| 1.1, Аноним (-), 19:02, 24/03/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
расстраивает то что фаерфокс не позволяет отключить сертификаты вот таких вот ненадежных CA
| | |
| |
| 2.3, Аноним (3), 19:16, 24/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
 с введение мозилой своих центров сертификации, такое станет доступным
| | |
| |
| 3.6, Аноним (-), 19:44, 24/03/2015 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> с введение мозилой своих центров сертификации, такое станет доступным
Чем это отличается от того, что есть сейчас?
| | |
| |
| |
| |
| |
| 7.28, Аноним (-), 23:53, 24/03/2015 [^] [^^] [^^^] [ответить]
| +2 +/– |
Это в теории. У няньки может быть член или отсутствующая титька.
| | |
|
|
| 5.17, Аноним (-), 22:00, 24/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
Еще как: теперь и мозилла сможет подписывать сертификаты на что угодно!
| | |
|
|
|
| 2.4, rm_ (ok), 19:19, 24/03/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Позволяет, в опциях поройтесь. Но это не выход.
| | |
| 2.9, Аноним (-), 19:48, 24/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
Позволяет, плохо смотрели. Но туда редко кто заглядывает.
Другой вопрос как узнать ненадежные CA?
| | |
| |
| 3.21, Аноним (-), 22:06, 24/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Позволяет, плохо смотрели. Но туда редко кто заглядывает.
> Другой вопрос как узнать ненадежные CA?
Никак. Без OCSP это вообще нереально, кроме как вручную - а не заипёшься ли ты их повсюду проверять вручную? А OCSP так и не прижилось 15 лет спустя как стандарт и повсеместное требование.
| | |
| |
| 4.26, sur pri (?), 23:33, 24/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
>> Другой вопрос как узнать ненадежные CA?
> Никак.
:-) Вот узнали же.
Хотя в заявлениях Google что-то не находится например неправильный сертификат, о котором идёт речь...
| | |
| 4.27, Аноним (-), 23:41, 24/03/2015 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Никак. Без OCSP это вообще нереально, кроме как вручную -
Чего бы это вдруг? Запомнить при первом конекте fingerprint и если поменялся - спрашивать, доверяем ли мы этим, новым. Не говоря уж о блеклисте.
А отчитываться каким-то левым хренам с OCSP сервером каждый раз когда я в банк хожу - как-то жирновато будет, имхо.
> не прижилось 15 лет спустя как стандарт и повсеместное требование.
Потому что тормозно и сильно гадит приватности пользователя, информируя совершенно левый сервер о активности юзверя.
| | |
|
|
|
| 1.10, Аноним (-), 19:58, 24/03/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Отключил для пробы доверие к сертификату CNNIC в Фоксе. aliexpress не пострадал, вопреки опасениям
| | |
| |
| 2.16, Anonplus (?), 21:58, 24/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
CNNIC славился тем, что бесплатно раздавал сертификаты для некоммерческих проектов, поддерживая повсеместное внедрение https.
| | |
| |
| 3.20, Аноним (-), 22:05, 24/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
> CNNIC славился тем, что бесплатно раздавал сертификаты для некоммерческих проектов, поддерживая
> повсеместное внедрение https.
Серверные. А тут речь о том, что эти ушлёпки отдали корневой, с правом подписи.
| | |
| 3.52, sur pri (?), 02:42, 26/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
> CNNIC славился тем, что бесплатно раздавал сертификаты для некоммерческих проектов, поддерживая
> повсеместное внедрение https.
Поддерживая повсеместное внедрение. Внедрение.
Своих сертификатов >:-)
| | |
|
|
| 1.14, Ilya Indigo (ok), 21:09, 24/03/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 >Инцидент является серьёзным ударом по всей инфраструктуре удостоверяющих центров, подрывающим доверие к ней.
В который уже раз, она всё живее всех живых.
| | |
| |
| 2.25, Michael Shigorin (ok), 23:29, 24/03/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
 >>Инцидент является серьёзным ударом по всей инфраструктуре удостоверяющих центров,
>>подрывающим доверие к ней.
> В который уже раз, она всё живее всех живых.
Как и МВФ с ФРС, забавное совпадение -- и тут опять китайцы...
| | |
|
| 1.29, Аноним (-), 23:56, 24/03/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
И главное, никто даже и не пытается особо обеспечивать поддержку RFC6091 в приложениях, особенно в собственно клиентских браузерах. Уже сколько раз об это X.509 руки-ноги ломали, а они так и не учатся и ничему учиться не хотят.
| | |
| |
| 2.36, Аноним (-), 07:52, 25/03/2015 [^] [^^] [^^^] [ответить]
| +/– | |
Существующая система сертификации прекрасно выполняет свои цели (как известно, истинные цели любого проекта становятся ясными только после запуска в эксплуатацию) - гарантированный перехват трафика и обход защиты по заказу. А рассматриваемый случай - досадный пример, который не должен был стать достоянием.
Типа как намеренно введенные дыры в Windows становятся известными благодаря утечкам, случаю или хакерам.
| | |
| |
| 3.42, Demo (??), 12:58, 25/03/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> Существующая система сертификации
Не вызывает доверия.
| | |
|
|
| |
| |
| 3.33, Аноним (-), 02:34, 25/03/2015 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Алгоритм подписи: PKCS #1 MD5 с шифрованием RSA
E = mc@tyumen.ru
CN = *.opennet.ru
OU = web site
O = Opennet.ru
L = Tyumen
ST = Tyumen reg.
C = RU
nice try, но нет, спасибо, в таком виде не пойдёт.
| | |
| |
| 4.44, Ilya Indigo (ok), 13:02, 25/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
С этим я не спорю, он тут просто для галочки, но он на этом сайте и не нужен, особенно анонимам.
| | |
|
| |
| |
| 5.57, Andrew Kolchoogin (ok), 12:29, 26/03/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > Да нафиг нужно на самоподписанных то..
Судя по тексту новости, несамоподписанные не сильно отличаются от самоподписанных. :)))
| | |
|
|
|
|
| 1.35, Аноним (-), 05:56, 25/03/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Что, собственно, очередной раз демонстрирует эпичный системный фейл всей текущей системы сертификации.
| | |
| 1.39, AlexAT (ok), 09:12, 25/03/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Именно поэтому давно пора переводить сайтовую PKI на публикацию компаниями собственных ключей в защищённых DNSSEC зонах, а не продолжать стричь бабло с желающих купить сертификат.
| | |
| |
| 2.43, Demo (??), 13:01, 25/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
> ключей в защищённых DNSSEC зонах, а не продолжать стричь бабло с
Ну, будут публиковать нужные поддельные сертификаты с неподконтрольных авторитетных или корневых серверов, толку то?..
| | |
| |
| 3.49, AlexAT (ok), 20:13, 25/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
>> ключей в защищённых DNSSEC зонах, а не продолжать стричь бабло с
> Ну, будут публиковать нужные поддельные сертификаты с неподконтрольных авторитетных или корневых серверов, толку то?..
Толк в том, что для подделки сертификата придётся подделать конечную запись о нём. DNS-серверов много, клиенты валидность могут вполне проверять с корня DNS - т.е. геморроя потребуется много.
| | |
|
|
| 1.41, а (?), 10:41, 25/03/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
В каком месте CNNIC расшифровывается как China Internet Network Information Center?
Может тогда уж CINIC?
| | |
| 1.45, Аноним (-), 13:02, 25/03/2015 [ответить] [﹢﹢﹢] [ · · · ] | +1 +/– | В списке рассылки Firefox после новости http www opennet ru opennews art shtml... большой текст свёрнут, показать | | |
| |
| 2.46, Ilya Indigo (ok), 13:08, 25/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
> 2. Это может быть не безопасно.
> Тут я вообще не понял, о чем речь.
Ну это же не безопасно для
> ...центров, продающий свои сертификаты налево... | | |
| 2.53, sur pri (?), 03:29, 26/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
> компании либо полное раздолбайство, либо это произошло с негласного разрешения руководства
> компании).
> Однако на мое сообщение появились аж два возражения:
> 1. Это не дает 100% гарантию, ведь можно отключить JavaScript или вырезать
> его на промежуточном узле, осуществляющем атаку.
> Ну, конечно, можно, только для этого потребуется реализовать Искусственный интеллект,
> который анализирует страницу, убирает нужный скрипт и не изменяет поведение страницы
> в браузере пользователя.
> 2. Это может быть не безопасно.
> Тут я вообще не понял, о чем речь.
You are an stupid idiot. Really, a certificate falsification means the server are falsified. Where you send information to?
И они почему-то считают, что фальсификация сертификатов допустима, если она делается внутри каких-то компаний в их внутренних сетях от имени этих компаний.
Я лично не вижу оснований оправдывающих такое. Конечно например Google может подарить кому угодно право подписываться за себя, но в любом другом случае когда какая-либо действующая в сети компания или сайт такого права не предоставляли такое должно быть недопустимо. Наравне с использованием и подделкой подписи или торговой марки.
Например невозможно же оправдать кого-либо если он у себя в офисе своему сотруднику вручит некое обязательство, заверенное подписью председателя правления скажем соседнего банка. На скажем какое-то количество рублей. Подделав бланк этого соседнего банка и подпись председателя. А потом будет говорить, что в пределах своей компании он вполне может использовать любые подписи и бланки... :-)
| | |
| |
| 3.54, sur pri (?), 04:06, 26/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
Примечание. Сайты не заинтересованные в такого рода вещах могут и должны использовать http. Без s.
| | |
| |
| 4.55, sur pri (?), 04:19, 26/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
Примечание к примечанию. Даже последний случай не даёт права фальсифицировать данные.
| | |
|
|
|
|
