, а у мен... текст свёрнут, показать
     
  • 2.70, A (?), 08:33, 19/02/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Еще после первой новости я зашел на сайт Trustwave, посмотрел параметры сертифик... текст свёрнут, показать
     
     
  • 3.76, VoDA (ok), 13:51, 19/02/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Trustwave выдал корневой сертификат Никакой подмены - нет В этом вся проблема ... текст свёрнут, показать
     
     
  • 4.111, Аноним (-), 12:01, 20/02/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Лолшто? Достаточно пройтись по цепочке и посмотреть ее сертификаты. Сертификат с уровнем CA в цепочке должен быть только 1. Root-level. Если такой сертификат присутствует уровнем ниже - блокировать. Вычисляется автоматикой на ура. Даже делать ничего не надо. Выводи себе браузером (никаких даже жабаскриптов не надо, как предлагал товарищ выше) предупреждение, мол, так и так, тут какая-то подозрительная цепочка. Скорее всего трафик слушают. Убигай, выгибай.
     

  • 1.7, gegMOPO4 (ok), 15:40, 18/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    Не в том сейчас Мозилла положении, чтобы ультиматумы ставить… Но лучше поздно, чем никогда.
     
  • 1.10, Аноним (-), 16:31, 18/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А что придёт на смену SSL? Допустимо ли придумать аналог SSL на основе PGP, с децентрализованной системой доверия?
     
     
  • 2.13, Аноним (-), 16:53, 18/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А что придёт на смену SSL? Допустимо ли придумать аналог SSL на
    > основе PGP, с децентрализованной системой доверия?

    SSL от PGP ничем по сути не отличается и да, использовать децентрализованную систему доверия можно и нужно.

     
     
  • 3.14, Аноним (-), 17:02, 18/02/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    PGP само по себе на потоковое шифрование ни разу не рассчитано. Как минимум нужно поверх него реализовать некий сетевой протокол для установления шифрованных соединений.
     
     
  • 4.69, Аноним (-), 03:34, 19/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > PGP само по себе на потоковое шифрование ни разу не рассчитано.

    Вы как бы можете передать ключ симметричного шифрования используя асимметричное и ... правда получится нечто типа того что в SSL :)

     
  • 2.15, MrClon (?), 17:32, 18/02/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > А что придёт на смену SSL? Допустимо ли придумать аналог SSL на
    > основе PGP, с децентрализованной системой доверия?

    Вообще-то уже пришло, TLS (:
    Дело ведь не в самом SSL (это просто криптоалгоритм), а в инфраструктуре ключей.

    Придумать допустимо что угодно, пока ещё не придумали запретить думать.

     
     
  • 3.104, pavlinux (ok), 02:29, 20/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> А что придёт на смену SSL? Допустимо ли придумать аналог SSL на
    >> основе PGP, с децентрализованной системой доверия?
    > Вообще-то уже пришло, TLS (:
    > Дело ведь не в самом SSL (это просто криптоалгоритм)

    ССЛ ниразу не крипто.

     

  • 1.17, uniman (ok), 18:20, 18/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >Проект Mozilla разослал всем удостоверяющим центрам, корневые сертификаты которых поставляются в составе Firefox и других продуктов Mozilla, письмо с _требованием_

    Читаю оригинал:

    Dear Certification Authority,
    This note _requests_ a set of immediate actions on your behalf, as a participant in the Mozilla root program.

    _Please_ reply by March 2, 2012, to confirm completion of the following actions or state when these actions will be completed. ...

    Где указано, что требует? И на каким основании может _требовать_, не возникло мысли?
    И что корневые центры в лице своих руководителей могут корректно послать Kathleen Wilson, Module Owner of Mozilla's CA Certificates Module далеко-далеко, и будут полностью вправе?

     
     
  • 2.24, Тарелькин (?), 18:51, 18/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >И что корневые центры в лице своих руководителей могут корректно послать Kathleen Wilson, Module Owner of Mozilla's CA Certificates Module далеко-далеко, и будут полностью вправе?

    А ты почитай предыдущие письма, где они тоже "request immediate action" по разным поводам. И чего-то не посылают. Кому нужен будет сертификат от центра, чей корневой сертификат Мозилле не известен?

