| 1.1, Xaionaro (ok), 19:11, 18/11/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +7 +/– |
 А почему за основу не взяли cacert? Слишком независимый или есть адекватные причины?
| | |
| |
| 2.15, Гость (??), 20:59, 18/11/2014 [^] [^^] [^^^] [ответить]
| +14 +/– |
Меня другая мысль беспокоит: сколько до лета 2015 года будет отложено кирпичей сотрудниками сертификационных центров и всяких посредников? с:
| | |
| |
| 3.17, byu (?), 21:31, 18/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Меня другая мысль беспокоит: сколько до лета 2015 года будет отложено кирпичей
> сотрудниками сертификационных центров и всяких посредников? с:
Нисколько.
| | |
| 3.21, rshadow (ok), 22:08, 18/11/2014 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Продавцы воздуха и так достаточно обогатились.
Еще бы домены придумали как раздавать, вот тогда действительно свобода появится.
| | |
| |
| 4.24, Аноним (-), 22:48, 18/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
Теперь "EFF, Mozilla, Cisco и Akamai" будут закачивать воздух в баллоны за свой счет, но этот процесс не стал бесплатным.
Домен 3-го уровня - пожалуста.
| | |
| |
| 5.25, rshadow (ok), 23:03, 18/11/2014 [^] [^^] [^^^] [ответить]
| +/– | |
Бесплатно ничего не бывает. Но тысячи процентов прибыли от записи в БД это через чур.
Например я плачу за электричество 300р. Плюс 400р за интернет. Плюс, например древний комп. Вполне потянет 1000 доменов. ~ 1000р в месяц. Ну и зарплата пусть будет 30т.р. как админу эникейщику.
1000 доменов * 600 рублей = 600000 рублей в месяц. Вычесть расходы (даже помноженные на порядок). Некисло получается.
| | |
| |
| 6.37, Pahanivo (ok), 07:40, 19/11/2014 [^] [^^] [^^^] [ответить]
| +6 +/– |
 > Бесплатно ничего не бывает. Но тысячи процентов прибыли от записи в БД
> это через чур.
для вас все представление о регистраторах основывается только на этом?
> Например я плачу за электричество 300р. Плюс 400р за интернет. Плюс, например
> древний комп. Вполне потянет 1000 доменов.
твой древний комп уйдет в DoS после 1-2 килозапросов в секунду.
ты также, видимо, не знаком с понятием отказоустойчивости.
про корневые кластеры я вообще не говорю.
> ~ 1000р в месяц. Ну
> и зарплата пусть будет 30т.р. как админу эникейщику.
> 1000 доменов * 600 рублей = 600000 рублей в месяц. Вычесть расходы
> (даже помноженные на порядок). Некисло получается.
а взносы за членство в секте регистраторов забыл?
у вас, дурачков, все так просто, шо песец.
| | |
| |
| 7.84, arisu (ok), 18:03, 22/11/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > твой древний комп уйдет в DoS после 1-2 килозапросов в секунду.
(пожимает плечами) спасибо за то, что хотя бы открыто признаёте: «мы используем систему, сделаную идиотами. но идиоты не мы, а те, кто нам платит. привет, ромашки, платите в кассу!»
у нас, дурачков, всё действительно просто. например, мы знаем, что DNS — говно. и варианты замены у нас тоже есть. но мы дурачки, мы в эти варианты не включали самое нужное требование: сдирание бабла с лохов. что поделаешь — дурачки…
| | |
| |
| |
| 9.88, arisu (ok), 22:42, 22/11/2014 [^] [^^] [^^^] [ответить] | –1 +/– | даже если предположить, что у меня он есть, он меня не устраивает и я его сменю ... текст свёрнут, показать | | |
|
|
|
| 6.57, Аноним (-), 13:37, 19/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
Чтоб получить тыщу регистраций в мес сколько нужно бабла в рекламу втюхать? При том, что рынок насыщен, а ты - новый игрок?
Создаем организацию - бабки
Нанимаем персонал и платим налоги - бабки
Синимаем офис - бабки
Проходим некую аккредитацию как регистратор - бабки
Реклама - бабки
Это не считая твоей непосредственной работы как регистратора.
| | |
| 6.68, XoRe (ok), 17:02, 19/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
 > Бесплатно ничего не бывает. Но тысячи процентов прибыли от записи в БД
> это через чур.
> Например я плачу за электричество 300р. Плюс 400р за интернет. Плюс, например
> древний комп. Вполне потянет 1000 доменов. ~ 1000р в месяц. Ну
> и зарплата пусть будет 30т.р. как админу эникейщику.
> 1000 доменов * 600 рублей = 600000 рублей в месяц. Вычесть расходы
> (даже помноженные на порядок). Некисло получается.
Начнем с главного
Вы обязуетесь выплатить $10 000 владельцу домена, чей сертификат взломали?
Не увели ключик, а именно взломали, найдя какие-нибудь уязвимости в используемых протоколах, или стандартах?
А техподдержку даете?
Необязательно 24/7, хотя бы в рабочее время по телефону.
И т.д. и т.п.
Там сверхприбыли, да.
Но нельзя сказать, что они сидят и курят.
| | |
|
|
| 4.43, Аноним (-), 09:48, 19/11/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Еще бы домены придумали как раздавать
Неужели жаба душит платить $10–20 в год? Я ещё могу понять недовольство ценами на сертификаты (сотню-другую $$$ за генерацию пачки байтиков? давыупрлс!), но уж на домен-то даже бомж денег набрать без особых проблем сможет.
| | |
| |
| 5.44, Аноним (44), 09:59, 19/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
 >> Еще бы домены придумали как раздавать
> Неужели жаба душит платить $10–20 в год? Я ещё могу понять недовольство
> ценами на сертификаты (сотню-другую $$$ за генерацию пачки байтиков? давыупрлс!), но
> уж на домен-то даже бомж денег набрать без особых проблем сможет.
какие 10-20? в россии 99р. регистрация 199р. покупка, а платят те кому лень поискать
| | |
| |
| 6.45, Аноним (44), 09:59, 19/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
>>> Еще бы домены придумали как раздавать
>> Неужели жаба душит платить $10–20 в год? Я ещё могу понять недовольство
>> ценами на сертификаты (сотню-другую $$$ за генерацию пачки байтиков? давыупрлс!), но
>> уж на домен-то даже бомж денег набрать без особых проблем сможет.
> какие 10-20? в россии 99р. регистрация 199р. покупка, а платят те кому
> лень поискать
продление а не покупка конечно.
| | |
|
| 5.48, Аноним (-), 11:36, 19/11/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Неужели жаба душит платить $10–20 в год?
За 20 баксов в год можно целый год содержать небольшой VDS, не то что запись в базе.
| | |
| |
| 6.66, XoRe (ok), 16:46, 19/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> Неужели жаба душит платить $10–20 в год?
> За 20 баксов в год можно целый год содержать небольшой VDS, не
> то что запись в базе.
Вы хотели сказать VPS
| | |
|
|
|
|
|
| 1.2, Пропатентный тролль (?), 19:39, 18/11/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
А как на это отреагирует отрасль продажи сертификатов? Кампашка хоть и серьёзная (в основном за счёт Cisco), но тут ведь деньги на кону. Без боя Verisgn и пр. не сдадутся.
| | |
| |
| 2.6, rm (??), 20:10, 18/11/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
Может быть наконец-то массово введут базовый бесплатный tier, с которого будут всеми силами стремиться пересаживать на платные (и за счёт этого жить). А вообще, если затея реализуется - та отрасль просто загнётся, точнее сократится в объёмах в разы.
| | |
| |
| 3.38, Аноним (44), 09:18, 19/11/2014 [^] [^^] [^^^] [ответить]
| +3 +/– |
Помимо удостоверения домена как домена ;) есть ещё удостоверение компании, не загнётся а начнёт заниматься именно тем чем должен :)
а то что, условно, odnoklasniki.ru удостоверен доменным сертификатом, ничего не говорит о его принадлежности группе mail.ru
| | |
| |
| 4.85, arisu (ok), 18:04, 22/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Помимо удостоверения домена как домена ;) есть ещё удостоверение компании, не загнётся
> а начнёт заниматься именно тем чем должен :)
> а то что, условно, odnoklasniki.ru удостоверен доменным сертификатом, ничего не
> говорит о его принадлежности группе mail.ru
что характерно — подавляющему большинству пользователей никакой сертификат ни о чём не говорит.
| | |
|
|
| 2.10, Crazy Alex (ok), 20:34, 18/11/2014 [^] [^^] [^^^] [ответить]
| +2 +/– |
 А что они могут сделать? Результат зависит только от того, будут ли эти сертификаты признаваться чем-то, кроме мозилловских продуктов. Если да - то верисайны могут идти вешаться.
| | |
| |
| 3.16, Аноним (-), 21:30, 18/11/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>кроме мозилловских продуктов
которые сами по себе довольно весомы.
| | |
| |
| 4.30, Crazy Alex (ok), 02:05, 19/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
Сами по себе - не весомы. Никакой веб-мастер в здравом уме не будет ставить сертификат, на который будут ругаться браузеры у 80% посетителей. Если хотя бы файрфокс и хром - ну, некоторые могут заинтересоваться. И так далее.
| | |
|
|
| |
| 3.39, Аноним (44), 09:19, 19/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
> https://www.startssl.com/ уже есть. Тут добавится лишь скрипт для упрощения генерации
> ключа и сертификата (при этом ручной работы все равно останется предостаточно).
Ну и firefox возможно не будет ругаться на непонятный сертификат :)
| | |
|
| 2.67, XoRe (ok), 16:57, 19/11/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> А как на это отреагирует отрасль продажи сертификатов? Кампашка хоть и серьёзная
> (в основном за счёт Cisco), но тут ведь деньги на кону.
> Без боя Verisgn и пр. не сдадутся.
Очень бурно отреагируют те, кто их перепродает.
Сегменту перепродажи low cost придет капец. Ну может не совсем до конца.
Даже сейчас незнающие люди покупают самые простые ssl сертификаты за 100$.
Но за неимением потока покупателей доходы лишатся пары ноликов.
А middle/hi cost придется скинуть цены на всякие EV.
Потому что не так много любителей покупать "особо чистый воздух" за 500$, когда можно взять "просто воздух" бесплатно.
Сами издатели сертификатов (comodo, verisign и т.д.) тоже офигеют от падения дохода в этой сфере.
Но если это не единственное их направление, выживут.
| | |
|
| 1.3, Аноним (-), 19:45, 18/11/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– | |
Ну да. цыска такая из себя контролируемая обществом (с названием АНБ). Да и Akamai наверное не забывает сливать им данные.
Да и популяризация https - это из разряда популяризации лохотронов. Спасибо лохотронщикам.
| | |
| |
| 2.4, anonymous (??), 19:49, 18/11/2014 [^] [^^] [^^^] [ответить]
| +6 +/– |
> Ну да. цыска такая из себя контролируемая обществом (с названием АНБ). Да
> и Akamai наверное не забывает сливать им данные.
> Да и популяризация https - это из разряда популяризации лохотронов. Спасибо лохотронщикам.
https не дает приватности/защищенности глобально, да. Но существенно затрудняет анализ трафика сторонними лицами, что уже само по себе плюс.
| | |
| |
| |
| 4.58, Аноним (-), 13:43, 19/11/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> как будто бы поделил на ноль
Примерно также работает твоя железная дверь. Немедленно выкинь ее!
| | |
|
| |
| 4.23, Michael Shigorin (ok), 22:26, 18/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
 > Угу, в России только Циску с Акамаем и бояться, как же.
Если что, в августе 2008 важные циски "случайно" очень вовремя легли, им это здесь правильные люди запомнили. Повод не бояться, но и не доверять.
| | |
|
| 3.22, Michael Shigorin (ok), 22:24, 18/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
> https не дает приватности/защищенности глобально, да. Но существенно затрудняет
> анализ трафика сторонними лицами, что уже само по себе плюс.
В случае, когда приватный сертификат отгрузил кто-то ещё -- сомнения берут.
| | |
| |
| 4.26, Аноним (26), 00:24, 19/11/2014 [^] [^^] [^^^] [ответить]
| –2 +/– |
 намного проще все. трафик то может и зашифрован, а идентифицировать пользователя становится проще ))
| | |
| 4.47, anonymous (??), 11:28, 19/11/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> https не дает приватности/защищенности глобально, да. Но существенно затрудняет
>> анализ трафика сторонними лицами, что уже само по себе плюс.
> В случае, когда приватный сертификат отгрузил кто-то ещё -- сомнения берут.
Как минимум это затруднит анализ абонентского трафика провайдерскими DPI, и прочей гадостью, которая вставляет рекламу или еще как-то "оптимизирует" трафик.
| | |
| |
| 5.94, Аноним (-), 18:27, 24/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
>>> https не дает приватности/защищенности глобально, да. Но существенно затрудняет
>>> анализ трафика сторонними лицами, что уже само по себе плюс.
>> В случае, когда приватный сертификат отгрузил кто-то ещё -- сомнения берут.
> Как минимум это затруднит анализ абонентского трафика провайдерскими DPI, и прочей гадостью,
> которая вставляет рекламу или еще как-то "оптимизирует" трафик.
Ты знаешь, ну никак эта шняга от DPI не защитит. Погугли в сторону NBAR. Что надо можно щелкнув пальцами прихлопнуть. Было б желание.
| | |
|
|
| 3.49, Аноним (-), 11:38, 19/11/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Но существенно затрудняет анализ трафика сторонними лицами,
Не очень заметно что-то.
| | |
|
| 2.70, KinderSurprise (?), 23:56, 19/11/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Ну да. цыска такая из себя контролируемая обществом (с названием АНБ). Да
> и Akamai наверное не забывает сливать им данные.
> Да и популяризация https - это из разряда популяризации лохотронов. Спасибо лохотронщикам.
Народ и letsencrypt.org едины.
Правда.us >:-)
| | |
|
| |
| 2.9, АнониМ (ok), 20:29, 18/11/2014 [^] [^^] [^^^] [ответить]
| +5 +/– |
 >Однако жизнь анб это точно усложнит
Cisco проследит, чтоб не очень.
| | |
| 2.18, byu (?), 21:35, 18/11/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Однако жизнь анб это точно усложнит
Жизнь АНБ усложнит хорошая ядерная боеголовка, случайно попавшая в Форт-Мид.
| | |
| |
| 3.40, Аноним (44), 09:30, 19/11/2014 [^] [^^] [^^^] [ответить]
| +3 +/– |
>> Однако жизнь анб это точно усложнит
> Жизнь АНБ усложнит хорошая ядерная боеголовка, случайно попавшая в Форт-Мид.
Возможно упростит, т.к. у них после этого останется всего одна задача.
| | |
|
|
| |
| 2.95, Аноним (-), 18:28, 24/11/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Не поверю сиське пока не откроют кучу своих протоколов.
Оплати курсы - там тебе все откроют. :)
| | |
| |
| 3.102, commiethebeastie (ok), 09:44, 27/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
 >> Не поверю сиське пока не откроют кучу своих протоколов.
> Оплати курсы - там тебе все откроют. :)
Врешь.
| | |
|
|
| |
| 2.50, Аноним (-), 11:40, 19/11/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> А удостоверяющий ключик у кого будет?
Ну как, у мозиллы, цыски, акамая, EFF, цру, анб. А если хорошо себя будут вести - то еще у моссадов и прочих ми-6. Можно и с китаем попробовать договормиться, если китайский рынок охота окучать.
| | |
| |
| 3.71, KinderSurprise (?), 00:25, 20/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> А удостоверяющий ключик у кого будет?
> Ну как, у мозиллы, цыски, акамая, EFF, цру, анб. А если хорошо
> себя будут вести - то еще у моссадов и прочих ми-6.
> Можно и с китаем попробовать договормиться, если китайский рынок охота окучать.
А он может кстати не один быть.
И вот представьте, что все эти организации подписали сертификат... Вы им не поверите? :-)
| | |
| |
| 4.96, Аноним (-), 18:29, 24/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
>>> А удостоверяющий ключик у кого будет?
>> Ну как, у мозиллы, цыски, акамая, EFF, цру, анб. А если хорошо
>> себя будут вести - то еще у моссадов и прочих ми-6.
>> Можно и с китаем попробовать договормиться, если китайский рынок охота окучать.
> А он может кстати не один быть.
> И вот представьте, что все эти организации подписали сертификат... Вы им не
> поверите? :-)
Это чем-либо отличается от существующей инфраструктуры CA/RA?
| | |
|
|
|
| 1.20, rshadow (ok), 22:06, 18/11/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Наконец то.
Последняя фраза про безопасность от спецслужб чушь конечно. Там техническими методами обычно никто не заморачивается: проще сделать закон по которому сами обязаны все раскрыть и ключики отдать. Система централизована, а значит все ключи будут у АНБ в любом случае.
| | |
| |
| 2.29, Аноним (-), 01:35, 19/11/2014 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>Последняя фраза про безопасность от спецслужб чушь конечно. Там техническими методами обычно никто не заморачивается: проще сделать закон по которому сами обязаны все раскрыть и ключики отдать. Система централизована, а значит все ключи будут у АНБ в любом случае.
Это и не нужно. Сейчас службам достаточно взять абсолютной любой действующий УЦ и "предложить" выпустить сертификат под интересуемый домен(ы). Ну а дальше можно сделать MITM-атаку с использованием этого сертификата. Вот уже трафик пользователя как на ладони, да и ключи не засвечены.
ЗЫЖ: Это такой "привет" пользователям TOR-сети.
| | |
| |
| 3.34, Аноним (-), 05:37, 19/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
Современные браузеры ругаются при попытке подменить уже известный сертификат.
| | |
| |
| 4.56, Аноним (-), 13:28, 19/11/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>Современные браузеры ругаются при попытке подменить уже известный сертификат.
Надо будет перепроверить. Я где-то полгода (не более года) назад я проверял это поведение на firefox и chrome и в моем случае никто не ругался.
| | |
| |
| 5.80, КО (?), 20:22, 20/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
Надо еще на сервере подпинить, какой ключ правильный :)
Но от первого захода не поможет. :)
| | |
|
| 4.86, arisu (ok), 18:08, 22/11/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Современные браузеры ругаются при попытке подменить уже известный сертификат.
а пользователи не вникая ищут кнопку «согласен» и матерят «криворуких программистов», которые задалбывают идиотскими окнами.
система сертификатов нежизнеспособна не только потому, что зависит от корневых центров, но и потому, что пользователи не читают «весь этот бред».
| | |
|
| 3.51, Аноним (-), 11:41, 19/11/2014 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> ЗЫЖ: Это такой "привет" пользователям TOR-сети.
А Tor вроде как использует сугубо свои собственные сертификаты.
| | |
| 3.59, Аноним (-), 13:52, 19/11/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Это и не нужно. Сейчас службам достаточно взять абсолютной любой действующий УЦ
> и "предложить" выпустить сертификат под интересуемый домен(ы). Ну а дальше можно
Думаю, сабжевая кампашка сделает морду кирпичом и, даже если выпустит подобный сертификат, то он отразится в публичном журнале.
АНБ, домены: vk.com wikileaks... получены такого-то числа. Далее идет список недоверия к сертификатам...
| | |
| |
| 4.61, Аноним (-), 14:36, 19/11/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
>Думаю, сабжевая кампашка сделает морду кирпичом и, даже если выпустит подобный сертификат, то он отразится в публичном журнале.
>АНБ, домены: vk.com wikileaks... получены такого-то числа. Далее идет список недоверия к сертификатам...
Нет, скорее всего будет объявлена просто "утечка" (вспоминаем прецеденты). В самом худшем случае службы будут избавляться от напарника как ящерица от хвоста.
PS: Вспоминая DigiNotar... (кажется так она называлась).
| | |
| 4.76, Аноним (-), 02:21, 20/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
Akamai внезапно - стартап(CDN-фронтэнд к )организаций, как раз и уличенных в бОльшей части эксплуитаций и манипуляций по топику, за десятилетие ;)
так что все следствия из проекта - предсказуемы, как и сама "инициатива". дудочников труд нелегок, увы ;)
| | |
| |
| 5.78, Аноним (-), 12:20, 20/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Akamai внезапно - стартап(CDN-фронтэнд к )организаций, как раз и уличенных в бОльшей
> части эксплуитаций и манипуляций по топику, за десятилетие ;)
> так что все следствия из проекта - предсказуемы, как и сама "инициатива".
> дудочников труд нелегок, увы ;)
Я из того списка чуть-чуть доверяю лишь мозилле. На ее компаньонов и не расчитывал. Скорее всего, они присосались чтоб извлечь свои выгоды (встраивать ключи в железки, например) и немного снабжают инициативу баблом.
| | |
|
|
| 3.74, KinderSurprise (?), 01:31, 20/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
>>Последняя фраза про безопасность от спецслужб чушь конечно. Там техническими методами обычно никто не заморачивается: проще сделать закон по которому сами обязаны все раскрыть и ключики отдать. Система централизована, а значит все ключи будут у АНБ в любом случае.
> Это и не нужно. Сейчас службам достаточно взять абсолютной любой действующий УЦ
> и "предложить" выпустить сертификат под интересуемый домен(ы). Ну а дальше можно
> сделать MITM-атаку с использованием этого сертификата. Вот уже трафик пользователя как
> на ладони, да и ключи не засвечены.
> ЗЫЖ: Это такой "привет" пользователям TOR-сети.
Почему не засвечены? У пользователя как минимум в распоряжении левый сертификат. Его обнародование влечёт последствия для CA...
| | |
| 3.97, Аноним (-), 18:29, 24/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
>>Последняя фраза про безопасность от спецслужб чушь конечно. Там техническими методами обычно никто не заморачивается: проще сделать закон по которому сами обязаны все раскрыть и ключики отдать. Система централизована, а значит все ключи будут у АНБ в любом случае.
> Это и не нужно. Сейчас службам достаточно взять абсолютной любой действующий УЦ
> и "предложить" выпустить сертификат под интересуемый домен(ы). Ну а дальше можно
> сделать MITM-атаку с использованием этого сертификата. Вот уже трафик пользователя как
> на ладони, да и ключи не засвечены.
> ЗЫЖ: Это такой "привет" пользователям TOR-сети.
Ты о ТОR-сети что вообще знаешь? Ну, кроме того, что она существует? Там нет сторонних сертов, кроме самоподписных. Вообще нет.
| | |
|
|
| 1.27, Аноним (-), 01:12, 19/11/2014 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
За#@&%^*ли попытки легитимизировать сломаную by design технологию. Для надёжной связи необходим оффлайновый обмен ключами, и даже через цепочку доверенных лиц получается рыба второй свежести.
| | |
| |
| 2.41, Аноним (44), 09:32, 19/11/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> За#@&%^*ли попытки легитимизировать сломаную by design технологию. Для надёжной связи
> необходим оффлайновый обмен ключами, и даже через цепочку доверенных лиц получается
> рыба второй свежести.
Жить оффлайн в принципе безопасней, но может так статься что не на что...
| | |
| 2.52, Аноним (-), 11:43, 19/11/2014 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Для надёжной связи необходим оффлайновый обмен ключами,
Если у меня есть секретное дупло для ключей - я и сообщение в него положить могу. В результате от кривтографии лучше не становится.
> и даже через цепочку доверенных лиц получается рыба второй свежести.
Посмотрите на CryptoBox() в NaCl от дяденьки Берштейна. Там такое очень изящно обтяпано.
| | |
| |
| 3.64, Michael Shigorin (ok), 14:53, 19/11/2014 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Если у меня есть секретное дупло для ключей - я и сообщение в него положить могу.
Разница в объёме, а также частоте и трудо/времяёмкости произведения обмена, сами понимаете.
| | |
|
|
| 1.31, L29Ah (?), 02:06, 19/11/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ну и костыли, зачем-то ещё один CAcert. Почему они не хотят допилить поддержку RFC6091 в меинстримных TLS-приложениях instead?
| | |
| |
| 2.35, Crazy Alex (ok), 05:39, 19/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
Например, затем, что руками тягать сертификаты - маразм. А вот автоматизированный запрос - самое оно, тогда это можно засунуть повсюду, вменяемо настроить и не зависеть в этой части от компетентности админа.
| | |
| |
| 3.53, Аноним (-), 11:44, 19/11/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Например, затем, что руками тягать сертификаты - маразм. А вот автоматизированный запрос
Погоди, чувак, ты хотел автоматизированное ДОВЕРИЕ? Когда за тебя другие, поумнее тебя, решат кому ты доверяешь? Ты вообще в ладах со своей головой?
| | |
| |
| 4.81, Crazy Alex (ok), 00:06, 22/11/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Абсолютно в ладах.
Первое. В куче случаев задача защиты от АНБ и подобных вообше не стоит. Стоит задача защиты от хилых хакеров, любопытного провайдера и т.д. И часто альтернатива выглядит не как "хорошо настроенный руками SSL против настроенного автоматом" а как "полное отсутствие SSL против SSL, настроенного автоматом".
Второе. Речь не о выборе, кому доверяешь (в этом плане, кстати, все конторы из списка доверия браузера более-менее одинаковы), а о том, чтобы иметь хорошо настроенный SSL. Учитывая, что все эти настройки публичны - это не страшнее, чем использование дистрибутивов линукса, скажем. И, опять же, в большинстве случаев такие конфигурации оказываются получше, чем творения очередного местного гуру, деятельность которого, скорее всего, вообще никто не проверит толком. То есть настройка SSL должна быть автоматизирована.
| | |
| 4.83, Crazy Alex (ok), 00:10, 22/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> Например, затем, что руками тягать сертификаты - маразм. А вот автоматизированный запрос
> Погоди, чувак, ты хотел автоматизированное ДОВЕРИЕ? Когда за тебя другие, поумнее тебя,
> решат кому ты доверяешь? Ты вообще в ладах со своей головой?
Я совершенно не представляю работающий Web Of Trust для неквалифицированных пользователей. А таких среди пользователей SSL 99.9%. Остальные же и так решение найдут.
| | |
|
|
|
| 1.54, edwin3d (ok), 12:00, 19/11/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Новость позитивная.
Что касается серьезных центров, то не волнуйтесь, он без своего куска хлеба не останутся.
Ведь сертификат не просто бумажка, это намного больше - серт. центр по сути страховая компания, которая удостоверяет благонадежность тех, кому они дали сертификат. И при определенных обстоятельствах может следовать выплата "круглой суммы"
Потому и бабло, бюрократия ....
P.S.
Ведь получить "халявный" серт. можно и сейчас ... вон - StartSSL давали, правда только базовый и с оговорками, но ...
| | |
| |
| 2.55, Аноним (-), 13:21, 19/11/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
Только вот я не слышал, чтоб центр сертификации выплатил кому-либо хоть копейку компенсации за "ошибку". Поэтому и "торговля воздухом".
| | |
| |
| 3.60, edwin3d (ok), 13:55, 19/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Только вот я не слышал, чтоб центр сертификации выплатил кому-либо хоть копейку
> компенсации за "ошибку".
Насколько мне известно, за "ошибку" никто и не платит.
Речь идет о компенсации доказанного мошенничества в юрисдикции страны выдачи сертификата.
| | |
| 3.99, Аноним (-), 18:32, 24/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Только вот я не слышал, чтоб центр сертификации выплатил кому-либо хоть копейку
> компенсации за "ошибку". Поэтому и "торговля воздухом".
Гм, послушай-ка. А ты уверен, что тебя за твоим локалхостом должны были проинформировать о каждом подобном случае? В курсях вообще, что страховые компании (обычные, офлайновые) никогда не афишируют огромных страховых выплат? По ряду очевидных причин?
| | |
|
|
| 1.79, Аноним (-), 18:14, 20/11/2014 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Слушайте, но они же все находятся под юрисдикцией США — в чем профит-то? АНБ им всем может выкатить FISA ордер и фиг они куда денутся.
| | |
| |
| |
| 3.100, Аноним (-), 18:33, 24/11/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> В большинстве случаев защищаться приходится ни разу не от АНБ.
И как, удалось хоть раз вам всем, таким умным и красивым, защититься? Помнится, тут были крысы, которые, радостно подмахивая, побежали наперебой роскомпозору свои услуги и решения навяливать.
| | |
|
|
|
