Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Let's Encrypt празднует 10 лет"	+/–
Сообщение от opennews (?), 04-Авг-23, 07:55
Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, отмечает своё десятилетие.  Ежедневно севисом генерируется около трёх миллионов новых сертификатов. Число активных сертификатов составляет 277 млн (сертификат действует три месяца). Данные сертификаты охватывают около 111 млн зарегистрированных доменов и 350 млн полных доменных имён (FQDN). По статистике сервиса Firefox Telemetry общемировая доля запросов страниц по HTTPS составляет 79% (пик был в 2020 году, когда доля HTTPS достигла 85%, за последний два года процент загруженных по HTTPS страниц уменьшился)... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59552
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Иваня (?), 04-Авг-23, 07:55	–41 +/–
Я им никогда не пользовался, так как не особо вызывает доверия, юзаю Go Daddy Secure Certificate Authority. Но поздравляю с ДР!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12, #35

3. Сообщение от Аноним (3), 04-Авг-23, 08:02	–4 +/–
Пока что человечество не придумали ничего лучше.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #46, #66

6. Сообщение от Анонус (?), 04-Авг-23, 08:15	+9 +/–
> контролируемый сообществом Ага. Сообществом из циски, амазона и акамай.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7

7. Сообщение от Анонус (?), 04-Авг-23, 08:19	+6 +/–
А если покопаться, то еще смешнее. Вот например член совета директоров ISRG > Aanchal Gupta (Independent) А вот где еще работает эта независимая директорша > Aanchal Gupta is Corporate Vice President of Azure Security and M365 and leads Microsoft Security Response Center (MSRC)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

8. Сообщение от Аноним (8), 04-Авг-23, 08:27	+8 +/–
Пешеходов загнали в резервации, научили ходить по зебре. Ради их безопасности. Потом расширили дороги, за счёт тротуарных резерваций, и научили ходить шеренгой. Потом пустили самокатчиков на резервации, что бы ходили испуганной шеренгой. "Всех нас когда-нибудь, кто-то задавит, за исключением тех, кто в гробу."
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #143, #146

9. Сообщение от Аноним (9), 04-Авг-23, 08:51	+2 +/–
А что там с безопасностью? Пользователь сам себе генерит приватный ключ или все ключи эта контора получает для возможности перехвата спецслужьами трафика ко всем этим сайтам?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #11, #25, #128

10. Сообщение от Аноним (10), 04-Авг-23, 08:57	+3 +/–
Спецслужба сама тебе генерит
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #15

11. Сообщение от Аааааноним (?), 04-Авг-23, 08:59	+6 +/–
Любой удостоверяющий центр чисто теоретически может (в нарушение правил) сгенерировать любой сертификат (приватный ключ), хоть на твой сайт. Помешать может разве что certificate pinning, ну и утрата доверия из-за нарушения правил, с последующим отзывом. Так что, смешные анонимы не доверяющие LE видимо не понимают, что нужные сертификаты для нужных людей сделают вообще без вашего участия. Не важно, пользуетесь вы этим сервисом, или нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #13, #14, #31, #32, #57

12. Сообщение от Аноним (12), 04-Авг-23, 09:00	+36 +/–
> не особо вызывает доверия Ну да, а вот если деньгов заплатить за воздух – совершенно другое дело. Сразу +200 к доверию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #21, #23, #145

13. Сообщение от Аноним (9), 04-Авг-23, 09:13	+/–
Спасибо, понял. Продолжу использовать onion домен от тора, там все крипто сразу в поддержку домена встроено, без необходимости в мутных центрах сертификации.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

14. Сообщение от Аноним (15), 04-Авг-23, 09:15	+/–
Да тебя наверно очень плохо доходит. Но я тебе помогу. Это не защита от служб это защита от Васяна. А Васян куда более опасен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #106

15. Сообщение от Аноним (15), 04-Авг-23, 09:17	–1 +/–
И правильно делает. Зато Васян сама ничего не сгенерит и пойдет обзвонами доверчивых людей заниматься, потому что это куда прибыльнее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

16. Сообщение от Аноним (16), 04-Авг-23, 09:37	–2 +/–
Короткоживущие сертификаты — зло.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #18, #59

17. Сообщение от Аноним (12), 04-Авг-23, 09:39	+3 +/–
Долгоживущие сертификаты — ещё большее зло.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #19

18. Сообщение от Аноним (15), 04-Авг-23, 09:41	+/–
Ахаха, чтобы Васян, у которого всё же получилось пропихнуть тебе серт мог тебя иметь бесконечно долго? Больше глупостей не пиши.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #27, #28

19. Сообщение от Аноним (15), 04-Авг-23, 09:41	+4 +/–
Нынешний уровень технического образования катастрофически низок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

20. Сообщение от Anonimowitch (ok), 04-Авг-23, 10:06	–4 +/–
Название в корне неверно, там не только шифрование, но и последующее дешифрование, так что должно быть Let's Encrypt and Decrypt. Следовательно само существование проекта вводит человечество в глобальное заблуждение.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34

21. Сообщение от Тот_Самый_Анонимус_ (?), 04-Авг-23, 10:07	–7 +/–
Доверять бесплатному  сыру — такое себе. Они вас не продадут. Честно-честно. Правда и платные продадут. Выбор из сортов г-на.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #45

22. Сообщение от Аноним (22), 04-Авг-23, 10:10	–7 +/–
Зачем заморачиваться проблемами дешифровки https-трафика зашифрованного сертификатами от кучи разрозненных удостоверяющих центров, когда можно наводнить рынок бесплатными сертификатами, подписанными вашим закрытым ключом, попутно подшатнув бизнес конкурентов? Великолепный план, тащмайор, надежный как швейцарские часы...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #30

23. Сообщение от Атон (?), 04-Авг-23, 10:27	–2 +/–
GoDady (BuyPass ZeroSSL SSL.com)  тоже поддерживают ACME и дают бесплатные сертификаты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #38

25. Сообщение от Атон (?), 04-Авг-23, 10:33	+/–
любой SSL в первую очередь предназначен для удостоверения что "на том конце" находится именно тот, кто тебе нужен. защиту от подслушивания и от MITM никто не обещал и не гарантировал.  если она тебе нужна, её нужно делать дополнительно другими средствами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #47, #60

27. Сообщение от Атон (?), 04-Авг-23, 10:37	+/–
не понятно - зачем васяну иметь тебя долго, если он за 5 минут уже полностью осушил твой банковский счет? но, предположим, васян ворует не деньги а твое ежедневное свежее уникальное хомвидео с тентаклями. не понятно - что помешает васяну повторить пропихивание сертификата?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #33, #99

28. Сообщение от InuYasha (??), 04-Авг-23, 10:40	+/–
Меня беспокоит что Васян из Let's Encripple может оборвать мне сертификат почти моментально.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #48, #91, #93

29. Сообщение от InuYasha (??), 04-Авг-23, 10:46	–2 +/–
Южьте self-signed и не парьтесь. ;)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #42, #49

30. Сообщение от Аноним (32), 04-Авг-23, 11:08	+/–
>бизнес кек. единственный "успех" этого бизнеса это регулярный отзыв "утёкших" сертификатов сотнями миллионов, и это только известные случи, ещё сколько подозрительных сертификатов подставлявшихся на нужный трафик существовало неизвестно, за что деньги брали спрашивается?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #84

31. Сообщение от llolik (ok), 04-Авг-23, 11:11	+/–
> утрата доверия из-за нарушения правил, с последующим отзывом Ну, revoke-али наши сертификаты без предупреждения и возврата платы по желанию третьей стороны (aka FTC). И ничего, доверие не пострадало, видимо (т.к. тотже DigiCert все на месте), потому что "правильным пацанам можно, не ну а чего".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

32. Сообщение от Аноним (32), 04-Авг-23, 11:11	+/–
Практически на этом замечен COMODO и что-то ничего не утерял. У Cloudflare тоже есть такая возможность, но доказать будет сложнее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #144

33. Сообщение от Аноним (15), 04-Авг-23, 11:17	+/–
Он типа знает в какие 5 минут ты будешь вводить свою карту? С чего ты взял что он тебя целенаправлено атакует? Кого получилось того получилось, если ты быстро скинул его серт он про тебя даже не вспомнит потому что даже тебя не знает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #36

34. Сообщение от Аноним (15), 04-Авг-23, 11:18	+4 +/–
Типа все вместе зашифруем ваш трафик, а потом такие вместе возьмем и расшифруем и посмотрим у кого там что? Всегда радовали такие горе маркетологи без каких либо извилин в голове, сколько от них перлов было.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

35. Сообщение от mma (?), 04-Авг-23, 11:24	+/–
Пффф, все-равно кому доверять. У кого корневые тот и папа. Только самоподписаный, только хардкор.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #52

36. Сообщение от Атон (?), 04-Авг-23, 11:25	+/–
> Он типа знает в какие 5 минут ты будешь вводить свою карту? > С чего ты взял что он тебя целенаправлено атакует? Кого получилось > того получилось, если ты быстро скинул его серт он про тебя > даже не вспомнит потому что даже тебя не знает. ты каждые 5 минут ищешь посторонние серты? с девушками совсем не получается?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #39

38. Сообщение от Хейтер (?), 04-Авг-23, 11:37	+1 +/–
>GoDady ... тоже - для доменов в зоне RU это актуально? А то в марте 2022 они написали: We do not condone the unwarranted aggression from the Russian Government. We are:     Removing the Russian version of our website     No longer supporting new registrations of .ru and .ru.com     Removing all .ru domain names from our domain name aftermarket     Removing the Russian Ruble
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #44

39. Сообщение от Аноним (15), 04-Авг-23, 11:38	+/–
Бредишь? Сходи полечись в дурку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

41. Сообщение от Аноним (41), 04-Авг-23, 11:46	–1 +/–
Нах мне эти сертификаты, я хочу нормально заходить на сайты со своего debian 7.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #61, #108

42. Сообщение от pashev.ru (?), 04-Авг-23, 11:53	+/–
Технический уровень молодёжи удручающе низок. Все сертификаты в конце концов подписаны одним самоподписанным.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #43, #62, #67, #89

43. Сообщение от InuYasha (??), 04-Авг-23, 12:25	+/–
Ох, нафталином запахло в треде ) Технический уровень-то здесь причём? Ну, да, здесь почти блокчейн. Фишка лишь в том, У КОГО этот первый серт и насколько <s>вы</s> ваш браузер ему доверяет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

44. Сообщение от Атон (?), 04-Авг-23, 12:30	+13 +/–
>>GoDady ... тоже > - для доменов в зоне RU это актуально? А то в марте > 2022 они написали: > We do not condone the unwarranted aggression from the Russian Government. We > are: Этого резкого выпада против всех граждан РФ разом, независимо от их принадлежности к санкционным спискам, здравомыслящим людям достаточно чтобы _никогда_ не иметь дела с godady с _любыми_ _доменами_ гражданам _любых_ _стран_.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #51, #68, #98

45. Сообщение от Аноним (45), 04-Авг-23, 12:33	+3 +/–
Так раз все продадут, зачем платить больше?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #80, #135

46. Сообщение от Аноним (46), 04-Авг-23, 12:43	+2 +/–
>Пока что человечество не придумали ничего лучше. Человечество придумало как получать сертификат через DNS c DNSSEC. Но если Google продавил введение SSL, c DNSSEC он это делать не планирует. Так как правильный способ использования интернета это браузер chrome + https://dns.google/dns-query + https. Идеальная комбинация для организации MITM гуглом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #53, #55

47. Сообщение от Аноним (46), 04-Авг-23, 12:55	–1 +/–
>любой SSL в первую очередь предназначен для удостоверения что "на том конце" находится именно тот, кто тебе нужен. Так если Comodo в очередной раз выпустит дополнительный сертификат для чьего-либо домена. То пользователи сайта на этом домене попадут на сервер ЦРУ. Но пользователи будут думать, что на том конце тот, кто им нужен. Соединится с тем, кто тебе нужен позволяют IPSec и Wireguard.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #73

48. Сообщение от Аноним (46), 04-Авг-23, 13:03	+/–
>Меня беспокоит что Васян из Let's Encripple может оборвать мне сертификат почти моментально. Как бы X.509 подразумевает возможность оборвать жизнь любого сертификата моментально, на случай ситуаций утраты контроля над секретным ключом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

49. Сообщение от Аноним (46), 04-Авг-23, 13:05	+/–
Южьте http и не парьтесь. Уровень защиты одинаковый, только https более прожорливый до ресурсов и более медленный.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #50

50. Сообщение от Аноним (46), 04-Авг-23, 13:07	+/–
Хотя нет, если у злоумышленника нет MITM, но есть дамп трафика, то самоподписанный сертификат поможет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

51. Сообщение от пох. (?), 04-Авг-23, 13:11	–1 +/–
Значит, точно хорошие сапоги, надо брать. Петер и его семья перехали в [] в мае, после того как их жизнь в Стокгольме резко ухудшилась. В конце [] он потерял место в английской фирме и с тех пор жил на сбережения и на случайные заработки. Кроме того, он, кажется, лишился британского паспорта Не догадываешься, кого я цитирую? Тому Петьке повезло сказочно, кстати - выжил, что уже удача, не сел за дискредитацию (на полном серьезе и были все шансы), не мобилизовали, и даже в Стокгольм обратно переехал, лет через десять, видимо, но, полагаю, уже не заикался о "выпадах в сторону всех граждан" и каких-то там списках. Радовался, небось, до смерти, что не угодил в совсем плохие списки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

52. Сообщение от пох. (?), 04-Авг-23, 13:13	–2 +/–
зачем? Просто из розетки выдерни. Все равно кроме твоих воображаемых друзей никто не зайдет, а им розетки без надобности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #125

53. Сообщение от пох. (?), 04-Авг-23, 13:15	+/–
> Человечество придумало как получать сертификат через DNS c DNSSEC. чем, кроме совершенно невообразимого геморроя с настройкой и поддержкой этой несуразной конструкции такой сертификат лучше летсшиткриптиного? Там, на корневых серверах и всех промежуточных - другие, не такие васяны, они-то не кинут и у них самих не отожмут?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #56, #58

55. Сообщение от Аноним (56), 04-Авг-23, 13:20	+2 +/–
А еще гугл продавил Certificate Transparency (https://en.wikipedia.org/wiki/Certificate_Transparency) для мониторинга кто выпустил TLS сертификаты https://crt.sh/ и теперь все удостоверяющие центры его используют. В результате каждый, клиент, подключившийся по TLS может проверить, что полученный в подключении сертификат выпущен вледельцем домена (потому что владелец домена тоже может проверить, какие есть сертификаты для его домена). Так что любой левый сетрификат со всей цепочкой подписей может стать причиной для бана утекших корневых сертификатов в браузерах. Это, кстати, тот же гугл инициировал, когда китайцы стали слишком активно выпускать сертификаты для MITM (в результате из Хрома и лисички выкинули китайские удостоверяющие центры). Гуглу не нужен MITM, он и так про тебя знает больше, чем ему надо (GPS от гугла в твоем кармане, почта со всеми явками, паролями и бытовыми счетами, карты с отметками где ты был и куда собрался, браузер, через который ты потребляешь 95% информации). Я тут попытался через IPv6 туннель ходить в интернет + настроил удаление кук при закрытии браузера, да и браузер у меня Brave - в результате в гугле меня забанили. Видимо, слишком анонимный стал для гугла. При этом через бесплатный VPN гугл открывается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #64

56. Сообщение от Аноним (56), 04-Авг-23, 13:24	+/–
Кроме того, DNSSEC по сравнению с DNS работает раза в 2 медленнее (запросов больше). В результате если думать головой а не страдать фанатизмом, то становится понятно, что кроме альтернативно одаренных никто DNSSEC использовать не будет (пока в Вилларибо ждут DNSSEC, в Балабаджо уже страницу сайта откроют и залогинятся).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

57. Сообщение от Аноним (56), 04-Авг-23, 13:31	–1 +/–
А потом клиент, получивший такой сертификат со всей цепочкой подписей, начиная с корневого сертификата проверяет этот сертификат на Certificate Transparency, не находит его и поднимает бучу. После чего к этому удостоверяющему центру как минимум теряется доверие (а если он из третьесортной страны, то гугл, мозилла и M$ выкидывают его из браузеров). Подписать левый сертификат - значит публично расписаться в совершении подлога/мошенничества.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #65, #71

58. Сообщение от Аноним (46), 04-Авг-23, 13:32	+/–
>> Человечество придумало как получать сертификат через DNS c DNSSEC. > чем, кроме совершенно невообразимого геморроя с настройкой и поддержкой этой несуразной > конструкции такой сертификат лучше летсшиткриптиного? > Там, на корневых серверах и всех промежуточных - другие, не такие васяны, > они-то не кинут и у них самих не отожмут? Тем, что это DNS может быть децентрализован или скорее федерализирован по желанию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #63

59. Сообщение от Аноним (56), 04-Авг-23, 13:35	+/–
Отзыв сертификатов не работает. https://habr.com/ru/articles/332730/ Поэтому если секретный ключ сервера угонят, то это до конца жизни сертификата.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

60. Сообщение от Аноним (60), 04-Авг-23, 13:38	+/–
Так если есть гарантия что "на том конце находится именно тот, кто тебе нужен" (по сертификатам же, да?), и ты доступность этих обоих концов ограничишь только этими двумя разрешенными _самоподписанными_ сертификатами и отбрасываешь всё остальное и ты гарантируешь, что закрытые ключи только на этих двух концах и никуда не утекли, то никакое подслушивание и MITM невозможны. Гарантировано. Если только у MITM-менов нет какого-нибудь мощного квантового компутера из будущего, а у тебя используются слабые алгоритмы при генерации ключей и установке соединений.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #77

61. Сообщение от Аноним (56), 04-Авг-23, 13:40	+/–
Ну, сюда-то ты как-то зашел. Для тех, кто в танке - тут тоже Let's Encrypt.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

62. Сообщение от Аноним (56), 04-Авг-23, 13:42	–1 +/–
Что все корневые в браузере подписаны одним или каждый своим одним? Прежде чем кричать по чужой технический уровень - свой подтяни. Или ясно и однозначно выражаться научись.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

63. Сообщение от пох. (?), 04-Авг-23, 13:43	+2 +/–
Не может. authority в dns как раз либо персональная, либо ее нет. Никакого другого authoritative сервера зоны ru под чьим-нибудь другим отдельным от товарищмайора контролем у тебя нет и не будет. Вот как раз CA э...децентрализованы. Хочешь вон у летсшиткрипт бери серт, а не хочешь - с bypass ssl иди на три буквы потому что пропиской не вышел, или плати денег digicert, и кланяться не забывай за то что они благосклонно у тебя, немытого, их брать изволют. А пининг, просто доверие сертификату а не авторити - немодно, немолодежно и небезопастно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

64. Сообщение от пох. (?), 04-Авг-23, 13:47	+/–
> центры его используют. В результате каждый, клиент, подключившийся по TLS может > проверить, что полученный в подключении сертификат выпущен вледельцем домена (потому что не владельцем домена, а кем попало. В этом и проблема. А если бы кто попало просто не мог получить сертификат - как оно и было ДО ненужно-летсшиткрипты - то было бы и неинтересно. > владелец домена тоже может проверить, какие есть сертификаты для его домена). И? Иииии? И правильно - ничего. Кроме того что там их теперь тысячи у любого домена, и проверять ты будешь бесконечно. Если только он не владелец какого надо домена. Ну вот к примеру доменов google - у них все хорошо и надежно. Правда, и было с самого начала. > Так что любой левый сетрификат со всей цепочкой подписей может стать > причиной для бана утекших корневых сертификатов в браузерах. Это, кстати, тот но комоде этого не говорили. > Гуглу не нужен MITM, он и так про тебя знает больше, чем гуглу нужно чтоб кому нужно мог без больших затрат этот mitm себе организовать. Иначе кредитец под 0% могут дать не ему.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #70

65. Сообщение от пох. (?), 04-Авг-23, 13:49	+1 +/–
> А потом клиент, получивший такой сертификат со всей цепочкой подписей, начиная с > корневого сертификата проверяет этот сертификат на Certificate Transparency и умирает от старости в процессе проверок. К счастью клиенты этого никогда не делают, поэтому массовая смертность нам пока не грозит. >, не находит или находит. Чего бы и левый туда не положить помимо пары сотен предыдущих летсшиткриптовых? Тем более через три месяца он уже будет вообще никому неинтересен его раскапывать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

66. Сообщение от keydon (ok), 04-Авг-23, 13:50	–1 +/–
Придумало, но не для массового пользователя. Но для массового пользователя и ssl не работает - домохозяйка не знает ни про какие сертификаты, 1etsencrypt.org ей не менее мил чем letsencrypt.org. Но конечно инфраструктура сертификатов это целом поле для денег из воздуха и слежки за пользователями на высшем уровне (казахстан не тот уровень).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #76

67. Сообщение от Аноним (60), 04-Авг-23, 13:53	+/–
Ага, удачи тебе воспользоваться приватным ключом того "одного самоподписанного", корневого, летсенкриптовского или прочих годеддиевских. Очевидно, душнила, что тебе советуют сгенерированный и самоподписанный _лично тобой_, а не каким-то папочкой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

68. Сообщение от Golangdev (?), 04-Авг-23, 14:01	–2 +/–
Let's Encrypt не Open Source случаем ? Что мешает российскому правительству поднять свою копию Let's Encrypt, чтобы, имея контроль над инфраструктурой, убрать санкционные риски ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #69, #72, #97, #102, #115

69. Сообщение от Golangdev (?), 04-Авг-23, 14:08	+/–
вот он, кстати https://github.com/letsencrypt/boulder
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

70. Сообщение от Аноним (56), 04-Авг-23, 14:16	+/–
> И? Иииии? У тебя приступ? Если сертификата нет в блокчейне Certificate Transparency, то клиент будет знать, что сертификат сервера подложный, а если есть, то владелец домена. И вся цепочка ответственных за генерацию подложного сертификата будет прописана и подписана в самом сертификате.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #75, #104, #117

71. Сообщение от Аноним (12), 04-Авг-23, 14:27	+1 +/–
В следующий раз перед тем как прикасаться к клавиатуре, попробуйте читать то сообщение, на которое отвечаете. Если умеете читать, конечно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #82

72. Сообщение от Аноним (72), 04-Авг-23, 14:49	+/–
Наверно, потому что это не дело правительства. Ты сам первый будешь рвать волосы на попе за "распилы". Если это кому то надо, то пусть подымают. А если не подымают, то значит это никому не надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

73. Сообщение от Атон (?), 04-Авг-23, 14:52	+/–
>>любой SSL в первую очередь предназначен для удостоверения что "на том конце" находится именно тот, кто тебе нужен. > Так если Comodo в очередной раз выпустит дополнительный сертификат для чьего-либо домена. > То пользователи сайта на этом домене попадут на сервер ЦРУ. Но > пользователи будут думать, что на том конце тот, кто им нужен. параноики проверяют серийный номер сертификата. государственным службам можно быть на том конце. частным лицам/хакерам - нельзя.   > Соединится с тем, кто тебе нужен позволяют IPSec и Wireguard. за 0,05 секунды соединись по wireguard с госуслугами, гуглом, любым случайным сайтом в интернете, без предварительной переписки с их админом и настройкой тоннелей к каждому.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #78

75. Сообщение от пох. (?), 04-Авг-23, 14:56	+/–
> Если сертификата нет в блокчейне Certificate Transparency, то клиент будет знать, что сертификат > сервера подложный, не будет, потому что клиент не будет два года качать ненужный ему блокчейн. А если бы даже массово стали - ни васяну, на минутку перехватившему твою виртуалку (или вовсе получившему доступ к неменее васянскому dns) ни решившему поиграть не на твоей стороне летсшиткрипту это ничем бы не помешало. Ну лежит там сертификат. И что? Их там еще тысяча штук лежит - только твоих. Потому что ты как сознательный вася их меняешь раз в две недели и еще вон поставил себе новый чудо-софт от летсшиткрипты который еще и рандомно это делает. Кто там найдет какой-то левый и как он его от нелевого отличит вообще?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #81

76. Сообщение от пох. (?), 04-Авг-23, 14:58	+/–
> Придумало, но не для массового пользователя. Но для массового пользователя и ssl > не работает - домохозяйка не знает ни про какие сертификаты, 1etsencrypt.org для массового пользователя вполне работает. Попробуй хотя бы даже готовой с тобой сотрудничать домохозяйке подсунуть свой 1etsencrypt- потом приходи рассказывать сказочки. другое дело что массовому пользователю вообще не нужны сертификаты в большинстве случаев.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #160

77. Сообщение от Атон (?), 04-Авг-23, 14:59	+/–
> Так если есть гарантия что "на том конце находится именно тот, кто > тебе нужен" (по сертификатам же, да?), и ты доступность этих обоих > концов ограничишь только этими двумя разрешенными _самоподписанными_ сертификатами и сертификаты и сейчас самоподписанные.  просто подписаны "третьей стороной" которой доверяют оба - и сайт и ты. если ты не доверяешь третьей стороне, то тебе нужно вначале обменятся своими сертификатами напрямую, с всеми сайтами в интернете. > отбрасываешь всё остальное и ты гарантируешь, что закрытые ключи только на > этих двух концах и никуда не утекли, то никакое подслушивание и > MITM невозможны. Гарантировано. не гарантированно, а с достаточной степенью вероятности, которая определяется ценностью передаваемых данных. хостинг с картинками кисок вполне может использовать 64 битные ключи, потому что от MITM пострадают только котики. а админ публичного wifi в кафе не сможет воспользоваться фоткой в плохих целях.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

78. Сообщение от Аноним (46), 04-Авг-23, 15:14	–1 +/–
> параноики проверяют серийный номер сертификата. cookie браузер сольёт гораздо раньше проверки циферок. > государственным службам можно быть на том конце. частным лицам/хакерам - нельзя. Хакеров в сотовой сети нет, всё шифруется аппаратным ключом из симки, в домашней локалке и в сети провайдера(если он не идиот), тоже нет. И те и другие сами по себе лица не совсем частные. И государственные службы это просто кучка людей с собственными интересами и мотивами. Про Сноудена, внештатного сотрудника ЦРУ слышали? Он мог легко, бесконтрольно копаться в любом gmail почтовом ящике, что с интересом и делал. > за 0,05 секунды соединись по wireguard с госуслугами, гуглом, любым случайным сайтом > в интернете, без предварительной переписки с их админом и настройкой тоннелей > к каждому. Так Вы сможете соединится только с кем-то, кого Ваш шлюз выдал за "любой случайный сайт". Методы MITM SSL появились не вчера и успешно работают во многих корпоративных сетях. На уровне страны тоже иногда встречаются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #105

79. Сообщение от Anonymm (?), 04-Авг-23, 15:35	+/–
И как раньше без сертификатов жили?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #83, #87, #95, #164

80. Сообщение от Аноним (80), 04-Авг-23, 15:46	+/–
заплатил, и спишь спокойно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

81. Сообщение от Аноним (56), 04-Авг-23, 15:53	+/–
https://crt.sh/?q=opennet.ru
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #137

82. Сообщение от Аноним (56), 04-Авг-23, 16:03	–2 +/–
По делу есть что сказать? Разговаривать загадками и докапываться до второстепенных мелочей можешь неудачниками, которы не такие понты ведутся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #101

83. Сообщение от Аноним (15), 04-Авг-23, 16:05	+/–
Netscape внедрил в 1994 году. Да этого про интернет никто не знал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79 Ответы: #86

84. Сообщение от Аноним (15), 04-Авг-23, 16:06	+/–
Обновляйся каждый день, а не 90 дней.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

86. Сообщение от Аноним (-), 04-Авг-23, 16:22	–1 +/–
Но большинство сайтов ими не пользовались или явно не требовали до появления html5.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83

87. Сообщение от Аноним (-), 04-Авг-23, 16:24	+8 +/–
Раньше всё было лучше. Поживёшь еще с десяток лет, поймешь, что жизнь будет только ухудшаться, гайки закручиваться, свобода ограничиваться. И это ни разу не сарказм. Как человек на седьмом десятке вижу лично сам всё это.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

89. Сообщение от Аноним (-), 04-Авг-23, 16:28	+1 +/–
> Технический уровень молодёжи удручающе низок. Вы только сейчас это поняли? Или думаете, что все эти тиктоки и инстаграмы созданы чтобы люди умнели? Мировой элите нужно стадо послушных и глупых рабов. Думающие люди нынче опасны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

91. Сообщение от Аноним (-), 04-Авг-23, 16:30	+1 +/–
> Меня беспокоит Твоему локалхосту ничего не грозит. Спи спокойно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

93. Сообщение от Аноним (-), 04-Авг-23, 16:33	+/–
Ты предпочитаешь васяна в галстуке из коммерческой компании?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

95. Сообщение от Аноним (95), 04-Авг-23, 16:42	+/–
Ну, некоторые провайдеры вставляли свою рекламу в скачиваемые HTML странички. Так вот и жили...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79 Ответы: #121

97. Сообщение от Аноним (97), 04-Авг-23, 17:03	–1 +/–
А толку то, доверенных корневых сертификатов же нерасписпихано от правительства. Что кстати удивительно сколько в ОС доверенных и ни одного от RU
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #114

98. Сообщение от Аноним (-), 04-Авг-23, 17:17	+1 +/–
> Этого резкого выпада против всех граждан РФ разом, независимо от их принадлежности к санкционным спискам, здравомыслящим людям достаточно чтобы _никогда_ не иметь дела с godady с _любыми_ _доменами_ гражданам _любых_ _стран_. А что случилось?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #100

99. Сообщение от Аноним (99), 04-Авг-23, 17:30	+/–
> за 5 минут уже полностью осушил твой банковский счет Это в каком банке такое можно? Любой банк — если он не ССЗБ — либо сразу заблокирует такую транцакцию и начнёт трезвонить на твой контактный номер, либо поставит от 0% до 100% суммы перевода на холд на несколько банковских дней, в зависимости от уровня доверия клиенту. Про банки, где можно за пять минут перевести больше пары тысяч и укатить с ними в закат мне пока дела иметь не приходилось, но с удовольствием послушаю прохладные истории. > предположим, васян ворует не деньги а твое ежедневное свежее уникальное хомвидео с тентаклями Ну предположим, а дальше-то что? Мамке нажалуется, а она наругает и борща лишит? Долгоживущие сертификаты зло не потому, что васян твои тентакли всем покажет, а потому, что для безопасной работы требует дополнительные костыли типа OCSP. Когда процессоры были дохлые, перевыпуск сертификата действительно был неподъёмной задачей в таких масштабах. Условные десять лет тому назад это перестало быть проблемой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #103

100. Сообщение от Атон (?), 04-Авг-23, 17:30	–2 +/–
у godaddy слишком хорошая жизнь, им захотелось приключений, полезли в политику. нарушили суверенитет интернета.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98 Ответы: #136, #163

101. Сообщение от Аноним (12), 04-Авг-23, 17:37	+2 +/–
Хорошо, уважаемый неудачник. Прошу замметить – сами так назвались, за язык никто не тянул. А теперь учимся читать. Первоначальное сообщение, на которое вы отвечали: > Помешать может … утрата доверия из-за нарушения правил, с последующим отзывом. Тем временем вы в своём пассивно-агрессивном сообщении: >  После чего к этому удостоверяющему центру как минимум теряется доверие И что вы пытались доказать? Вы лишь публично расписались в том, что не умеете читать. Очевидно, что вы прочитали лишь первые несколько слов, и как истинный тролль попытались показать себя умником. Но недостаточно выдавливать из себя желчь, вам бы ещё научиться понимать смысл текста целиком, а не по первым буквам. Поколение x/твиттера, в общем. Длинные тексты осилить совсем не могут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82

102. Сообщение от Атон (?), 04-Авг-23, 17:37	+/–
Что тебе мешает узнать что российское правительство давно уже подняло "свою копию Let's Encrypt" и раздает бесплатные сертификаты? единственный нюанс - в Let's Encrypt регистрация по электронной почте, а у нас через Госуслуги. некоторых то пугает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #107

103. Сообщение от Атон (?), 04-Авг-23, 17:46	+/–
>> за 5 минут уже полностью осушил твой банковский счет > Это в каком банке такое можно? Любой банк — если он не Именно в любом банке можно. По этому некоторые банки подставляют костыли с вводом СМС, но это легко обходится. > ССЗБ — либо сразу заблокирует такую транцакцию и начнёт трезвонить на Не начнет, если операция проведена через сайт/интернет банк. >> предположим, васян ворует не деньги а твое ежедневное свежее уникальное хомвидео с тентаклями > Ну предположим, а дальше-то что? Мамке нажалуется, а она наругает и борща > лишит? И всем соседским бабакам расскажет.  опасный вектор атаки!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99 Ответы: #122

104. Сообщение от Аноньимъ (ok), 04-Авг-23, 17:52	+/–
>то клиент будет знать, что сертификат сервера подложный Нафига подложный сертификат для митма использовать, если можно настоящий?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #110

105. Сообщение от Атон (?), 04-Авг-23, 17:57	+/–
>> параноики проверяют серийный номер сертификата. > cookie браузер сольёт гораздо раньше проверки циферок. параноики проверяют сертификат до открытия браузера. >> государственным службам можно быть на том конце. частным лицам/хакерам - нельзя. > Хакеров в сотовой сети нет, всё шифруется аппаратным ключом из симки, ты путаешь уровни. симка шифрует нижний, физический радиоканал. в сотовой сети много других векторов. например коммутатор, на котором хакер (нечистоплотный сотрудник) видит весь трафик, через тот-же зеркальный порт что и госслужбы. > домашней локалке и в сети провайдера(если он не идиот), тоже нет. угроза та-же самая - нечистоплотный сотрудник. > И те и другие сами по себе лица не совсем частные. > И государственные службы это просто кучка людей с собственными интересами и но есть разница, государевых людей мало и они проходят отбор. а у провайдера любой бомж может работать, лишь бы умел кнопки нажимать. а на пути tcp\ip пакета таких бомж-провайдеров несколько. >> за 0,05 секунды соединись по wireguard с госуслугами, гуглом, любым случайным сайтом >> в интернете, без предварительной переписки с их админом и настройкой тоннелей >> к каждому. > Так Вы сможете соединится только с кем-то, кого Ваш шлюз выдал за > "любой случайный сайт". Методы MITM SSL появились не вчера и успешно > работают во многих корпоративных сетях. На уровне страны тоже иногда встречаются. это требует определенных административных мер. корневой сертификат "своего" СА внедрить на все устройства, например.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #154

106. Сообщение от Аноньимъ (ok), 04-Авг-23, 17:58	–2 +/–
>А Васян куда более опасен Лолчто? И для защиты от васяна никаких центров вообще не нужно от слова совсем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

107. Сообщение от Golangdev (?), 04-Авг-23, 18:00	+/–
допустим, я хочу выпустить свой серт, зарегавшись на госуслугах. Как этот называется ? Можно на него ссылку ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102 Ответы: #148

108. Сообщение от Аноньимъ (ok), 04-Авг-23, 18:06	+/–
Лучше с Delphi 7 заходи, рекомендую!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

110. Сообщение от пох. (?), 04-Авг-23, 18:08	+/–
Ну для настоящего ключ нужен. Возможно у кого-то есть ключ от (кстати, почти наверняка - хреновато охраняемого) intermediate самой летшиткрипты, но нет ключа от твоего сервера а их очень интересует что твои посетители там делают. Понятно что вероятность околонулевая и скорее уж такие ребята придумают как добыть нормальный сертификат, с их собственным ключом ничем не хуже твоего, и в бесполезной свалке логов все будет ок. Сколько они там отмечают с пьянкой и уличными девками - 10 лет? Ну если ты в тренде, у тебя в тех логах было бы уже больше полсотни сертификатов, а если парашутный спорт не твой вариант - то может и вовсе 600. Успехов разобраться в этом мусоре и найти один сертификат выпущенный месяц назад не теми ребятами но от твоего имени. (Да и тот - подумаешь что сглючил скрипт.) Для вашего большего удобства эти ребята еще и придумали рандомные запросы. Чтоб ты в принципе толком не знал когда и какой ключ у тебя был.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104 Ответы: #116, #138

114. Сообщение от пох. (?), 04-Авг-23, 18:30	+2 +/–
И вообще ни от какого правительства нет. Удивительно, да?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97 Ответы: #147

115. Сообщение от fi (ok), 04-Авг-23, 18:48	+/–
Те кому нужен фсб-ный cert уже его получили :DDD теперь даже самый тупой капитан читает переписку - ищет врагов. Доверенный, от слова доверять!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

116. Сообщение от Аноньимъ (ok), 04-Авг-23, 18:56	+/–
Когда использую платный ВПН регулярно получаю ошибки сертификатов в браузере и не только. Да и до этого много приколов было носивших массовый характер.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110 Ответы: #118

117. Сообщение от Аноньимъ (ok), 04-Авг-23, 19:00	+/–
Когда использую платный ВПН регулярно получаю ошибки сертификатов в браузере и не только. Да и до этого много приколов было носивших массовый характер. И ничего, никто никаких ответственных ни к чему не привлекает. Эти сертификаты адская помойка в которой никто не собирается даже разбираться, так задумано.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #127

118. Сообщение от пох. (?), 04-Авг-23, 19:04	+/–
Мне кажется, ты платишь каким-то кидалам, не?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #116 Ответы: #120

120. Сообщение от Аноньимъ (ok), 04-Авг-23, 19:24	+/–
> Мне кажется, ты платишь каким-то кидалам, не? Нордвпн. Помню были массовые проблемы на Линуксе несколько лет назад, не помню были ли на Винде, без всякого ВПН, для отдельных сайтов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #118 Ответы: #123

121. Сообщение от Аноним (121), 04-Авг-23, 19:43	+2 +/–
До сих пор внедряют
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95 Ответы: #162

122. Сообщение от Аноним (99), 04-Авг-23, 19:56	+/–
> Именно в любом банке можно Точно не в любом. Мне не далее чем вчера клиент оплатил инвойс на мой бизнес-аккаунт, 2к доступно сразу, остальное на холде до понедельника, в причине написано: We're ensuring that the person or company issuing the funds hasn't put a stop payment order on the transaction. На личном, когда я себе зарплату перечисляю, та же история, 2к сразу, остальное на холде до пяти банковских дней. Оба счёта в одном банке, в одном и том же отделении, казалось бы, зачем, и что делать, если надо срочно? Задавал этот вопрос менеджеру отделения, в исключительных случаях могут вручную холд с конкретной транзакции снять, но вообще это стандартная практика в соответствии с требованиями и рекомендациями регулятора, даже для транзакций между счетами в рамках отделения. > Не начнет, если операция проведена через сайт/интернет банк. Совершенно без разницы через что проведена. Как только сумма больше «обычной» — им проще затормозить, чем потом разбираться пост-фактум. > И всем соседским бабакам расскажет.  опасный вектор атаки! Ну так пусть завидуют. Им уже так не тентаклиться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103 Ответы: #130, #141

123. Сообщение от пох. (?), 04-Авг-23, 20:01	+/–
Сущность и источник проблем так и остались непонятыми? (эх... а тутошние эксперты все бредят о федерациях и самоподписанных сертификатах.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120 Ответы: #129

125. Сообщение от красивый (?), 04-Авг-23, 20:36	+/–
Как тебя, такого "умного" в цб держат?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #126

126. Сообщение от пох. (?), 04-Авг-23, 20:39	+/–
> Как тебя, такого "умного" в цб держат? понабрать "красивых" - понаставят "самоподписанных сертификатов", а потом еще и будут сверкая выпученными глазьями и исходя пеной доказывать что все правильно сделали, это пользователи т-пые л0хи что ничего не работает. Поэтому ваш удел - локалхост и что там у очередного героя в соседней теме было - а, автомойки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #125

127. Сообщение от пох. (?), 04-Авг-23, 20:42	+/–
> Эти сертификаты адская помойка в которой никто не собирается даже разбираться, так ну почему ты экстраполируешь? Ты не стал разбираться, что за фокусники в нордвпн (что, кстати, неожиданная новость, я думал они за деньги работают)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117 Ответы: #133

128. Сообщение от Имя (?), 04-Авг-23, 21:13	+/–
> Пользователь сам себе генерит приватный ключ Конечно сам. Почитайте про протокол ACME хотя бы две строчки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

129. Сообщение от Аноньимъ (ok), 04-Авг-23, 21:52	+/–
> Сущность и источник проблем так и остались непонятыми? Да, так и остались. Были заведены вроде даже баги у мозиллы. Но ничего не выяснили. Не нахожу сейчас, несколько лет назад было. Это не то, но вот например нарыл https://support.mozilla.org/en-US/questions/1137400 То есть хром ие и прочие под виндой тупо в тихую разрешают mitm, если я правильно понимаю. Это вообще чудненько.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #123 Ответы: #131

130. Сообщение от пох. (?), 04-Авг-23, 22:14	–1 +/–
> Точно не в любом. Мне не далее чем вчера клиент оплатил инвойс > на мой бизнес-аккаунт, 2к доступно сразу, остальное на холде до понедельника, > в причине написано: We're ensuring that the person or company issuing штота гомосятиной какой-то потянуло. Ты в каком банке-то, национал-предатель, бабки получаешь? Давай к нам, в сбер - там такой фигни отродясь не видали. > Совершенно без разницы через что проведена. Как только сумма больше «обычной» > — им проще затормозить, чем потом разбираться пост-фактум. а чо им разбираться-то? Деньги л-ха достались робингудам, тоже мне проблема. Процент за зачисление с тебя и так возьмут, банк не в накладе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122

