Войти в систему

Home
    - Создать дневник
    - Написать в дневник
       - Подробный режим

LJ.Rossia.org
    - Новости сайта
    - Общие настройки
    - Sitemap
    - Оплата
    - ljr-fif

Редактировать...
    - Настройки
    - Список друзей
    - Дневник
    - Картинки
    - Пароль
    - Вид дневника

Сообщества

Настроить S2

Помощь
    - Забыли пароль?
    - FAQ
    - Тех. поддержка



Пишет Misha Verbitsky ([info]tiphareth)
@ 2017-12-02 19:44:00


Previous Entry  Add to memories!  Tell a Friend!  Next Entry
Настроение: sick
Музыка:Dedalus - Dedalus
Entry tags:fascism, internet, ljr, putin

Сертификат истёк 12.11.2014 15:46
Какое-то странное явление
http://lj.rossia.org/community/ljr_bugs/105296.html
выгядит, как подмена сертификата, причем массовая
у нас сертификат let's encrypt, есличо, и он истекает
12/19/17.

Такое вообще бывает? Я думал, подмена сертификата
дело непростое и очень редко применяется.

Здесь тоже жалуются:
http://lj.rossia.org/users/tiphareth/2081841.html?thread=109744177#t109756721
(на то же самое явление). Прошу объяснить, кто знает.
Спасибо

Привет



(Читать комментарии) - (Добавить комментарий)


[info]lookatindivid
2017-12-03 04:40 (ссылка)
>у пользователя нет никакой возможности как‐то удостовериться в том, что сертификат не mitm, если он выдан УДЦ.


из бытовой логики кажется, чтопо-хорошему УДЦ должен предоставить возможность проверки
выскочило предупреждение - идешь в УДЦ, спрашиваешь "чо за серт?"
они говорят "ООО ФСБиКо", пишешь письмо в ООН о репрессиях кровавой гебни

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ketmar
2017-12-03 04:45 (ссылка)
а тебе говорят: «нормальный сертификат». как ты проверишь ответ? центры не несут никакой ответственности за свои действия, вообще.

(Ответить) (Уровень выше) (Ветвь дискуссии)


(Анонимно)
2017-12-03 05:03 (ссылка)
http://patrol.psyced.org/

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ketmar
2017-12-03 05:10 (ссылка)
херота. всё, что «may be annoying» — будет юзерами скипаться на автомате, даже если они изначально поставят это с намерением честно читать каждый попап.

(Ответить) (Уровень выше) (Ветвь дискуссии)


(Анонимно)
2017-12-03 05:27 (ссылка)
На юзеров плевать, это не для юзеров, а для параноиков.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ketmar
2017-12-03 06:20 (ссылка)
параноикам совершенно без разницы, потому что они знают, что вся система уже скомпрометирована.

(Ответить) (Уровень выше)


[info]lookatindivid
2017-12-03 05:06 (ссылка)
значит будет несколько "нормальных сертификатов"
что само по себе подозрительно

ответственность они несут в виде репутационного ущерба
если какие-то будут замечены за такими делами, то их конкуретны сделают на этом профит
в принципе, они должны друг друга контролировать и вылавливать такие проколы

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ketmar
2017-12-03 05:12 (ссылка)
>значит будет несколько "нормальных сертификатов"
>что само по себе подозрительно

у гугеля вон несколько лет назад (как сейчас — по очевидным причинам не знаю) каждую неделю сертификат менялся. всем было похуй, все вставили для гугеля исключение.

>ответственность они несут в виде репутационного ущерба
лолбугога. те, кто разбираются в теме, знают, что никакой репутации у них нет. а остальным всем можно ссать в глаза без боязни «репутационных потерь». вон, комодо ломали несколько раз — и что, комодо закрылся, перестал сертификаты делать? ага, щаз. и делает, и покупают, и по‐прежнему продаёт «security solutions». это всё, что имеет смысл знать про «репутацию» в этой области.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]lookatindivid
2017-12-03 06:48 (ссылка)
ладно, практически убедил (но говно я есть не брошу!)


1) что если организовать распределенную систему верификации сертификатов?
каждый акт приобретения сертификата вносится в распределенную базу, по которой всегда можно проверить данный конкретный сертификат, если выскочило предупреждение.
(хотя это кажется исключает необходимость удц лол)

2) решение социально. имеем множество удц, которые договариваются между собой о правилах выдачи сертификатов.
типа:
одному удц нельзя выдавать одной и той же конторе сертификат больше одного раза в год.
следующий удц выдающий данной конторе определяется случайным образом.
ну и вариации этого для разных уровней клиентов (организация, сайт, подсайт).

кажется уже вообще утратил знание о необходимости существования удц лол (но говно я есть не брошу!)

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ketmar
2017-12-03 06:59 (ссылка)
>ладно, практически убедил (но говно я есть не брошу!)
ну, ssl — в принципе — защитит тебя от «кулхацкера пети, который слушает wi-fi», да. так что какая‐то минимальная польза от него есть, конечно. но на большее рассчитывать не стоит.

и да, УДЦ не нужны, ты прав; разработать хорошую zero-trust схему без УДЦ вполне возможно. но зачем? в смысле — чтобы её внедрить, надо сначала сделать людям хотя бы минимальное понимание базовых вещей, а это сизифова работа. нужная, конечно, но ну его нафиг.

я, в общем, писал не для того, чтобы ты сосвем бросил ssl, а больше для того, чтобы у тебя не было иллюзий, что оно способно защитить тебя от чего‐то большего, чем «кулхацкер петя». да и от пети, тащемта, не всегда…

(Ответить) (Уровень выше)


(Читать комментарии) -