The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

EFF, Mozilla, Cisco и Akamai создадут контролируемый сообществом удостоверяющий центр

18.11.2014 18:45

Electronic Frontier Foundation (EFF), Mozilla, Cisco, Akamai, Identrust и Мичиганский университет анонсировали совместный проект Let’s Encrypt, в рамках которого летом 2015 года планируется ввести в строй новый удостоверяющий центр, который позволит любому сайту бесплатно получить TLS-сертификат для организации доступа через защищённое соединение. Ожидается, что появление подобного ресурса и снятие барьера в получении сертификатов позволит существенно поднять популярность использования HTTPS в Web.

Let’s Encrypt позволит избавиться от трёх основных препятствий на пути получения сертификата для внедрения HTTPS: сложность процесса, бюрократические проволочки при проверке владельца и необходимость оплаты получения сертификата. Сервис будет предельно прост в использовании и будет предоставлять сертификаты владельцам доменов, которым достаточно будет продемонстрировать права по управлению доменной зоной через создание специальной записи на DNS-сервере или размещения ключа на web-сервере. На web-сервере достаточно будет запустить специальный скрипт, который сам выполнит обратную проверку и на выходе предоставит готовые сертификаты и инструкцию по их подлючению.

Операции по получению, настройке и обновлению сертификатов будут автоматизированы через специальный протокол ACME (Automated Certificate Management Environment, на базе JSON-over-HTTPS), что позволит подготовить простые сценарии для упрощения операции по настройке HTTPS. Протоколу для выписки и обновления сертификатов планируется придать статус открытого стандарта (RFC). Предварительная версия инструментария для сопряжения с сервисом конфигураций на базе Apache уже доступна для тестирования. Также уже готов код клиентской библиотеки и серверных модулей для Node.js

Let’s Encrypt будет поддерживать только гарантированно безопасные практики, как на стороне удостоверяющего центра, так и предлагая максимально защищённые решения для пользовательских серверов. Все операции по генерации и отзыву сертификатов будут проводиться публично и будут доступны для независимого инспектирования сообществом. Курировать работу сервиса будет сообщество, без сосредоточения управления в руках одной организации, что позволит избежать возможного давления со стороны спецслужб и правительств.



  1. Главная ссылка к новости (https://www.eff.org/deeplinks/...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/41086-tls
Ключевые слова: tls, cert, ca
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (97) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Xaionaro (ok), 19:11, 18/11/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    А почему за основу не взяли cacert? Слишком независимый или есть адекватные причины?
     
     
  • 2.15, Гость (??), 20:59, 18/11/2014 [^] [^^] [^^^] [ответить]  
  • +14 +/
    Меня другая мысль беспокоит: сколько до лета 2015 года будет отложено кирпичей сотрудниками сертификационных центров и всяких посредников? с:
     
     
  • 3.17, byu (?), 21:31, 18/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Меня другая мысль беспокоит: сколько до лета 2015 года будет отложено кирпичей
    > сотрудниками сертификационных центров и всяких посредников? с:

    Нисколько.

     
  • 3.21, rshadow (ok), 22:08, 18/11/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Продавцы воздуха и так достаточно обогатились.
    Еще бы домены придумали как раздавать, вот тогда действительно свобода появится.
     
     
  • 4.24, Аноним (-), 22:48, 18/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Теперь "EFF, Mozilla, Cisco и Akamai" будут закачивать воздух в баллоны за свой счет, но этот процесс не стал бесплатным.
    Домен 3-го уровня - пожалуста.
     
     
  • 5.25, rshadow (ok), 23:03, 18/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Бесплатно ничего не бывает. Но тысячи процентов прибыли от записи в БД это через чур.

    Например я плачу за электричество 300р. Плюс 400р за интернет. Плюс, например древний комп. Вполне потянет 1000 доменов. ~ 1000р в месяц. Ну и зарплата пусть будет 30т.р. как админу эникейщику.
    1000 доменов * 600 рублей = 600000 рублей в месяц. Вычесть расходы (даже помноженные на порядок). Некисло получается.

     
     
  • 6.37, Pahanivo (ok), 07:40, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Бесплатно ничего не бывает. Но тысячи процентов прибыли от записи в БД
    > это через чур.