131. Сообщение от пох. (?), 04-Авг-23, 23:12	+/–
Ну можно ж не позориться показывая такую глупость? У д-ла типичный то ли правда антивирус то ли корпоративный inspection. Корпоративный или антивирусный серт разумеется добавлен в виндовый стор, а в мразильный не добавлен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #129 Ответы: #132

132. Сообщение от Аноньимъ (ok), 05-Авг-23, 00:01	–1 +/–
Да ладно вам, пох, для меня это просто новость, какой-то Виндовс стор с васянскими сертификатами. Давно не интересовался виндовсом, а оно вот как оказывается, ненужно ничего вообще делать, можно митмить шиндовс без всяких заморочек. Круто же!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #131 Ответы: #151

133. Сообщение от Аноньимъ (ok), 05-Авг-23, 00:02	+/–
В следующий раз попробую посмотреть что там к чему. Может найду следы той проблемы давней, но что-то с ходу ничего не нагуглилось.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127

135. Сообщение от Тот_Самый_Анонимус_ (?), 05-Авг-23, 05:10	–1 +/–
Выход — свой сертификат.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

136. Сообщение от Аноним (136), 05-Авг-23, 08:45	+1 +/–
Т.е. суверенитет заключается в том, чтобы в политику не лезть? Интересная точка зрения.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100 Ответы: #140

137. Сообщение от Sw00p aka Jerom (?), 05-Авг-23, 09:33	+/–
ua.opennet.ru ukr.opennet.ru лол, кек :) забыли выписать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #150

138. Сообщение от Sw00p aka Jerom (?), 05-Авг-23, 09:38	+/–
>ключом ничем не хуже твоего пининг по фингерпринту как в ссх нуно делать при первом подключении
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110 Ответы: #152

140. Сообщение от Атон (?), 05-Авг-23, 10:40	+/–
> Т.е. суверенитет заключается в том, чтобы в политику не лезть? Интересная точка > зрения. суверенитет заключается в том, что не нужно тащить политику в интернет. интернет выше низких амбиций мелких феодалов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136

141. Сообщение от Атон (?), 05-Авг-23, 10:45	+/–
> но вообще это стандартная практика в соответствии с требованиями и рекомендациями регулятора, это не проблема всех банков, это костыль навязанный локальным регулятором.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122 Ответы: #155

143. Сообщение от Чукча (?), 05-Авг-23, 11:39	+1 +/–
Даёшь революцию за право пешеходов ходить повсюду, хаотично и опешивать самокатчиков.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

144. Сообщение от Чукча (?), 05-Авг-23, 11:42	+/–
Пожалуйста, пруфы про Comodo!!!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

145. Сообщение от yarly (?), 05-Авг-23, 12:11	+/–
> вот если деньгов заплатить за воздух – совершенно другое дело Заметьте. Это пишет человек из узкого мира. Который платит за "капремонт", "медицину", "безопасность" и вот это все. Всю жизнь платит. Принудительно и безальтернативно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #153

146. Сообщение от Аноним (146), 05-Авг-23, 12:56	+2 +/–
>Ради их безопасности https://opennet.ru/53520-https https://opennet.ru/51329-cert https://opennet.ru/53756-crypt
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

147. Сообщение от Анонус (?), 05-Авг-23, 13:34	+/–
> Government CAs who are currently included: (CAs that are owned/operated by the government of a country or region. > Government of France > Government of Hong Kong (SAR), Hongkong Post > Government of Japan, Ministry of Internal Affairs and Communications > Government of Spain, Autoritat de Certificació de la Comunitat Valenciana (ACCV) > Government of Spain (CAV), Izenpe S.A. > Government of The Netherlands, PKIoverheid > Government of Taiwan, Government Root Certification Authority (GRCA) > Government of Turkey, Kamu Sertifikasyon Merkezi (Kamu SM) https://wiki.mozilla.org/CA:GovernmentCAs Да, очень удивительно. Хотя постой, нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #114

148. Сообщение от Анонус (?), 05-Авг-23, 13:36	+1 +/–
Погуглю за тебя, чего уж там https://www.gosuslugi.ru/tls
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107 Ответы: #161

150. Сообщение от пох. (?), 05-Авг-23, 14:09	+/–
> ua.opennet.ru > ukr.opennet.ru > лол, кек :) забыли выписать? забыли про их существование - товарищмайор велели забыть, а то дискредитация же ж! Даже не удалив (забыли наглухо). забавно что там, кажется, iLO какого-то сервака торчит в мир.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #137

151. Сообщение от пох. (?), 05-Авг-23, 14:15	+/–
> Да ладно вам, пох, для меня это просто новость, какой-то Виндовс стор то есть для тебя новость что в нормальных операционных системах есть (было) общесистемное хранилище сертификатов, управляемое средствами системы и не требующее ручного чебураханья с каждой программой которой приспичит использовать ssl, настраивая ей сертификаты отдельно? И только мразила, лучше всех знающая что тебе надо (а скорее просто неосилившая апи) все делала наперекосяк. Ну ничего, сейчас гугль уже успешно подхватил эту глупость, он точно лучше знает, какие сертификаты правильные. К счастью, в корпоративной версии все еще отключаемо. (И да, защита от очумелых ручек юзера или перехватившего управление васяна тоже пошла по п-де) > Давно не интересовался виндовсом, а оно вот как оказывается, ненужно ничего вообще > делать, можно митмить шиндовс без всяких заморочек. Круто же! админу - можно. А вот в мразиле может подменить серт любой васян с доступом к профайлу. Но эти 3% никому неинтересны и васяну оказались тоже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #132

152. Сообщение от пох. (?), 05-Авг-23, 14:19	+/–
>>ключом ничем не хуже твоего > пининг по фингерпринту как в ссх нуно делать при первом подключении так он был - причем правильный, без всяких ненужных пользователю фигнепринтов и ручного "введите yEs, нет, неправильно, следите за руками - yeS!" Но это оказалось небебебезопастно - ведь васян, прое..вший сертификат и не позаботившийся заранее о запасном, мог навсегда потерять свой нужный и полезный сайт! (да и г-ну полковнику лишние сложности создались бы)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #138

153. Сообщение от пох. (?), 05-Авг-23, 16:16	+/–
>> вот если деньгов заплатить за воздух – совершенно другое дело > Заметьте. Это пишет человек из узкого мира. Который платит за "капремонт", "медицину", > "безопасность" и вот это все. Всю жизнь платит. Принудительно и безальтернативно. как будто в твоем мире можно налоги не платить? (бешенцам, конечно, можно, но тут тоже можно... недолго) И как будто их не потратят на точно такую же х-ню? Напоминаю - коммифорния при потратила четыре миллиарда долларов на "исследование вреда вейпов".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #145

154. Сообщение от пох. (?), 05-Авг-23, 16:36	+/–
> параноики проверяют сертификат до открытия браузера. а браузер вообще не запускают, зачем оно им. >>> государственным службам можно быть на том конце. частным лицам/хакерам - нельзя. >> Хакеров в сотовой сети нет, всё шифруется аппаратным ключом из симки, хахаха... комплекты для on-the-air перехвата 2g/3g существуют с конца 90х. в _частных_ ручках. C 4g все становится несколько сложнее и запутанней, но там шифрует не симка, разумеется. > например коммутатор, на котором хакер (нечистоплотный сотрудник) видит весь трафик, через > тот-же зеркальный порт что и госслужбы. не хотел бы тебя огорчать, но подключиться беспалева к этому коммутатору крайне запутанная и маловыполнимая идея. И что подключать тоже непонятно. Ну кроме одного засветившегося тут чешского, что-ли, оператора, зачем-то устроившего из своей сети в очень демократичной и независимой стране службу тотальной прослушки. В РФ, если что, как минимум у половины большой 3+1 такого технически нет. > угроза та-же самая - нечистоплотный сотрудник. с массой свободного времени и очень высокой должностью - чтобы коллеги не задали вопрос -какого ты тут делаешь и не укpoпский ли шпиен часом (и соанский!)? > но есть разница, государевых людей мало и они проходят отбор. а у Государевы люди слили вон распылителей ядохимикатов, имеющих крыши на высшем уровне и вполне обученных (но не совсем) соблюдать конспирацию. Про обычных смертных уже и не смешно - в телеге можно купить любого и занедорого. Проходят отбор, да, "что-то я среди вас одноглазых не вижу". > провайдера любой бомж может работать, лишь бы умел кнопки нажимать. чтобы тебя допустили понажимать - надо потратить очень изрядно времени и усилий. А вып-дить с волчьим билетом могут просто на раз. > а на пути tcp\ip пакета таких бомж-провайдеров несколько. если только ты не подключился в каком-нибудь Урюпинске к совсем бомж-провайдеру (в таких местах еще остались если совсем старательно поискать) - их ноль. А вот без оборудования товарищмайора...ну, собственно, потому бомж-провайдеры и перевелись почти совсем - оно, с-ко, дорогое. А кто не все - у тех коров отняли и в колхоз загнали за трудодни работать. >> работают во многих корпоративных сетях. На уровне страны тоже иногда встречаются. пока только Казахстан. Но там неприятность произошла, прям сразу. Ну и РФ в процессе реализации. > это требует определенных административных мер. корневой сертификат "своего" СА внедрить > на все устройства, например. А не будут внедрять - отключим сбер!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105 Ответы: #156

155. Сообщение от пох. (?), 05-Авг-23, 16:40	+/–
>> но вообще это стандартная практика в соответствии с требованиями и рекомендациями регулятора, > это не проблема всех банков, это костыль навязанный локальным регулятором. причем я бы товарищмайора попросил посмотреть пристально - какой именно такой локации, уведомлена ли налоговая в родной стране об "открытии зарубежного счета и движениях", не получал ли или не отправлял ли экстремистам, или вовсе не совершил ли национал-предательства? Скрепные регуляторы возможность стырить все твои деньги ни разу не ограничивали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #141

156. Сообщение от Атон (?), 05-Авг-23, 16:53	+/–
>>>> государственным службам можно быть на том конце. частным лицам/хакерам - нельзя. >>> Хакеров в сотовой сети нет, всё шифруется аппаратным ключом из симки, > хахаха... комплекты для on-the-air перехвата 2g/3g существуют с конца 90х. > в _частных_ ручках. существуют, но с 10х годов как дорогие массогабаритные макеты. >> угроза та-же самая - нечистоплотный сотрудник. > с массой свободного времени и очень высокой должностью - чтобы коллеги не > задали вопрос -какого ты тут делаешь и не укpoпский ли шпиен > часом (и соанский!)? >> провайдера любой бомж может работать, лишь бы умел кнопки нажимать. > чтобы тебя допустили понажимать - надо потратить очень изрядно времени и усилий. я прошел собеседование за 15 минут. >> а на пути tcp\ip пакета таких бомж-провайдеров несколько. > если только ты не подключился в каком-нибудь Урюпинске к совсем бомж-провайдеру (в > таких местах еще остались если совсем старательно поискать) - их ноль. провайдера с рекламными врезками в трафик на железках управляемых посторонней компанией, нужно напоминать? >>> работают во многих корпоративных сетях. На уровне страны тоже иногда встречаются. > пока только Казахстан. Но там неприятность произошла, прям сразу. > Ну и РФ в процессе реализации. этим твои скудные познания и ограничиваются? мне тебя, снова, жаль.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #154 Ответы: #157

157. Сообщение от пох. (?), 05-Авг-23, 17:08	+/–
>> чтобы тебя допустили понажимать - надо потратить очень изрядно времени и усилий. > я прошел собеседование за 15 минут. в каком ухрюпинске? Или это теперь такая г0йда настала (я на пару лет отвлекся от местных реалий) что работать вообще некому, любые васяны с улицы здрасьте? Да ну нахрен, у вас же телеком, оттуда не берут? Куда они все подевались? > провайдера с рекламными врезками в трафик на железках управляемых посторонней компанией, нужно > напоминать? чего это посторонней? Посторонние у двух других собственно транспортной сетью рулят (но там кого надо посторонние, тоже с улицы не зайдешь), а тут свои, под основным брендом. И там собеседование нифига не 15 минут, я потратил часа два на них (нисколечки не выражая в процессе энтузиазма там работать, а то можно было наверное и на третий остаться)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #156 Ответы: #159

159. Сообщение от Атон (?), 06-Авг-23, 14:41	+/–
>>> чтобы тебя допустили понажимать - надо потратить очень изрядно времени и усилий. >> я прошел собеседование за 15 минут. > в каком ухрюпинске? в болотинске. > лет отвлекся от местных реалий) что работать вообще некому, любые васяны > с улицы здрасьте? нет. тебя не возьмут. > И там собеседование нифига не 15 минут, я потратил часа два на > них
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #157

160. Сообщение от keydon (ok), 07-Авг-23, 18:33	+/–
> для массового пользователя вполне работает. Попробуй хотя бы даже готовой с тобой > сотрудничать домохозяйке подсунуть свой 1etsencrypt- потом приходи рассказывать сказочки. Товарищ майор, перелогиньтесь. > другое дело что массовому пользователю вообще не нужны сертификаты в большинстве случаев. "скрывать нечего"? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

161. Сообщение от Golangdev (?), 08-Авг-23, 01:17	+1 +/–
Спасибо!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #148

162. Сообщение от Аноним (162), 08-Авг-23, 01:46	+/–
Никогда такого не встречал, хотя по командировкам мотаюсь более двух десятков лет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121

163. Сообщение от Андрей (??), 08-Авг-23, 23:21	+/–
Самое неудачное применение термина Суверенитет. Он вообще-то означает независимость гос-ва во внешних делах и верховенство центральной власти и законов внутри гос-ва. Как такую сову натянуть на глобус по имени Интернет для меня загадка. Но вероятно у вас уже есть ответ...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100

164. Сообщение от Аноним (164), 10-Авг-23, 09:45	+/–
раньше был свободный интернет, а теперь он принадлежит владельцам CA.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема