The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В Chrome прекращено доверие к сертификатам удостоверяющего ц..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Chrome прекращено доверие к сертификатам удостоверяющего ц..."  +/
Сообщение от opennews on 02-Апр-15, 08:58 
Компания Google приняла решение (http://googleonlinesecurity.blogspot.ru/2015/03/maintaining-...) исключить из списка заслуживающих доверия корневых сертификатов удостоверяющий центр CNNIC, который был уличен (http://www.opennet.me/opennews/art.shtml?num=41902) в передаче промежуточного корневого сертификата сторонней компании для организации перехвата HTTPS-трафика сотрудников. По мнению Google, в текущем виде CNNIC не может гарантировать отсутствие подобных инцидентов, приводящих к ненадлежащему использованию сертификатов. Для сглаживания данного решения, на ограниченное время сертификаты клиентов CNNIC будут помещены в белый список и продолжат помечаться заслуживающими доверия в Chrome. Одним из условий возвращения доверия к CNNIC в Chrome является внедрение прозрачной схемы распределения сертификатов.


В ответ CNNIC назвал (http://www1.cnnic.cn/AU/MediaC/Announcement/201504/t20150402...) такое решение неприемлемым и непостижимым и пообещал защитить права и интересы своих пользователей.


URL: http://googleonlinesecurity.blogspot.ru/2015/03/maintaining-...
Новость: http://www.opennet.me/opennews/art.shtml?num=41955

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В Chrome прекращено доверие к сертификатам удостоверяющего ц..."  –4 +/
Сообщение от недеанонимизированный on 02-Апр-15, 08:58 
как в анекдоте:
- Давай ему наваляем?
- а если он нам?
- а нам то за что?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

86. "В Chrome прекращено доверие к сертификатам удостоверяющего ц..."  +2 +/
Сообщение от Аноним (??) on 02-Апр-15, 15:47 
Я лично уже удалил их сертификат
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

114. "В Chrome прекращено доверие к сертификатам удостоверяющего ц..."  +/
Сообщение от Michael Shigorin email(ok) on 02-Апр-15, 18:25 
> как в анекдоте:

Мне вот это: "Одним из условий возвращения доверия к CNNIC в Chrome является внедрение прозрачной схемы распределения сертификатов" кажется хорошим началом ответного предложения: "Одним из условий возвращения доверия к Google в Китае является внедрение прозрачной схемы взаимодействия с АНБ".

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

148. "В Chrome прекращено доверие к сертификатам удостоверяющего ц..."  +/
Сообщение от недеанонимизированный on 03-Апр-15, 13:39 
я имел ввиду сторону CNNIC как сторону а "нам то за что".
С вами полностью согласен.
Ответить | Правка | ^ к родителю #114 | Наверх | Cообщить модератору

2. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от username (??) on 02-Апр-15, 09:18 
Ну все, это наш шанс.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +1 +/
Сообщение от Капитан (??) on 02-Апр-15, 09:20 
> Если требования не будут выполнены, информация о корневом сертификате CNNIC будет удалена из Firefox

Предварительно записал в черный список CA

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

48. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Аноним (??) on 02-Апр-15, 12:38 
> Предварительно записал в черный список CA

Превентивно удалил. Пусть дальше выдают левые серты, если хотят :)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

68. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +5 +/
Сообщение от клоун on 02-Апр-15, 14:05 
Mozilla и Google хотят отжать бабла, а вот лично вам какой интерес?

Вообще схема гениальная, конечно. Есть сертификационный центр, торгующий воздухом. Его обложили законами и поборами, и теперь сертификаты стоят вполне конкретных денег.

Сайты отображаются в браузерах, поэтому хозяева (выгодоприобретатели) популярных браузеров могут своими действиями повлиять на популярность центра сертификации, а т.к. могут повлиять, то хотят получить с этого влияния свою долю пропорционально доле на рынке браузеров.

Google сделал модным вывешивать чужие обо--анные труселя на всеобщее обозрение на своём балконе. Google де факто монополист интернет-поиска и уже не раз его ловили за руку на том, что он изменял поисковую выдачу в удобную для себя сторону. Вывесив труселя, он провоцирует пользователей на оскорбления и искажает (может исказить) поисковую выдачу, а значит влиять на популярность центра сертификации. А т.к. может повлиять, то хочет получить с этого влияния свою долю.

Центр сертификации, как и любая коммерческая компания, которой страпонов во все дырки понавставляли, тупо увеличивает цену продукта на величину издержек.

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

80. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  –3 +/
Сообщение от Нерасмешенный on 02-Апр-15, 15:34 
клоун такой клоун. Ищете цирк в другом месте.
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

89. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +6 +/
Сообщение от Аноним (??) on 02-Апр-15, 15:53 
На этот раз наш клоун чистую правду сказал. Что бывает нечасто, согласен.
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

96. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  –3 +/
Сообщение от Аноним (??) on 02-Апр-15, 16:22 
Предвзятое мнение редко бывает правдой.
Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

108. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +3 +/
Сообщение от Аноним (??) on 02-Апр-15, 17:42 
Удобно устроился: объявляешь мнение предвзятым и в дамках. Мудёр бобёр.
Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

110. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Аноним (??) on 02-Апр-15, 17:45 
А как надо?
Ответить | Правка | ^ к родителю #108 | Наверх | Cообщить модератору

140. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Аноним (??) on 02-Апр-15, 21:28 
Надо оставаться просто бобром, а не быть мудёром
Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

118. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Аноним (??) on 02-Апр-15, 19:06 
Скажу больше. Непредвзятых мнений не бывает.
Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

154. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Аноним (??) on 04-Апр-15, 00:08 
> Предвзятое мнение редко бывает правдой.

Нет, золотой мой. Оно редко считается правдой. Миллионы мух же не ошибаются, верно?

Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

109. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +1 +/
Сообщение от Аноним (??) on 02-Апр-15, 17:45 
ОК, а зачем CNNIC передал промежуточный корневой сертификат сторонней компании, в нарушение всех правил? Типа CNNIC теперь скажет «извините, мы больше так не будем» и всё ок?