    для вас все представление о регистраторах основывается только на этом?
    > Например я плачу за электричество 300р. Плюс 400р за интернет. Плюс, например
    > древний комп. Вполне потянет 1000 доменов.

    твой древний комп уйдет в DoS после 1-2 килозапросов в секунду.
    ты также, видимо, не знаком с понятием отказоустойчивости.
    про корневые кластеры я вообще не говорю.
    > ~ 1000р в месяц. Ну
    > и зарплата пусть будет 30т.р. как админу эникейщику.
    > 1000 доменов * 600 рублей = 600000 рублей в месяц. Вычесть расходы
    > (даже помноженные на порядок). Некисло получается.

    а взносы за членство в секте регистраторов забыл?
    у вас, дурачков, все так просто, шо песец.

     
     
  • 7.84, arisu (ok), 18:03, 22/11/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > твой древний комп уйдет в DoS после 1-2 килозапросов в секунду.

    (пожимает плечами) спасибо за то, что хотя бы открыто признаёте: «мы используем систему, сделаную идиотами. но идиоты не мы, а те, кто нам платит. привет, ромашки, платите в кассу!»

    у нас, дурачков, всё действительно просто. например, мы знаем, что DNS — говно. и варианты замены у нас тоже есть. но мы дурачки, мы в эти варианты не включали самое нужное требование: сдирание бабла с лохов. что поделаешь — дурачки…

     
     
  • 8.87, Pahanivo (ok), 22:39, 22/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    меняй драг диллера, однако ... текст свёрнут, показать
     
     
  • 9.88, arisu (ok), 22:42, 22/11/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    даже если предположить, что у меня он есть, он меня не устраивает и я его сменю ... текст свёрнут, показать
     
     
  • 10.90, Pahanivo (ok), 08:03, 24/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    я не вижу РАБОЧУЮ альтернативу, готовую к ПРОМЫШЛЕННОЙ эксплуатации, а значит ее... текст свёрнут, показать
     
     
  • 11.103, tessel (?), 17:40, 28/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это потому что на самом деле дурак тут только ты Мои соболезнования ... текст свёрнут, показать
     
     
  • 12.104, Pahanivo (ok), 21:33, 29/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    обоснуй свою точку зрения... текст свёрнут, показать
     
     
  • 13.105, arisu (ok), 21:52, 29/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    ты уже сделал это за него ... текст свёрнут, показать
     
     
  • 14.106, Pahanivo (ok), 21:10, 30/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    мммм у тебя логика железобетон, вернись к процедурам пока главврач не рассердилс... текст свёрнут, показать
     
  • 6.57, Аноним (-), 13:37, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Чтоб получить тыщу регистраций в мес сколько нужно бабла в рекламу втюхать? При том, что рынок насыщен, а ты - новый игрок?
    Создаем организацию - бабки
    Нанимаем персонал и платим налоги - бабки
    Синимаем офис - бабки
    Проходим некую аккредитацию как регистратор - бабки
    Реклама - бабки
    Это не считая твоей непосредственной работы как регистратора.
     
  • 6.68, XoRe (ok), 17:02, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Бесплатно ничего не бывает. Но тысячи процентов прибыли от записи в БД
    > это через чур.
    > Например я плачу за электричество 300р. Плюс 400р за интернет. Плюс, например
    > древний комп. Вполне потянет 1000 доменов. ~ 1000р в месяц. Ну
    > и зарплата пусть будет 30т.р. как админу эникейщику.
    > 1000 доменов * 600 рублей = 600000 рублей в месяц. Вычесть расходы
    > (даже помноженные на порядок). Некисло получается.

    Начнем с главного
    Вы обязуетесь выплатить $10 000 владельцу домена, чей сертификат взломали?
    Не увели ключик, а именно взломали, найдя какие-нибудь уязвимости в используемых протоколах, или стандартах?
    А техподдержку даете?
    Необязательно 24/7, хотя бы в рабочее время по телефону.
    И т.д. и т.п.
    Там сверхприбыли, да.
    Но нельзя сказать, что они сидят и курят.

     
  • 4.43, Аноним (-), 09:48, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Еще бы домены придумали как раздавать

    Неужели жаба душит платить $10–20 в год? Я ещё могу понять недовольство ценами на сертификаты (сотню-другую $$$ за генерацию пачки байтиков? давыупрлс!), но уж на домен-то даже бомж денег набрать без особых проблем сможет.

