Компания Google приняла решение (https://groups.google.com/a/chromium.org/forum/#!msg/securit... отказаться от отдельной пометки сертификатов уровня EV (Extended Validation (https://en.wikipedia.org/wiki/Extended_Validation_Certificate)) в Chrome. Если раньше для сайтов с подобными сертификатами в адресной строке выводилось название проверенной удостоверяющим центром компании, то теперь для данных сайтов будет отображаться (https://chromium.googlesource.com/chromium/src/+/HEAD/docs/s... тот же индикатор защищённого соединения, что и для сертификатов с верификацией доступа к домену.
Начиная с Chrome 77 информация о применении EV-сертификатов будет отображаться только в выпадающем меню, показываемом при клике на значок защищённого соединения. В 2018 году аналогичное решение приняла компания Apple для браузера Safari и воплотила его в выпусках iOS 12 и macOS 10.14.
Напомним, что EV-сертификаты подтверждают заявленные параметры идентификации и требуют проведения удостоверяющим центром проверки документов о принадлежности домена и физическое присутствие владельца ресурса.Проведённое в Google исследование показало, что ранее применяемый для EV-сертификатов индикатор не предоставлял ожидаемой защиты пользователей, которые не обращали внимание на разницу и не использовали её при принятии решений о вводе конфиденциальных данных на сайтах. При этом выводимая для EV-сертификатов информация занимала слишком много места в адресной строке, могла приводить к замешательству при виде названия компании в интерфейсе браузера, а также нарушала принцип нейтральности продукта и использовалось (https://www.typewritten.net/writer/ev-phishing/) для фишинга. Например, удостоверяющий центр Symantec выдал EV-сертификат компании "Identity Verified", вывод названия которой вводил пользователей в заблуждение, особенно когда реальное имя открытого домена не вмещалось в адресную строку:
URL: https://groups.google.com/a/chromium.org/forum/#!msg/securit...
Новость: https://www.opennet.ru/opennews/art.shtml?num=51271
ставлю свое одобрение.
А я кладу свой... гхм.. В общем пофиг на такое незначительное изменение.
Туда им и дорога!
Прощайте продавцы воздуха!
На сколько я понимаю, они не воздух продавали, а услугу "документы проверены: верно", хоть и по заоблачным ценам.И ни один из фишинговых сайтов не будет тратить на это деньги, т.к. их банят пачками в момент регистрации плюс-минус сутки.
... Но по факту - толку никакого
ок
ну вот одним решением похронили twate, comodo, geotrus и другие компании, которые живут на продаже этих зеленых плашечках
> будет прекращена маркировка сертификатов
> похронили twate, comodo, geotrus и другие компании, которые живут на продаже этих зеленых плашечкахСертификат безопасности и его маркировка в браузере, ну как бы, не совсем тоже самое.
А кому он теперь будет нужен, если пользователь не увидит разницу?
Не увидит, если не кликнит по значку. Кому надо тот кликнит. У вас с этим проблемы?
> кликнитЗнаю знаю, правильно "кликнЕт". Не придирайтесь. )
От слова «Клика (группа людей) — шайка, банда, компания или сообщество людей»?
> Не увидит, если не кликнит по значку. Кому надо тот кликнит. У
> вас с этим проблемы?Почему вас так беспокоят мои проблемы? Обрадую вас - у меня проблем с этим нет.
Что не отменяет факт того что на этот значок кликают сотые доли процентов, а значит для большинства пользователей наличие или отсутствие EV-сертификата будет выглядеть одинаково и следовательно особого смысла тратиться на них у компаний не будет.
> Кому надо тот кликнит. У вас с этим проблемы?
> Почему вас так беспокоят мои проблемы?Где вы прочитали о моем беспокойстве относительно ваших проблем?
> Что не отменяет факт того что на этот значок кликают сотые доли процентов,Мне о таком "факте" ничего неизвестно. Можно на пруф глянуть?
У своей бабушки спроси как часто она кликает "на этот значок".
И до этих изменений для большинства пользователей это выглядит одинаково. Им пофиг. Деньги тратили владельцы сайтов, которые думали что пользователи обращают на это внимание. И уже много лет EV умирают, и от пропажи видимости в браузерах, и от осознания бесполезности и слоупочности обновления сертификатов. И те кто продвигали нужность EV, сами использовали DV, лол. https://www.troyhunt.com/extended-validation-certificates-ar.../
> Which brings me to the second point: certificate renewal should be automated and that's something that you simply can't do once identity verification is required. DV is easy and indeed automation is a cornerstone of Let's Encrypt which is a really important attribute of it. I recently spent some time with the development team in a major European bank and they were seriously considering ditching EV for precisely this reason. Actually, it was more than that reason alone, it was also the risk presented if they needed to quickly get themselves a new cert (i.e. due to key compromise) as the hurdles you have jump over are so much higher for EV than they are DV. Plus, long-lived certs actually create other risks due to the fact that revocation is broken so iterating quickly (for example, Let's Encrypt certs last for 3 months) is a virtue. Certs lasting for 2 years is not a virtue, unless you're coming from the perspective of being able to cash in on them...
> И те кто продвигали нужность EV, сами использовали DVможет потому, что хорошо понимали, из какой кассы им сегодня платят?
> Actually, it was more than that reason alone, it was also the risk presented if they needed to
> quickly get themselves a new certвранье. Выпуск сертификата не имеет ни малейшего отношения к процедуре верификации, можно хоть каждый день его перевыпускать. "major European bank" не может найти CA, который такое делает?
Отдельный вопрос - если у вас случился key compromise, надо не сертификат перевыпускать срочно-срочно, а срочно-срочно блокировать существующий хотя бы средствами ocsp, раз гугль запретил нормальные списки. Отключать систему и оформлять бумаги на банкротство.
Вы ключ прое...ли, ди6илы! Вы что при этом ЕЩЕ не про...ли? У вас возможно вся сеть и вся инфраструктура скомпроментированы, какой нахрен "быстрый перевыпуск" и заметание крошек под ковер?!
> Plus, long-lived certs actually create other risks
вранье. Риски создает именно одноразовый серт с одноразовыми ключами, создаваемый по левому чиху кривого невменяемого скрипта (написанного одноразовыми макаками), лезущего в систему по команде внешних сервисов. Причем тут уже не один и не два риска, и для пользователей, и для самой конторы.
Вот и спрашивается - зачем этот "эксперт" врет?
> можно хоть каждый день его перевыпускать. "major European bank" не может найти CA, который такое делает?Крупный евробанк не умеет спешно перевыпущенный сертификат так же быстро менять. Вот, недавно один CA из-за бага EJBCA менял всем сертификаты и всё никак не мог отозвать свой старый, потому что, среди прочего, что государственный Bank of Italy, что приватный Unicredit S.p.A. всё никак не могли успеть провернуть свои бюрократические жернова и найти все подвалы с забытыми серверами: https://bugzilla.mozilla.org/show_bug.cgi?id=1534295
> Крупный евробанк не умеет спешно перевыпущенный сертификат так же быстро менять.охотно верю (и рад бы чтобы так у всех) - потому что не менять надо, а паниковать.
Но икшепрет-то врет нам что якобы у банка праблема-праблема что его нельзя мгновенно перевыпустить.вот и спрашивается - зачем он врет?
узнал автора по манере общаться.
Если эта маркировка не будет отображаться ни в одном браузере или чтобы её увидеть нужно будет сделать 10 неочевидных движений можно считать что её и нет вовсе. А если её нет - зачем платить?
Comodo же уже всё... Не живут этим давно
Наоборт. Раньше платили за зелёный значок, теперь будут платить за то, чтобы не было красного. Второе, вообще, больше стимула даёт.
заблуждение, замешательство, недоверие...
это вообще что?
так непонятно, как же империя "добра" будет бороться с "accounts.google.com.amp.tinyurl.com"
и да, самоподписным серитфикатам вообще доверия нет
мы и не собирались. Мы собирались подменять домен в поле url, если ты не в курсе.
А я пользовался.Например, когда на сайт банка заходишь, то сразу видно что это твой банк, а не хрен с горы, который скопипастил гуй банка и сгенерировал свой сертификат для домена, который похож на банковский.
Хотя, согласен, что для 99% сайтов это не нужно.
Таки не одобряю. 85% пользователей интернета не умеют в интернет, это я и без исследований мог сказать. А вот убирать полезную информацию потому что пользователи не понимают как её использовать - не дело. Образование нас должно спасти, а не заметание непонятностей под ковёр.
История человечества вроде бы ясно дает понять что пора бы на роль образования какие-то альтернативы рассматривать уже.
Только вот на массовый гипноз массы не согласны, к сожалению.
как то есть не согласны?
Ну если по телеку вещать "стань нормальным человеком", то все будут пролистывать мимо. А вот на "заряжай банку с водой от телевизора" массы ведутся. Только вот пользы человечеству от этого никакой )
> Ну если по телеку вещать "стань нормальным человеком", то все будут пролистывать
> мимо. А вот на "заряжай банку с водой от телевизора" массы
> ведутся. Только вот пользы человечеству от этого никакой )а если вещать по телеку "для того чтоб похудеть к лету надо всего лишь переводить через дорогу трёх бабушек в день" ?
Сделали бы в браузере набор профилей с дефолтными настройками "новичек, опытный, эксперт, нефиг, нафиг, пофиг, и т.д." А то один год пилят излишества, потом их героически упрощают, отталкиваясь от поведения стада...
Представил себе прохождение браузера на уровне "Nightmare!"
Это где ты закрываешь попап-баннеры а они респавнятся каждые 10 секунд?) причем в рандомной из открытых вкладок?
Товарищ Артифишел Интеледженс сказал под ковер, значит - под ковер. Привыкайте... Скоро не только в интернете решения будут применятся автоматом базируясь на статистике поведения большинства (sheepple).
это не артифиш, это менеджер гугля, вполне из кожи и костей, и с вполне понятной целью.Ссылки на "86%" - обычная попытка слегка смазать зонд, чтоб лучше входил.
Вопреки заплюсованному мнению, я считаю, что если эта дополнительная информация есть, то её стоит отобразить наглядно. Хоть небольшая защита от ряда атак.
Никакой защиты от EV нет. Ты сам-то заметишь, зайдя на гитхаб, что плашка EV отсутствует и тебя митмят валидным DV сертификатом? Даже если заметишь, куки твои уже улетели, js исполнился. А большинство пользователей не заметят, потому что top10 сайтов алексы сидят на DV, даже банки уже отказываются от EV.
В github может и не обращу внимание, но в банке абсолютно точно. JS исполнился? А что уже это стало опасным?
єто всегда было опасным!
> 85% пользователей не остановило от ввода учётных данных наличие в адресной строке URL "accounts.google.com.amp.tinyurl.com" вместо "accounts.google.com"То есть мы сначала делаем авторизацию через 10 редиректов на разные непонятные домены, затем раз в 3 месяца меняем список этих доменов и последовательность редиректов, а потом удивляемся, что пользователи не обращают на это внимание? Обращали бы - перестали бы пользоваться сервисами гугла с момента перевода авторизации в почте с gmail.com на accounts.google.com. У гугла проблемы с... что там у них вместо головы используется?
у гугля нет с этим никаких проблем. Они старательно приводят к ситуации, когда адресная строка вообще будет содержать любую чепуху кроме адреса и никто на это внимания обращать не будет.
> у гугля нет с этим никаких проблем. Они старательно приводят к ситуации,
> когда адресная строка вообще будет содержать любую чепуху кроме адреса и
> никто на это внимания обращать не будет.они так готовят народ к мешсетям и онионсайтам у которых толковых адресов не бывает? или вообще к ipfs-документам у которых и сервера то нет?
Я сам эту громадную строку прятал через userchrome.css начиная с самых ранних версий Firefox. Наконец до них дошло что эта огроменная строка с названием компании только зря место на экране занимает. Пользователю достаточно посмотреть на домен в адресной строке, чтобы убедиться, что он находится там где ожидает.
Ничего, и с доменом в адресной строке уже стараются бороться: иные гейские GUI браузеров выводят вместо URL то домен (что иногда удобнее, но часть инфы скрывает), то название сайта (что вообще шикарно для фишинга: указываешь в title строку вида "https://gmail.com" - и профит сам прилетает!
Домен нынче может содержать национальный символ, очень похожий на латинский и ФСЁ (есть опция сделать показ в punnycode)! EV хотя бы от этого защищает.
EV от этого не защищает. Защитит network.IDN_show_punycode.
EV от этого прекрасно защищает. Но ты думаешь что это просто зелененькая полоска, и не дал себе труда изучить как это работает и что означает.Вот за счет таких гугль и делает что хочет.
> Защитит network.IDN_show_punycode.
это чтоб ты вообще не мог отличить один домен от другого?
Таки не защищает. Потому что на него никто не смотрит. А пуникод - отлично показывает, где нормалтные домены латиницей, где - какой-то шлак.
> А пуникод - отлично показывает, где нормалтные домены латиницей, где - какой-то шлак.ну если дальше опеннета не ходить, то да, конечно.
А если банально заплатить за электричество с этим их лэкрф или как там оно?
Понятия не имею, за пределами России оно, видать, нафиг никому не нужно. Что-то около десятка в год этой чуши попадается и ничего хоть отдалённо важного.
> Понятия не имею, за пределами России оно, видать, нафиг никому не нужно.какие языки ты знаешь на уровне воспользоваться сайтом для отслеживания посылки? Дай угадаю - английский, командный и матерный.
Поэтому они тебе и "не попадаются".
> Таки не защищает. Потому что на него никто не смотрит.я смотрю. Точнее, не смотрю, но замечу что строка не такая как обычно.
В устаревшем ненужном браузере, разумеется - в строке мурзилы или хромога заметить ничего нельзя, там и урл-то не виден, все переливается, мигает и светится - что угодно, кроме нужной информации.Теперь вон там, оказывается, еще zoom level зачем-то показывается. А то вдруг я потеряю ценнейшую информацию что он 110, а не, к примеру, 120!
Ну, если разрабатывать с ориентацией на тебя - то основная масса пользователей сбежит в ужасе. А так ты сбежал на "устаревший". Я, впрочем, тоже, хоть и по другим причинам.
> Ну, если разрабатывать с ориентацией на тебяможно - просто на вменяемых. Невменяемых все равно победить невозможно, пора уже это и усвоить.
Universe always wins
> - то основная масса пользователейосновная масса пользователей не умеет синее от зеленого отличить? А можно у них хотя бы водительские права тогда отобрать?
> сбежит в ужасе. А так ты сбежал на "устаревший". Я, впрочем,
я особо никуда не сбежал - сбежишь тут, когда ни один сайт нормально не работает, три раза
нет не защищает! потому что EV сертификат от обычного отличается всего парой флагов влюченых и сертификат и подписаных УЦ, все! А если УЦ дыряв (как уже бывало неоднократно) то получить неограниченное количество EV сертификатов дело техники.
> нет не защищает! потому что EV сертификат от обычного отличается всего парой
> флагов влюченых и сертификат и подписаных УЦ, все! А если УЦ
> дыряв (как уже бывало неоднократно) то получить неограниченное количество EV сертификатов
> дело техники.и как, техник, много у тебя лично уже EV сертификатов?
вот и я так думаю что ноль.
> нет не защищает! потому что EV сертификат от обычного отличается всего парой
> флагов влюченых и сертификат и подписаных УЦ, все! А если УЦ
> дыряв (как уже бывало неоднократно) то получить неограниченное количество EV сертификатов
> дело техники.а как часто тебя ногами пиз9ят? кто ж спорит что при наличии ломика многое перестаёт быть проблемой
1. Я про пунникод написал
2. Ну получи EV на такой домен, посмотрим.
Всего-то надо перевести в шестнадцатиричный вид и убедиться, что ни одна из букв не является буквой национального алфавита. Фигня вопросhttps://www.opennet.ru/
http://www.оpennet.ru/
http://www.оpеnnеt.ru/
Разве в доменах можно смешивать латиницу и кириллицу?
Не надо, если там хоть одна не латинская буква, то браузер пишет вместо адреса xn-кучафигни.
казах посередине аплодирует стоя
это ненадолго. Мурзила уже выводит предупреждения что "certificate issuer not recognized by mozilla" для по всем правилам добавленного в стор локального CA, пока - серым на сером и только если знать, куда посмотреть, но это - ненадолго.
Как только корпорация добра заметит, что казах не хочет ей платить, а хочет взять бесплатно - начнет вылезать огромная красная страница, полная неведомой фигни и без кнопки "продолжить".
ну и что, у кого-то еще есть сомнения, на чьи денежки гуляет летсшиткрипт и кто старательно уничтожает любую альтернативу?И описание просто великолепно - "информация занимает слишком много места в адресной строке" - это вот в той самой, где у нас трудами того же гугля либо фейковый домен, либо непонятный огрызок настоящего, протокол пользователю знать не надо и вообще ничего ему знать не надо - но надо очень, очень поберечь место в адресной строке - вот для этих вот, да, феноменально тyпых, которые синее от зеленого не отличают.
но вы продолжайте аплодировать, конечно, ведь корпорация добра и миллиарды леммингов can't be wrong.
P.S. imho, настал момент для выпиливания летсшиткрипты из всех своих поделок, даже совсем малонужных. Раз гугль ее ТАК пихает - значит, она таки поставляет ему нужный и полезный поток данных пользователей.
Как ты себе представляешь показ EV плашки, протокол и домен с url в мобильном браузере? В две строки? А url в третьей строке?
Более половины посещений веба - мобилки, дальше только увеличение мобилок и уменьшение десктопа. Не видно на мобилках - не видно в более чем половине случаев. Значит полезность уже хромает. Добавляешь сюда то, что юзерам безразлично, есть ли у условного гитхаба EV плашка, или там просто DV замочек, и получаем полную бесполезность этой вещи. За которую кто-то все еще платит, хотя и меньше дураков становится. https://www.troyhunt.com/extended-validation-certificates-ar.../
Если кто-то хочет платить за воздух, продолжайте убеждать себя, что юзеры обращают на это внимание и кликнут на замочек, чтобы посмотреть организацию, и платите как прежде. А остальным не обязательно смотреть на этот бесполезный кусок в браузере, мешающий видеть больше символов url на 1024x768 мониторе или в окне браузера не на весь экран.Корпорация добра и миллиарды конечно могут быть неправы. Потому что первые - корпорация, их цель - прибыль. А вторые - глупы. Но EV плашка от этого не становится нужной. Если в гугле любят кофе, не значит что кофе это плохо.
И альтернативы LE не нужны. Зачем всякие комоды и ноунеймы? Чтобы плодить точки отказа, когда любой из сотен CA может выпустить валидный сертификат на твой домен? Ты же видел список контор, которым по дефолту доверят твой и твоих юзеров браузер? А контроль и так не в их руках был, не тешься иллюзиями. От того что будет только LE - никаких новых минусов не появится. Останутся старые минусы, которые есть и сейчас. Но парочка из минусов исчезнет. Зачем ты за них держишься?
И почему ты собрался сбегать на всякие другие CA? Всё равно LE способен выпустить валидный сертификат на твой домен, лол. Ты никак себя не обезопасишь тем, что не будешь использовать LE. И OCSP-сервер твоего CA сольет данные твоих юзеров третьим лицам (большинство из них вообще с гуглхрома заходят, да?). Твои страхи и действия иррациональны и не приносят пользы. Выпей таблетки.
> Как ты себе представляешь показ EV плашки, протокол и домен с url
> в мобильном браузере?где в новости хоть строчка о твоей любимой секс-игрушке?
> Более половины посещений веба - мобилки, дальше только увеличение мобилок и
их совсем не жалко - их в любом случае поимеют, не так так этак. Не вижу зачем им вообще какая-то там адресная строка - "серя, покажи котиков!". Правда, что мешало доносить эту информацию иными путями (хоть рамку отрисовать другим цветом) - кроме идиотизма разработчиков, не знаю.
Но речь, если ты со своей мобилкой пропустил строчку - о вполне себе десктопных версиях.
А на мобилках браузер используется только для одного - открыть гуглоогрызкостор и "установить приложению". Причем скоро уже повсеместно и намертво, и никаким другим образом новые чудо-сайты на мобиле открываться не будут.
> Если кто-то хочет платить за воздух, продолжайте убеждать себя, что юзеры обращают
мальчик, ты - идиот.
_Я_ обращаю внимание, а на твоих тyпорылых юзеров мне наcpaть с верхней полочи (и что характерно - гуглю тоже, он вовсе не ради их безопастносте старается). И _мне_ важно было иметь эту возможность, а не дать тебе сэкономить три копейки на EV.> И альтернативы LE не нужны. Зачем всякие комоды и ноунеймы? Чтобы плодить
затем что я не хочу сливать всю информацию о себе, доходит?
Более того, я и своих пользователей подставлять не хочу.
> точки отказа, когда любой из сотен CA может выпустить валидный сертификат
доо-дооо, вот летсшиткрипта-то непогрешима. Она-то точно такого не сделает.
(и протоколы у нее, конечно же, неуязвимы-неуязвимы. А что их разок почти поймали на том же, на чем startssl - это уже и гугль не помнит - видимо, старательно помогали забыть)> на твой домен? Ты же видел список контор, которым по дефолту
> доверят твой и твоих юзеров браузер? А контроль и так неи? Это повод слить все в одну?
> в их руках был, не тешься иллюзиями. От того что будет
> только LE - никаких новых минусов не появится. Останутся старые минусы,повторяю: для меня минусов три: слитие данных о моих пользователях помойной конторе, исполнение кривого рукожопого кода на моем сервере с правами, которых у кода быть вообще не должно, они должны быть только у людей очень ограниченного круга, и до кучи - невозможность хотя бы для доверенных сайтов зафиксировать сертификат, а не идиотский "CA".
> которые есть и сейчас. Но парочка из минусов исчезнет. Зачем ты
я не вижу ни одного минуса, который исчезнет. Кроме твоего желания сэкономить три копейки и дерьма хапнуть побольше, побольше, зато на халяву.
> И почему ты собрался сбегать на всякие другие CA? Всё равно LE
LE не будет выпускать сертификат на мой домен. У них совершенно другой способ все обо мне знать и о моих пользователях тоже.
> не обезопасишь тем, что не будешь использовать LE. И OCSP-сервер твоего
> CA сольет данные твоих юзеров третьим лицам (большинство из них вообщепока этих CA было много - у третьих лиц кошель бы треснул за каждым гоняться. Но вот очень скоро их останется ровно один, остальные - доступны только правительственным организациям и транснациональным операторам связи.
> с гуглхрома заходят, да?). Твои страхи и действия иррациональны и не
ему техническую информацию - он мне "страхи иррациональны". Иди проспись.
> затем что я не хочу сливать всю информацию о себе, доходит?
> Более того, я и своих пользователей подставлять не хочу.
> LE не будет выпускать сертификат на мой домен. У них совершенно другой способ все обо мне знать и о моих пользователях тоже.
> и протоколы у нее, конечно же, неуязвимы-неуязвимы. А что их разок почти поймали на том же, на чем startssl - это уже и гугль не помнит - видимо, старательно помогали забытьНапомни, пожалуйста, о чём ты?
*мимопроходил*
>> и протоколы у нее, конечно же, неуязвимы-неуязвимы. А что их разок почти поймали на том же, на
>> чем startssl - это уже и гугль не помнит - видимо, старательно помогали забыть
> Напомни, пожалуйста, о чём ты?манипуляция субдоменами иногда давала интересные возможности перехватить корневой - чисто теоретические, поскольку если ты даешь пользователю свободно создавать субдомены - тебя и так поимеют. Ну и acmev1 не просто так стараются выпилить как можно быстрее, ага.
> показ EV плашки, протокол и домен с url в мобильном браузере?А новость только про мобильный браузер?
Или в лучших традициях веб 3.0 сделаем сначала под мобильный, а потом просто размеры элементов и шрифтов растянем до размера десктопного монитора, так что 44 шрифтом действительно кроме домена ничего не поместится?
> Как ты себе представляешь показ EV плашки, протокол и домен с url
> в мобильном браузере?вот кстати имя из EV-серта показывать вместо домена смысл имеет (имхо)
Let's Encrypt гуляет на деньги Google, Mozilla и целого ряда других организаций. Список на главной странице их официального сайта (внезапно). Хорошее дело же делают. Всё идёт к тому, что сертификат будет, грубу говоря, идти бесплатной добавкой к домену. И это гораздо лучше чем было раньше, когда большая часть трафика шла по голому HTTP, и всякие там нечистоплотные провайдеры засовывали в него свои ручонки, добавляя свою рекламу и т.д.
> Всё идёт к тому, что анальный зонд для всех посетителей твоего сайта будет, грубу
> говоря, идти бесплатной добавкой к домену. И это гораздо лучше чем было раньше,ведь ты любишь гoвна с лопаты полным хлебальником - лишь бы на халяву.
P.S. чуть подправил, не благодари
> Всё идёт к тому, что сертификат будет, грубу говоря, идти бесплатной добавкой к домену.И если сейчас я могу отличить сертификат-бесплатную добавку к домену от сертификата, при выдаче которого были проверены юридические документы организации, то всё идёт к тому, что скоро проверить этого я не смогу.
Вы в курсе, что ssl-сертификаты нужны не только вашему персональному бложику для демонстрации вашего профессионализма и продвинутости в области IT (того можно и Let's Encrypt-ом достичь или вообще самоподписанным сертификатом), но и серьёзным компаниям и банкам, чтобы у клиента реальные данные не увели?
> И если сейчас я могу отличить сертификат-бесплатную добавку к домену от сертификата,
> при выдаче которого были проверены юридические документы организации, то всё идёт
> к тому, что скоро проверить этого я не смогу.все идет к тому, что ты его скоро получить не сможешь - не у кого будет.
Именно ради очередной атаки на уцелевшие каким-то чудом еще неподконтрольные консорциуму гуглезилы CA и затевалось.
> (того можно и Let's Encrypt-ом достичь или вообще самоподписанным сертификатом
самоподписанные, полагаю, скоро вообще запретят - ну или оставят копр...вотэтимсамым версиям с настройкой только политиками.
Я, кстати, неуютно себя чувствовал, выкладывая сертификат своего наколеночного CA - я-то себе верю как самому себе, а вот пользователь становится враз зависим от надежности моего домашнего наколенного хранилища ключей.
Теперь уже не парюсь - его все равно поимеют, и без моей помощи.
Выдать чтоль самому себе ev?
Была уже такая история, со скрытием протокрла.На последнех фаерфоксе, что в хр работает.
Теперь зайдя на сайт банка будет непонятно правильный это сайт или кто?
Молодцы.
Смотрите на домен. Только он показывает где вы, а не имя организации, на которую зареган сертификат.
https://www.sberbank.ru/
https://www.sbеrbank.ru/
https://www.sbеrbаnk.ru/
Два других приведённых вами домена не показываются в том виде как вы их привели. Браузер их показывает в виде xn-- (проверил в Firefox и Chrome). Подмена очевидна.
домен показывает только куда вы хотели попасть - отвечать может совсем другой хост, ip которого вам подсунули в днс.
Четыре восьмёрки и нет проблем.
"уровень экспертов опеннета", ага
Но если злоумышленник подменит ответ от DNS, он всё равно на своём сервере не сможет дать вам нормальный ответ по https с нормально подписанным сертификатом. Domain Validation вы не пройдёте.
Весь этот EV-phishing - это фигня полная. EV сделано для одного - держать получателя сертификата за яйца. Начал фишить - будешь в тюрьме сидеть. Это просто увеличение стоимости атаки при незначительном увеличении стоимости для организаций, которых и так держат за яйца, которые не будут фишить и которые и рады, что их держат за яйца, потому что в суде с клиентом, которых у них очень много, а значит даже незначительный процент фрода будет ощутимой нагрузкой на юротдел, то, что организацию держат за яйца, будет аргументом в пользу организации, что немного снизит нагрузку на юротдел.
>EV сделано для одного - держать получателя сертификата за яйца. Начал фишить - будешь в тюрьме сидетьНикто не мешает получить ООО "МикроСофт" зареганному на бомжа получить на островах сертификат для *.microsoft.com
EV сделано для одного - понтоваться перед пацанами с корочками МБА. Как в том анекдоте про покупку не лохом галстука за углом.
>зареганному на бомжаУ бомжа адреса нет квартиры (документы о владении которой проверят). Бомжу покупать квартиру дороговато выйдет для фирмы-однодневки-фишера. Не окупится. На то и расчёт. Да и в банк бомжей охрана не пустит. И сам он не пойдёт ни за какие деньги, речь ведь о бомже, они обычно идейные (вернее саморационализовались так и упёрлись, ведь иначе всё житиё на помойке зря). См. интервью с программистом-бомжом Лео Грандом.
чего это зря? На импортных помойках жить в общем-то неплохо. И никакого тебе хождения в офис к 8:15 "но вообще-то у нас принято приходить на 30 минут пораньше".
Для EV сертификата это не требуется. Нужен несложный пакет документов, который не дорого приготовить у гибкого в принципах юридического консультанта. гугли "ооо под ключ"
> гугли "ооо под ключ"у них названия тоже "под ключ".
Как зарегистрируешь ооо с юникод-символом похожим на букву - приходи, расскажешь, почем брал.
>> гугли "ооо под ключ"
> у них названия тоже "под ключ".Это не ИП. Название будет то, какое закажешь.
> Как зарегистрируешь ооо с юникод-символом похожим на букву - приходи, расскажешь, почем
> брал.Регистрация домена с "юникод-символом похожим на букву" никак не связана (не ограничена) названием ООО. Вообще никак.
> Регистрация домена с "юникод-символом похожим на букву" никак не связана (не ограничена)
> названием ООО. Вообще никак.в зелененькой хрени (там где она еще осталась) будет - название ООО, а не твой домен.
Верно.
Название ООО.
Латиницей.
Согласно правил транслитерции.
Так, как оно закреплено в "уставе" ООО.И у нас есть выбор этих правил:
ГОСТ СССР 16876-71#1
ГОСТ СССР 16876-71#2
Рекомендации Института Языкознания АН СССР
Нормы библиотеки конгресса США
Нормы библиотеки Принстонского Университета
Стандарт ISO 9-1995
Traveller's Yellow Pages regulations
Board of Geographic Names regulations
Стандарт ISO R9-1968
Правила транскрибирования ОВИР СССР
Правила транскрибирования ОВИР России
> Название ООО.
> Латиницей.ну и ? На google inc ни разу не будет похоже.
> И у нас есть выбор этих правил:
"как оно автоматически заполнится, так у вас и будет!" (c)паспортистка
>> Название ООО.
>> Латиницей.
> ну и ? На google inc ни разу не будет похоже.Тебе осталось только
1) закрыть локальные дочки ггула, как то google ag, ooo Гугл, google s.a., google srl и другие.
2) запретить гуглу менять форму собственности и заводить "дочек".
3) довести то _каждого_ из 7 миллиардов жителей планеты что гугл называется именно google inc, а не google int.>> И у нас есть выбор этих правил:
> "как оно автоматически заполнится, так у вас и будет!" (c)паспортисткаНазвание на иностранном языке не обязательно и устанавливается приказом директора, в той форме и как хочет учредитель организации.
По поводу написания ФИО с паспортисткой и банком можно (и часто нужно) поругаться. _Ты_ решаешь как правильно.
> 1) закрыть локальные дочки ггула, как то google ag, ooo Гугл, googleони ими когда-либо подписывали сертификаты? Вот и мне кажется, что разьве что какие для сугубо внутренних целей.
> именно google inc, а не google int.
в общем, ООО google int в студию! ;-) Потом пойдем получать EV. Между прочими интересными делами, такое ООО еще много для чего пригодно.
> По поводу написания ФИО с паспортисткой и банком можно (и часто нужно)
у меня не получилось. "конечно, вы можете написать заявление, но рассматривать его я обязана по вот этим правилам".
>они ими когда-либо подписывали сертификаты?Подписывали, пока не стали сами СА
>в общем, ООО google int в студию! ;-)
Сразу после goiogle inc, так то они Google LLC
>у меня не получилось. "конечно, вы можете написать заявление, но рассматривать его я обязана по вот этим правилам".
Если я напишу заявление, рассматривать его будет не она.
почему до сих пор не сделали штуку как в onion-адресах?
типа что домен - это то ли хэш, то ли часть публичного ключа (не помню, как это работает)
тогда ведь PKI вообще будет не нужен
Адреса страшные получаются, такие всех клиентов отпугнут.
Ахаха, вот это кидок. Стригли-стригли за EV, и вдруг - опаньки. Есть подозрение, что доходы удостоверяющих центров рухнут в разы - смысл компаниям брать EV теперь?
не "стригли", а предоставляли вполне себе понятные (нотариальные, заметим, и по нотариальным правилам) услуги тем, кому они требовались. С тебя ничего не настрижешь, твоя лобковая шерсть не ценится.> Есть подозрение, что доходы удостоверяющих центров рухнут в разы
есть подозрение, что сами центры рухнут - и останется один подконтрольный гуглю. И что ради этого все и затеяно.
Замечу, что EV продавали (и продают) по совершенно непонятным ценам.
чего непонятного-то - к нотариусу еще ни разу не было повода обращаться?
Сходи - узнаешь много нового.А это именно нотариальная услуга - достопочтенный свидетель формально заявляет, что видел твои бумаги и по всем известным ему общепринятым параметрам - подлинные, и принадлежат именно тебе.
У него там, если что, немаленькая денежная ответcтвенность предусмотрена для случая, когда он подпишется не под той бумажкой.
Ну и цены эти неприятны только для частников (которым один фиг не светит), для корпоративного клиента такая разовая затрата не слишком ужасна - если ему понадобились услуги такого рода, там на кону стоит на много порядков большая сумма.
Вон даже у гитхаба нашлось (задолго до продажи).
> чего непонятного-то - к нотариусу еще ни разу не было повода обращаться?
> Сходи - узнаешь много нового.Ходил. Цены были адекватными.
И раньше смысла не было для большинства.
https://www.troyhunt.com/extended-validation-certificates-ar.../
https://scotthelme.co.uk/are-ev-certificates-worth-the-paper...
Примечательно, что из примеров второй статьи только у пейпела на данный момент остался EV.