Comments 94
Для сайтов на национальных сертификатах достаточно один раз установить корень в систему
А не проще ли сделать свой некоммерческий и российский центр сертификации, которому будет доверять весь мир, и наши компании под санкциями/SDN? Зачем создавать костыли в виде своих национальных корневых сертификатов? Если таковой нужно ставить самостоятельно, то я по умолчанию не буду ему доверять и куда-то его ставить, кроме изолированного профиля
которому будет доверять весь мир
В хорошем вопросе уже содержиться ответ.
Российским СА даже внутри страны не доверяют, не то что во всем мире. При злоупотреблении сертификатом, его можно использовать для MITM атаки. В ИБ одним из краеугольных камней является прозрачность и доверие. Выпускающие корневые CA компании должны быть независимые с регулярным прохождением аудитов.
При этом, у нас имеются достоверно подтвержденные случаи использования подложных Let'sEncrypt сертификатов для совершения MitM атаки в рамках расследования...
А еще, инфраструктура Certificate Transparency тоже где-то физически расположена, и, кем-то управляется в какой-то юрисдикции... и о том, что там где-то появился лишний сертификат, все будут молчать и тщательно почистят все следы, если кое-кто попросит....
При этом, у нас имеются достоверно подтвержденные случаи использования подложных Let'sEncrypt сертификатов для совершения MitM атаки в рамках расследования...
История с jabber.su - там как раз Let's Encrypt все сделал полностью корректно (Mitm был хостером - разумееться он смог challenge пройти)
А еще, инфраструктура Certificate Transparency тоже где-то физически расположена, и, кем-то управляется в какой-то юрисдикции... и о том, что там где-то появился лишний сертификат, все будут молчать и тщательно почистят все следы, если кое-кто попросит....
Там придется еще учесть что этих CT-логов хватает...и - всплыть это может кучей разных способов просто потому что БЕЗ подтверждения включения в логи браузер не примет а если подтверждение включения есть но лог почему то не видно - это готовое доказательство что CT-логи - врут и инцидент.
В ИБ одним из краеугольных камней является прозрачность и доверие.
О каком доверии идет речь?
Эдвард Сноуден всё уже давно рассказал.
По своей сути очевидно, что все СА зависимые. Но, я бы доверился лучше японскому СА, потому что это несоразмерно удорожает митм атаку на меня.
Это работает в идеальной среде. Не существует " корневые CA компании должны быть независимые" независимых компаний. Все компании обязаны исполнят законы тех стран, где располагаются.
При злоупотреблении сертификатом, его можно использовать для MITM атаки.
Ну митмить макс и ВК нет никакого смысла, они и так передают все данные куда следует (исходя из природы их происхождения).
А вот если ты идешь на условный, гугол.ком и браузер покажет, что он подписан сертом от минцифры - это уже плохо.
Классно было бы настривать в браузерах привязку CA к разрешенным доменам, тогда шанс митм как бы сильно снижается. Ну либо просто юзать отдельный браузер, для росгос сервисов.
Как будто есть выбор доверять зарубежному СА или нет. Очевидно ведь, что иллюзия. Польза исключительно как защита от мелких вредителей.
…которому будет доверять весь мир
Завидую вашему взгляду на жизнь!
которому будет доверять весь мир, и наши компании под санкциями/SDN
ну вот был GlobalSign,ему доверяли все. А потом пошли санкции, и он их выполнил. Со своим CA будет абсолютно то же самое. Он предоставляет сертификаты госухе - ему грозят санкции. Если он проигнорирует окажется под санкциями, ему перестанут доверять. И браузеры точно так же его выпилят)
А не проще ли [для ухода из под американских санкций] сделать свой некоммерческий и российский центр сертификации, которому будет доверять весь мир
Что бы центру сертификации доверяли его корневой сертификат должен быть вставлен в браузер. Это делают производители браузеров. Производители самых популярных браузеров все поголовно находятся в юрисдикции США и могут быть вынуждены удалить этот вот российский корневой сертификат по причине санкций, введенных правительством США. Круг замкнулся.
Производители самых популярных браузеров все поголовно находятся в юрисдикции США
яндекс браузер смотрит на вас с удивлением. Осталось чтобы производитель браузера запретили использовать браузер для своих версий браузера, а там и до производителей ОС может дойти, но это пугание обсуждалось еще в 14 году, не говоря про 22 год.
Если любой российский сайт не будет открываться, то в России с песней побегут ставить корневой сертификат с сайта без https
Можно выпускать форки браузеров строго на аудиторию Рунета, куда вшить необходимые сертификаты в хранилище (или Certificate Pinning прямо в исходный код), российские пользователи всё равно скачивают ПО из поисковика - с первой-второй страницы. Есть более грубые методы, но не стоит их упоминать здесь, а то некоторые могут вдохновиться.
вэкакащечку еще и из магазинов приложений на теликах выпилили
Ну есть же хорошие новости!
Объясните пожалуйста тем, кто не разделяет вашего позитива - а в чём собственно радость? К примеру, у меня дома на ТВ есть приложение ВК видео, бывает ставлю на фон сезон сериальчика какого-нибудь или музычку, работает норм, рекламы нет и все довольны, но как вижу не все, отсюда и вопрос.
К примеру, у меня дома на ТВ есть приложение ВК видео
Соболезнуем
Соболезнуем
Чему? Так, хотя бы вкратце, в чём проблема?
В самом использовании подобных программ. По факту используйте, что хотите, но в местных академических кругах подобный софт является “нечистым”, наравне с максом и рутубом. Тусклые подделки мировых лидеров. Отсюда и улююканье, типа “сами виноваты”.
Благодарю за ответ :) конечно предполагал, что примерно так, но.
Дело в том, что "соболезнующий" комментатор у себя в профиле имеет ссылку на ВК, а это же от нечистого, биполярочка не иначе..
Да, признаЮ, имеется грешок. Но если вы немного прокрутите вниз на 200-400 постов, вы найдёте исчерпывающее объяснение, что я в данный момент в процессе избавления от аккаунта в ВК. Это займёт около года-двух. Так что несчитово.
А вот в вашем случае прощения нет, так как вы не предоставили доказательств индульгенции. Не мне - а обществу и своей совести.
в чём проблема?
Я правильно понимаю, что речь про тот самый ВК, который по первой же хотелке роскомпозора делал недоступной музычку Агаты Кристи (там же про "опиум"), Нойза, Монеточки (якобы "распространения недостоверной общественно значимой информации"), Оксимирона ("экстремизм") и многих других?
Вы же понимаете, что цензура повсеместна? Но почему-то некоторые продукты более кошерны, а на иные.. ну тут уже двойные стандарты.
Разумеется не оправдываю цензуру. Но в данном случае нет альтернатив для широкой аудитории.
Вы же понимаете, что цензура повсеместна?
Вы же понимаете, что это спорная пресуппозиция?
Вот так навскидку и не припомню свободы, где присутствуют массы. Буду рад, честно, если приведёте пример.
То есть вы теперь на меня пытаетесь перенести бремя доказательства, хотя изначально утверждение сделали вы, и при этом делаете это с использованием нарочито абстрактных терминов?
Это так не работает :) Если действительно хотите диалога - дайте определения "цензуре", "свободе" и "массам" для начала, чтобы было понятно, что вы имеете ввиду.
Ага, то есть вместо диалога - минус в карму. Ну что, ну ок...
Мне карма не позволяет ставить минусы, даже +/- вам не ставил. Продолжать диалог не вижу смыла, раз пошла речь об определениях, мы просто в них погрязнем, а конструктивный диалог не состоится.
Когда рассчитываете на конструктивный диалог, наверное, все же не стоит начинать его с манипулятивных пресуппозиций, а после ожидать примеров, опровергающих ваше высказанное ранее и ничем не обоснованное утверждение, причем примеров на каких-то размытых "массах" не поясняя, что конкретно вы имеете ввиду. Потому что без этого мы погрязнем в "это не совсем массы", "это ненастоящая свобода", и т.п. И таки да, конструктивный диалог не состоится.
Выдал компенсацию. Одна штука. Больше не полагается.
Абсолютно бесспорная. Все юрисдикции удаляют что-то по требованию, как по политическим темам (привет ковиду), так и юридическим (найдите на ютубе сериалы, фильмы и спорттрансляции, коих на вк море). Вк дно, но в плане "параллельного импорта" видеоконтента де факто существует. Обвинять людей, что они ставят вк, чтобы иметь хоть какой-то доступ к зарубежномв контенту - это крайне странная позиция.
Абсолютно бесспорная. ... найдите на ютубе сериалы, фильмы и спорттрансляции
Вы, очевидно, валите в кучу "цензуру" и совершенно другие явления, такие как "защита авторских прав".
Внесудебная блокировка песни со строчками "Скоро перестанем чувствовать — станет норм / Добьётся своего безумствующий старый гном / Снежинки ядерного пепла посыплют бункер — / Лучше просыпайся, Лель, и буди Снегурку" по решению неуказанного госограна - это цензура, удаление произведения по требованию автора - это защита авторских прав. Не путайте.
Собственно, именно поэтому я выше писал о важности определений.
Что же до обвинения людей - я никого ни в чем не обвинял. Я пишу лишь про то, в чем проблема с ВК.
Ой, только не пишите, что на youtube отсутствует цензура.
Ой, а можно я сам разберусь с тем, что мне писать а что нет, без ваших указаний, ок?
Почему вы вместо аргументированных возражений применяете риторические манипуляции?
Могу вам повторить только то, что уже писал выше: если хотите предметного диалога, поясните, что конкретно вы называете "цензурой" и почему считаете, что она "повсеместна". Но сразу замечу, что если вы считаете удаление/отсутствие спорттрансляций проявлением цензуры а не следствием защиты авторских прав, и не хотите отделять одно от другого, то у меня есть большие сомнения в том, что конструктивный диалог может состояться.
Нам срочно нужно перенимать прогрессивные западные методы по работе с работниками массового медиа и деятелями культуры (Шона Комбса импортозаместить условным подполковником и по-совместительству немножечко шьющим работающим продюсером Арменом Шашлыкяном? Ну, сначала вычистив старосовеЦкую еще тусовочку от прослойки продюсеров и всяких Алл Борисовн) и без замазывания в смоле, перьях, детских слезах и дерьме по самые уши, после которого - если вскроется по циркуляру из скучного офисного кабинета, прямиком из прохладного подвала неприметного здания архива - даже не надо будет ловить и наказывать: народ линчует сам, в том числе и щепетильный забугорный не выпускать на массовое вещание?
Ну да, тогда ничего не придётся удалять - они сами это не напишут. А если и напишут, то только в правильном ключе, про политических противников хозяев.
по запросу в гугле "youtube movies" он первой строкой выдает ссылку на свой же сервис Movies & TV, где доступно куча фильмов и сериалов, бесплатно (с рекламой естесственно) и платно (если хотите без рекламы).
Простите но Вы путаете.
Цензура это про государство.
Правила площадки это про правила текущей площадки.
Если на площадку приходит государство и говорит что петь про чебурашку нельзя, это цензура, так как правила площадки не нарушено но запрет есть.
Если в правилах площадки написано что нельзя петь про чебурашку, это не цензура, это просто правила площадки и человек размещающий контент про чебурашку, должен понимать что его контент удалят (и не бегать везде и кричать, мол притесняют и люди добрые цензура, памагите аааа!!!).
И там и там удаление или редактирование контента, но как говорит Чапай, есть разница.
А кто устанавливает правила площадки? )) антропк модель из общего доступа тоже убрала по правилам площадки так-то))
Ковид я вам уже приводил в пример. Удаление неугодных СМИ- это вообще на право и налево. Трамп свой труф сделал тоже не просто потому, что захотел. Ну и так далее. Цензура - жто не только государство, тем более в таких странах как США и великобритания, где сложно понять где кончается государство и начинается бизнес.
Подозрение на отстуки о приватной сетевой инфраструктуре пользователей. Этого уже вполне себе достаточно.
Потому что ВК блокирует тг, блокирует Ютуб и другие платформы и мессенджеры. Потому что ВК жрёт и жрёт государственные деньги (налогоплательщиков), не создавая ничего полезного. Почему я должен позитивно относиться к этой помойке, тесно интегрированной с ап и ркн?
Отличное эмпирическое правило - не совмещать юрисдикцию, в зоне влияния которой вы физически находитесь, и юрисдикцию, способную каким-то образом расшифровать ваши данные. Проще говоря - не храни мистера копа и тащмайора в одной корзине.
Кейс MAX это уже продемонстрировал: отзыв утром — переход на Let’s Encrypt в тот же день.
катастрофа в том, что тот же вк уже перебежал с LE на некий harica.eu, доменная зона которого неоднозначно намекает что это тоже временно.
в конце концов, пока (пока санкции не снимут, те никогда при текущей власти) минцифры/любой новый рф CA не окажется в доверенных браузерами типа фф/хромиум - рунет превращается в кликер "да, разрешить небезопасное соединение, согласен на риск подмены трафика".
так что
Запад одним решением отозвал сертификаты у всего Рунета»
верно, так как чебурнет и рунет - разные сущности.
чебурнет бизнесы получат у минцифры и не откроются нормально в нормальных браузерах. наверняка и с моб приложениями будут проблемы.
где рунет бизнесы будут получать сертификаты в обозримом будущем?
мэйлру пока бегает по той самой ненавистной "западной" инфраструктуре. дружеские страны рф, типа афгана, сев.кореи итп - не то что бы обладали доверенными CA. выдавать сертификаты под риском вторичных санкций тоже никто не станет, вопрос времени (у мэйла 3й вендор уже за пару недель)
с одной стороны границы домены .ru запрещают получать без госуслуг, с другой - не выдают сертификаты тк наложили санкции.
с одной стороны границы не пускают на "вражеские сайты" чтобы не допустить граждан к неподконтрольной фсб пропаганде, с другой не пускают на рф сайты чтобы защитить первое лицо от беспилотника, навешали кривых WAF и прочих ddos guard, блочат симки, whatever.
контроль контроль контроль. безопасность безопасность безопасность. контроль вас ради безопасности их. безопасность вас от последствий их действий.
чебурнет грядет, и мы ничего с этим не можем сделать
катастрофа в том, что тот же вк уже перебежал с LE на некий harica.eu, доменная зона которого неоднозначно намекает что это тоже временно.
Это вообще какая-то мутная история. Этот HARICA — центр, который выдает серты научным и образовательным организациям. Скорее всего, только греческим и бесплатно. Как туда заехали коммерческие банки из страны, довольно далекой от Греции, — вопрос...
1) Не надо подменять понятие Рунета и российских государственных сайтов. Mail.ru Group попала под санкции не за красивые глаза. Все всё понимают.
2) Рунет по сути превратился в Чебурнет ещё задолго до проблем с сертификатом, когда началась тотольная борьба с VPN и стали массово использоваться фильтрацию по GeoIP.
"называй хоть сюзанной если тебя от этого прёт" (с)
Не надо подменять понятие Рунета и российских государственных сайтов. Mail.ru Group попала под санкции не за красивые глаза. Все всё понимают.
а условный мелкий коммерс из крыма за что? насколько я понимаю, и до него дойдет
Рунет по сути превратился в Чебурнет ещё задолго до проблем с сертификатом
далеко нет. пишу этот коммент из азиатской страны в рунет.
чебурнет - это северокорейский вариант. туда, в чучхенет, я писать не могу совсем
рунет превращается в кликер "да, разрешить небезопасное соединение, согласен на риск подмены трафика"
А что сейчас то (без корневого минцифры в доверенных) мешает подменять трафик в рунете, если мы изначально предполагаем, что канал между пользователем и запрашиваемым сайтом скомпрометирован? В десятый, наверное, раз, обращаю внимание, что hetzner/linode прекрасно смогли в MITM без необходимости кому-то пропихивать корневой в доверенные.
если мы изначально предполагаем, что канал между пользователем и запрашиваемым сайтом скомпрометирован
кто "мы"? почему "мы" так полагаем? кто что скомпрометировал и как это связано с отзывом сертификатов? причем тут linode? почему это сообщение направлено ответом на мой комментарий?
вы как будто веткой промахнулись
MITM с подменой сертификата: если у вас CA минцифры в браузере, и минцифры желает вам нехорошего - при обращении к любому сайту минцифры генерит сертификат для этого сайта, браузер шифрует запрос не для сайта, а для минцифры, шлет в мирцифры, минцифры делает с вашим запросом что хочет (читает, меняет, записывает в бд для последующей исповеди в рпц, шлет в мвд).
MITM с подменой сертификата: если у вас CA минцифры в браузере, и минцифры желает вам нехорошего - при обращении к любому сайту минцифры генерит сертификат для этого сайта, браузер шифрует запрос не для сайта, а для минцифры, шлет в мирцифры, минцифры делает с вашим запросом что хочет (читает, меняет, записывает в бд для последующей исповеди в рпц, шлет в мвд).
Это так просто не работает конкретно для рунета, сокращение MITM как бы намекает нам, что нужно ещё быть посередине. Минцифры не может просто выпустить левый сертификат и начать собирать данные. Ему нужно либо физически контролировать каналы в рунете, либо физически контролировать DNS сервер, к которому вы обращаетесь и заблокировать все остальные DNS сервера. И если минцифры физически контролирует каналы в рунете, то ему не нужен никакой сертификат в доверенных для перехвата и расшифровки вашего трафика в рунете, ровно при этом тут и linode.
либо физически контролировать каналы в рунете, либо физически контролировать DNS сервер, к которому вы обращаетесь и заблокировать все остальные DNS сервера
хмм, эти ТСПУ которые замедляют (шейпят) и ограничивают (контролируют) траффик к определенным сайтам/ip адресам из цензурных соображений.
есть у них одна проблема: они не могут просто взять и расшифровать данные зашифрованного приватным ключом https запроса, которые отправлены на сервер с сертификатом letsEncrypt. из за этого приходится ограничивать трафик по сигнатурам tls, поведенческим факторам специфических приложений/протоколов и страдать прочей подобной фигней.
вот было бы здорово, если бы еще и серт был свой, от какого нить минцифры
удобно же, вроде как все компоненты полноценного mitm сетапа на месте, осталось только их интегрировать. и не заставишь ведь каким нибудь административным решением
они не могут просто взять и расшифровать данные https запроса, которые отправлены на сервер с сертификатом letsEncrypt
Ещё раз для альтернативно одарённых: если минцифры контролирует каналы рунета, то для любого сервиса, который хостится в подконтрольных сетях, оно уже сейчас может выпустить тот самый LE сертификат и расшифровать весь трафик, нет никакой необходимости для этого пропихивать куда-то корневой. Чебурнет и рунет - одна и та же сущность.
у них нет ни одного приватного ключа, которым зашифрованы данные между отправителем и получателем.
если будет подконтрольный серт - шифроваться будет прямо для них.
если я вам покажу зашифрованный email здесь, и оба публичных ключа (отправителя и получателя) - вы не узнаете что в нем написано, хотя полностью видите все отправленные по каналу данные. это называется ассиметричное шифрование.
вы этого не понимаете, и обзываетесь.
извинитесь и поставьте мне плюс в карму.
у них нет ни одного приватного ключа, которым зашифрованы данные между отправителем и получателем
В последний раз для альтернативно одарённых советую изучить механизмы выпуска, например, сертификатов LE и заодно изучить кейс mitm для jabber.ru, где не потребовалось никакого левого доверенного в корневых для перехвата и расшифровки трафика.
Подконтрольность сетевой инфраструктуры позволяет творить гораздо более хардкорные вещи, чем сертификат в доверенных, а подконтрольность существует уже сейчас.
извинитесь и поставьте мне плюс в карму.
Если вы изучите и поймёте/опишете тут то, что сейчас не понимаете, то с удовольствием это сделаю.
Вот прямо вспоминается бессмертное:
Вы, Шариков, чепуху говорите и возмутительнее всего то, что говорите ее безапелляционно и уверенно.
Я, разумеется, понимаю, что вы имеете ввиду. И даже сам могу придумать кейс, особенно если контролировать не только сетевую инфраструктуру, но и хостинг (как, собственно, и было с jabber).
Но здесь речь про совершенно иной кейс!
Приведите пример MITM атаки: "Я иду на https://gmail.com/ "
Моя версия:
У меня в браузере установлено доверие к сертификатам Минцифры
По дороге (я же через контролируемого российского провайдера иду) мой запрос терминируют (легко, поскольку даже DNS - НСДИ) на сервере с сертификатом МинЦифры, выпущенным н ато же доменное имя (Гугла).
Поскольку мой браузер доверяет УЦ МинЦифры, он спокойно продолжает, обменивается сессионными ключами с MITM сервером.
MITM сервер от моего имени проделывает то же с gmail.com.
При этом весь трафик "перешифровывается" MITM сервером, и я об этом не знаю. Если только вручную не проверю, что за сертификат gmail.com испольуется и почему от вдруг от МинЦифры.
У меня в браузере НЕТ доверия к сертификатам Минцифры
В таком случае браузер заругается на недоверенный сертификат. Я, разумеется, не стану продолжать.
Даже при полном контроле Российских провайдеров и хостеров не получится выпустить сертификат на gmail.com через один из УЦ, которым доверяет мой браузер. Ни LE, ни GlobalSign.
Если можете описать механизм MITM в данном случае - с интересом послушаю.
Напомню - речь о перехват gmail.com и подобных. Траффик к ВКонтакте перехватывать через сложный MITM не требуется - сами все отдадут.
Статья начиналась с отзыва сертификата GlobalSign. Какой смысл обсуждать бесплатный LE, которым в основном пользуются стартаперы и домашние пользователи?
Давайте вспомним, ВТБ, Сбер года 3 назад попытались перейти на Российские сертификаты, но эксперимент очень быстро закончился. Что будет с Рунетом, самое очевидное - будет устанавливаться ещё и Яндекс браузер, другое дело что это даёт отличное решение уже нашим властям, по этой сигнатуре огородить Интернет. Что будет с МАХ - вопрос интересный, т.к. если посмотреть на iOS и веб приложения ВТБ, Сбер, то это действительно очень здорово, и если МАХ сможет выйти за "необходимость установки клиента", то это вполне может стать неплохим плюсом.
Сбер и тбанк на уровне апи работают И с сертом минцифры. Недавно тбанк рассылал напоминание проверить что на стороне сервера всё установлено.
Сбер - с тех пор так и не переставал всем пользователям показывать напоминалку “установите сертификат минцифры”.
Просто пока было не критично, они сами себе не отрубали ничего. но и про этот сертификат не забывали.
Клиенты же - в себе по идее должны содержать серт, и по крайней мере на этом уровне должно работать.
Сбер года 3 назад попытались перейти на Российские сертификаты, но эксперимент очень быстро закончился.
Мне кажется у вас устаревшая информация)
Да нет, вот победная реляция от Сбера, что их основной сайт переведен на посконные сертификаты. Убедиться, что сейчас это не так, вы можете самостоятельно.
Может, какие-то невидимые простому человеку апи и шлюзы они успешно перевели, но люди закономерно судят по тому, что видно снаружи.
42.42%Не захожу вообще
Тут явно не хватает доп. вопроса, проживаете в России? Да/Нет
/offtopic
статья — обычный ллмслоп, так что по существу сказать нечего
однако, если кому-то тоже стало любопытно, что это за язык для диаграм в листингах: это Mermaid (а не Graphviz, как предположила ллмка-объяснялка от SourceCraft); вот первая попавшаяся мне онлайн-рендерилка: https://mermaid.live/
Мало того, что генеративщина, так ещё и аккуратненько пропустили самый кошерный вариант: завести отдельный браузер/профиль для местных сайтов и уже туда ставить сертификат от Минцифры, а не в корень системы.
Все проще. Поставил сертификат минцифры в виртуалке.
А вообще в браузерах и операционных системах не хватает возможности управления доверием, т.е. возможности явно определять, каким сертификатом подписан данный ресурс. Чтобы если сертификат от минцифры, то никакая собака не должна выпускать сертификат от другого корня. То же для других источников доверия, включая собственный корневой сертификат для личных ресурсов.
Исключение — сайты с HSTS
Макс, кстати, именно что с hsts. Когда отозвали сертификат, файрфокс меня перестал туда пускать.
Ну и просто с недоверенными сертификатами проблема в том, что браузеры кнопку "пустить" прячут уже далеко. И для обычного пользователя все ошибки сертификации идентичны - он не может попасть на сайт.
Так что вся эта история приведёт, скорее всего, к массовому переходу российских юзеров на яндекс.браузер. Меньшинство поставит сертификаты минцифры.
Так же снизится количество посетителей "санкционных" сайтов извне.
Да — и это центральный технический факт всей истории, превращающий «катастрофу» в «смену поставщика».
Доверие заключается не в том, что браузер доверяет поставщику, а в том, что пользователь доверяет поставщику.
Или не доверяет, с полным на то основанием.
Отозвали сертификат у MAX и ... и почему это не «конец Рунета»
По определению. макс (его же переименовали!) ≠ Рунет.
ВK раньше был значимой частью, теперь уже нет. На уровне ОК. Для связи с родственниками, у которых ничего другого нет.
Автор предлагает доверять тем же людям которые блокируют приватные каналы и средства связи..и всячески продвигает spyware на устройства пользователя?)) Смешной парень))
Обяжут всех провайдерв проверять установку сертификата Минцифры, а потом можно на любом ТСПУ делать MITM. Товарищ майор только рад будет.
@moderator, сгенерированная статья. Сотрудники Хабра вообще пользуются своим сайтом?
Что стоит отслеживать по-настоящему:
Вот Макс и ВК стоит отслеживать, там аппетит немерянный, и его отзывом серта не сбить.
P.S. А вот схемы в mermaid вкладывать - это прогрессивно, но Забр не умеет такое. И автор, который даже не посмотрел, как текст запостился... @moderator, ахтунг, тут прямо имеет место...
А как пожаловаться на нейро статью? Почему это вообще модерацию прошло?
Саммари для тех кто не хочет читать - ну отозвали и отозвали, чё бухтеть то, ставь Яндекс, и вообще у нас все хорошо
На самом деле в случае с отзывом/непродлении сертификатов проблема для России (точнее для российских сервисов) состоит не в том, что условная МарьВанна не сможет открыть условный сайт ВКонтактика. Для этого существуют множество собственных CA (и не Минцифры единый). Проблема состоит в том, что пользоваться российскими сервисами не смогут контрагенты из других стран, в первую очередь финансовый, торговый, транспортный документооборот и пр. Скорее всего на это в итоге и нацелен этот демарш со стороны CA/Browser Forum. Капитализм, особенно на государственном уровне - штука жестокая и циничная.
Решение на данном этапе видится только одно - договариваться на уровне государств о взаимном доверии локальным CA. И судя по новостям, процесс этот идёт ускоренными темпами.
ну рф иран афган севкор это не то что бы мировая тенденция, справедливости ради
я не уверен что новость вообще имеет отношение к CA, если честно
И судя по новостям, процесс этот идёт ускоренными темпами.
То чувство, когда читаешь про работу карт "Мир" в Иране и "ускоренные темпы", а потом вспоминаешь, что не так и давно они работали на Кипре, в Южной Корее, Эмиратах...
демарш со стороны CA/Browser Forum
Просто исполняют законы страны, где зарегистрированы и ведут деятельность.
То есть реальное решение проблемы - приравнять сертификаты TLS к каким-нибудь лекарствам, которые можно ввозить в подсанкционные страны, несмотря на то, что ими могут лечить не только гражданских. Иначе интернет по всему миру продолжит чебурнетизироваться.
"Отозвали сертификат у MAX и VK — это не конец Рунета" — Да, это начало Чебурнета...
По существу - не нужно использовать "самопальные" скрепные сертификаты, просто проходите мимо.
Среди правдоподобных мифов хитро замаскировался миф №6. Который вовсе и не миф.
Тут интересен опыт китайцев. Тот же baidu.com подписан globalsign-ом, хотя есть китайские CA, которым доверяют наиболее популярные во всем мире браузере. В целом довольно подозрительно это выглядит
Подскажите альтернативу Max для голосовых звонков не заблоченную в России? На iPhone теперь им пользоваться стало отдельным видом мазохизма (в связи с отрубленными напрочь пуш нотификациями).
Отозвали сертификат у MAX и VK: разбираемся, что это технически значит — и почему это не «конец Рунета»