https://ns.opennet.dev/openforum/vsluhforumID3/87106.html Исследователи безопасности из университета Беркли объявили (http://lists.randombit.net/pipermail/cryptography/2012-November/003431.html) о создании некоммерческого сообщества ICSI Certificate Notary (http://notary.icsi.berkeley.edu), которое будет поддерживать единую базу с информацией о валидности SSL-сертификатов. Созданный сервис проверки сертификатов является попыткой решения ключевой архитектурной проблемы процесса сертификации - при компрометации одного из сотен центров сертификации, рушится (http://www.opennet.ru/opennews/art.shtml?num=33127) вся цепочка доверия (злоумышленники могут сгенерировать сертификат для любого сайта (http://www.opennet.ru/opennews/art.shtml?num=31678), который будет воспринят всей системой как корректный). ICSI Certificate Notary позволяет выявлять такие обманные сертификаты на ранней стадии их появления.<br><br><br><br>На основе проведённой в течение года автоматизированной проверки, охватившей статистику по примерно 7.6 миллиардов SSL-соединений от 220 тысяч пользователей, собраны д https://ns.opennet.dev/openforum/vsluhforumID3/87106.html#47 Wed, 07 Nov 2012 07:44:02 GMT Весьма неплохо звучит. <br> https://ns.opennet.dev/openforum/vsluhforumID3/87106.html#46 Tue, 06 Nov 2012 16:13:02 GMT А, например, OCSP, который Online Certificate Status Protocol и в фоксе по дефолту включен, вас не смущает?<br> https://ns.opennet.dev/openforum/vsluhforumID3/87106.html#45 Tue, 06 Nov 2012 13:59:17 GMT &gt; Да конечно, в Беркли дураки сидят. Только русский левша знает, как надо блоху подковать.<br><br>В беркли могут затупить не меньше чем где либо еще. <br> https://ns.opennet.dev/openforum/vsluhforumID3/87106.html#44 Tue, 06 Nov 2012 13:51:05 GMT &gt; валидности, так что никто ничего не узнает &#8212; запрос далеко не уйдёт. ;-) <br><br>Картонный щит + спайваре в комплекте...<br><br> https://ns.opennet.dev/openforum/vsluhforumID3/87106.html#43 Tue, 06 Nov 2012 13:21:14 GMT &gt; Да конечно, в Беркли дураки сидят. Только русский левша знает, как надо <br>&gt; блоху подковать.<br><br>да, судя по новости &#8212; конкретно эту вещь делали конкретные дураки. а со своими комплексами &#171;там они все умные, а я дурак&#187; попробуй к врачу сходить, что ли. хотя, может, ты просто правду о себе думаешь&#8230;<br> https://ns.opennet.dev/openforum/vsluhforumID3/87106.html#42 Tue, 06 Nov 2012 10:17:36 GMT &gt;&gt; А вы попробуйте сломать этот design.<br>&gt; Его и ломать не надо: для начала меня совершенно не устраивает что <br>&gt; какие-то левые перцы в курсе когда и куда я ходил. Чего <br>&gt; ради какой-то левый беркелей будет вообще знать о том когда я <br>&gt; заходил в онлайн банкинг??? Уху ели?!<br><br>А ведь и правда ...<br>Скорее всего ребята хотят срубить бабла ...<br> https://ns.opennet.dev/openforum/vsluhforumID3/87106.html#41 Tue, 06 Nov 2012 09:41:22 GMT Планету спасти не осилит, но одиозное раздолбайство удостоверяющих центров будет обнаруживать более оперативно. Осталось понять какая от этого получается польза, после краха голландцев с любым удостоверяющим центром, кроме личного, все равно работаешь на авось, на свой страх и риск. <br>Имхо но системы основанные на доверии при своем расширении неустойчивы и малопригодны принципе, они могут существовать только в малых группах при наличии возможностей перепроверки. Возможно ICSI может выступить в роли такой перепроверки. Но это сильно ограниченно ибо там, в самом низу, есть раздел называется Disclaimer и в нем, что называется, все существо дела и отражено :) .<br> https://ns.opennet.dev/openforum/vsluhforumID3/87106.html#40 Tue, 06 Nov 2012 09:17:29 GMT Да конечно, в Беркли дураки сидят. Только русский левша знает, как надо блоху подковать.<br> https://ns.opennet.dev/openforum/vsluhforumID3/87106.html#39 Tue, 06 Nov 2012 09:14:19 GMT Спокуха &#8212; тот кто может подсунуть тебе фейковый сертификат так же сможет положить в кеш локального сервера DNS и фейковую запись об его валидности, так что никто ничего не узнает &#8212; запрос далеко не уйдёт. ;-)<br>