Email or username:

Password:

Forgot your password?
Alexey's posts Post Back to profile
Top-level
Umnik

@skobkin потому Франция выпускала корневые сертификаты, пока их Гугл за жопу не взял. И то он их спалил только потому что злая телеметрия Хрома настучала. А когда такое же будет делать США, то никто не стуканёт. @kurator88 @Mahury

25 Oct 2022 at 11:36 | Wall-to-wall | Open on lor.sh
13 comments
Mahury replied to Umnik

@umnik @skobkin @kurator88 то есть практика существует и на эту тему дёргаться ну не очень осмысленно.

25 Oct 2022 at 11:38 | Open on lor.sh
Alexey Skobkin replied to Mahury

@Mahury @umnik @kurator88
То есть есть случай с французами, есть случай с китайцами (WoSign, StartSSL). Оба случая нейтрализованы, выпущены пресс-релизы.

Ещё с британцами из Comodo был случай, ЕМНИП. Но там опять же, ЕМНИП, не было признаков злонамеренности и это было урегулировано без блеклиста CA - отзывом сертификатов.

25 Oct 2022 at 15:31 | Open on lor.sh
Umnik replied to Alexey

@skobkin
Просто это не те страны, которым эти можно. К тому же это случаи, которые известны. А сколько неизвестных провернули и проворачивают сейчас?
@Mahury @kurator88

25 Oct 2022 at 15:39 | Open on lor.sh
Alexey Skobkin replied to Umnik

@umnik @Mahury @kurator88
А сколько фарфоровых чайников вращается на орбите между Зёмлёй и Марсом вокруг Солнца?

Тут как с цитатой Черчилля про демократию. Ждём дальнейшего развития zero trust систем, а пока довольствуемся тем, что есть и сносно работает. По возможности противостоим тому чтобы эта система превращалась в фикцию.

Увидим пример что сертификат, которого не должно быть выпущен УЦ из США, есть признаки злонамеренности, но УЦ продолжает работу, а браузеры и производители ОС молчат - беспокоимся серьёзно.

Пока что репутация работает. Именно поэтому плохо если в системе появятся акторы, которым неважна их репутация.

@umnik @Mahury @kurator88
А сколько фарфоровых чайников вращается на орбите между Зёмлёй и Марсом вокруг Солнца?

Тут как с цитатой Черчилля про демократию. Ждём дальнейшего развития zero trust систем, а пока довольствуемся тем, что есть и сносно работает. По возможности противостоим тому чтобы эта система превращалась в фикцию.

25 Oct 2022 at 16:01 | Open on lor.sh
Umnik replied to Alexey

@skobkin да в смысле? Как ты увидишь то это? @Mahury @kurator88

25 Oct 2022 at 16:25 | Open on lor.sh
Alexey Skobkin replied to Umnik

@umnik @Mahury @kurator88
В смысле как?
Любой, кто достаточно мотивирован может сверять фингерпринт сертификата, а также смотреть кто его выпустил. Там же весь chain of trust виден.
Тут как с опенсорсом. Каждый пользователь не будет искать проблемы в ядре Linux, но некоторое количество людей, которым интересно делает выявление достаточно вероятным.

В случае не массовой, а таргетированной слежки вероятность снижается. Но тем не менее если человек за которым следят это обнаруживает - у него на руках цепочки с подписями кто кому что выписал.

@umnik @Mahury @kurator88
В смысле как?
Любой, кто достаточно мотивирован может сверять фингерпринт сертификата, а также смотреть кто его выпустил. Там же весь chain of trust виден.
Тут как с опенсорсом. Каждый пользователь не будет искать проблемы в ядре Linux, но некоторое количество людей, которым интересно делает выявление достаточно вероятным.

25 Oct 2022 at 17:25 | Open on lor.sh
Umnik replied to Alexey

@skobkin в том смысле "как", что ЦС какой надо страны выпишет сертифика для кого надо и никто слова против не скажет. И, я уверен, это используется очень часто. Французы спалились только на том, что разбирали трафик апдейтера Хрома. Не наглели бы на столько - кто знает, сколько бы они продолжали так делать.

@Mahury @kurator88

25 Oct 2022 at 17:29 | Open on lor.sh
Alexey Skobkin replied to Umnik

@umnik @Mahury @kurator88
Против этого существует certificate pinning, который тоже всё чаще применяется.
Что значительно повышает шанс обнаружения таких использований теми, "кому надо".

25 Oct 2022 at 17:35 | Open on lor.sh
Umnik replied to Alexey

@skobkin знаю. И это возвращает нас к тому, что что вообще плохого в том, что Россия пытается в цифровой суниверитет? Я вижу в нашем ЦС только хорошее и топлю за него.
Потому что зло делать с его помощью - уже делают, но только _нам_. А тут - возможность продолжать работать. @Mahury @kurator88

25 Oct 2022 at 17:37 | Open on lor.sh
Alexey Skobkin replied to Umnik

@umnik @Mahury @kurator88
Я ЗА то, чтобы в России (не "у") был УЦ.

При условии что он пройдёт такой же аудит как и другие УЦ и не будет обязан законом сливать ключи.

25 Oct 2022 at 17:39 | Open on lor.sh
Umnik replied to Alexey

@skobkin да ёб наворот. Лёш, я понимаю твоё эльфийское желание. Но давай будем честны сами с собой:
1. Прохождение или не прохождение будет чисто политической хуйнёй. Будет Россия по дешёвке продавать углеводороды и не пиздеть со своей шконки - будет проходить аттестацию. Начнёт залупаться - не будет проходить аттестацию
2. Францию я привёл в пример как страну из ЕС. Если бы не залезли в обновления Гугла, их бы и не спалили
3. Аттестацию не проходит серьёзно никто, потому что п.1. Франция не лишилась своего ЦС.

Я тоже испытываю некоторые опасения, добавив отечественный сертифика в свой браузер, но так, не слишком сильно. Как раз потому что HSTS preload list есть. И единственное, что было бы реально полезно - аддон для браузера, который бы мне светился индикатором желаемого цвета, когда детектирует триггерный сертификат. Зашёл на Госуслуги и увидел цвет - всё правильно, я этого ждал. Зашёл на лор.ш и увидел цвет - я этого не ждал, пишу жалобу.

Нахуй не нужна аттестация из-за того, что всё решается политикой. А вот аддон - нужен.
@Mahury @kurator88

@skobkin да ёб наворот. Лёш, я понимаю твоё эльфийское желание. Но давай будем честны сами с собой:
1. Прохождение или не прохождение будет чисто политической хуйнёй. Будет Россия по дешёвке продавать углеводороды и не пиздеть со своей шконки - будет проходить аттестацию. Начнёт залупаться - не будет проходить аттестацию
2. Францию я привёл в пример как страну из ЕС. Если бы не залезли в обновления Гугла, их бы и не спалили
3. Аттестацию не проходит серьёзно никто, потому что п.1. Франция не лишилась своего ЦС.

25 Oct 2022 at 17:47 | Open on lor.sh
Alexey Skobkin replied to Umnik

@umnik @Mahury @kurator88
Ну как бы это всё субъективщина. Не вижу смысла тебе в ответ нагружать подобного же.

А то, что ты не испытываешь особых опасений - это недостаточная для меня причина чтобы делать так же.

25 Oct 2022 at 18:10 | Open on lor.sh
Alexey Skobkin replied to Umnik
Go Up