| |
| 2.114, Michael Shigorin (ok), 18:25, 02/04/2015 [^] [^^] [^^^] [ответить]
| +/– |
 > как в анекдоте:
Мне вот это: "Одним из условий возвращения доверия к CNNIC в Chrome является внедрение прозрачной схемы распределения сертификатов" кажется хорошим началом ответного предложения: "Одним из условий возвращения доверия к Google в Китае является внедрение прозрачной схемы взаимодействия с АНБ".
| | |
|
| 1.3, Капитан (??), 09:20, 02/04/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> Если требования не будут выполнены, информация о корневом сертификате CNNIC будет удалена из Firefox
Предварительно записал в черный список CA
| | |
| |
| 2.48, Аноним (-), 12:38, 02/04/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> Предварительно записал в черный список CA
Превентивно удалил. Пусть дальше выдают левые серты, если хотят :)
| | |
| |
| 3.68, клоун (?), 14:05, 02/04/2015 [^] [^^] [^^^] [ответить] | +5 +/– | Mozilla и Google хотят отжать бабла, а вот лично вам какой интерес Вообще схема... большой текст свёрнут, показать | | |
| |
| 4.89, Аноним (-), 15:53, 02/04/2015 [^] [^^] [^^^] [ответить]
| +6 +/– |
На этот раз наш клоун чистую правду сказал. Что бывает нечасто, согласен.
| | |
| |
| |
| 6.108, Аноним (-), 17:42, 02/04/2015 [^] [^^] [^^^] [ответить]
| +3 +/– |
Удобно устроился: объявляешь мнение предвзятым и в дамках. Мудёр бобёр.
| | |
| 6.154, Аноним (-), 00:08, 04/04/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> Предвзятое мнение редко бывает правдой.
Нет, золотой мой. Оно редко считается правдой. Миллионы мух же не ошибаются, верно?
| | |
|
|
| 4.109, Аноним (-), 17:45, 02/04/2015 [^] [^^] [^^^] [ответить]
| +1 +/– | |
ОК, а зачем CNNIC передал промежуточный корневой сертификат сторонней компании, в нарушение всех правил? Типа CNNIC теперь скажет «извините, мы больше так не будем» и всё ок?
Центр сертификации сознательно нарушил правила и должен быть исключён из списка доверенных. А свои бредовые фантазии про бабло пиши пожалуйста сразу в помойку, а не сюда.
| | |
| |
| 5.120, Аноним (-), 19:17, 02/04/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
популярность центра сертификации бред, но вообще описана модель монетизации бесплатного браузера.
| | |
|
|
|
|
| 1.4, Аноним (-), 09:33, 02/04/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
CNNIC уже начал процедуру банкротства?
Представляю реакцию клиентов...
| | |
| |
| 2.95, Аноним (-), 16:21, 02/04/2015 [^] [^^] [^^^] [ответить]
| +/– | |
>CNNIC уже начал процедуру банкротства?
Вот будет смеху если они вместо этого обратятся в ЦК КПК и попросят защиты от империалистического беспредела! :)
А те в ответ запретят пользоваться хромом в кейтае :) Гугл начнёт процедуру банкротства? :)
>Представляю реакцию клиентов...
А представь мой вариант :) Камаз попкорна! :)
| | |
| |
| 3.97, Аноним (-), 16:25, 02/04/2015 [^] [^^] [^^^] [ответить]
| +/– |
> А те в ответ запретят пользоваться хромом в кейтае :) Гугл начнёт
> процедуру банкротства? :)
Гугл поддержит новый стартап.
| | |
| 3.105, none_first (ok), 17:19, 02/04/2015 [^] [^^] [^^^] [ответить]
| +2 +/– |
 остается открытым вопрос - сколько удостоверяющих центров провели аналогичные процедуры в СШП? ;)
и их, при этом, не раскрыли
| | |
| |
| 4.155, Аноним (-), 00:09, 04/04/2015 [^] [^^] [^^^] [ответить]
| +/– |
> остается открытым вопрос - сколько удостоверяющих центров провели аналогичные процедуры
> в СШП? ;)
> и их, при этом, не раскрыли
Все до единого. Ты все еще веришь в то, что https от чего-то там защищает?
| | |
|
| 3.124, Аноним (-), 19:25, 02/04/2015 [^] [^^] [^^^] [ответить]
| +/– | |
>А те в ответ запретят пользоваться хромом в кейтае :)
и сделают свой форк. Почему нет? Уже все сделали форк хромиума.
| | |
|
|
| 1.6, Xasd (ok), 09:49, 02/04/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > не все сертификаты CNNIC, а только выписанные после определённого момента
а задним числом -- нельзя выписывать? имея закрытый ключ в своём распояжении.
| | |
| |
| 2.116, Аноним (-), 18:35, 02/04/2015 [^] [^^] [^^^] [ответить]
| +/– | |
>а задним числом -- нельзя выписывать? имея закрытый ключ в своём распояжении.
можно, но в хроме будет whitelist, если встретится сертификат не из списка - CCNIC выдадут пожизненный банан.
| | |
| |
| 3.156, Аноним (-), 00:10, 04/04/2015 [^] [^^] [^^^] [ответить]
| +/– |
>>а задним числом -- нельзя выписывать? имея закрытый ключ в своём распояжении.
> можно, но в хроме будет whitelist, если встретится сертификат не из списка
> - CCNIC выдадут пожизненный банан.
"Если" - хорошее слово.
| | |
|
|
| 1.7, YetAnotherOnanym (ok), 09:53, 02/04/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Что мешает остальным CA заниматься тем же? И разве CNNIC виноват в том, что их партнёр нарушил взятые на себя обязательства?
Всё дело в том, что сама идея поставки набора корневых сертификатов в составе ПО порочна в самой своей сути.
| | |
| |
| 2.8, new_name (?), 10:00, 02/04/2015 [^] [^^] [^^^] [ответить]
| +/– |
Почему порочна? А как их передавать по сети? Так подменят же. Просто нет другого варианта как включать их в состав ПО.
| | |
| 2.12, rshadow (ok), 10:27, 02/04/2015 [^] [^^] [^^^] [ответить]
| +12 +/– |
 Порочна, в первую очередь, идея продавать воздух.
А вообще правильно все. Кто сеть делает, тот и диктует условия. Мозилловцы вроде горозились бесплатно сертификаты раздавать, так что пусть спасибо скажут. Одно легкое движение руки и сертификационных центров останется всего четыре... Мозилла, гугл, мс и огрызок.
| | |
| |
| 3.60, Anonplus (?), 13:36, 02/04/2015 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>> Порочна, в первую очередь, идея продавать воздух.
Нотариусы, по-вашему, тоже воздух продают? Это не "воздух", а услуга. Авторитетный центр своей репутацией заверяет, что вон тот сайт - действительно тот, за кого себя выдает и принадлежит конкретному Васе Пупкину, а не Пусе Вапкину, который с помощью mitm-атаки перенаправил юзера на поддельную копию сайта.
То, что авторитетный центр может быть недобросоветсным, не означает, что вся эта инфраструктура бесполезна. Вам когда в магазине поддельный товар продают, вы же не начинаете рассуждать "ну вот, мне МОГУТ продать подделку, давайте закроем все магазины"?
| | |
| |
| |
| Часть нити удалена модератором |
| 5.70, клоун (?), 14:13, 02/04/2015 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Ты попросил нотариуса заверить копию документа, в котором утверждалось, что ты единоличный владелец ГазПрома (а чё мелочиться).
Теперь у тебя есть нотариально заверенный документ, но вот владельцем это тебя не делает.
Тебе продали воздух, а ты этого даже не понял.
Государство (за мзду) делегировало нотариусу право (за мзду) подтверждать документы.
Сертификационный центр (за мзду) выдаёт подтверждающие сертификаты.
В обоих случаях идёт торговля "доверием", которое тебе предлагают (а в ряде случаев обязывают) купить. В средневековье прощениями (индульгенциями) торговали, но, видимо, доверие продаётся лучше.
| | |
| |
| 6.91, ram_scan (?), 16:13, 02/04/2015 [^] [^^] [^^^] [ответить]
| +2 +/– |
>Ты попросил нотариуса заверить копию документа, в котором утверждалось, что ты единоличный владелец ГазПрома (а чё мелочиться).
> Теперь у тебя есть нотариально заверенный документ, но вот владельцем это тебя не делает.
Ни один нотариус такой подгон не удостоверит. Потому-что за то что удостоверяет отвечает личной шкурой и собственным баблом. И буде дойдет дело до суда удостоверятеля ждет как минимум попадос на бабки, как максимум и попадос на бабки и лес валить.
Не путайте теплое с мягким.
| | |
| |
| 7.106, Штунц (?), 17:30, 02/04/2015 [^] [^^] [^^^] [ответить]
| +/– | |
нотариус заверяет копии документов, гарантируя, что копия идентична оригиналу.
Товарищ выше, видимо, имел ввиду, что если клиент принесет нотариусу документ, в котором утверждается, что он (клиент) владелец Газпрома, то нотариус спокойно заверит его копию. Т.к. она идентична. Более того, нотариусу совсем не обязательно понимать, что там написано. Он заверяет идентичность ИЗОБРАЖЕНИЯ.
| | |
| 7.107, клоун (?), 17:39, 02/04/2015 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Бестолочь она и есть бестолочь. Ты даже не понимаешь за что ты нотариусу платишь... Воистинну, говорю я вам: скупой платит дважды, дурак трижды, л-х столько, сколько скажут.
http://нотариальная-контора-москва.рф/zaverenie_kopiy
Нотариус своим заверением подтверждает, что копия соответствует оригиналу, а не содержание оригинала.
| | |
| |
| |
| 9.147, клоун (?), 11:07, 03/04/2015 [^] [^^] [^^^] [ответить] | –1 +/– | Свою писулю о чём Люди фанатично верят в документы с печатями и столь же фанати... большой текст свёрнут, показать | | |
|
|
|
|
|
| 4.149, csdoc (ok), 19:41, 03/04/2015 [^] [^^] [^^^] [ответить] | +/– |  Вот собственно репутацию этого удостоверяющего центра гугл с мозиллой и атакуют ... большой текст свёрнут, показать | | |
|
|
| 2.13, Аноним (-), 10:28, 02/04/2015 [^] [^^] [^^^] [ответить] | +1 +/– | Скорее всего, когда Мозилла и Гугл добавляют сертификат конкретного центра в бра... большой текст свёрнут, показать | | |
| |
| |
| |
| |
| |
| |
| |
| |
| Часть нити удалена модератором |
| |
| 11.117, arisu (ok), 18:43, 02/04/2015 [^] [^^] [^^^] [ответить] | +1 +/– |  не вижу в этом ничего ненормального я не утверждал, что у меня иммунитет ой, а... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
| 3.32, Анонимус_б6 (ok), 11:54, 02/04/2015 [^] [^^] [^^^] [ответить]
| +/– |
 эм, каждому взрослому человеку по достижении им возраста 18 лет вручать ЭЦП, выданное федеральным казначейством и годное 2 года? Разработать соответствующий софт, который будет работать на стороне банка (или госуслуг или чего угодно еще), имея соединение с серверами федерального казнчейства, и проверять подлинность Васи-сантехника?
зы: я не специалист ни разу, просто высказал мнение
| | |
| |
| 4.38, правдоруб (?), 12:27, 02/04/2015 [^] [^^] [^^^] [ответить]
| +/– |
Это автоматически означает, что государство сможет подписывать от лица человека.
| | |
| 4.51, Crazy Alex (ok), 12:56, 02/04/2015 [^] [^^] [^^^] [ответить]
| +/– |
 Проблема не в том, чтобы проверить подлинность Васи - с этим и логины/пароли вместе со всякими токенами справяются. Проблема в том, как проверить подлинность банка. Или фейсбука. Или ещё какого сервиса. Который, возможно, находится за пределами РФ и чхать на неё хотел, а возможно - это какой-нибудь wikileaks, который государству не доверяет в принципе.
| | |
| |
| 5.53, arisu (ok), 13:08, 02/04/2015 [^] [^^] [^^^] [ответить]
| +/– | |
и эта проблема в принципе не решается без личного получения от другой стороны удостоверяющего токена, по неэлектрическим каналам.
частичное решение — web of trust с жёстко контролируемыми кольцами доверия.
| | |
| |
| 6.64, Crazy Alex (ok), 13:50, 02/04/2015 [^] [^^] [^^^] [ответить]
| +/– |
"Чётко контролируемыми" - означает ручную работу по выбору. А вот рандомные запросы к нескольким участникам пула серверов, хранящих данные о предлагаемых сервером сертификатах + pinning - выглядит менее геморройным для пользователя.
| | |
| |
| 7.150, csdoc (ok), 19:54, 03/04/2015 [^] [^^] [^^^] [ответить]
| +/– |
> А вот рандомные запросы к нескольким участникам пула серверов,
> хранящих данные о предлагаемых сервером сертификатах
> + pinning - выглядит менее геморройным для пользователя.
Что будет происходить в случае устаревания
сертификата и необходимости его замены на новый?
И как участники пула серверов будут знать, что сайту www.google.com
соответствует именно вот этот сертификат ХХХХХХХХХХХХХХХ, а не какой-то другой?
| | |
|
|
|
|
| 3.34, YetAnotherOnanym (ok), 12:08, 02/04/2015 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> и хочет быть уверенным, что этот сайт действительно принадлежит конкретному банку
Вот именно - чтобы Вася был уверен. То, что уверенность Васи можен не иметь ничего общего с реальным положением дел, уже никого не волнует. Вася пребывает в уверенности, банк в случае чего обвинит самого Васю, создатели броузера тоже ни за что не отвечают (Вася принял лицензионное соглашение), а то, что у Васи, на самом деле, в броузере открыт сайт злобных хацкеров, подписанный ключом любого из CA - это потом будут его проблемы.
| | |
| |
| 4.129, Аноним (-), 19:35, 02/04/2015 [^] [^^] [^^^] [ответить]
| +/– |
это проблемы банка, а не Васи. Банку по жалобе Васи или по решению суда придется деньги вернуть.
| | |
| |
| 5.151, csdoc (ok), 19:58, 03/04/2015 [^] [^^] [^^^] [ответить]
| +/– |
> это проблемы банка, а не Васи. Банку по жалобе Васи
> или по решению суда придется деньги вернуть.
Не вернет. Банк скажет "вы стали жертвой мошенничества со стороны неустановленных лиц, рекомендуем вам обратиться в правоохранительные органы с соответствующим заявлением".
Банк не отвечает за последствия от наличия вирусов/троянов на компьютере Васи
и/или MITM-прокси между компьютером Васи и сервером банка.
И никакой суд не заставит его нести такую ответственность.
| | |
|
|
| 3.43, Аноним (-), 12:33, 02/04/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> (Вася обычный сантехник и "компьютеры не умеет").
Знаешь анекдот про "когда же будет хорошо?". Вот сантехнику Васе в плане криптографии будет хорошо и безопасно примерно тогда же. В смысле, вообще совсем ничего не знать о криптографии - не получится. Но это не значит что нельзя сделать интерфейс с которым смог бы работать даже сантехник, если он способен понять некоторые совсем базовые моменты.
Ну, примерно как я хоть и не сантехник, но в курсе где перекрваыть воду, etc.
| | |
| |
| 4.52, Crazy Alex (ok), 13:04, 02/04/2015 [^] [^^] [^^^] [ответить]
| +/– |
В прицнипе можно и чтобы совсем ничего не знал, если это будет отдельное устройство для доступа к банку. CA тогда, кстати, абсолютно без надобности. А так - дело обычно даже не в неграмотности, а в нежелании изучить правила безопасного серфинга. Банки-то, в общем, обычно имеют комплекс мер, которые позволяют легко отличить фишинговый сайт - вроде персонализированного приветствия на странице. В этом плане со всякими фейсбуками хуже.
| | |
| |
| 5.152, csdoc (ok), 20:03, 03/04/2015 [^] [^^] [^^^] [ответить]
| +/– |
> А так - дело обычно даже не в неграмотности, а в нежелании изучить
> правила безопасного серфинга. Банки-то, в общем, обычно имеют
> комплекс мер, которые позволяют легко отличить фишинговый сайт
> - вроде персонализированного приветствия на странице.
Персонализированное приветствие никак не поможет защититься от MitM-proxy,
которое имеет поддельный сертификат банка, подписанный корневым сертификатом,
которому доверяет браузер клиента.
| | |
|
|
|
| 2.21, sokolow (ok), 11:14, 02/04/2015 [^] [^^] [^^^] [ответить]
| +/– |
 Правильным решением было бы в каждой стране сделать по одному жестко контроллируемому корневому CA, выдающему сертификаты конечным пользователям. Если какой-то из них скомпрометировал себя, то поганой метлой его из браузеров.
А всех этих посредников-нахлебников промежуточных CA давно пора распустить, если кто хочет пусть зарабатывает на приложениях и железе для электронных подписей, там тоже дел не впроворот
| | |
| |
| 3.33, vitalif (ok), 12:01, 02/04/2015 [^] [^^] [^^^] [ответить]
| +4 +/– |
 Не, вот это как раз хреновое решение, т.к. к тебе сразу ФСБ полезет, а не только госдеп...
| | |
| |
| 4.94, ram_scan (?), 16:20, 02/04/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Не, вот это как раз хреновое решение, т.к. к тебе сразу ФСБ
> полезет, а не только госдеп...
Есть мнение, что ФСБ по сравнению с госдепом - милейшие парни.
| | |
| |
| 5.98, Аноним (-), 16:34, 02/04/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
Мнение сильно зависит в какой из двухъ контор ты работаешь :)))
| | |
| |
| 6.132, Аноним (-), 19:39, 02/04/2015 [^] [^^] [^^^] [ответить]
| +/– |
так можно доиграться до того что фсб не будет, а обозленный госдеп станет рядом.
Или вообще ни фсб, ни тебя не будет
| | |
|
|
|
| |
| 4.46, sokolow (ok), 12:36, 02/04/2015 [^] [^^] [^^^] [ответить]
| +/– |
В прямом. В нынешней схеме у сертификата 100500 УЦ в цепочке. А надо, чтоб был один но надежный.
| | |
| |
| |
| 6.159, Аноним (-), 00:15, 04/04/2015 [^] [^^] [^^^] [ответить]
| +/– |
>>но надежный
> И где его взять?
У своего корреспондента. Лично. В руки. Как в PGP предполагалось.
| | |
|
|
|
|
| 2.59, Sluggard (ok), 13:35, 02/04/2015 [^] [^^] [^^^] [ответить]
| +4 +/– |
 > И разве CNNIC виноват в том, что их партнёр нарушил взятые на себя обязательства?
Виноват, это именно CNNIC передал вторичный корневой сертификат тем, у кого нет права на обращение с ним.
| | |
|
| 1.10, Аноним (-), 10:18, 02/04/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +10 +/– | |
Амеры как всегда в своем стиле. Если Американская контора накосячила http://www.opennet.dev/opennews/art.shtml?num=33034 с сертификатами, то мы пошумим и разойдемся (еще бы, бодаться себе дороже). Если это сделала неамериканская контора - заблокируем, прессанем, засудим, - пусть откупаются, если смогут. Отозвали бы тогда сертификат Trustwave, наверняка, ни китайцы, ни кто другой так внаглую продавать сертификаты не стали бы.
Та же ситуация в сфере "инноваций". Патентные разборки между американскими конторами - много шума, понта и пустой выхлоп, т.к. чтобы реально прижать америнканскую контору в штатах нужно сильно постараться (и получить решение суда). С иностранными компаниями в штатах бодаться проще - там достаточно решения торговой комиссии, потому Samsung в штатах всегда в проигрышном положении...
Сплошное лицемерие, бабки и сказки про заботу о пользователях.
Сделали бы в браузере доступ из JavaScript к информации о полученном сертификате сервера - через месяц был бы список ВСЕХ центров сертификации, которые торгуют доверием налево, через год у них не осталось бы ни одного клиента. Но, гуглу и мозилле нужно контролировать, кто будет работать на ранке, а кто нет.
| | |
| |
| 2.56, anonymous (??), 13:15, 02/04/2015 [^] [^^] [^^^] [ответить]
| +/– |
В том случае сертификат не был похищен злоумышленниками, поэтому общественный резонанс был меньше?
В целом согласен с Вами, отвратительная практика, но давайте не будем лицемерить, дело то не в американцах - люди склонны делить мир на своих и чужих.
| | |
| |
| 3.58, anonymous (??), 13:35, 02/04/2015 [^] [^^] [^^^] [ответить]
| +/– |
Прошу прощения, перечитал предыдущую новость, в данном случае тоже не было злоумышленников, не уверен почему я так ее понял. Ситуации полностью идентичные
| | |
| |
| 4.66, Crazy Alex (ok), 13:54, 02/04/2015 [^] [^^] [^^^] [ответить]
| +/– |
Разница в том, что TrustWave сам дал по башке тем, кто выданный вторичный корневой использовал не так, как обязывался, а этих поймали на горячем.
| | |
| |
| 5.71, Аноним (-), 14:22, 02/04/2015 [^] [^^] [^^^] [ответить] | +1 +/– | Вообще-то нет никакой разницы TrustWave продали сертификат для использования в ... большой текст свёрнут, показать | | |
| |
| 6.74, Crazy Alex (ok), 14:48, 02/04/2015 [^] [^^] [^^^] [ответить]
| –1 +/– | |
во-первых, идея в том, что Trustwave пошел на сотрудничество (и сертификат таки был в TPM), а в случае с CNNIC - никаких попыток отзыва, похоже, не было и клиент явно не соблюдал политики, связанные с хранением сертификата - да, проверка этого в данном случае - тоже ответственность CNNIC.
Во-вторых - насколько я понимаю, никто CNNIC особо не хоронит. Ключ выкинули, сертифкаты доменов - в вайтлист, после реализации CNNIC Certificate Transparency добавят новый. Болезненно, но не смертельно. Когда был случай с TrustWave механихмов, чтобы подобное сделать, ещё не было, и выкинуть сертификат TrustWave - значило бы нарушить работу кучи его клиентов.
| | |
| |
| 7.77, Аноним (-), 15:05, 02/04/2015 [^] [^^] [^^^] [ответить]
| +1 +/– | |
IMHO, был сертификат в HSM или в открытом виде - разница невелика. В обоих случаях его нужно отозвать, т.к. само наличие такого сертификата у левых людей подрывает доверие к TLS, потому что третьей стороне доверять уже нельзя.
Но самое главное, пока контроль за этой системой находится у кучки CA и гугла с мозиллой, подобные ситуации будут повторяться регулярно (еще дедушка Маркс в позапрошлом веке сказал, на что пойдут капиталисты ради прибыли). Так что для наведения порядка необходимо, чтобы контроль частично был и у простых администраторов серверов с веб-программистами.
| | |
| |
| |
| 9.141, Аноним (-), 21:39, 02/04/2015 [^] [^^] [^^^] [ответить] | +1 +/– | Нет никакой разницы Вообще никакой Потому что TrustWave не имел права отдавать... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
| 2.63, Crazy Alex (ok), 13:46, 02/04/2015 [^] [^^] [^^^] [ответить]
| +/– |
Насколько я смог выяснить, понимаю, с Trustwave вышла довольно простая ситуация. Во-первых, они сами рассказали о проблеме. Наказывать за это выносом корневого сертификата - значит гарантировать, что остальные будут молчать до последнего. Во-вторых ситуация с DigiNotar создала огромное количество проблем для его клиентов. Учитывая, что TrustWave на порядок крупнее и его сертификатами пользовалась куча правительственных агенств и крупных бизнесов - сочли, что ущерб будет слишком велик. Я бы сказал, что это вполне заслуживающая внимания точка зрения - не стоит мышей ядерной бомбой уничтожать, даже если они всерьёз допекли.
| | |
| |
| 3.76, Аноним (-), 14:53, 02/04/2015 [^] [^^] [^^^] [ответить] | +1 +/– | В таком случае ситуация развивалась таким образом 1 TrustWave сознательно прод... большой текст свёрнут, показать | | |
| |
| 4.78, Crazy Alex (ok), 15:06, 02/04/2015 [^] [^^] [^^^] [ответить]
| +/– | |
Пара ошибок.
1) Мозилла не решала исключить их сертификат. Тоже "задумалась", выкатила письмо для CA, рассказав, что так делать нехорошо и что мониторить можно только свои домены. И всё.
2) не траствейв не по зубам, а масса их клиентов. Которым не впились проблемы с ровного места. Неужели так сложно понять, что отзыв корневого сертификата - это удар не только по CA, но и по его клиентам?
| | |
| |
| 5.79, правдоруб (?), 15:33, 02/04/2015 [^] [^^] [^^^] [ответить]
| +/– |
Ты неправильно ставишь вопрос, ударом по его клиентам являются левые сертификаты.
| | |
| |
| 6.121, Crazy Alex (ok), 19:21, 02/04/2015 [^] [^^] [^^^] [ответить]
| +/– |
Нормально я ставлю вопрос. Левые сертификаты - оно да, но куча ругани на вполне легитимные сайты - это вполне реальные потери для бизнесов и их клиентов. И это тоже часть уравнения, которую надо учитывать.
| | |
| |
| 7.139, Andrey Mitrofanov (?), 21:16, 02/04/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> но куча ругани на вполне легитимные сайты с сертификатами от вполне легитимных зас*анцев - это вполне реальные потери иллюзий для бизнесов и их клиентов.
//fixed
| | |
|
|
| 5.83, arisu (ok), 15:41, 02/04/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Неужели так сложно понять, что отзыв
> корневого сертификата - это удар не только по CA, но
> и по его клиентам?
а кому это интересно? с точки зрения обычного человека это выглядит так: CA сознательно налажал, его пожурили, на безопасность end users всем наплевать.
впрочем, ситуацию спасает то, что подавляющее большинство пользователей непроходимо тупо, и подобные умозаключения вне их интеллектуальных возможностей.
| | |
| |
| 6.122, Crazy Alex (ok), 19:23, 02/04/2015 [^] [^^] [^^^] [ответить]
| +/– |
Ну вот тем, кто принимал решение, оказалось интересно. И правильно, в общем-то - иначе бы пострадала куча совершенно не относящегося к делу народа - тех, кто пользовался сертификатами убитого CA и их клиентов. Сейчас есть другая механика (белые списки) - её используют.
| | |
| |
| 7.131, arisu (ok), 19:36, 02/04/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> Ну вот тем, кто принимал решение, оказалось интересно.
конечно. жаль, что интересна им прибыль, а не безопасность. ожидаемо, но всё равно жаль.
| | |
|
| 6.161, Аноним (-), 00:17, 04/04/2015 [^] [^^] [^^^] [ответить]
| +/– |
>> Неужели так сложно понять, что отзыв
>> корневого сертификата - это удар не только по CA, но
>> и по его клиентам?
> а кому это интересно? с точки зрения обычного человека это выглядит так:
> CA сознательно налажал, его пожурили, на безопасность end users всем наплевать.
На носу заруби - где есть доверие, нет и не может быть никакой безопасности.
> впрочем, ситуацию спасает то, что подавляющее большинство пользователей непроходимо тупо,
> и подобные умозаключения вне их интеллектуальных возможностей.
Другие не лучше.
| | |
|
|
|
|
| 2.82, Аноним (-), 15:39, 02/04/2015 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Амеры как всегда в своем стиле.
Хорошо шашкой махать на патриотическом коне? Вникать не надо.
| | |
| |
| 3.101, Аноним (-), 16:49, 02/04/2015 [^] [^^] [^^^] [ответить]
| +/– |
>> Амеры как всегда в своем стиле.
> Хорошо шашкой махать на патриотическом коне? Вникать не надо.
А если вникать мил человек, то ... надо пересесть с коня за пульт Тополя :-р
Так что радуйся что пока просто шашкой :)
| | |
|
| 2.153, csdoc (ok), 20:18, 03/04/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Сделали бы в браузере доступ из JavaScript к информации о полученном сертификате
> сервера - через месяц был бы список ВСЕХ центров сертификации, которые
> торгуют доверием налево, через год у них не осталось бы ни
> одного клиента. Но, гуглу и мозилле нужно контролировать, кто будет работать
> на ранке, а кто нет.
Может быть имеет смысл публично озвучить им эту инициативу/предложение?
Вдруг они возьмут и сделают эту фичу в своих браузерах?
После чего все браузеры у которых нет такой фичи можно будет считать небезопасными.
Если не захотят такое делать - было бы интересно почитать отмазки, почему не хотят.
| | |
|
| 1.57, Sluggard (ok), 13:33, 02/04/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> В ответ CNNIC назвал такое решение неприемлемым и непостижимым и пообещал защитить права и интересы своих пользователей.
Нормально так. Они сперва всякой шобле раздают корневые сертификаты, а потом удивляются, чего это им не хотят доверять. Совсем уже охренели?
| | |
| 1.67, Aceler (ok), 14:03, 02/04/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > По мнению Google, в текущем виде CNNIC не может гарантировать отсутствие подобных инцидентов
А кто может?
| | |
| |
| 2.69, arisu (ok), 14:08, 02/04/2015 [^] [^^] [^^^] [ответить]
| +2 +/– |
>> По мнению Google, в текущем виде CNNIC не может гарантировать отсутствие подобных инцидентов
> А кто может?
гугель намекает, что по мнению гугеля — гугель может.
| | |
| |
| |
| 4.162, Аноним (-), 00:17, 04/04/2015 [^] [^^] [^^^] [ответить]
| +/– |
> А почему http? Как я могу быть уверен, что это не левый
> сайт?
По уникальному IPv6.
| | |
|
|
| 2.145, fi (ok), 02:13, 03/04/2015 [^] [^^] [^^^] [ответить]
| +/– |
 Главная ошибка CA - отсутствия интеграции с DNS, ну и сильное запаздывание DNSSEC. Получение по FQDN ip, и отсутствия проверки валидность сертификата для него.
| | |
|
|