     
     
  • 5.44, Аноним (44), 09:59, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Еще бы домены придумали как раздавать
    > Неужели жаба душит платить $10–20 в год? Я ещё могу понять недовольство
    > ценами на сертификаты (сотню-другую $$$ за генерацию пачки байтиков? давыупрлс!), но
    > уж на домен-то даже бомж денег набрать без особых проблем сможет.

    какие 10-20? в россии 99р. регистрация 199р. покупка, а платят те кому лень поискать

     
     
  • 6.45, Аноним (44), 09:59, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Еще бы домены придумали как раздавать
    >> Неужели жаба душит платить $10–20 в год? Я ещё могу понять недовольство
    >> ценами на сертификаты (сотню-другую $$$ за генерацию пачки байтиков? давыупрлс!), но
    >> уж на домен-то даже бомж денег набрать без особых проблем сможет.
    > какие 10-20? в россии 99р. регистрация 199р. покупка, а платят те кому
    > лень поискать

    продление а не покупка конечно.

     
  • 5.48, Аноним (-), 11:36, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Неужели жаба душит платить $10–20 в год?

    За 20 баксов в год можно целый год содержать небольшой VDS, не то что запись в базе.

     
     
  • 6.66, XoRe (ok), 16:46, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Неужели жаба душит платить $10–20 в год?
    > За 20 баксов в год можно целый год содержать небольшой VDS, не
    > то что запись в базе.

    Вы хотели сказать VPS

     
     
  • 7.69, Аноним (-), 18:44, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    он хотел сказать, что готов работать за 20$ в месяц :)
     
     
  • 8.73, XoRe (ok), 01:21, 20/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда уж в год ... текст свёрнут, показать
     
     
  • 9.101, Аноним (-), 16:53, 26/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    я лично плачу за VPS 10 баксов в год 1 ядро ксеон 512Мб ОЗУ 5Гб Диск ССД ... текст свёрнут, показать
     

  • 1.2, Пропатентный тролль (?), 19:39, 18/11/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А как на это отреагирует отрасль продажи сертификатов? Кампашка хоть и серьёзная (в основном за счёт Cisco), но тут ведь деньги на кону. Без боя Verisgn и пр. не сдадутся.
     
     
  • 2.6, rm (??), 20:10, 18/11/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Может быть наконец-то массово введут базовый бесплатный tier, с которого будут всеми силами стремиться пересаживать на платные (и за счёт этого жить). А вообще, если затея реализуется - та отрасль просто загнётся, точнее сократится в объёмах в разы.
     
     
  • 3.38, Аноним (44), 09:18, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Помимо удостоверения домена как домена ;) есть ещё удостоверение компании, не загнётся а начнёт заниматься именно тем чем должен :)
    а то что, условно, odnokla[b]s[/b]niki.ru удостоверен доменным сертификатом, ничего не говорит о его принадлежности группе mail.ru
     
     
  • 4.85, arisu (ok), 18:04, 22/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Помимо удостоверения домена как домена ;) есть ещё удостоверение компании, не загнётся
    > а начнёт заниматься именно тем чем должен :)
    > а то что, условно, odnokla[b]s[/b]niki.ru удостоверен доменным сертификатом, ничего не
    > говорит о его принадлежности группе mail.ru

    что характерно — подавляющему большинству пользователей никакой сертификат ни о чём не говорит.

     
  • 2.10, Crazy Alex (ok), 20:34, 18/11/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А что они могут сделать? Результат зависит только от того, будут ли эти сертификаты признаваться чем-то, кроме мозилловских продуктов. Если да - то верисайны могут идти вешаться.
     
     
  • 3.16, Аноним (-), 21:30, 18/11/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >кроме мозилловских продуктов

    которые сами по себе довольно весомы.

     
     
  • 4.30, Crazy Alex (ok), 02:05, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Сами по себе - не весомы. Никакой веб-мастер в здравом уме не будет ставить сертификат, на который будут ругаться браузеры у 80% посетителей. Если хотя бы файрфокс и хром - ну, некоторые могут заинтересоваться. И так далее.
     
  • 2.19, njdlsakjd (?), 21:55, 18/11/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    https://www.startssl.com/ уже есть. Тут добавится лишь скрипт для упрощения генерации ключа и сертификата (при этом ручной работы все равно останется предостаточно).
     
     
  • 3.39, Аноним (44), 09:19, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > https://www.startssl.com/ уже есть. Тут добавится лишь скрипт для упрощения генерации
    > ключа и сертификата (при этом ручной работы все равно останется предостаточно).

    Ну и firefox возможно не будет ругаться на непонятный сертификат :)

     
  • 2.67, XoRe (ok), 16:57, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А как на это отреагирует отрасль продажи сертификатов? Кампашка хоть и серьёзная
    > (в основном за счёт Cisco), но тут ведь деньги на кону.
    > Без боя Verisgn и пр. не сдадутся.

    Очень бурно отреагируют те, кто их перепродает.
    Сегменту перепродажи low cost придет капец. Ну может не совсем до конца.
    Даже сейчас незнающие люди покупают самые простые ssl сертификаты за 100$.
    Но за неимением потока покупателей доходы лишатся пары ноликов.
    А middle/hi cost придется скинуть цены на всякие EV.
    Потому что не так много любителей покупать "особо чистый воздух" за 500$, когда можно взять "просто воздух" бесплатно.
    Сами издатели сертификатов (comodo, verisign и т.д.) тоже офигеют от падения дохода в этой сфере.
    Но если это не единственное их направление, выживут.

     

  • 1.3, Аноним (-), 19:45, 18/11/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Ну да. цыска такая из себя контролируемая обществом (с названием АНБ). Да и Akamai наверное не забывает сливать им данные.

    Да и популяризация https - это из разряда популяризации лохотронов. Спасибо лохотронщикам.

     
     
  • 2.4, anonymous (??), 19:49, 18/11/2014 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Ну да. цыска такая из себя контролируемая обществом (с названием АНБ). Да
    > и Akamai наверное не забывает сливать им данные.
    > Да и популяризация https - это из разряда популяризации лохотронов. Спасибо лохотронщикам.

    https не дает приватности/защищенности глобально, да. Но существенно затрудняет анализ трафика сторонними лицами, что уже само по себе плюс.

     
     
  • 3.5, ПолковникВасечкин (?), 20:10, 18/11/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Святая невинность!
     
  • 3.7, Аноним (-), 20:14, 18/11/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    как будто бы поделил на ноль
     
     
  • 4.58, Аноним (-), 13:43, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > как будто бы поделил на ноль

    Примерно также работает твоя железная дверь. Немедленно выкинь ее!

     
  • 3.11, Crazy Alex (ok), 20:35, 18/11/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Угу, в России только Циску с Акамаем и бояться, как же.
     
     
  • 4.23, Michael Shigorin (ok), 22:26, 18/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Угу, в России только Циску с Акамаем и бояться, как же.

    Если что, в августе 2008 важные циски "случайно" очень вовремя легли, им это здесь правильные люди запомнили.  Повод не бояться, но и не доверять.

     
     
  • 5.32, Аноним (-), 02:33, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    2012й - помню: http://habrahabr.ru/post/233331/, а в 2008 что было?
     
  • 5.42, test (??), 09:40, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Михаил, а развернуть можете? Не слышал про это
     
     
  • 6.63, Michael Shigorin (ok), 14:51, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Михаил, а развернуть можете? Не слышал про это

    http://www.opennet.ru/openforum/vsluhforumID3/73352.html#318 -- на публике с других сторон найти не получилось (может, не так искал), мне пришло с двух разных сторон, первый источник был на кухне где-то в 2009, доверенный и информированный.

     
  • 3.22, Michael Shigorin (ok), 22:24, 18/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > https не дает приватности/защищенности глобально, да. Но существенно затрудняет
    > анализ трафика сторонними лицами, что уже само по себе плюс.

    В случае, когда приватный сертификат отгрузил кто-то ещё -- сомнения берут.

     
     
  • 4.26, Аноним (26), 00:24, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    намного проще все. трафик то может и зашифрован,  а идентифицировать пользователя становится проще ))
     
  • 4.47, anonymous (??), 11:28, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> https не дает приватности/защищенности глобально, да. Но существенно затрудняет
    >> анализ трафика сторонними лицами, что уже само по себе плюс.
    > В случае, когда приватный сертификат отгрузил кто-то ещё -- сомнения берут.