     
     
  • 3.30, gegMOPO4 (ok), 19:26, 18/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Корпорациям, которые используют системы с вторичными корневыми сертификатами и Firefox 3.6 (ну хорошо, может быть Firefox 10, раз уж он ESR) и будут использовать ещё несколько лет?
     
     
  • 4.40, Avator (ok), 21:00, 18/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    в 10ке выпустят 10.0.3, в котором выкинут лишние сертификаты. Делов-то.
     
     
  • 5.47, Yakov Markovitch (?), 21:40, 18/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > в 10ке выпустят 10.0.3, в котором выкинут лишние сертификаты. Делов-то.

    Гм. Вам не приходило в голову, что корпорация может, например, и пересобрать 10.0.3 с невыкинутыми сертификатами? Хотя, скорее всего, просто в приказном порядке перейдут на что-то ещё, например IE. Если вы думаете, что вменяемой корпорации использование свободного софта важнее политики информбезопасности, Вы сильно ошибаетесь.

     
     
  • 6.53, Анон (?), 22:09, 18/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Только вот назвать Firefoxом законно не смогут.
     
     
  • 7.54, Xasd (ok), 22:14, 18/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    смогут :)... Mozilla вродебы теперь разрешает Firefox-сборки -- называть одноимённо "Firefox"

    ...однако вот не думаю что корпорации будут заниматься пересборкой... :-D ...оно им надо?

    если говносертификаты выкинут из Firefox.. то типичной реакцией (сначало) -- станет то что www-сайты будут менять SSL-провайдеров на тех котоыре ещё работают в новых Firefox

    ...и теперь возникает вопрос -- "в чём будет профит от <специфичного> Firefox в котором говносертификаты ещё не выкинуты? или профит от перехода на MsIE?"

    :-)

     
     
  • 8.105, pavlinux (ok), 02:32, 20/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Осёл работает тока в венде, которой по определению доверять нельзя ... текст свёрнут, показать
     
  • 7.55, Yakov Markovitch (?), 22:14, 18/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Только вот назвать Firefoxом законно не смогут.

    И впадут от этого в депрессию?

     
  • 6.58, Тарелькин (?), 22:48, 18/02/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Вам не приходило в голову, что корпорация может, например, и пересобрать 10.0.3 с невыкинутыми сертификатами?

    А вам не приходило в голову, что если все компьютеры находятся под единым контролем, то контролирующая сторона может собрать такой Firefox, который будет просто по команде от центрального сервера рапортовать о какой угодно защите соединения с каким угодно сертификатом? Даже если они не смогут назвать его законно Firefox'ом - назовут Iceweasel'ом и скажут сотрудникам, что, мол, "для просмотра сайтов надо пользоваться браузером Iceweasel, установленном на рабочих компьютерах".

    Это может быть труднее и немного дороже, чем просто купить сертификат, но куда безопаснее для всего остального мира.

     
  • 5.49, gegMOPO4 (ok), 21:43, 18/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    И после двух месяцев согласований корпоративное начальство не утвердит-таки обновление на 10.0.3.

    А через полгода поставят в планы миграцию на Хром.

     
     
  • 6.83, Аноним (-), 13:58, 19/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > И после двух месяцев согласований корпоративное начальство не утвердит-таки обновление
    > на 10.0.3.
    > А через полгода поставят в планы миграцию на Хром.

    А чем Хром лучше? Чем грузины?

     
     
  • 7.88, arisu (ok), 15:05, 19/02/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А чем Хром лучше?

    тем, что исходников нет, аудиту не подлежит, зато нескучный интерфейс.

     
     
  • 8.91, Аноним (-), 21:09, 19/02/2012 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Чхал я на интерфейс и на исходники Я, как и ты, не только не анализирую исходни... текст свёрнут, показать
     
     
  • 9.99, arisu (ok), 22:37, 19/02/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    всё-таки у тебя поломаный телепатор ... текст свёрнут, показать
     
  • 9.117, Аноним (-), 08:24, 22/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Он не только читает исходники но еще и пишет их Если ты унылая потреб-дь, это е... текст свёрнут, показать
     
  • 3.43, uniman (ok), 21:19, 18/02/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >И чего-то не посылают.

    Есть много способов указать на место в этом мире крайне корректно.

    > Кому нужен будет сертификат от центра, чей корневой сертификат Мозилле не известен?

    А с каких пор мир замыкаеться на Мозилле? Без предустановленных корневых сертификатов в этом изделии отстановяться коммуникации?

     
     
  • 4.59, Тарелькин (?), 22:53, 18/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А с каких пор мир замыкаеться на Мозилле? Без предустановленных корневых сертификатов
    > в этом изделии отстановяться коммуникации?

    Нет. Без предустановленного корневого сертификата - или хотя бы без цепочки сертификатов, восходящих к предустановленному - сертификаты от CA не будут по умолчанию приниматься в Мозилле. А значит, если владелец сайта купит у этого CA себе сертификат, большое количество пользователей на тот сайт ходить не будет, потому что "сайт поддельный".

    Вряд ли мозилловцы с пулеметами заставляют кого-либо участвовать в их "CA Programme".

    Ваш К.О.

     
     
  • 5.62, uniman (ok), 23:02, 18/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> А с каких пор мир замыкаеться на Мозилле? Без предустановленных корневых сертификатов
    >> в этом изделии отстановяться коммуникации?
    > Нет. Без предустановленного корневого сертификата - или хотя бы без цепочки сертификатов,
    > восходящих к предустановленному - сертификаты от CA не будут по умолчанию
    > приниматься в Мозилле. А значит, если владелец сайта купит у этого
    > CA себе сертификат, большое количество пользователей на тот сайт _ходить_ не
    > _будет_, потому что "сайт поддельный".

    У вас есть статистика, или это ваши личные предположения?

     
     
  • 6.63, Тарелькин (?), 23:15, 18/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >У вас есть статистика, или это ваши личные предположения?

    Точной статистики, сколько людей не соглашаются соединятьс без действительного сертификати, у меня нет, так что можно считать, что предположения. Но не безосновательные. Они основаны на том, что это далеко не первое требование Мозиллы к CA, и CA их выполняют. А также на том, что когда сайт попадает в блэклисты, например, Гугла за вредоносное ПО, его посещаемость значительно снижается - вне зависимости от того, решена ли уже проблема и где именно она была. А также на том, что люди все же жалуются на недоверенные сертификаты.

     
     
  • 7.66, uniman (ok), 00:24, 19/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >>У вас есть статистика, или это ваши личные предположения?
    > Точной статистики, сколько людей не соглашаются соединятьс без действительного сертификати,
    > у меня нет, так что можно считать, что предположения. Но не
    > безосновательные.

    Да, естественно небезосновательные, и разумно понятные. Просто без конкретики все получается диалог о сферических конях в вакууме. К тому же требование отозвать вторичные корневые сертификаты, предполагаю, не снимает проблемы процента компрометации - запросы-объем сертификатов это не снизит, следовательно объем инфраструктуры X.509, размазаной по миру, не уменьшиться, так, смысл, предполагаю, более имеют вторичные эффекты. Элементы PR тоже присуствуют.

    Впрочем, нам бы их заморочки :)

     
  • 2.50, Аноним (-), 21:44, 18/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Где указано, что требует? И на каким основании может _требовать_, не возникло мысли?

    Читайте до конца:


    "As a CA in Mozilla’s root program you are ultimately responsible for certificates issued by you and any intermediate CAs that chain up to your roots. After April 27, 2012, if it is found that a subordinate CA is being used for MITM, we will take action to mitigate, including and up to removing the corresponding root certificate. Based on Mozilla’s assessment, we may also remove any of your other root certificates, and root certificates from other organizations that cross-sign your certificates."

    Они даже не требуют, а приказывают.

     
     
  • 3.52, uniman (ok), 22:06, 18/02/2012 [^] [^^] [^^^] [ответить]  
  • –5 +/
    gt оверквотинг удален Нет там приказа С таким же успехом и я могу вам приказы... текст свёрнут, показать
     
     
  • 4.107, kshetragia (ok), 07:57, 20/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Кому нужен УЦ которому нет доверия? Мозилловцы хорошо нагнули их на самом деле.
     
     
  • 5.110, uniman (ok), 09:53, 20/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Кому нужен УЦ которому нет доверия? Мозилловцы хорошо нагнули их на самом  деле.

    Вы прочитали само письмо? Причем здесь "нагнули"?

     
     
  • 6.113, kshetragia (ok), 06:42, 22/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Кому нужен УЦ которому нет доверия? Мозилловцы хорошо нагнули их на самом  деле.
    > Вы прочитали само письмо? Причем здесь "нагнули"?

       Читал. И хорошо понимаю последствия. Те кому реально нужны сертификаты очень чутко реагируют на подобные вещи. Т.к. вся схема с УЦ строится на доверии, то есть основания полагать, что подорванное доверие не самым мелким игроком на браузерном рынке отразится на работе УЦ.
       Думаю тут будет уместна аналогия с скомпроментированным сервером. После разбора причин его просто уничтожают и ставят заново.

     
     
  • 7.128, uniman (ok), 16:07, 22/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    На доверии Гм Даже в старой поговорке Доверяй, но проверяй И матчас... текст свёрнут, показать
     

  • 1.19, arisu (ok), 18:35, 18/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а верисигн, значит, у которого в сети гуляет неизвестно кто, неизвестно когда, неизвестно зачем — довереный. угу.
     
     
  • 2.82, Аноним (-), 13:57, 19/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > а верисигн, значит, у которого в сети гуляет неизвестно кто, неизвестно когда,
    > неизвестно зачем — довереный. угу.

    А ты почаще доверяй неведомо кому, кого ты ни разу не видел, но который мамой клянется, что заслуживает доверия.

     
     
  • 3.85, arisu (ok), 14:59, 19/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    лично у меня давно нет «довереных сертификатов».
     
     
  • 4.92, Аноним (-), 21:09, 19/02/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > лично у меня давно нет «довереных сертификатов».

    Ты живешь в лесу, у тебя нет банковской карточки, ты бездомный и всех посылаешь?

     
     
  • 5.95, arisu (ok), 22:01, 19/02/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    я живу в городе. у меня есть дом. у меня нет «банковской карточки» и я не собираюсь её заводить. ещё вопросы?
     

  • 1.21, Аноним (-), 18:39, 18/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > И что корневые центры в лице своих руководителей могут корректно

    Могут, Мозилла выпиливает сертификаты. Пользователи заходят на сайты, фирефокс орёт что дескать сайт плохой. Посещения падают. Владельцы сайтов наезжают на центр сертификации (ибо за сертификат сайта деньги плачены), типа какого х..я их сайт теперь помечен как левый. ??? PROFIT?

     
     
  • 2.26, YetAnotherOnanym (?), 18:54, 18/02/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А может быть и так: "Когда я в банк онлайн захожу, в Мозиле какое-то непонятное окошко выскакивает, и чего-то там пишет, а Опере и Експлорере всё нормально работает, не буду больше Мозилой пользоваться, буду пользоваться Оперой".
    Баранов ничто не спасёт, как о них не заботься.
     
     
  • 3.33, Аноним (-), 19:32, 18/02/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Баранов ничто не спасёт, как о них не заботься.

    Вот только когда со счета лимон одним махом #$нется а СБ банка объяснит что за фигня - баран имеет все шансы слегка поумнеть :)

     
     
  • 4.71, Аноним (-), 13:46, 19/02/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Поскольку лично ты никогда не имел лимона на банковском счету, расскажу тебе, что в подобной ситуации СБ банка будет не у дел. А управляющий лично поедет к клиенту объясняться, вилять хвостом и выплачивать страховки. Которые потом в силовом порядке истребует с удостоверяющего центра, согласно политике CPS, в которой оговаривается величина страховки одиночной транзакции заданной величины.
     
     
  • 5.118, Аноним (-), 08:37, 22/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А откуда ты знаешь сколько и чего на моем счету Во шарлатанов привалило А т... текст свёрнут, показать
     
  • 3.38, Meta11er (?), 20:03, 18/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Баранов...не спасёт. Понятия доверенность и безопасность, вполне ! :-)
     
     
  • 4.81, Аноним (-), 13:56, 19/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Баранов...не спасёт. Понятия доверенность и безопасность, вполне ! :-)

    Понятия "доверие" и "безопасность" ортогональны, чувак. Только ты этого не поймешь. Расскажи матерому ГБшнику, почему он должен доверять Васе Пупкину. Пока ГБшник Васеньку не проскринит до десятого колена и досье в сейф не положит - хрена лысого там будет доверие. Что следует из сказанного? Нет отношения "доверие - безопасность". Есть отношение "знание - доверие - безопасность".

    Компрене ву?

     
  • 3.60, Тарелькин (?), 22:56, 18/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А может быть и так: "Когда я в банк онлайн захожу, в
    > Мозиле какое-то непонятное окошко выскакивает, и чего-то там пишет, а Опере
    > и Експлорере всё нормально работает, не буду больше Мозилой пользоваться, буду
    > пользоваться Оперой".
    > Баранов ничто не спасёт, как о них не заботься.

    Опера? Эксплорер? "Мне сын сказал, что в интернет выходить нажав по рыжему значку, а ваш сайт какой-то неправильный"...

    Люди, которые знают, что такое "Опера" и "Эксплорер" обычно не жалуются на "Непонятное окошко", а способны по крайней мере сообщить, какая надпись появляется в этом окошке.

     
     
  • 4.119, Аноним (-), 08:38, 22/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Опера? Эксплорер? "Мне сын сказал, что в интернет выходить нажав по рыжему
    > значку, а ваш сайт какой-то неправильный"...

    А если darwinawards.com почитать, то еще и не таких амеб найти можно :)

     

  • 1.23, YetAnotherOnanym (?), 18:50, 18/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вобщем, единственный сертификат, которому можно доверять - это тот, который тебе закатали на флешку в офисе конторы, с которой ты собрался общаться.
     
     
  • 2.25, arisu (ok), 18:52, 18/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Вобщем, единственный сертификат, которому можно доверять - это тот, который тебе закатали
    > на флешку в офисе конторы, с которой ты собрался общаться.

    это в том случае, если у них давно уже ключи не попёрли при помощи няшного виндового троянчика.

     
     
  • 3.27, YetAnotherOnanym (?), 18:55, 18/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Вобщем, единственный сертификат, которому можно доверять - это тот, который тебе закатали
    >> на флешку в офисе конторы, с которой ты собрался общаться.
    > это в том случае, если у них давно уже ключи не попёрли
    > при помощи няшного виндового троянчика.

    Тоже могёт быть.

     
  • 3.46, uniman (ok), 21:37, 18/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Какого троянчика Не несите чепуху, бросте 1 Приватные ключи для подписи заявле... текст свёрнут, показать
     
     
  • 4.72, Аноним (-), 13:49, 19/02/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тю Тю Тю У Диджинотара тоже был докУмент CPS , в котором написано - Мамой к... текст свёрнут, показать
     
     
  • 5.97, uniman (ok), 22:31, 19/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Чувак, ты написал лишь бы возразить Твои аргументы - эти типовое пионерское ... текст свёрнут, показать
     
     
  • 6.120, Аноним (-), 08:39, 22/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Твои аргументы - эти типовое пионерское искажение, передергивание, когда из нескольких
    > случаев, а то и одного, нарушения методики делаеться вывод о ее низком качестве вообще и всегда.

    Ну вон у верисайна тоже в сети творится непонятно что. Учитывая что они могут подписывать некоторые вещи в режиме _онлайн_ - какое в гопу физическое разделение??? Вы упоролись???

     
     
  • 7.123, uniman (ok), 12:20, 22/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Во первых, у вас в момент написания случилась истерика Прекращайте истерики, эт... текст свёрнут, показать
     

  • 1.28, Анон (?), 19:12, 18/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не знал, что такое возможно! Так можно любой сайт под колпаком держать!? Интересно, а сколько всего в мире УЦ?
     
     
  • 2.34, Аноним (-), 19:33, 18/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Не знал, что такое возможно! Так можно любой сайт под колпаком держать!?

    SSL такой SSL. Любой будак прописаный в корневые сертификаты может кому угоно что угодно удостоверить. Такая фигня.

     
     
  • 3.48, uniman (ok), 21:43, 18/02/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Не знал, что такое возможно! Так можно любой сайт под колпаком держать!?
    > SSL такой SSL. Любой будак прописаный в корневые сертификаты может кому угоно
    > что угодно удостоверить. Такая фигня.

    Обоснуйте пожалуйста. Как вы это сделаете?

     
     
  • 4.73, Аноним (-), 13:49, 19/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Не знал, что такое возможно! Так можно любой сайт под колпаком держать!?
    >> SSL такой SSL. Любой будак прописаный в корневые сертификаты может кому угоно
    >> что угодно удостоверить. Такая фигня.
    > Обоснуйте пожалуйста. Как вы это сделаете?

    Погуглить уже не судьба? Почитать стандарт x509v3? Головой подумать, наконец?

     
     
  • 5.100, uniman (ok), 22:39, 19/02/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>>> Не знал, что такое возможно! Так можно любой сайт под колпаком держать!?
    >>> SSL такой SSL. Любой будак прописаный в корневые сертификаты может кому угоно
    >>> что угодно удостоверить. Такая фигня.
    >> Обоснуйте пожалуйста. Как вы это сделаете?
    > Погуглить уже не судьба? Почитать стандарт x509v3? Головой подумать, наконец?

    Не, вывод ваш. Вы если чего-то и читали, то в объеме "как за 5 минут сделать сертификат для апача".

    Интересно, как вы подпишете чей-то сертификат, если у вашего сертификата, подписанного CA не будет свойств "для сертификации" от CA, а будет указано "только для мыла"?

    Хочу видеть. Не тиснете в форум? И что бы все проверки проходили корректно?

     
  • 3.64, saNdro (?), 00:03, 19/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    И почему вы упёрлись в SSL? Как в наиболее известное применение сертификатов? Вообще-то X.509 поддерживает очень большой список ПО.
     

  • 1.29, Анон (?), 19:15, 18/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В нашем мире все относительно. Даже безопасность! :)
     
     
  • 2.35, Аноним (-), 19:34, 18/02/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В нашем мире все относительно. Даже безопасность! :)

    SSLная безопасность - близка к нулю. Как ни относи.

     
     
  • 3.51, uniman (ok), 21:57, 18/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> В нашем мире все относительно. Даже безопасность! :)
    > SSLная безопасность - близка к нулю. Как ни относи.

    Обоснуйте пожалуйста ваше заявление.


     
     
  • 4.67, Аноним (-), 03:24, 19/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Обоснуйте пожалуйста ваше заявление.

    Дохрена идиотов как root of trust. При том кретинизм любого из подставляет _всю_ схему. Надежность на уровне карточного домика. Единственный вменяемый юзеж SSL который я вижу - что-то типа OpenSSL, когда я сам себе ауторити, при том единственно верная и только так.

     
     
  • 5.78, Аноним (-), 13:53, 19/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Обоснуйте пожалуйста ваше заявление.
    > Дохрена идиотов как root of trust. При том кретинизм любого из подставляет
    > _всю_ схему. Надежность на уровне карточного домика. Единственный вменяемый юзеж SSL
    > который я вижу - что-то типа OpenSSL, когда я сам себе
    > ауторити, при том единственно верная и только так.

    Убеди анонимного Васю Пупкина, что твоему самоподписному серту можно и нужно доверять. Особенно корневому серту. Думаешь, Вася будет звонить по телефону, указанному в серте, чтобы таой несуществуюбщий колл-центр продиктовал ему для сверки дайджест? Щаз...

     
     
  • 6.121, Аноним (-), 08:42, 22/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Убеди анонимного Васю Пупкина, что твоему самоподписному серту можно и нужно доверять.

    Comodohacker уже убедил всех что он - гугл, мозилла, скайп, яху и кого я там еще забыл. Это стоило DigiNotar'у процедуры банкротства. Только вот не он первый, не он последний. Схема когда любой козел может расписаться в том что он Папа Римский и по этому поводу его придется селить в Ватикане - дефективна by design.

     

  • 1.36, dima (??), 19:37, 18/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    удалил Trustwave  из chrome (встроенные виндовые)

    правильно все делают

     
  • 1.41, Avator (ok), 21:03, 18/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Приятно, что не все в этом мире определяют за деньги.
    Спасибо мозилле за то, что они улучшают веб.
     
     
  • 2.93, Аноним (-), 21:11, 19/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Приятно, что не все в этом мире определяют за деньги.
    > Спасибо мозилле за то, что они улучшают веб.

    Ты не поверишь, чувак - основное применение SSL и технологий PKI - это обеспечение безопасности банковских транзакций. Так что твое заявление ничего не стоит, бессеребренник ты наш.

     

  • 1.57, Аноним (-), 22:37, 18/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ждем аналогичных заявлений от гугла.
     
  • 1.106, Tamahome (?), 07:37, 20/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Большинству юзеров всеравно на то что браузер во всю кричит что там небезопасно, сертификат левый, сайт вообще мошеннический.. он упорно будет материться и тыкать ДАДАДА я хочу открыть..
     
     
  • 2.108, kshetragia (ok), 08:06, 20/02/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Большинству юзеров всеравно на то что браузер во всю кричит что там
    > небезопасно, сертификат левый, сайт вообще мошеннический.. он упорно будет материться
    > и тыкать ДАДАДА я хочу открыть..

    До тех пор пока человек реально не озабочен безопасностью.. например своих денег. Мне так и с правильными сертификатами страшно вводить номер своей карты.

     
     
  • 3.112, arisu (ok), 12:59, 20/02/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    штука в том, что обычный пользователь надеется на профессионализм компьютерных слесарей. жизни не хватит всё на свете изучать. я вот вынужден доверять хирургам, например: сам и не умею, и не могу.

    это всё я к чему? к тому, что «система прогнила». она сделана неудобно. неинтуитивно и неудобно. юзер знать не знает про всякие там «сертификаты», «корневые удостоверяющие центры», etc. и не хочет знать. и это его право. юзер предполагает, что security делали профессионалы, а не «хирурги» типа «ну, мы тут разрезали, идите, дома зашьёте себе».

    а по итогам у нас есть:
    а) система псевдобезопасности, которой доверять себе дороже;
    б) даже если система о чём-то и предупреждает, делает это она так громоздко и непонятно, что пользователи подтвердят ей что угодно, лишь бы избавиться от таких «услуг».

    такие дела.

     
     
  • 4.114, kshetragia (ok), 06:56, 22/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
      Когда вы идете к хирургу или слесарю прежде всего вы оцениваете риски. И если пьяному дяде Васе вы еще доверите починку автомобиля, то к хирургу требования будут совершенно другими.
      Если вы сидите дома и разглядываете девочек, то действительно разницы никакой. Но когда речь идет о деньгах, то будете более осмотрительны. В противном случае кто виноват покажет зеркало.

    > юзер предполагает, что security делали профессионалы

      И профессионалы говорят: не влезай - хуже будет.

     
     
  • 5.122, Аноним (-), 08:43, 22/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >   И профессионалы говорят: не влезай - хуже будет.

    А потом получается Титаник...

     
  • 5.126, arisu (ok), 13:31, 22/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> юзер предполагает, что security делали профессионалы
    >   И профессионалы говорят: не влезай — хуже будет.

    для того, чтобы отличить профессионалов от «профессионалов», нужен опять же опыт в предметной области. на виду-то в основном «профессионалы», которые убеждают пассажиров «титаника», что «всё идёт по плану».

     
     
  • 6.129, kshetragia (ok), 06:51, 23/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так мозг всегда включать нужно. не можешь отличить - найди того кто может.
     
     
  • 7.130, arisu (ok), 14:51, 23/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну так мозг всегда включать нужно. не можешь отличить — найди того
    > кто может.

    желаю тебе услышать подобное предложение в момент, когда срочно нужна операция, и ты вынужден выбирать хирурга. понять ты, конечно, и тогда ничего не поймёшь, но есть большая надежда, что с таким апломбом или не успеешь выбрать, или выберешь неверно. конец немного предсказуем.

    p.s. да, хирург был занят изучением основ криптографии и современного её применения, ему некогда было учить анатомию.

     
     
  • 8.131, kshetragia (ok), 08:40, 28/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Срочно Вот так вот внезапно ни с того ни сего отвалилась печень Извини, дорого... текст свёрнут, показать
     
  • 4.115, kshetragia (ok), 06:58, 22/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Система гнилая.. да.. изначально гнилая.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру