В удостоверяющем центре SSL.com...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63116
Выпилил из списка доверенных, спасибо.
Вот даже интересно - выкинут их из централизованно обновляющихся списков CA или нет? Прям отличная проверка системы получится :).
Нет, конечно. Как будто в первый раз.Был уже Trustwave, который не стесняясь выдавал сертификат для mitm за копейку, и ничего. Извинились, сказали, что больше не будут, все им поверили на слово.
Это же проверенные центры сертификации, а не простой васян, им можно.
> Нет, конечно. Как будто в первый раз.
> Был уже Trustwave, который не стесняясь выдавал сертификат для mitm за копейку,
> и ничего. Извинились, сказали, что больше не будут, все им поверили
> на слово.
> Это же проверенные центры сертификации, а не простой васян, им можно.Ну, start.com с diginotar ажно обанкротились, anssi французский выпилили до устранения нарушений, потом вернули, китайцев вот еще каких-то окологосударственных выкинули из жужла с мурзилой помнится...
>China Financial Certification AuthorityВ списке.
>CNIC
Был в списке, пока я его вручную не удалил.
В юрисдикциях, где есть законы вроде https://en.wikipedia.org/wiki/National_Intelligence_Law_of_t... и/или где государство имеет прямой контроль за операционной деятельностью "частного" бизнеса через парткомитеты ил инфе вормы коррупции, вообще все организации должны автоматически считаться недостойными доверия. Не просто по какому-то формальному критерию, а потому что государство на то и государство, что оно может энфорсить свою волю порабощённому скоту на оккупированной им территории.
>>China Financial Certification Authority
> В списке.
>>CNIC
> Был в списке, пока я его вручную не удалил.Ну вот можешь MCS holdings поискать, ага.
> В юрисдикциях, где есть законы вроде https://en.wikipedia.org/wiki/National_Intelligence_Law_of_t...
> и/или где государство имеет прямой контроль за операционной деятельностью "частного" бизнеса
> через парткомитеты ил инфе вормы коррупции, вообще все организации должны автоматически
> считаться недостойными доверия. Не просто по какому-то формальному критерию, а потому
> что государство на то и государство, что оно может энфорсить свою
> волю порабощённому скоту на оккупированной им территории.Оу. Верующий в то, что где-то государство не имеет контроля за операционной деятельностью бизнеса? Доброе пожаловать в реальный мир, Нео - последние 15 лет были тяжелыми для этих убеждений...
>Оу. Верующий в то, что где-то государство не имеет контроля за операционной деятельностью бизнеса? Доброе пожаловать в реальный мир, Нео - последние 15 лет были тяжелыми для этих убеждений...Конечно же, везде имеет. Но где-то через коррупцию как она есть. А где-то в добавок через коррупцию институционализованную. Любая институционализация ставит крест на возможности "а может быть они хорошие, а мы их почём зря грязью поливаем!"
>>Оу. Верующий в то, что где-то государство не имеет контроля за операционной деятельностью бизнеса? Доброе пожаловать в реальный мир, Нео - последние 15 лет были тяжелыми для этих убеждений...
> Конечно же, везде имеет. Но где-то через коррупцию как она есть. А
> где-то в добавок через коррупцию институционализованную. Любая институционализация ставит
> крест на возможности "а может быть они хорошие, а мы их
> почём зря грязью поливаем!"В наше время не надо ни "коррупции" ни "институционализации" - достаточно просто сказать: "Вы не понимаете, ЭТО ДРУГОЕ!" - и вот уже священное право частной собственности не такое священное, права и свободы личности (не) относится к вполне определенным личностям (Достаточно в какую-нибудь базу на Кубе отвезти - и нету ни "свободы", ни "прав", да и "личности" может уже и не оказаться) - и главное - всем всё окнорм.
Но Китай, РАЗУМЕЕТСЯ - "Это другое!"
Китай - это действительно другое. В количественном плане, разумеется, не в качественном.
> Китай - это действительно другое. В количественном плане, разумеется, не в качественном.Вот, видите как просто? И не надо "коррупцию" с "законами" приплетать.
> через коррупцию институционализованную.Ага, ага. Называется "лоббизм". А ещё есть такая форма институционализованной коррупции - турне с публичными лекциями для отставных политиков и издание мемуаров. Или просто назначение на высокие посты человека, ещё вчера заседавшего в правлениях и советах директоров корпораций и имеющего неплохой портфель акций, которые он, конечно же, отдаёт в "слепой траст" стороннему управляющему.
>В юрисдикциях, где есть законы вроде https://en.wikipedia.org/wiki/National_Intelligence_Law_of_t... и/или где государство имеет прямой контроль за операционной деятельностью "частного" бизнеса через парткомитеты ил инфе вормы коррупции, вообще все организации должны автоматически считаться недостойными доверия.Это всё так, но даже без официального государственного контроля есть огромный стимул выдавальщику сертификатов поработать "налево" за хорошие деньги и хорошие условия (в том числе и от государства).
Есть структуры, которые too big to fail, тот же letsencrypt или globalsign. Никто не мешает им направо и налево выписывать левые сертификаты, и если это вскроется - максимум их пожурят, а они в ответ пообещают никогда так больше не делать. Потому-что удалить весь LE из браузера нельзя, весь интернет отвалится. Верить же в честность CA (и не только) в наше время могут только идеалисты.
Идея root CA родилась тогда, когда компьютерный мир был теснее, однороднее и проще.
Я уже сказал: справедливость роли не имеет. Коммерческие бизнесы - это участник азартной игры. Азартная игра - фундаментально несправедлива, как и реальность. Всегда будут победители и проигравшие. Если ты вступил в игру, максимум на что ты можешь рассчитывать - это на то, что кости будут сбалансированы, карты - не краплёные, а рулетка - не модифицирована. Это не гарантировано, это ты сам должен это обеспечивать, а не на милость крупье рассчитывать. Поэтому нужны жёсткие некоррупционные правила как вписывания в список, так и выписывания из него:
1. единственный случай компрометации - выписывание из списка
2. нахождения под юрисдикцией с институционализированной коррупцией и обязательным предательством, а равно с любыми другими законами, делающими невозможным соблюдение правил - выписывание из списка
3. принадлежность олигархам или государству - вон из списка
4. несоблюдение хоть одного из технических требований последней версии - вон из списка.А основание для вписывание: публично проверяемое соответствие всем требованиям, которые в принципе можно проверить публично. И проверяемое приватно соответствие остальным требованиям с публичной демонстрацией но с последующим закрытием, если это требуют бизнес-интересы. Аудиторы проверяют не сами соответствия требованиям, а что после закрытия прозрачности в скрытой от всеобщего обозрения части всё делается в принципе абсолютно точно так же как и когда она была открыта, только на реальных данных, людях и организациях.
Только для предлагаемой системы нужна некая самоуправляемая структура, та самая администрация казино, которая соблюдает свои принципы, и не зависит ни от кого. Чтобы список вести беспристрастно. В теории раньше так и предполагалось, только негласно.Но сейчас это невозможно, так как, во-первых, владельцы браузеров сами - зависимые от коммерции и властей структуры, а во-вторых - даже при наличии неких идейных CA-администраторов, они вылетят при первой попытке выгнать letsencrypt. Их структуру просто начнут игнорировать, так как она всем ломает работу, и сделают новую структуру, которая лояльнее к CA и интересам властей с бизнесом.
А юзеры только хлопать от счастья будут, ведь наконец заработали их любимые сайты, которые поломали ранее какие-то тупые гики.
Решить этот вопрос можно, гипотетически, объяснив большей части юзеров важность trust в экосистеме - чтобы сами требовали гнать подставившихся CA. Лет 20 назад так и было. Сейчас же массовый юзер, в среднем, и читает-то с трудом, какие уж объяснения про сертификаты вообще.
Как бы можно вообще просто TLS отменить. И подвести это под климатобесие.
"Жёсткие некоррупционные правила" существуют так же, как и справедливость.
https://www.linux.org.ru/forum/admin/15104732?cid=15113619
https://www.linux.org.ru/forum/admin/15104732?cid=15113671
> National_Intelligence_Law_of_the_People's_Republic_of_ChinaВялотекущий набег политботов на опеннет продолжается.
Тем временем смузихлёбы выпилили из KDE ненужный апплет настройки: https://bugs.kde.org/show_bug.cgi?id=482585> Nate Graham 2024-03-07 17:23:07 UTC
> Indeed, and at the moment this is intentional. We may end up making a new one at some point in the future, but no guarantees.Не на Kirigami написано, поэтому - ффтопку! https://github.com/KDE/kdelibs/blob/KDE/4.14/kio/kssl/ksslin... И вообще, негоже всякому быдлу грязными руками в кого надо список сертификатов лезть! А смузихлёбов всё устраивает, им вообще это не нужно, поэтому на своём навязываемом project policy kirigami этот апплет переписывать они не будут. Поэтому - "no guarantees".
Что-то сплошная деградация пошла в кедах, кого они там набрали в команду?
Наверное яваскриптёров.
Ну так QML-обработчики событий как раз на нём и пишутся...
И больше ни на чём обработчик QML написать нельзя?
In what apps? The reason we removed this was because the settings were generally not respected by most 3rd-party apps.---
У браузеров свои cert stores, больше особо никто не пользовал. Кто очень хочет, может ручками поправить ksslcalist.
Сами кедовские приложения использовали как минимум. Им ведь надо как-то виджеты и прочие свистоперделки из инета качать.
>Выпилил из списка доверенныхНасколько же нужно быть душнилой в шапочке из фольги, чтобы заниматься выпиливанием сертификатов.
Горжусь тем.
Ты уже добавил себе национальный сертификат?
Да
Эх, не успел получить сертификат для гугла и яндекса :(
Ваши "ТСПУ" не осилят расшифровку TLS на потоке.
>And since learning of that flaw, SSL.com has revoked 11 wrongly issued certificates – one of them for Alibaba.
>Предположительно, в выявленных случаях отсутствуют признаки вредоносной активности и из 11 пока отозван только один сертификат, полученный исследователем для сайта aliyun.com.Чудеса перевода.
Смотрите не статью на theregister.com, а первоисточник: https://bugzilla.mozilla.org/show_bug.cgi?id=1961406#c6там только в одном сертификате из списка стоит статус "Revoked", у остальных "Not Revoked" и примечание "list of all affected certificates (the original reported certificate and the 10 additional identified certificates)".
Ответ от представителя SSL.com говорит, что те 10 сертификатов выданы корректно и не являются мошенничествомhttps://bugzilla.mozilla.org/show_bug.cgi?id=1961406#c7
"Historical evidence shows that, with the exception of one certificate (https://crt.sh/?id=16452546552), SSL.com did issue previous certificates using compliant DCV evidence during the initial issuance of the certificates which point to non-fraudulent mis-issuances."
Так они и признаются. После историй с комодо, про которые все оперативно забыли (а часть и вовсе осталась незамеченными), воспринимать этот бизнес всерьёз невозможно. Тупо гребут бабло с "доверчивых", letsencrypt ничем не хуже.
Что то, что другое - DV сертификаты. Не хуже он только для тех кто слепо доверяет васянскому автоскачивающемуся с другого ваянского стора самообновляющемуся скрипту или его подобиям.А кто с таким связываться не хочет и бережет свои ключи от лишних корявых скриптов - может за три копейки получить годовой dv при минимальных трудозатратах.
Но над этим работают, чтоб тоже не смогли.
А еще, внезапно, бывают ev сертификаты. Безобразие, конечно, что до сих пор бывают. К счастью, над этим тоже умные ребята поработали, и лопоухому юзверю совершенно никак не видно - тут очередной вон "email для подтверждения" был использован, или все же - предъявлены документы, что домен реально принадлежит тем кому написано и человек, пришедший за сертификатом - имеет на это права.
Это не важно. Если вам нужна безопасность - то малейшее нарушение фирмой требуемых свойств, неважно, по её ли вине, или не по её - это просто сигнал на отбраковку. Справедливости не существует в принципе, поэтому абсолютно не важно, что это несправедливо. Будем честны, те кто бизнесы организуют - они там не за справедливостью, а за баблом, поэтому такая grim trigger-политика также и этически обоснована.
Важно, что эффект нужный можно достигнуть так. Весь смысл PKI-экосистемы (да и предпринимательства в целом) в том, что это как игра в казино. Ты ставишь бабло - а дальше как шарик приземлится. Прогресс достигается эволюцией, а эволюция - это отбраковка неприспособленных. Запомните: полезные вещи фундаментально редки. Потому что не-редкие сигналы негэнтропии не несут. А негэнтропия - это неравновесность, а неравновесность - это фундамент всех происходящих во Вселенной процессов. Закон Старжона ("90% всего - говно") это просто другая форма констатаци этого свойства реальности. Как это относится к сертификатам? А просто.
Нет строгого механизма по реализации отбраковки. Конкретный юзер может быть сколь угодно строгим, и удалять по первому чиху, но остальные редко чешутся и волнуются. Большинство не понимает да и не должно понимать это всё.Строгий юзер в меньшинстве. Авторы браузеров сами являются бизнесами, и им trigger-политика не нужна.
Всё так. Им нужна коррупция, когда wannabe-CA им заносят и становятся настоящими CA.
Было бы здорово ещё узнать имя исследователя, и о том, как в SSL.com его отблагодарили за то, что он помог им в устранении такой дырени.
>Участник 'freehck' запретил публикацию ответов для ника 'Аноним'.Надеюсь, что не вызовом в суд.
алё, ну где там сертификейт трансперенс?
Sorry, your search results have been truncated.
It is not currently possible to sort and paginate large result sets efficiently, so only a random subset is shown below.
Please retry your search with expired certificates excluded.https://crt.sh/?q=.aliyun.com&group=none
https://crt.sh/?q=.aliyun.com&exclude=expired&group=none