    Как минимум это затруднит анализ абонентского трафика провайдерскими DPI, и прочей гадостью, которая вставляет рекламу или еще как-то "оптимизирует" трафик.

     
     
  • 5.94, Аноним (-), 18:27, 24/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >>> https не дает приватности/защищенности глобально, да. Но существенно затрудняет
    >>> анализ трафика сторонними лицами, что уже само по себе плюс.
    >> В случае, когда приватный сертификат отгрузил кто-то ещё -- сомнения берут.
    > Как минимум это затруднит анализ абонентского трафика провайдерскими DPI, и прочей гадостью,
    > которая вставляет рекламу или еще как-то "оптимизирует" трафик.

    Ты знаешь, ну никак эта шняга от DPI не защитит. Погугли в сторону NBAR. Что надо можно щелкнув пальцами прихлопнуть. Было б желание.

     
  • 3.49, Аноним (-), 11:38, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Но существенно затрудняет анализ трафика сторонними лицами,

    Не очень заметно что-то.

     
  • 2.70, KinderSurprise (?), 23:56, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну да. цыска такая из себя контролируемая обществом (с названием АНБ). Да
    > и Akamai наверное не забывает сливать им данные.
    > Да и популяризация https - это из разряда популяризации лохотронов. Спасибо лохотронщикам.

    Народ и letsencrypt.org едины.
    Правда.us >:-)

     

  • 1.8, Аноним (-), 20:26, 18/11/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Однако жизнь анб это точно усложнит
     
     
  • 2.9, АнониМ (ok), 20:29, 18/11/2014 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >Однако жизнь анб это точно усложнит

    Cisco проследит, чтоб не очень.

     
  • 2.18, byu (?), 21:35, 18/11/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Однако жизнь анб это точно усложнит

    Жизнь АНБ усложнит хорошая ядерная боеголовка, случайно попавшая в Форт-Мид.

     
     
  • 3.40, Аноним (44), 09:30, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >> Однако жизнь анб это точно усложнит
    > Жизнь АНБ усложнит хорошая ядерная боеголовка, случайно попавшая в Форт-Мид.

    Возможно упростит, т.к. у них после этого останется всего одна задача.

     

  • 1.12, commiethebeastie (ok), 20:45, 18/11/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не поверю сиське пока не откроют кучу своих протоколов.
     
     
  • 2.95, Аноним (-), 18:28, 24/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Не поверю сиське пока не откроют кучу своих протоколов.

    Оплати курсы - там тебе все откроют. :)

     
     
  • 3.102, commiethebeastie (ok), 09:44, 27/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Не поверю сиське пока не откроют кучу своих протоколов.
    > Оплати курсы - там тебе все откроют. :)

    Врешь.

     

  • 1.13, bOOster (?), 20:46, 18/11/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    А удостоверяющий ключик у кого будет?
     
     
  • 2.14, Аноним (-), 20:51, 18/11/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Не раскачивайте лодку!
     
     
  • 3.28, Аноним (-), 01:18, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не путайте лодку с яхтой!
     
  • 2.50, Аноним (-), 11:40, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > А удостоверяющий ключик у кого будет?

    Ну как, у мозиллы, цыски, акамая, EFF, цру, анб. А если хорошо себя будут вести - то еще у моссадов и прочих ми-6. Можно и с китаем попробовать договормиться, если китайский рынок охота окучать.

     
     
  • 3.71, KinderSurprise (?), 00:25, 20/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> А удостоверяющий ключик у кого будет?
    > Ну как, у мозиллы, цыски, акамая, EFF, цру, анб. А если хорошо
    > себя будут вести - то еще у моссадов и прочих ми-6.
    > Можно и с китаем попробовать договормиться, если китайский рынок охота окучать.

    А он может кстати не один быть.
    И вот представьте, что все эти организации подписали сертификат... Вы им не поверите? :-)

     
     
  • 4.72, KinderSurprise (?), 00:30, 20/11/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    (ФСБ однако не хватает...)
     
  • 4.96, Аноним (-), 18:29, 24/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >>> А удостоверяющий ключик у кого будет?
    >> Ну как, у мозиллы, цыски, акамая, EFF, цру, анб. А если хорошо
    >> себя будут вести - то еще у моссадов и прочих ми-6.
    >> Можно и с китаем попробовать договормиться, если китайский рынок охота окучать.
    > А он может кстати не один быть.
    > И вот представьте, что все эти организации подписали сертификат... Вы им не
    > поверите? :-)

    Это чем-либо отличается от существующей инфраструктуры CA/RA?

     

  • 1.20, rshadow (ok), 22:06, 18/11/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Наконец то.
    Последняя фраза про  безопасность от спецслужб чушь конечно. Там техническими методами обычно никто не заморачивается: проще сделать закон по которому сами обязаны все раскрыть и ключики отдать. Система централизована, а значит все ключи будут у АНБ в любом случае.
     
     
  • 2.29, Аноним (-), 01:35, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Последняя фраза про  безопасность от спецслужб чушь конечно. Там техническими методами обычно никто не заморачивается: проще сделать закон по которому сами обязаны все раскрыть и ключики отдать. Система централизована, а значит все ключи будут у АНБ в любом случае.

    Это и не нужно. Сейчас службам достаточно взять абсолютной любой действующий УЦ и "предложить" выпустить сертификат под интересуемый домен(ы). Ну а дальше можно сделать MITM-атаку с использованием этого сертификата. Вот уже трафик пользователя как на ладони, да и ключи не засвечены.

    ЗЫЖ: Это такой "привет" пользователям TOR-сети.

     
     
  • 3.34, Аноним (-), 05:37, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Современные браузеры ругаются при попытке подменить уже известный сертификат.
     
     
  • 4.56, Аноним (-), 13:28, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Современные браузеры ругаются при попытке подменить уже известный сертификат.

    Надо будет перепроверить. Я где-то полгода (не более года) назад я проверял это поведение на firefox и chrome и в моем случае никто не ругался.

     
     
  • 5.80, КО (?), 20:22, 20/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Надо еще на сервере подпинить, какой ключ правильный :)
    Но от первого захода не поможет. :)
     
  • 4.86, arisu (ok), 18:08, 22/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Современные браузеры ругаются при попытке подменить уже известный сертификат.

    а пользователи не вникая ищут кнопку «согласен» и матерят «криворуких программистов», которые задалбывают идиотскими окнами.

    система сертификатов нежизнеспособна не только потому, что зависит от корневых центров, но и потому, что пользователи не читают «весь этот бред».

     
  • 3.51, Аноним (-), 11:41, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > ЗЫЖ: Это такой "привет" пользователям TOR-сети.

    А Tor вроде как использует сугубо свои собственные сертификаты.

     
  • 3.59, Аноним (-), 13:52, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Это и не нужно. Сейчас службам достаточно взять абсолютной любой действующий УЦ
    > и "предложить" выпустить сертификат под интересуемый домен(ы). Ну а дальше можно

    Думаю, сабжевая кампашка сделает морду кирпичом и, даже если выпустит подобный сертификат, то он отразится в публичном журнале.
    АНБ, домены: vk.com wikileaks... получены такого-то числа. Далее идет список недоверия к сертификатам...

     
     
  • 4.61, Аноним (-), 14:36, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Думаю, сабжевая кампашка сделает морду кирпичом и, даже если выпустит подобный сертификат, то он отразится в публичном журнале.
    >АНБ, домены: vk.com wikileaks... получены такого-то числа. Далее идет список недоверия к сертификатам...

    Нет, скорее всего будет объявлена просто "утечка" (вспоминаем прецеденты). В самом худшем случае службы будут избавляться от напарника как ящерица от хвоста.

    PS: Вспоминая DigiNotar... (кажется так она называлась).

     
  • 4.76, Аноним (-), 02:21, 20/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Akamai внезапно - стартап(CDN-фронтэнд к )организаций, как раз и уличенных в бОльшей части эксплуитаций и манипуляций по топику, за десятилетие ;)
    так что все следствия из проекта - предсказуемы, как и сама "инициатива". дудочников труд нелегок, увы ;)
     
     
  • 5.78, Аноним (-), 12:20, 20/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Akamai внезапно - стартап(CDN-фронтэнд к )организаций, как раз и уличенных в бОльшей
    > части эксплуитаций и манипуляций по топику, за десятилетие ;)
    > так что все следствия из проекта - предсказуемы, как и сама "инициатива".
    > дудочников труд нелегок, увы ;)

    Я из того списка чуть-чуть доверяю лишь мозилле. На ее компаньонов и не расчитывал. Скорее всего, они присосались чтоб извлечь свои выгоды (встраивать ключи в железки, например) и немного снабжают инициативу баблом.

     
  • 3.62, Аноним (-), 14:47, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    http://xakep.ru/56717/
    http://xakep.ru/56640/
    http://xakep.ru/55914/
     
  • 3.74, KinderSurprise (?), 01:31, 20/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >>Последняя фраза про  безопасность от спецслужб чушь конечно. Там техническими методами обычно никто не заморачивается: проще сделать закон по которому сами обязаны все раскрыть и ключики отдать. Система централизована, а значит все ключи будут у АНБ в любом случае.
    > Это и не нужно. Сейчас службам достаточно взять абсолютной любой действующий УЦ
    > и "предложить" выпустить сертификат под интересуемый домен(ы). Ну а дальше можно
    > сделать MITM-атаку с использованием этого сертификата. Вот уже трафик пользователя как
    > на ладони, да и ключи не засвечены.
    > ЗЫЖ: Это такой "привет" пользователям TOR-сети.

    Почему не засвечены? У пользователя как минимум в распоряжении левый сертификат. Его обнародование влечёт последствия для CA...

     
  • 3.97, Аноним (-), 18:29, 24/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >>Последняя фраза про  безопасность от спецслужб чушь конечно. Там техническими методами обычно никто не заморачивается: проще сделать закон по которому сами обязаны все раскрыть и ключики отдать. Система централизована, а значит все ключи будут у АНБ в любом случае.
    > Это и не нужно. Сейчас службам достаточно взять абсолютной любой действующий УЦ
    > и "предложить" выпустить сертификат под интересуемый домен(ы). Ну а дальше можно
    > сделать MITM-атаку с использованием этого сертификата. Вот уже трафик пользователя как
    > на ладони, да и ключи не засвечены.
    > ЗЫЖ: Это такой "привет" пользователям TOR-сети.

    Ты о ТОR-сети что вообще знаешь? Ну, кроме того, что она существует? Там нет сторонних сертов, кроме самоподписных. Вообще нет.

     

  • 1.27, Аноним (-), 01:12, 19/11/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    За#@&%^*ли попытки легитимизировать сломаную by design технологию. Для надёжной связи необходим оффлайновый обмен ключами, и даже через цепочку доверенных лиц получается рыба второй свежести.
     
     
  • 2.41, Аноним (44), 09:32, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > За#@&%^*ли попытки легитимизировать сломаную by design технологию. Для надёжной связи
    > необходим оффлайновый обмен ключами, и даже через цепочку доверенных лиц получается
    > рыба второй свежести.

    Жить оффлайн в принципе безопасней, но может так статься что не на что...

     
     
  • 3.77, Аноним (-), 12:16, 20/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Кроме фриланса в интернете есть другие профессии...

     
  • 2.52, Аноним (-), 11:43, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Для надёжной связи необходим оффлайновый обмен ключами,

    Если у меня есть секретное дупло для ключей - я и сообщение в него положить могу. В результате от кривтографии лучше не становится.

    > и даже через цепочку доверенных лиц получается рыба второй свежести.

    Посмотрите на CryptoBox() в NaCl от дяденьки Берштейна. Там такое очень изящно обтяпано.


     
     
  • 3.64, Michael Shigorin (ok), 14:53, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Если у меня есть секретное дупло для ключей - я и сообщение в него положить могу.

    Разница в объёме, а также частоте и трудо/времяёмкости произведения обмена, сами понимаете.

     

  • 1.31, L29Ah (?), 02:06, 19/11/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну и костыли, зачем-то ещё один CAcert. Почему они не хотят допилить поддержку RFC6091 в меинстримных TLS-приложениях instead?
     
     
  • 2.35, Crazy Alex (ok), 05:39, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Например, затем, что руками тягать сертификаты - маразм. А вот автоматизированный запрос - самое оно, тогда это можно засунуть повсюду, вменяемо настроить и не зависеть в этой части от компетентности админа.
     
     
  • 3.53, Аноним (-), 11:44, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Например, затем, что руками тягать сертификаты - маразм. А вот автоматизированный запрос

    Погоди, чувак, ты хотел автоматизированное ДОВЕРИЕ? Когда за тебя другие, поумнее тебя, решат кому ты доверяешь? Ты вообще в ладах со своей головой?

     
     
  • 4.81, Crazy Alex (ok), 00:06, 22/11/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Абсолютно в ладах.

    Первое. В куче случаев задача защиты от АНБ и подобных вообше не стоит. Стоит задача защиты от хилых хакеров, любопытного провайдера и т.д. И часто альтернатива выглядит не как "хорошо настроенный руками SSL против настроенного автоматом" а как "полное отсутствие SSL против SSL, настроенного автоматом".

    Второе. Речь не о выборе, кому доверяешь (в этом плане, кстати, все конторы из списка доверия браузера более-менее одинаковы), а о том, чтобы иметь хорошо настроенный SSL. Учитывая, что все эти настройки публичны - это не страшнее, чем использование дистрибутивов линукса, скажем. И, опять же, в большинстве случаев такие конфигурации оказываются получше, чем творения очередного местного гуру, деятельность которого, скорее всего, вообще никто не проверит толком. То есть настройка SSL должна быть автоматизирована.

     
  • 4.83, Crazy Alex (ok), 00:10, 22/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Например, затем, что руками тягать сертификаты - маразм. А вот автоматизированный запрос
    > Погоди, чувак, ты хотел автоматизированное ДОВЕРИЕ? Когда за тебя другие, поумнее тебя,
    > решат кому ты доверяешь? Ты вообще в ладах со своей головой?

    Я совершенно не представляю работающий Web Of Trust для неквалифицированных пользователей. А таких среди пользователей SSL 99.9%. Остальные же и так решение найдут.

     
  • 2.75, Аноним (-), 02:02, 20/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >поддержку RFC6091

    спасибо, это нужно

     

  • 1.54, edwin3d (ok), 12:00, 19/11/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Новость позитивная.  
    Что касается серьезных центров, то не волнуйтесь, он без своего куска хлеба не останутся.
    Ведь сертификат не просто бумажка, это намного больше - серт. центр по сути страховая компания, которая удостоверяет благонадежность тех, кому они дали сертификат. И при определенных обстоятельствах может следовать выплата "круглой суммы"
    Потому и бабло, бюрократия ....

    P.S.
    Ведь получить "халявный" серт. можно и сейчас ... вон - StartSSL давали, правда только базовый и с оговорками, но ...  

     
     
  • 2.55, Аноним (-), 13:21, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Только вот я не слышал, чтоб центр сертификации выплатил кому-либо хоть копейку компенсации за "ошибку". Поэтому и "торговля воздухом".
     
     
  • 3.60, edwin3d (ok), 13:55, 19/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Только вот я не слышал, чтоб центр сертификации выплатил кому-либо хоть копейку
    > компенсации за "ошибку".

    Насколько мне известно, за "ошибку" никто и не платит.
    Речь идет о компенсации доказанного мошенничества в юрисдикции страны выдачи сертификата.  

     
  • 3.99, Аноним (-), 18:32, 24/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Только вот я не слышал, чтоб центр сертификации выплатил кому-либо хоть копейку
    > компенсации за "ошибку". Поэтому и "торговля воздухом".

    Гм, послушай-ка. А ты уверен, что тебя за твоим локалхостом должны были проинформировать о каждом подобном случае? В курсях вообще, что страховые компании (обычные, офлайновые) никогда не афишируют огромных страховых выплат? По ряду очевидных причин?

     

  • 1.79, Аноним (-), 18:14, 20/11/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Слушайте, но они же все находятся под юрисдикцией США — в чем профит-то? АНБ им всем может выкатить FISA ордер и фиг они куда денутся.
     
     
  • 2.82, Crazy Alex (ok), 00:08, 22/11/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В большинстве случаев защищаться приходится ни разу не от АНБ.
     
     
  • 3.100, Аноним (-), 18:33, 24/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > В большинстве случаев защищаться приходится ни разу не от АНБ.

    И как, удалось хоть раз вам всем, таким умным и красивым, защититься? Помнится, тут были крысы, которые, радостно подмахивая, побежали наперебой роскомпозору свои услуги и решения навяливать.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру