https://www.opennet.ru/openforum/vsluhforumID3/138653.html Ассоциация CA/Browser Forum, выступающая площадкой для совместного принятия решений с учётом интересов производителей браузеров и удостоверяющих центров, утвердила новые требования к организациям, выдающим сертификаты для HTTPS. В новых требованиях объявлены устаревшими 11 методов проверки владения доменом, для которого выдаётся сертификат. Прекращение поддержки устаревших методов будет производиться поэтапно до марта 2028 года. В качестве причин прекращения поддержки отмечается фокусирование внимания на автоматически выполняемых и криптографически верифицируемых методах проверки...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64426<br> https://www.opennet.ru/openforum/vsluhforumID3/138653.html#149 Sun, 21 Dec 2025 15:31:03 GMT &gt; Интересно когда они начнут требовать установку скажем виндоус-дефендера на каждый сервер для еще лучшей верификации того, что получатель это "добропорядочный" ра... пользователь?<br><br>Крупные игроки не требуют, а ломают совместимость. При проприетарности сервисов типа Google Play, закрытии доступа к прошлым версиям. Форсируя обновления.<br><br>Но домашний пользователь не чувствует это. Изменения плавные. По мере привыкания всё будет. Это, скорее всего, годы.<br><br>Например, ты уже больше не можешь в последних Андроид пользоваться для навигации только спутниковыми данными. От тебя требуют интеграции с наземными радио вокруг. Потихоньку все перепишут софт под это. И станет привычным.<br><br>Столман-то прав, между прочим.<br> https://www.opennet.ru/openforum/vsluhforumID3/138653.html#148 Fri, 19 Dec 2025 19:44:39 GMT &gt; раз явное добавление self-signed в исключения не помогает, то и с флагом CA тоже не поможет.<br><br>а у вас в доверенных списках сертификаты с каким флагом лежат? CA по определению селфсайнед, который добавляется в список доверенных. А вебсерверу пофиг, что вам разрешено тем или иным сертификатом делать, то есть с флагом CA:true вебсервер спокойно будет работать.<br> https://www.opennet.ru/openforum/vsluhforumID3/138653.html#147 Fri, 19 Dec 2025 19:16:12 GMT &gt; А вебсерверу тупо дать сертификаты с флагом CA:true, и ничего городить не надо.<br><br>Ну попробовать можешь, но что-то мне подсказывает что раз явное добавление self-signed в исключения не помогает, то и с флагом CA тоже не поможет. Принесите ему подписанный каким-нибудь третьим ключом. И переподписывать раз в три дня не забудьте.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/138653.html#146 Fri, 19 Dec 2025 16:59:50 GMT &gt; небебебебезапастна!<br><br>эники беники ели вареники<br><br>&gt; это когда нет подписи вообще никакого CA.<br><br>подпись есть, вопрос в том чьим приватным ключем, и тут две ситуации селф-сайнеда - когда подписывается приватным ключем самой пары, то есть приватный ключ подписывает свой публичный ключ, и вторая ситуация - это CA, который есть такая же пара ключей, которая создана для подписания других публичных ключей (аля выдача сертификата - подписывания публичного ключа). И для того, чтобы ваш браузер принимал селф-сайнед сертификат без ворнингов, надо пихнуть публичный ключ от СA, либо сам публичный ключ того самого селфсайнед сертификата в список доверенных (он только должен содержать флаг CA:true? браузер может не принять).<br><br>&gt; Вместо нее подпись тем же самым открытым ключом что и собственно этот сертификат.<br><br>подписывает закрытый ключ! подписывают - публичный!<br><br>&gt; (корневой сертификат CA - всегда self-signed. Мы ему доверяем не из-за подписи, а потому что он вручную кем-то добавлен в волшебный списочек)<br><br>Отличие ли https://www.opennet.ru/openforum/vsluhforumID3/138653.html#145 Fri, 19 Dec 2025 14:59:40 GMT &gt; почему не работает? <br><br>небебебебезапастна!<br><br>&gt; А понятие селф-сайнед это что такое?<br><br>это когда нет подписи вообще никакого CA. Вместо нее подпись тем же самым открытым ключом что и собственно этот сертификат.<br>(корневой сертификат CA - всегда self-signed. Мы ему доверяем не из-за подписи, а потому что он вручную кем-то добавлен в волшебный списочек)<br><br>Т.е. тебе придется именно развернуть и поддерживать цельную инфраструктуру. Корпам-то сойдет, точнее, у них сто лет как есть. Останется к ней прикрутить автоматику и все ключи от всего без паролей под коврик положить (иначе автоматика работать и не может)<br><br> https://www.opennet.ru/openforum/vsluhforumID3/138653.html#144 Thu, 18 Dec 2025 13:40:22 GMT &gt; селфсайнед они УЖЕ запретили. (cors и что там еще - _принципиально_ не работает с self signed)<br><br>почему не работает? должен работать там же свой СA пихается в доверенные в любом случае.<br><br>&gt; Но не думаю что запретят собственные CA - как еще копро-рации будут проверять твой траффик на безопастность?<br><br>А понятие селф-сайнед это что такое? Это именно то о чем вы пишите. А запретить то хотели ведь.<br><br>&gt; Просто они тоже не смогут выдавать сертификаты сроком больше чем на неделю<br><br>Ну там уже захардкодят и все, тут ничего не поделаешь, если только не будете перекомпилять хром.<br> https://www.opennet.ru/openforum/vsluhforumID3/138653.html#143 Thu, 18 Dec 2025 11:50:14 GMT &gt; взаимно-заверяя сертификаты других людей<br><br>отлично, вы придумали схему PGP, то есть предлагаете Максиму созваниваться с каждым анонимом, чтобы он на ушко им диктовал фингерпринт своего сертификата от opennet.ru?<br><br>&gt; Проблема только сделать<br><br>Так в чем проблема - сделать "безопасТный" протокол без корня доверия? Ваша же изначальная цель была избавиться от него в TLS и сделать самоподписанные сертификаты. Ну что получилось? Нет, это будет работать в единичных случаях - "точка к точке", аля пиннинг.<br> https://www.opennet.ru/openforum/vsluhforumID3/138653.html#142 Thu, 18 Dec 2025 07:08:10 GMT &gt; Кажется "светлое будущее" заключается в том, чтобы спрашивать ключ симметричного шифрования <br>&gt; у корпорации при каждом соединении. И это будет ради безопасности, квантовые <br>&gt; компьютеры эти ваши RSA/DSA будут легко взламывать и безопасно лишь симметричное <br>&gt; шифрование. Поэтому идите в магазин, купите флешку с уникальным ключом для <br>&gt; доступа к серверам корпорации и радуйтесь безопасности, пока ключ не протух. <br><br>так это было бы надежно и эффективно. (если тебе не надо такой безопасности - ну и не покупай) Поэтому - не прокатит.<br><br>Даже если ты сам себе такую флэшку соорудишь (что как раз было бы правильно да и несложно - шифровать надо _канал_ а не прикладной протокол) для себя и друзей - все равно мы тебя заставим ставить на сервер однодневный сертификат шетшиткрыпты.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/138653.html#141 Thu, 18 Dec 2025 06:43:12 GMT селфсайнед они УЖЕ запретили. (cors и что там еще - _принципиально_ не работает с self signed)<br><br>Можешь вон, для практики, например - настроить пресловутый onlyoffice ровно по инструкции. <br>(не докер в докере под докером, а собственно сам onlyoffice _server_ поднять, и потом запустить их же тестовый код из документации)<br><br>Тебе даже "бессмысленную галиматью БОЛЬШИМИ БУКВАМИ полную неведомой херни" не покажут, просто пустое место. (и нет, без https тоже не заведется)<br><br>Но не думаю что запретят собственные CA - как еще копро-рации будут проверять твой траффик на безопастность?<br><br>Просто они тоже не смогут выдавать сертификаты сроком больше чем на неделю - и придется тебе с _двух_ сторон - на хосте и на сервере самого CA ставить васянские скрипты с полным доступом к закрытым ключам и к конфигурации веб-сервера.<br><br>