Центр сертификации сознательно нарушил правила и должен быть исключён из списка доверенных. А свои бредовые фантазии про бабло пиши пожалуйста сразу в помойку, а не сюда.

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

119. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +1 +/
Сообщение от Аноним (??) on 02-Апр-15, 19:15 
Про популярность центра сертификации бред полный.
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

120. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +1 +/
Сообщение от Аноним (??) on 02-Апр-15, 19:17 
популярность центра сертификации бред, но вообще описана модель монетизации бесплатного браузера.
Ответить | Правка | ^ к родителю #119 | Наверх | Cообщить модератору

4. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Аноним (??) on 02-Апр-15, 09:33 
CNNIC уже начал процедуру банкротства?
Представляю реакцию клиентов...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

87. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Аноним (??) on 02-Апр-15, 15:49 
Пусть предъявляют претензии к CA
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

88. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +1 +/
Сообщение от Аноним (??) on 02-Апр-15, 15:50 
Это называется - "Ребята решили полевачить"
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

95. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Аноним (??) on 02-Апр-15, 16:21 
>CNNIC уже начал процедуру банкротства?

Вот будет смеху если они вместо этого обратятся в ЦК КПК и попросят защиты от империалистического беспредела! :)
А те в ответ запретят пользоваться хромом в кейтае :) Гугл начнёт процедуру банкротства? :)

>Представляю реакцию клиентов...

А представь мой вариант :) Камаз попкорна! :)

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

97. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Аноним (??) on 02-Апр-15, 16:25 
> А те в ответ запретят пользоваться хромом в кейтае :) Гугл начнёт
> процедуру банкротства? :)

Гугл поддержит новый стартап.

Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

105. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +2 +/
Сообщение от none_first (ok) on 02-Апр-15, 17:19 
остается открытым вопрос - сколько удостоверяющих центров провели аналогичные процедуры в СШП? ;)
и их, при этом, не раскрыли
Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

155. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Аноним (??) on 04-Апр-15, 00:09 
> остается открытым вопрос - сколько удостоверяющих центров провели аналогичные процедуры
> в СШП? ;)
> и их, при этом, не раскрыли

Все до единого. Ты все еще веришь в то, что https от чего-то там защищает?

Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

124. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Аноним (??) on 02-Апр-15, 19:25 
>А те в ответ запретят пользоваться хромом в кейтае :)

и сделают свой форк. Почему нет? Уже все сделали форк хромиума.

Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

6. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Xasd (ok) on 02-Апр-15, 09:49 
> не все сертификаты CNNIC, а только выписанные после определённого момента

а задним числом -- нельзя выписывать? имея закрытый ключ в своём распояжении.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

116. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Аноним (??) on 02-Апр-15, 18:35 
>а задним числом -- нельзя выписывать? имея закрытый ключ в своём распояжении.

можно, но в хроме будет whitelist, если встретится сертификат не из списка - CCNIC выдадут пожизненный банан.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

156. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Аноним (??) on 04-Апр-15, 00:10 
>>а задним числом -- нельзя выписывать? имея закрытый ключ в своём распояжении.
> можно, но в хроме будет whitelist, если встретится сертификат не из списка
> - CCNIC выдадут пожизненный банан.

"Если" - хорошее слово.

Ответить | Правка | ^ к родителю #116 | Наверх | Cообщить модератору

7. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +1 +/
Сообщение от YetAnotherOnanym (ok) on 02-Апр-15, 09:53 
Что мешает остальным CA заниматься тем же? И разве CNNIC виноват в том, что их партнёр нарушил взятые на себя обязательства?
Всё дело в том, что сама идея поставки набора корневых сертификатов в составе ПО порочна в самой своей сути.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от new_name on 02-Апр-15, 10:00 
Почему порочна? А как их передавать по сети? Так подменят же. Просто нет другого варианта как включать их в состав ПО.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +12 +/
Сообщение от rshadow (ok) on 02-Апр-15, 10:27 
Порочна, в первую очередь, идея продавать воздух.
А вообще правильно все. Кто сеть делает, тот и диктует условия. Мозилловцы вроде горозились бесплатно сертификаты раздавать, так что пусть спасибо скажут. Одно легкое движение руки и сертификационных центров останется всего четыре... Мозилла, гугл, мс и огрызок.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

60. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +1 +/
Сообщение от Anonplus on 02-Апр-15, 13:36 
>> Порочна, в первую очередь, идея продавать воздух.

Нотариусы, по-вашему, тоже воздух продают? Это не "воздух", а услуга. Авторитетный центр своей репутацией заверяет, что вон тот сайт - действительно тот, за кого себя выдает и принадлежит конкретному Васе Пупкину, а не Пусе Вапкину, который с помощью mitm-атаки перенаправил юзера на поддельную копию сайта.

То, что авторитетный центр может быть недобросоветсным, не означает, что вся эта инфраструктура бесполезна. Вам когда в магазине поддельный товар продают, вы же не начинаете рассуждать "ну вот, мне МОГУТ продать подделку, давайте закроем все магазины"?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору
Часть нити удалена модератором

70. "В Chrome будет прекращено доверие к сертификатам..."  +1 +/
Сообщение от клоун on 02-Апр-15, 14:13 
Ты попросил нотариуса заверить копию документа, в котором утверждалось, что ты единоличный владелец ГазПрома (а чё мелочиться).

Теперь у тебя есть нотариально заверенный документ, но вот владельцем это тебя не делает.

Тебе продали воздух, а ты этого даже не понял.

Государство (за мзду) делегировало нотариусу право (за мзду) подтверждать документы.

Сертификационный центр (за мзду) выдаёт подтверждающие сертификаты.

В обоих случаях идёт торговля "доверием", которое тебе предлагают (а в ряде случаев обязывают) купить. В средневековье прощениями (индульгенциями) торговали, но, видимо, доверие продаётся лучше.

Ответить | Правка | ^ к родителю #155 | Наверх | Cообщить модератору

91. "В Chrome будет прекращено доверие к сертификатам..."  +2 +/
Сообщение от ram_scan on 02-Апр-15, 16:13 
>Ты попросил нотариуса заверить копию документа, в котором утверждалось, что ты единоличный владелец ГазПрома (а чё мелочиться).
> Теперь у тебя есть нотариально заверенный документ, но вот владельцем это тебя не делает.

Ни один нотариус такой подгон не удостоверит. Потому-что за то что удостоверяет отвечает личной шкурой и собственным баблом. И буде дойдет дело до суда удостоверятеля ждет как минимум попадос на бабки, как максимум и попадос на бабки и лес валить.

Не путайте теплое с мягким.

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

106. "В Chrome будет прекращено доверие к сертификатам..."  +/
Сообщение от Штунц on 02-Апр-15, 17:30 
нотариус заверяет копии документов, гарантируя, что копия идентична оригиналу.

Товарищ выше, видимо, имел ввиду, что если клиент принесет нотариусу документ, в котором утверждается, что он (клиент) владелец Газпрома, то нотариус спокойно заверит его копию. Т.к. она идентична. Более того, нотариусу совсем не обязательно понимать, что там написано. Он заверяет идентичность ИЗОБРАЖЕНИЯ.

Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

107. "В Chrome будет прекращено доверие к сертификатам..."  –1 +/
Сообщение от клоун on 02-Апр-15, 17:39 
Бестолочь она и есть бестолочь. Ты даже не понимаешь за что ты нотариусу платишь... Воистинну, говорю я вам: скупой платит дважды, дурак трижды, л-х столько, сколько скажут.

http://нотариальная-контора-москва.рф/zaverenie_kopiy

Нотариус своим заверением подтверждает, что копия соответствует оригиналу, а не содержание оригинала.

Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

142. "В Chrome будет прекращено доверие к сертификатам..."  +/
Сообщение от Вовочка on 03-Апр-15, 01:23 
Атвы когда-нибудь, ну например передавали домены между юр.лицами? Там нужно не завереная копия, а составленный нотариусом документ... или нотариальная доверенность... таки да, основа всё в той-же копии, нотариус удостоверяет, что лично видел документы, номера которых указаны в составленном им документе, но норариус составил СВОЮ писулю...
Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

147. "В Chrome будет прекращено доверие к сертификатам..."  –1 +/
Сообщение от клоун on 03-Апр-15, 11:07 
Свою писулю о чём?

Люди фанатично верят в документы с печатями и столь же фанатично боятся подписать собственноручно написанный документ.

"Я, клоун Стаканчик, настоящим подтверждаю, что мой ник клоун Стаканчик." Дата. Подпись.

"Я, клоун Стаканчик, настоящим подтверждаю, что сегодня пятница.". Дата. Подпись.

"Я, нотариус, настоящим подтверждаю, что лицо А собственноручно и в моём присутствии подписало доверенность Б." Дата. Подпись.

"Я, нотариус, настоящим подтверждаю, что эта копия доверенности идентична оригиналу." Дата. Подпись.

Разница между мною и нотариусом в том, что я вам эту "писулю" напишу бесплатно, а нотариус потребует деньги.

Интересно оценить роль государства (Г) в этой авантюре:
- Г продало нотариусу патент на право ведения дел
- Г берёт с нотариуса налоги
- Г требует от вас нотариально заверять документы

Красиво, правда? Если вы не поняли (а вы ведь не поняли), то Г с нуля создало проблему, создало рынок решения этой проблемы и получает бабло со всех (!) участников этого рынка.

Чтоб я так жил...

Ответить | Правка | ^ к родителю #142 | Наверх | Cообщить модератору

149. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от csdoc (ok) on 03-Апр-15, 19:41 
>>> Порочна, в первую очередь, идея продавать воздух.
> Нотариусы, по-вашему, тоже воздух продают? Это не "воздух", а услуга. Авторитетный центр
> своей репутацией заверяет, что вон тот сайт - действительно тот, за
> кого себя выдает и принадлежит конкретному Васе Пупкину, а не Пусе
> Вапкину, который с помощью mitm-атаки перенаправил юзера на поддельную копию сайта.

Вот собственно репутацию этого удостоверяющего центра гугл с мозиллой и атакуют сейчас.

> То, что авторитетный центр может быть недобросоветсным, не означает, что вся эта
> инфраструктура бесполезна.

Как раз означает. Потому что http://www.opennet.me/opennews/art.shtml?num=41902

"В том числе создание поддельных TLS-соединений зафиксировано для некоторых доменов Google" - а гугл сертификаты для своих сайтов не в CNNIC покупал.

> Вам когда в магазине поддельный товар продают, вы же не начинаете рассуждать
> "ну вот, мне МОГУТ продать подделку, давайте закроем все магазины"?

Достаточно всего одного удостоверяющего центра, который раздает корневые
сертификаты налево и направо, чтобы ВСЯ система была скомпроментирована.

То что разрешено делать американским спецслужбам
- не имеет права делать CNNIC, поэтому его сейчас и атакуют.

«All animals are equal, but some animals are more equal than others».

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

13. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +1 +/
Сообщение от Аноним (??) on 02-Апр-15, 10:28 
> И разве CNNIC виноват в том, что их партнёр нарушил взятые на себя обязательства?

Скорее всего, когда Мозилла и Гугл добавляют сертификат конкретного центра в браузер, то составляется договор, по которому данный центр не имеет права передавать ключи этого сертификата третьей стороне.

> Всё дело в том, что сама идея поставки набора корневых сертификатов в составе ПО порочна в самой своей сути.

Вся идея с корневыми сертификатами и кругом доверия придумана для решения конкретной задачи: Вася подключается к сайту своего банка (или интернет магазина) и хочет быть уверенным, что этот сайт действительно принадлежит конкретному банку, а также что его подключение никто не может ни прослушать, ни подменить данные. При этом они заранее не обменялись секретной информацией, чтобы идентифицировать друг друга. Для этого нужна третья сторона в виде удостоверяющего центра.

Предложите другое более надежное решение такой задачи без дополнительных сложностей в использовании (Вася обычный сантехник и "компьютеры не умеет").

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору
Часть нити удалена модератором

115. "В Chrome будет прекращено доверие к сертификатам..."  –1 +/
Сообщение от Michael Shigorin email(ok) on 02-Апр-15, 18:32 
> Вот и побеседовал сам с собой ) Молодец!

Это, очевидно, были arisu и User294 -- у каждого свой более чем характерный почерк, даже если бы оба не подписывались.

Насчёт физического уничтожения всё сложно -- скажем так, я бы на месте их обоих отнюдь не рвался с диагнозами, сильно рискуя попасть под свой же критерий при его рассмотрении другими людьми (такое бывало и, видимо, будет порой бывать).  При том, что тоже не понимаю, как можно доверять самозваным "удостоверяторам", не несущим ответственности.

Ответить | Правка | ^ к родителю #147 | Наверх | Cообщить модератору

117. "В Chrome будет прекращено доверие к сертификатам..."  +1 +/
Сообщение от arisu (ok) on 02-Апр-15, 18:43 
> Насчёт физического уничтожения всё сложно -- скажем так, я бы на месте
> их обоих отнюдь не рвался с диагнозами, сильно рискуя попасть под
> свой же критерий при его рассмотрении другими людьми

не вижу в этом ничего ненормального: я не утверждал, что у меня иммунитет.

> как можно доверять самозваным "удостоверяторам", не несущим ответственности.

ой, а что, нужна бумажка с печатью? а бумажку, следует полагать, лично боженька выдаёт, а не другие люди, ага?

для тебя это, конечно, дико, но среди разумных существ не принято оценивать других по бумажкам и ценным мнениям начальства. а также принято нести ответственность за свои решения: это не опция, не отключается. а идиотам — им, конечно, очень нужно, чтобы начальство назначило, иначе они никак.

Ответить | Правка | ^ к родителю #115 | Наверх | Cообщить модератору

137. "В Chrome будет прекращено доверие к сертификатам..."  +/
Сообщение от Michael Shigorin email(ok) on 02-Апр-15, 20:16 
> для тебя это, конечно, дико

А в чём именно для меня должна быть дикость, если и сам смотрю на человека, а не тугамент?

Ответить | Правка | ^ к родителю #117 | Наверх | Cообщить модератору

138. "В Chrome будет прекращено доверие к сертификатам..."  +/
Сообщение от arisu (ok) on 02-Апр-15, 20:19 
> А в чём именно для меня должна быть дикость

в том, что ты так не считаешь. пытаешься сделать вид, что так считаешь, может, даже, где‐то в это веришь. а потом пишешь глубинную чушь, которая тебя мгновенно демаскирует.

такие дела.

Ответить | Правка | ^ к родителю #137 | Наверх | Cообщить модератору

143. "В Chrome будет прекращено доверие к сертификатам..."  +/
Сообщение от Michael Shigorin email(ok) on 03-Апр-15, 01:36 
> в том, что ты так не считаешь.

Много на себя берёшь.  Подумай о различии понятийных базисов на досуге и о том, что у меня твоего опыта больше, чем моего -- у тебя ("плавали, знаем").

Ответить | Правка | ^ к родителю #138 | Наверх | Cообщить модератору

144. "В Chrome будет прекращено доверие к сертификатам..."  +/
Сообщение от arisu (ok) on 03-Апр-15, 01:47 
> Много на себя берёшь.

вполне по силам. мне, впрочем, совершенно неинтересно, согласен ты со мной или нет — лично для меня от этого ничего не меняется. измениться может для тебя — но ты напуган, тебе страшно жить в этом большом мире. я бы предпочёл, чтобы ты перестал бояться — так мир станет лучше с моей точки зрения. но для этого тебе придётся слишком сильно себя ломать; это тяжело, почти невозможно.

я сказал всё, что хотел сказать. как ты поступишь с этими словами — лично твоё дело, дальнейшее развитие событий мне может стать интересно только в одном случае, а я в него не верю.

Ответить | Правка | ^ к родителю #143 | Наверх | Cообщить модератору

146. "В Chrome будет прекращено доверие к сертификатам..."  +/
Сообщение от Michael Shigorin email(ok) on 03-Апр-15, 02:48 
> но ты напуган, тебе страшно жить в этом большом мире.

Не кури это больше.

Ответить | Правка | ^ к родителю #144 | Наверх | Cообщить модератору

32. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Анонимус_б6 (ok) on 02-Апр-15, 11:54 
эм, каждому взрослому человеку по достижении им возраста 18 лет вручать ЭЦП, выданное федеральным казначейством и годное 2 года? Разработать соответствующий софт, который будет работать на стороне банка (или госуслуг или чего угодно еще), имея соединение с серверами федерального казнчейства, и проверять подлинность Васи-сантехника?

зы: я не специалист ни разу, просто высказал мнение

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

35. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Аноним (??) on 02-Апр-15, 12:13 
Поменяется только третья сторона, которой нужно доверять.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

38. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от правдоруб on 02-Апр-15, 12:27 
Это автоматически означает, что государство сможет подписывать от лица человека.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

51. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Crazy Alex (ok) on 02-Апр-15, 12:56 
Проблема не в том, чтобы проверить подлинность Васи - с этим и логины/пароли вместе со всякими токенами справяются. Проблема в том, как проверить подлинность банка. Или фейсбука. Или ещё какого сервиса. Который, возможно, находится за пределами РФ и чхать на неё хотел, а возможно - это какой-нибудь wikileaks, который государству не доверяет в принципе.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

53. "В Chrome будет прекращено доверие к сертификатам..."  +/
Сообщение от arisu (ok) on 02-Апр-15, 13:08 
и эта проблема в принципе не решается без личного получения от другой стороны удостоверяющего токена, по неэлектрическим каналам.

частичное решение — web of trust с жёстко контролируемыми кольцами доверия.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

64. "В Chrome будет прекращено доверие к сертификатам..."  +/
Сообщение от Crazy Alex (ok) on 02-Апр-15, 13:50 
"Чётко контролируемыми" - означает ручную работу по выбору. А вот рандомные запросы к нескольким участникам пула серверов, хранящих данные о предлагаемых сервером сертификатах + pinning - выглядит менее геморройным для пользователя.
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

150. "В Chrome будет прекращено доверие к сертификатам..."  +/
Сообщение от csdoc (ok) on 03-Апр-15, 19:54 
> А вот рандомные запросы к нескольким участникам пула серверов,
> хранящих данные о предлагаемых сервером сертификатах
> + pinning - выглядит менее геморройным для пользователя.

Что будет происходить в случае устаревания
сертификата и необходимости его замены на новый?

И как участники пула серверов будут знать, что сайту www.google.com
соответствует именно вот этот сертификат ХХХХХХХХХХХХХХХ, а не какой-то другой?

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

34. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +2 +/
Сообщение от YetAnotherOnanym (ok) on 02-Апр-15, 12:08 
> и хочет быть уверенным, что этот сайт действительно принадлежит конкретному банку

Вот именно - чтобы Вася был уверен. То, что уверенность Васи можен не иметь ничего общего с реальным положением дел, уже никого не волнует. Вася пребывает в уверенности, банк в случае чего обвинит самого Васю, создатели броузера тоже ни за что не отвечают (Вася принял лицензионное соглашение), а то, что у Васи, на самом деле, в броузере открыт сайт злобных хацкеров, подписанный ключом любого из CA - это потом будут его проблемы.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

129. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Аноним (??) on 02-Апр-15, 19:35 
это проблемы банка, а не Васи. Банку по жалобе Васи или по решению суда придется деньги вернуть.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

151. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от csdoc (ok) on 03-Апр-15, 19:58 
> это проблемы банка, а не Васи. Банку по жалобе Васи
> или по решению суда придется деньги вернуть.

Не вернет. Банк скажет "вы стали жертвой мошенничества со стороны неустановленных лиц, рекомендуем вам обратиться в правоохранительные органы с соответствующим заявлением".

Банк не отвечает за последствия от наличия вирусов/троянов на компьютере Васи
и/или MITM-прокси между компьютером Васи и сервером банка.

И никакой суд не заставит его нести такую ответственность.

Ответить | Правка | ^ к родителю #129 | Наверх | Cообщить модератору

43. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Аноним (??) on 02-Апр-15, 12:33 
> (Вася обычный сантехник и "компьютеры не умеет").

Знаешь анекдот про "когда же будет хорошо?". Вот сантехнику Васе в плане криптографии будет хорошо и безопасно примерно тогда же. В смысле, вообще совсем ничего не знать о криптографии - не получится. Но это не значит что нельзя сделать интерфейс с которым смог бы работать даже сантехник, если он способен понять некоторые совсем базовые моменты.

Ну, примерно как я хоть и не сантехник, но в курсе где перекрваыть воду, etc.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

52. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Crazy Alex (ok) on 02-Апр-15, 13:04 
В прицнипе можно и чтобы совсем ничего не знал, если это будет отдельное устройство для доступа к банку. CA тогда, кстати, абсолютно без надобности. А так - дело обычно даже не в неграмотности, а в нежелании изучить правила безопасного серфинга. Банки-то, в общем, обычно имеют комплекс мер, которые позволяют легко отличить фишинговый сайт - вроде персонализированного приветствия на странице. В этом плане со всякими фейсбуками хуже.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

152. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от csdoc (ok) on 03-Апр-15, 20:03 
> А так - дело обычно даже не в неграмотности, а в нежелании изучить
> правила безопасного серфинга. Банки-то, в общем, обычно имеют
> комплекс мер, которые позволяют легко отличить фишинговый сайт
> - вроде персонализированного приветствия на странице.

Персонализированное приветствие никак не поможет защититься от MitM-proxy,
которое имеет поддельный сертификат банка, подписанный корневым сертификатом,
которому доверяет браузер клиента.

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

21. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от sokolow (ok) on 02-Апр-15, 11:14 
Правильным решением было бы в каждой стране сделать по одному жестко контроллируемому корневому CA, выдающему сертификаты конечным пользователям. Если какой-то из них скомпрометировал себя, то поганой метлой его из браузеров.

А всех этих посредников-нахлебников промежуточных CA давно пора распустить, если кто хочет пусть зарабатывает на приложениях и железе для электронных подписей, там тоже дел не впроворот

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

33. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +4 +/
Сообщение от vitalif email(ok) on 02-Апр-15, 12:01 
Не, вот это как раз хреновое решение, т.к. к тебе сразу ФСБ полезет, а не только госдеп...
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

94. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от ram_scan on 02-Апр-15, 16:20 
> Не, вот это как раз хреновое решение, т.к. к тебе сразу ФСБ
> полезет, а не только госдеп...

Есть мнение, что ФСБ по сравнению с госдепом - милейшие парни.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

98. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  –1 +/
Сообщение от Аноним (??) on 02-Апр-15, 16:34 
Мнение сильно зависит в какой из двухъ контор ты работаешь :)))
Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

100. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от правдоруб on 02-Апр-15, 16:45 
Госдеп далеко и я для них Неуловимый Джо, а ФСБ рядом...
Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

132. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Аноним (??) on 02-Апр-15, 19:39 
так можно доиграться до того что фсб не будет, а обозленный госдеп станет рядом.
Или вообще ни фсб, ни тебя не будет
Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

36. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +1 +/
Сообщение от Аноним (??) on 02-Апр-15, 12:15 
Мультирут сертификатес. Траст нот оне.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

39. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от правдоруб on 02-Апр-15, 12:29 
>выдающему сертификаты конечным пользователям

В каком смысле?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

46. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от sokolow (ok) on 02-Апр-15, 12:36 
В прямом. В нынешней схеме у сертификата 100500 УЦ в цепочке. А надо, чтоб был один но надежный.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

49. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +1 +/
Сообщение от правдоруб on 02-Апр-15, 12:42 
>но надежный

И где его взять?

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

123. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +2 +/
Сообщение от Аноним (??) on 02-Апр-15, 19:24 
>>но надежный
> И где его взять?

Я надежный, верь мне.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

159. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Аноним (??) on 04-Апр-15, 00:15 
>>но надежный
> И где его взять?

У своего корреспондента. Лично. В руки. Как в PGP предполагалось.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

59. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +4 +/
Сообщение от Sluggard (ok) on 02-Апр-15, 13:35 
> И разве CNNIC виноват в том, что их партнёр нарушил взятые на себя обязательства?

Виноват, это именно CNNIC передал вторичный корневой сертификат тем, у кого нет права на обращение с ним.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

81. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +1 +/
Сообщение от Аноним (??) on 02-Апр-15, 15:36 
> порочна в самой своей сути.

Свобода вообще порочна.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  –1 +/
Сообщение от Аноним (??) on 02-Апр-15, 10:11 
наверно продан без разрешения гугла
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +10 +/
Сообщение от Аноним (??) on 02-Апр-15, 10:18 
Амеры как всегда в своем стиле. Если Американская контора накосячила http://www.opennet.me/opennews/art.shtml?num=33034 с сертификатами, то мы пошумим и разойдемся (еще бы, бодаться себе дороже). Если это сделала неамериканская контора - заблокируем, прессанем, засудим, - пусть откупаются, если смогут. Отозвали бы тогда сертификат Trustwave, наверняка, ни китайцы, ни кто другой так внаглую продавать сертификаты не стали бы.

Та же ситуация в сфере "инноваций". Патентные разборки между американскими конторами - много шума, понта и пустой выхлоп, т.к. чтобы реально прижать америнканскую контору в штатах нужно сильно постараться (и получить решение суда).  С иностранными компаниями в штатах бодаться проще - там достаточно решения торговой комиссии, потому Samsung в штатах всегда в проигрышном положении...

Сплошное лицемерие, бабки и сказки про заботу о пользователях.

Сделали бы в браузере доступ из JavaScript к информации о полученном сертификате сервера - через месяц был бы список ВСЕХ центров сертификации, которые торгуют доверием налево, через год у них не осталось бы ни одного клиента. Но, гуглу и мозилле нужно контролировать, кто будет работать на ранке, а кто нет.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

56. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от anonymous (??) on 02-Апр-15, 13:15 
В том случае сертификат не был похищен злоумышленниками, поэтому общественный резонанс был меньше?
В целом согласен с Вами, отвратительная практика, но давайте не будем лицемерить, дело то не в американцах - люди склонны делить мир на своих и чужих.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

58. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от anonymous (??) on 02-Апр-15, 13:35 
Прошу прощения, перечитал предыдущую новость, в данном случае тоже не было злоумышленников, не уверен почему я так ее понял. Ситуации полностью идентичные
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

66. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Crazy Alex (ok) on 02-Апр-15, 13:54 
Разница в том, что TrustWave сам дал по башке тем, кто выданный вторичный корневой использовал не так, как обязывался, а этих поймали на горячем.
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

71. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +1 +/
Сообщение от Аноним (??) on 02-Апр-15, 14:22 
Вообще-то нет никакой разницы. TrustWave продали сертификат для использования в корпоративной системе отслеживания утечки информации, который был залит в HSM модуль и использовать его как-то иначе было сложно. При этом они утверждали, что "все так делают". Однако, политика Мозиллы относительно сертификатов однозначно утверждает, что центр авторизации не имеет права создавать возможность использования сертификата для неопределенного количества доменов. И эту политику TrustWave сознательно нарушили, очевидно полагая, что им за это ничего не будет.

Однако, когда мозилловцы начали шумиху и попытались удалить этот сертификат из Firefox, чуваки из TrustWave по быстрому отозвали этот сертификат (и такое поведение (продать сертификат налево, рассказать об этом, утверждать, что это нормально, а затем отозвать его) совсем не клеится с твоим заявлением, что они раскрыли информацию о продаже сертификата по своей инициативе, больше похоже, что у них не было другого выхода). После чего они поклялись, что никогда так делать не будут.

Так что нет в этой ситуации между TrustWave и CNNIC никакой разницы, кроме разве что "TrustWave на порядок крупнее и его сертификатами пользовалась куча правительственных агенств и крупных бизнесов".

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

74. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  –1 +/
Сообщение от Crazy Alex (ok) on 02-Апр-15, 14:48 
во-первых, идея в том, что Trustwave пошел на сотрудничество (и сертификат таки был в TPM), а в случае с CNNIC - никаких попыток отзыва, похоже, не было и клиент явно не соблюдал политики, связанные с хранением сертификата - да, проверка этого в данном случае - тоже ответственность CNNIC.

Во-вторых - насколько я понимаю, никто CNNIC особо не хоронит. Ключ выкинули, сертифкаты доменов - в вайтлист, после реализации CNNIC  Certificate Transparency добавят новый. Болезненно, но не смертельно. Когда был случай с TrustWave механихмов, чтобы подобное сделать, ещё не было, и выкинуть сертификат TrustWave - значило бы нарушить работу кучи его клиентов.

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

77. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +1 +/
Сообщение от Аноним (??) on 02-Апр-15, 15:05 
IMHO, был сертификат в HSM или в открытом виде - разница невелика. В обоих случаях его нужно  отозвать, т.к. само наличие такого сертификата у левых людей подрывает доверие к TLS, потому что третьей стороне доверять уже нельзя.

Но самое главное, пока контроль за этой системой находится у кучки CA и гугла с мозиллой, подобные ситуации будут повторяться регулярно (еще дедушка Маркс в позапрошлом веке сказал, на что пойдут капиталисты ради прибыли). Так что для наведения порядка необходимо, чтобы контроль частично был и у простых администраторов серверов с веб-программистами.

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

127. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Crazy Alex (ok) on 02-Апр-15, 19:33 
Его (промежуточный корневой) и отозвали в случае TrustWave. Я, правда, не понимаю, зачем была эта вся свистопляска с его созданием - клиенту проще было централизованно на всех корпоративных машинах в браузеры добавить свой сертификат как корневой, как обычно и делается.

А разница принципиальна - если оно в HSM то в левые руки уже не попадёт. А в бОльшей перспективе - это значит, что если сертфикат не в железе - значит, нарушены стандартные практики безопасной работы. и тогда - всё, гаси свет, дальше можно не разбираться. Как было с DigiNotar тем же. То есть промежуточный корневой сертификат выписали кому-то - это одно. А вот если допустили, чтобы он попал в руки дятлам, не способным обеспечить его безопасность -  это совсем другое. И тут резко встаёт вопрос о компетентности CA в принципе, и его хоронят.

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

141. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +1 +/
Сообщение от Аноним (??) on 02-Апр-15, 21:39 
> А разница принципиальна - если оно в HSM то в левые руки уже не попадёт.

Нет никакой разницы. Вообще никакой. Потому что TrustWave не имел права отдавать сертификат, который можно использовать для подписи неопределенного количества доменов третьей стороне, после того, как сертификат приняли мозилловцы. Это политика Мозиллы. Получается они сначала мамой клялись Мозилле, что никому его не отдадут, затем продали налево, сказали, что это нормально, все так делают, зуб дают, что только в виде HSM, потом отозвали и пообещали так больше не делать.

Так вот, после того, как они его продали к ним нет никакого доверия. Очевидно лишь, что они будут творить, что им захочется, пока им за это ничего не будет.

> И тут резко встаёт вопрос о компетентности CA в принципе, и его хоронят.

С этого разговор и начался, что TrustWave - большая американская контора, с которой Гуглу связываться себе дороже (и это они учитывали, когда продавали сертификат на лево), а CNNIC можно чморить, как захочется. Что и сделано. Ну, еще TrustWave чуть лучше продумали возможные отмазки.

Ответить | Правка | ^ к родителю #127 | Наверх | Cообщить модератору

63. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Crazy Alex (ok) on 02-Апр-15, 13:46 
Насколько я смог выяснить, понимаю, с Trustwave вышла довольно простая ситуация. Во-первых, они сами рассказали о проблеме. Наказывать за это выносом корневого сертификата - значит гарантировать, что остальные будут молчать до последнего. Во-вторых ситуация с DigiNotar создала огромное количество проблем для его клиентов. Учитывая, что TrustWave на порядок крупнее и его сертификатами пользовалась куча правительственных агенств и крупных бизнесов - сочли, что ущерб будет слишком велик. Я бы сказал, что это вполне заслуживающая внимания точка зрения - не стоит мышей ядерной бомбой уничтожать, даже если они всерьёз допекли.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

76. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +1 +/
Сообщение от Аноним (??) on 02-Апр-15, 14:53 
> они сами рассказали о проблеме.

В таком случае ситуация развивалась таким образом:

1. TrustWave сознательно продали сертификат для использования примерно таким же образом, как  это сделала CNNIC (разница лишь в том, что сертификат TrustWave был помещен в HSM). При этом они явно нарушили политику Mozilla по отношению к сертификатам, которые заливаются в Firefox.

2. TrustWave рассказали всем, что они учудили, утверждая, что все так делают, и это нормально.

3. Mozilla решила исключить сертификат TrustWave из своих продуктов. Гугл тоже об этом задумался.

4. TrustWave отозвали сертификат и пообещали больше так никогда не делать.

Больше похоже на то, что у TrustWave не было другого выхода, как сообщить о проблеме, которую они сами и создали (просто потому что скрывать это было невозможно).

> Учитывая, что TrustWave на порядок крупнее и его сертификатами пользовалась куча правительственных агенств и крупных бизнесов - сочли, что ущерб будет слишком велик.

Ага я с этого и начал. TrustWave - крупная американская контора, которая не по зубам гуглу, а CNNIC они проглотят не разжевывая.

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

78. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Crazy Alex (ok) on 02-Апр-15, 15:06 
Пара ошибок.

1) Мозилла не решала исключить их сертификат. Тоже "задумалась", выкатила письмо для CA, рассказав, что так делать нехорошо и что мониторить можно только свои домены. И всё.

2) не траствейв не по зубам, а масса их клиентов. Которым не впились проблемы с ровного места. Неужели так сложно понять, что отзыв корневого сертификата - это удар  не только по CA, но и по его клиентам?

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

79. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от правдоруб on 02-Апр-15, 15:33 
Ты неправильно ставишь вопрос, ударом по его клиентам являются левые сертификаты.
Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

121. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Crazy Alex (ok) on 02-Апр-15, 19:21 
Нормально я ставлю вопрос. Левые сертификаты - оно да, но куча ругани на вполне легитимные сайты - это вполне реальные потери для бизнесов и их клиентов. И это тоже часть уравнения, которую надо учитывать.
Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

139. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Andrey Mitrofanov on 02-Апр-15, 21:16 
> но куча ругани на вполне легитимные сайты с сертификатами от вполне легитимных зас*анцев - это вполне реальные потери иллюзий для бизнесов и их клиентов.

//fixed

Ответить | Правка | ^ к родителю #121 | Наверх | Cообщить модератору

83. "В Chrome будет прекращено доверие к сертификатам..."  +/
Сообщение от arisu (ok) on 02-Апр-15, 15:41 
> Неужели так сложно понять, что отзыв
> корневого сертификата - это удар  не только по CA, но
> и по его клиентам?

а кому это интересно? с точки зрения обычного человека это выглядит так: CA сознательно налажал, его пожурили, на безопасность end users всем наплевать.

впрочем, ситуацию спасает то, что подавляющее большинство пользователей непроходимо тупо, и подобные умозаключения вне их интеллектуальных возможностей.

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

122. "В Chrome будет прекращено доверие к сертификатам..."  +/
Сообщение от Crazy Alex (ok) on 02-Апр-15, 19:23 
Ну вот тем, кто принимал решение, оказалось интересно. И правильно, в общем-то - иначе бы пострадала куча совершенно не относящегося к делу народа - тех, кто пользовался сертификатами убитого CA и их клиентов. Сейчас есть другая механика (белые списки) - её используют.
Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

131. "В Chrome будет прекращено доверие к сертификатам..."  +/
Сообщение от arisu (ok) on 02-Апр-15, 19:36 
> Ну вот тем, кто принимал решение, оказалось интересно.

конечно. жаль, что интересна им прибыль, а не безопасность. ожидаемо, но всё равно жаль.

Ответить | Правка | ^ к родителю #122 | Наверх | Cообщить модератору

135. "В Chrome будет прекращено доверие к сертификатам..."  +/
Сообщение от Crazy Alex (ok) on 02-Апр-15, 19:53 
Кхм, а для чего, по-твоему, безопасность? Чтобы убытков не было от действий всяких нехороших людей.
Ответить | Правка | ^ к родителю #131 | Наверх | Cообщить модератору

136. "В Chrome будет прекращено доверие к сертификатам..."  +/
Сообщение от arisu (ok) on 02-Апр-15, 20:03 
> Кхм, а для чего, по-твоему, безопасность? Чтобы убытков не было от действий
> всяких нехороших людей.

нет. но это долгий и бессмысленный разговор.

Ответить | Правка | ^ к родителю #135 | Наверх | Cообщить модератору

161. "В Chrome будет прекращено доверие к сертификатам..."  +/
Сообщение от Аноним (??) on 04-Апр-15, 00:17 
>> Неужели так сложно понять, что отзыв
>> корневого сертификата - это удар  не только по CA, но
>> и по его клиентам?
> а кому это интересно? с точки зрения обычного человека это выглядит так:
> CA сознательно налажал, его пожурили, на безопасность end users всем наплевать.

На носу заруби - где есть доверие, нет и не может быть никакой безопасности.

> впрочем, ситуацию спасает то, что подавляющее большинство пользователей непроходимо тупо,
> и подобные умозаключения вне их интеллектуальных возможностей.

Другие не лучше.

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

82. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +1 +/
Сообщение от Аноним (??) on 02-Апр-15, 15:39 
> Амеры как всегда в своем стиле.

Хорошо шашкой махать на патриотическом коне? Вникать не надо.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

101. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Аноним (??) on 02-Апр-15, 16:49 
>> Амеры как всегда в своем стиле.
> Хорошо шашкой махать на патриотическом коне? Вникать не надо.

А если вникать мил человек, то ... надо пересесть с коня за пульт Тополя :-р
Так что радуйся что пока просто шашкой :)

Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

134. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  –1 +/
Сообщение от Аноним (??) on 02-Апр-15, 19:42 
двойные стандарты помогают поддерживать статус сверхдержавы.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

153. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от csdoc (ok) on 03-Апр-15, 20:18 
> Сделали бы в браузере доступ из JavaScript к информации о полученном сертификате
> сервера - через месяц был бы список ВСЕХ центров сертификации, которые
> торгуют доверием налево, через год у них не осталось бы ни
> одного клиента. Но, гуглу и мозилле нужно контролировать, кто будет работать
> на ранке, а кто нет.

Может быть имеет смысл публично озвучить им эту инициативу/предложение?

Вдруг они возьмут и сделают эту фичу в своих браузерах?

После чего все браузеры у которых нет такой фичи можно будет считать небезопасными.

Если не захотят такое делать - было бы интересно почитать отмазки, почему не хотят.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

57. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +1 +/
Сообщение от Sluggard (ok) on 02-Апр-15, 13:33 
> В ответ CNNIC назвал такое решение неприемлемым и непостижимым и пообещал защитить права и интересы своих пользователей.

Нормально так. Они сперва всякой шобле раздают корневые сертификаты, а потом удивляются, чего это им не хотят доверять. Совсем уже охренели?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

67. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Aceler email(ok) on 02-Апр-15, 14:03 
> По мнению Google, в текущем виде CNNIC не может гарантировать отсутствие подобных инцидентов

А кто может?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

69. "В Chrome будет прекращено доверие к сертификатам..."  +2 +/
Сообщение от arisu (ok) on 02-Апр-15, 14:08 
>> По мнению Google, в текущем виде CNNIC не может гарантировать отсутствие подобных инцидентов
> А кто может?

гугель намекает, что по мнению гугеля — гугель может.

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

75. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Crazy Alex (ok) on 02-Апр-15, 14:49 
Гугль утверждает, что вот эта штука, как минимум, улучшит ситуацию - http://www.certificate-transparency.org/
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

90. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +1 +/
Сообщение от правдоруб on 02-Апр-15, 16:07 
А почему http? Как я могу быть уверен, что это не левый сайт?
Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

162. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Аноним (??) on 04-Апр-15, 00:17 
> А почему http? Как я могу быть уверен, что это не левый
> сайт?

По уникальному IPv6.

Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

92. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Aceler email(ok) on 02-Апр-15, 16:15 
Гарантии отсутствия подобных инцидентов она даёт? Не даёт.
Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

130. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от Crazy Alex (ok) on 02-Апр-15, 19:36 
В смысле - не даёт?
Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

145. "В Chrome будет прекращено доверие к сертификатам удостоверяю..."  +/
Сообщение от fi (ok) on 03-Апр-15, 02:13 
Главная ошибка CA - отсутствия интеграции с DNS, ну и сильное запаздывание  DNSSEC. Получение по FQDN ip, и отсутствия проверки валидность сертификата для него.
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру