Адам Лэнгли (Adam Langley) из компании Google <a href=http://www.imperialviolet.org/2012/02/05/crlsets.html>сообщил</a> о планах отказаться от использования OCSP (http://en.wikipedia.org/wiki/OCSP) и CRL (http://en.wikipedia.org/wiki/Certificate_revocation_list) проверок сертификатов на актуальность в режиме онлайн (Revocation checking) в следующих версиях Chrome. Как известно, при подключении по протоколу HTTPS к любому сайту браузер делает в запрос центр сертификации (Certificate Authorities) на предмет того, не отозван ли сертификат, предъявленный сервером.Лэнгли считает это подход в современных условиях крайне неэффективным. Так, доверенный центр сертификации может быть не доступен браузеру. Например, такая ситуация возникает при web-аутентификации доступа в Интернет, используемой в беспроводных сетях (hotspots) - портал доступа (captive portal) блокирует все ресурсы (в том числе и запросы к CA-серверам), кроме собственного HTTPS-сайта с формой ввода учетных данных. При нед...
URL: http://www.imperialviolet.org/2012/02/05/crlsets.html
Новость: http://www.opennet.me/opennews/art.shtml?num=33034
Trustwave продали корневой сертификат для прослушки шифрованного трафика??!!! Потрясающе!
Похоже у них это на поток поставлено и такие сертификаты они продают направо и налево, просто в этот раз их поймали за руку.Отличный продукт у них на сайте рекламируется https://www.trustwave.com/data-loss-prevention/monitor.php
"The ability to monitor encrypted Web sessions has become a priority as organizations increase their reliance on the Internet to conduct day-to-day business. Integration with web proxies using the standard Internet Content Adaptation Protocol (ICAP) allows the Trustwave solution to both monitor and filter the content of HTTP, HTTPS, and FTP network traffic, and implement preventative controls to block sensitive data before it leaves the corporate network."
Без сертификата, которым можно генерировать сертификаты для любых сайтов такой продукт работать не будет.
> "The ability to monitor encrypted Web sessions has become a priority as
> organizations increase their reliance on the Internet to conduct day-to-day business.The ability to remove certificates of dumb f#$ks has become a priority to safely browse the web.
Написали бы понятно, какой сертификат в Firefox нужно удалить, я бы не стал дожитаться решения Мозилловцев.
> Написали бы понятно, какой сертификат в Firefox нужно удалить, я бы не
> стал дожитаться решения Мозилловцев.Отсортировать по названию конторы и прибить все. Конторам с такой политикой лично я не доверяю по вилдкарду, априори. Так, на всякий случай :)
SecureTrust CA
Зашел на сайт trustwave, посмотрел, что указано в их сертификате, удалил оба builtin object от организации Secure Trust Corporation. Теперь у меня сертификат сайта trustwave является недостоверным.P.S. Пусть продолжают продавать свой бизнес по частям.
Another one bites the dust! В смысле, выпилил нафиг этих торгашей доверием. Таким - не доверяем.
> Зашел на сайт trustwave, посмотрел, что указано в их сертификате, удалил оба
> builtin object от организации Secure Trust Corporation. Теперь у меня сертификат
> сайта trustwave является недостоверным.Из телефона тоже удалил? Из всех программ удалил?
> SecureTrust CADeleted, thanks. Небольшое разминирование.
> Отсортировать по названию конторы и прибить все.причём совершенно все. можно даже и не сортировать, просто сразу прибить.
> Представители Trustwave не видят в этой ситуации ничего выходящего за рамки обычной практики и приводят в качестве примера покупку компанией Symantec центра сертификации VeriSign.А это часом не тот VeriSign, который в позапрошлом году несколько раз взламывали? Хорошенький получается пример.
то то этот https вечно кажется тормознутым
Хорошая инициатива; надеюсь, Firefox вслед за ним откажется.
В Firefox по умолчанию отключена on-line проверка сертификатов в CA. Вернее, если сервер CA недоступен, то ранее полученный сертификат не считается недействительным.Меню Настройка -> Дополнительно -> Шифрование: [Настройки OCSP]
> Вернее, если сервер CA недоступена если он доступен то (поумолчанию) -- мой ip и сертификат-целевого-сайта -- утекают внутрь "глобального надзирательного ока"
...нетуж мне такая настройка поумолчанию както неочень нра :-(
> ...нетуж мне такая настройка поумолчанию както неочень нра :-(Да SSL вообще очень криво сделан. Защита довольно декоративная, есть вот такой зонд, полузаконный MITM вон в новости засветился. Красота!
> мой ip и сертификат-целевого-сайта -- утекают внутрь "глобального надзирательного ока"Сертификаты никуда не перетекают. Прочитайте, как работает протокол OSCP. Если проверка валидности сертификатов и доступности сервера CA, который может её подтвердить, включена, то это улучшает безопасность и взломщику почти невозможно будет реализовать задуманное. А когда "подтверждения" хранятся в локальном списке, то здесь уже будет сразу несколько способов компрометации пользовательской системы от хака на механизм обновления списка до откровенной подделки доверенных сертификатов, помещения их в хранилище сертификатов браузера.
В любом случае отключение проверки того, что сервер CA в сети является угрозой безопасности. В Firefox по умолчанию эта опция именно отключена, наверно, чтобы часто не срывать защищённые транзакции.
> Сертификаты никуда не перетекают.Зато отчитаться что я сходил на сайт банка - запросто. Вот круто то, аж два раза. Не, я уж лучше получу от вендора браузера блеклист раз в пару дней чем буду всем вокруг отчитываться щелкая каблуками - "а вот я в банк сходил", "а вот ебэй", "а вот пэйпэл", а вот, а вот, а фиг вам в рот!
>Зато отчитаться что я сходил на сайт банка - запросто.Пользуетесь безналичными финансовыми средствами? Хм, тогда даже смешно слышать от вас о зондах. ;)
> Пользуетесь безналичными финансовыми средствами? Хм, тогда даже смешно слышать от вас о зондах. ;)Предложи более-менее внятный способ купить что-то в США/европе за наличные не ездя туда лично? Как бы если банк знает о том что я там был и делал транзакции постольку поскольку, то это еще не значит что хочу проинформировать о том же и какой-то совершенно посторонний сервак (третий - лишний!)
>(третий - лишний!)Верно, записи в мировой платежной системе вполне достаточно.
> Верно, записи в мировой платежной системе вполне достаточно.Смотря для чего и от чего защищаемся. Если от большого брата - так это, чтобы получить посылку я уже должен указать какие-то более-менее валидные параметры получателя и это должен быть не абы кто. Ну не на деревню же дедушке посылку будут слать? Запись-дублер в платежной системе в свете этого не выглядит принципиально меняющей ситуацию.
Вывод: это - механизм для относительно честных и неинтересных посылок и покупок, в которых не к чему докопаться и которые в свете этого являются малоинтересными.
Однако ставить в известность еще и толпу посторонних сущностей не являющихся исполнителями операции - совершенно не в кассу. Почем зря повышается риск утечек информации посторонним лицам. Нафига?
> Хорошая инициатива; надеюсь, Firefox вслед за ним откажется.А оно там и не включено по дефолту. Если ты это включил - ССЗБ.
> В Chrome планируют отказаться от онлайн-проверки сертификатов.зато в соседней новости -- Chrome(17) будет отправлять URL с exe-файлами на проверку гугло-серверу :-D
вобщем вынули один зонд и вставили другой :)
> вобщем вынули один зонд и вставили другой :)А вы не включайте эту опцию, и не будет у вас зонда.
> А вы не включайте эту опцию, и не будет у вас зонда.Ага, не забудьте разминировать браузер до начала использования.
С уважением, Гугл.(в темноте раздается звучное ба-бах, видимо кто-то все-таки забыл)
c .exe же. зондом больше, зондом меньше — какая разница.
> c .exe же. зондом больше, зондом меньше — какая разница.Ты прав. Сидя в борделе, о девственности рыдать не след.
MS так давно делает, smartscreen называется. с ие7 вроде пошло, в 8 и тп точно есть, заходишь на урл, следом туда заходит их бот
все эти проверки наглое набивание карманы баблом, не вылетали бы 100 окон при самодельных сертификатах - никто бы и не парился
> все эти проверки наглое набивание карманы баблом, не вылетали бы 100 окон
> при самодельных сертификатах - никто бы и не парилсяАга. А хакер попросит установить его CA сертификат и потом подпишет себе что он - гугл, яху, мозилла, скайп и еще много других сайтов :). Вот замечательно то.
>> все эти проверки наглое набивание карманы баблом, не вылетали бы 100 окон
>> при самодельных сертификатах - никто бы и не парился
> Ага. А хакер попросит установить его CA сертификат и потом подпишет себе
> что он - гугл, яху, мозилла, скайп и еще много других
> сайтов :). Вот замечательно то.Нехрен было с радостными воплями - за неимением альтернативы - кидаться на эту так называемую "технологию".
> Нехрен было с радостными воплями - за неимением альтернативы - кидаться на
> эту так называемую "технологию".Эм, а что вы предлагаете? Слать параметры карты и пинкод плейнтекстом? Кардеры одобряют :)
> сертификат будет использоваться для организации перехвата SSL-сессий в режиме man-in-middleО, зашибись, т.е. они будут делать SSL окончательно декоративным, а мы им за это должны доверять. Волшебно. Пошел удалять сертификаты этих умников из всех хранилищ где дотянусь.
>> сертификат будет использоваться для организации перехвата SSL-сессий в режиме man-in-middle
> О, зашибись, т.е. они будут делать SSL окончательно декоративным, а мы им
> за это должны доверять. Волшебно. Пошел удалять сертификаты этих умников из
> всех хранилищ где дотянусь.SSL изначально был декоративным. О чем Шнайер и говорил Ндцать лет назад. Только ты же его сроду не читал, верно?
> SSL изначально был декоративным. О чем Шнайер и говорил Ндцать лет назад.
> Только ты же его сроду не читал, верно?Я его читал, но во первых позже чем следовало бы. А во вторых - так это, что предлагается в качестве реальной альтернативы?
>> SSL изначально был декоративным. О чем Шнайер и говорил Ндцать лет назад.
>> Только ты же его сроду не читал, верно?
> Я его читал, но во первых позже чем следовало бы. А во
> вторых - так это, что предлагается в качестве реальной альтернативы?Альтернатива или даже дополнение - развитие идей, воплощённых в Convergence: http://www.youtube.com/watch?v=Z7Wl2FW2TcA
Кстати, слегка доработав протокол, можно обязать сервер периодически загружать по OCSP (или как-либо иначе) свежие данные о валидности его сертификата и передавать эти данные клиентам на этапе согласования параметров сессии. Но проблему слабой PKI это, конечно, не решит.
Любые средства безопасности вносят дискомфорт и тормоза.
Так давайте вообще все средства защиты отключим, все станет посто летать.
Так Google этим и занимается, с каждой новой версией. Или вы думаете, что можно достичь превосходства в скорости над другими иначе?
ты наивный конспиролог
При чем здесь конспирология? Это вы тут все наивные, считаете, что зонды разложены на виду специально, чтобы вы их нашли.Великий Тео де Раадт, десять лет пырившийся в исходный код собственной системы, прохлопал бэкдор, услужливо подложенный ему АНБ.
Вы все тут считаете, что, имея (и не читая их!) исходники, вы убережете себя от хорошо скрытого зонда? Ага, щаз.
Читать код мало. Нехилтон бы еще понимать его смысл. Кто-то потрудился изучить код строка за строкой? Или 10 миллионов обезьянок ждут, пока это сделает другая? Ну-ну, ждите дальше.
> прохлопал бэкдор, услужливо подложенный ему АНБ.Небыло такого.
Докажи, что не было. Прямо тут, на опеннете. Поиском находится. А, ну да, ну да, я ж свечку не держал. И в хандройде нету никаких анальных зондов. Я что ли тут пыль поднимаю о зондах?
Находятся сказки о том, что где-то что-то было. А реального кода что-тоне видно, хотя аудитили. Не, я, конечно, допускаю, что ANB что-то гениальное надумало - но как-то маловероятно. Тем более OpenBSD, по большому счёту, никому не нужна, так что профит с этого вряд ли какой-то был бы.
> Докажи, что не было.я понимаю, что вам в школе ещё этого не рассказывали. ну так я расскажу, бесплатно: кто орёт «было» — тот и доказывает. пока что у крикунов с доказательствами не складывается. ну совсем никак.
> Великий Тео де Раадт, десять лет пырившийся в исходный код собственной системы,
> прохлопал бэкдор, услужливо подложенный ему АНБ.Не скажу за великого Тео, а вот линуксоиды в свое время задетектили попытку вброса довольно безобидного на вид бэкдора замаскированного под опечатку (= вместо == в сравнении, классика).
> Любые средства безопасности вносят дискомфорт и тормоза.а некоторые из них ещё и ни разу не являются средствами безопасности, но очень громко себя так называют. вот их надо отключать в первую очередь.
а в фф можно как нибудь эту проверку отключить? я хожу только по 10-20 сайтам все время.
> а в фф можно как нибудь эту проверку отключить? я хожу только
> по 10-20 сайтам все время.Маны почитать уже не судьба? Или проблемы с пониманием написанного и надо рукой указать?
> Маны почитать уже не судьба? Или проблемы с пониманием написанного и надо рукой указать?Издеваетесь? Какие маны, достаточно в настройки сунуться. Этак скоро будет ман по использованию ложки и вилки.
Tools > Options > Advanced > Encryption > Validation
спасибо) реактивный фф стал еще реактивнее
> а в фф можно как нибудь эту проверку отключить?Она по дефолту и не включена там, для начала.
Читаешь аргументы типа "задержка открытия сайта 1 секунда" и удивляешься, какие у людей проблемы.... Когда сидишь на йоте с пингами по 1.5-10 секунд или на мегафоне, где сайт открывается существенно различно по времени в зависимости от времени суток и время его открытия далеко от секунды, то и говорить о таких временных интервалах странно...
Вам можно посочувствовать, но обычно сейчас интернет побыстрее. И лишняя секундная задержка перед открытием страницы - дело непривычное и неприятное
при таких пингах у тебя и лишняя проверка будет занимать не секунду, а десять…
> то и говорить о таких временных интервалах странно...Ну так ты и будешь открывать сайт не 10 секунд а 20. А ты как хотел? :)
А децентралиованные аналоги SSL уже существуют? Что-нибудь на основе сетей доверия, как в PGP, например.
Почему именно на основе сетей доверия?
SSL как раз потому возник, что ввиду незащищенности канала неизвестно, какой информации доверять.
> SSL как раз потому возник, что ввиду незащищенности канала неизвестно, какой информации
> доверять.как показала практика, защищённость SSL-канала особо вероятность факапа не понижает. а сети доверия, например, позволяют удостовериться, что на том конце именно тот, кто должен быть, используя при этом несколько источников для проверки. конечно, проблема «первого секретного ключа» никуда не девается, но когда сеть немного вырастает, «вклиниться» туда становится весьма сложно.
(пожимает плечами) интересно, сколько ещё факапов должно произойти, чтобы люди наконец поняли: ssl is defective by design?впрочем, я верю в то, что глупость человеческая не имеет границ.
Это давно понятно всем более-менее знакомым с ситуацией. Но толку то. Мелкое воровство с транзакций воспринимается сейчас, как своеобразный налог на удобство.
Ну и чудно, в нашем i2p все эти дополнительные средства шифрования не нужны :3
> Кроме того, такие проверки негативно отражаются на приватности, так как раскрывают третьей стороне факт открытия определённого сайтаЗаявил представитель компании Google, продвигающей свой Google Analytics и Google Public DNS...