Comments 348
Но и сочувствовать в данном случае банкам, финансирующим прямо или косвенно геополитические авантюры, не готов.
Если регулятор требует прекратить предоставление услуг - у бизнеса нет выбора. Но статья не про сочувствие конкретным банкам, а принципиальный вопрос: можно ли теперь доверять сертификатам?
Пока можно. Речь ведь идёт о ложно-положительных срабатываниях (сайт объявляется небезопасным/поддельным).
Хуже будет другое: если однажды начнутся ложно-отрицательные срабатывания. Я вижу два сценария:
Выпуск тем же УЦ левого сертификата, позволяющего (совместно с игрой с dns) перехватить трафик до банка (типа против врага все средства хороши)
Внедрение у нас своего государственного УЦ и корневого сертификата, далее см. пункт 1, но уже для сайтов за пределами России.
Upd: лично мне хотелось бы в настройках браузера иметь возможность ограничить для корневого сертификата область действия.
Если бы регулятор попросил у thawte, то попросил бы и у GlobalSign. Либо это бюрократические задержки и сертификаты отзовут повторно, либо самодеятельность thawte, в попытке показать, какие они молодцы.
Сертификатам доверять условно будут, потому что привыкли. Но изменение it-ландшафта без сомнения произойдет.
А я давно, давно говорил, что низзя!
Что вся эта централизованная система закончит так же, как и другие централизованные системы.
И что автоматическое доверие - вообще плохо, а хорошо доверять известным тебе людям и тем, кому доверяют они (дальше желаемое количество переходов и логика получения конечного доверия). И вручную разрешать конфликты, если что, потому что кроме человека, никто их разрешить и не может.
Неспроста же для шифрования почты популярно (ну-у, типа того) PGP, а не центры сертификации и вот это все? Неспроста же в разных p2p-сетях этой системой не пользуются?
Ну и вот.
Да оно и очевидно было, начиная с фразы "автоматическое доверие".
ПГП предполагает в том числе ритуалы по рукопожатному знакомству и обмену сертификатами для выстраивания своей сети доверия. Это не просто отдельная утилита, это часть криптолюбительской культуры.
Не, кайф в том, что ПГП не канал шифрует, а сообщение! На выбор канала и его защищенность вообще пофиг. И с обменом ключами там тоже всё нормально. По ходу дела, настало время возвращаться к истокам!
Но статья не про сочувствие конкретным банкам, а принципиальный вопрос: можно ли теперь доверять сертификатам?Можно. Отзыв сертификата, на самом деле, означает не «заявление о том, что сертификату больше нельзя доверять: он был украден, получен неуполномоченным лицом, выпущен с ошибкой и т.п.», а «мы больше не можем гарантировать, что он не был украден, получен неуполномоченным лицом, выпущен с ошибкой и т.п.»
Обязанность предоставить такие гарантии никогда не возлагалась на УЦ.
Политическая подоплека ни на что не влияет: действия по восстановлению (перезаказ сертификата в другом УЦ) и предотвращению (кросс-сайнинг) одни и те же независимо от причины.
У вас ошибка буквально в формальной логике вопроса.
принципиальный вопрос: можно ли теперь доверять сертификатам?
В общей ситуации (функционировании TLS/HTTPS), к которой вы апеллируете, "доверие" к участнику системы - результат наличия сертификата. В конкретном частном случае, у нескольких участников этот сертификат отозвали, то есть лишили их атрибута доверия. Чтобы делать утверждение о недоверии системе, система должна начать, например, выдавать сертификаты (условно) "кому попадется", то есть наличие сертификата должно перестать означать, что участнику можно гарантированно доверять.
То, к чему вы клоните - это вопрос последовательности и прозрачности правил участия в этой системе доверия. Но чтобы что-то по этому утверждать на тему нарушения правил и договоров (а не ваших личных ожиданий, например), нужно смотреть этот самый договор. Я сильно сомневаюсь, что там в правах клиента написано что-то в духе "клиенту гарантируется, что вся система работает со всеми клиентами абсолютно на одинаковых условиях и гарантируется, что сертификат будет действовать независимо от каких-либо обстоятельств, пока не кончится оплаченный срок". Скорее, там написано обратное. И так - во всех договорах. Вы их когда-нибудь вообще читаете?
Чтобы делать утверждение о недоверии системе, система должна начать, например, выдавать сертификаты (условно) "кому попадется", то есть наличие сертификата должно перестать означать, что участнику можно гарантированно доверять.
Это лишь Ваше мнение, которое Вы противопоставляете моему. Безусловно, Ваше право не соглашаться со мной, но Вы не опровергаете меня, а лишь возражаете.
Я сильно сомневаюсь, что там в правах клиента написано что-то в духе "клиенту гарантируется, что вся система работает со всеми клиентами абсолютно на одинаковых условиях и гарантируется, что сертификат будет действовать независимо от каких-либо обстоятельств, пока не кончится оплаченный срок"
Там и про санкции ничего не сказано, поскольку очевидно и без того: правила действуют лишь в той части правоотношений, которая не урегулирована законодательно. То, что Вы "процитировали" - тоже часть законодательства, общее место гражданского права.
Нет, это не противопоставление мнений. Это различие между тем, что я говорю о "доверии" в том смысле, в каком этот термин используется в рамках протоколов TLS/HTTPS/SSL и так далее (и это не мое мнение - это используемая терминология), и тем, что вы используете этот термин в более общем смысле (как в фразе "доверие бизнес-партнерам").
Что касается упоминаний санкций - в секциях большинства договоров, описывающих обстоятельства непреодолимой силы, например, тоже не описывается буквально каждое стихийное бедствие (если это не договор страхования, например). И нет, то что я привел для примера, не является требованием законодательства (и не может, естественным образом).
Чтобы делать утверждение о недоверии системе, система должна начать, например, выдавать сертификаты (условно) "кому попадется",
Ну т.е. поддельных сертификатов Symantec никогда не было, иранцы взломали сами себя?
принципиальный вопрос: можно ли теперь доверять сертификатам?
Второй вопрос - если не доверять, то что делать?
принципиальный вопрос: можно ли теперь доверять сертификатам?
На этот вопрос ответ простой: выданным и неотозванным — можно. Все прочим — отозванным, устаревшим, самоподписанными, выданным другому домену — на ваше личное усмотрение. Сертификат — это просто доверительная грамота, выданная лицом, которому вы сами решили доверять. Ничто не мешает вам установить доверие в обход CA. Если вы лично считаете, что приватный ключ сертификата не скомпроментирован, что банк воюющей страны не является подконтрольным, и что ваши пароли и личные данные не утекут — добавьте этот сертификат в доверенные и продолжайте пользоваться.
вы сами решили доверять
Это где это? Ни разу не помню, чтобы меня спрашивали, хочу ли я доверять конкретному Thawte. Или, что тоже немаловажно, могу ли я добавить в список доверенных корневых сертификатов СЦ "Рога и Копыта". Не лично себе на свой комп, а вот, допустим, всем, кто заходит на мой сайт. Т.е. сейчас я могу прописать в DNS, что серт для моего домена выдан таким-то СЦ, но сам СЦ я обязан выбирать из закрытого списка. Почему, собственно?
Ни разу не помню, чтобы меня спрашивали, хочу ли я доверять конкретному Thawte.
Вы знаете про транзитивную цепочку доверия? Вы установили OC и браузер, разработчикам которого вы доверяете (иначе бы вы не ставили их, правда?). Разработчики, в свою очередь, проверили Thawte и доверяют им, поэтому по-умолчанию поставляют вам их корневой сертификат. Следовательно, вы доверяете Thawte, по закону транзитивности. На этом построен весь PKI.
Не лично себе на свой комп, а вот, допустим, всем, кто заходит на мой сайт.
Вариант 1: пишете на своём сайте: "Если хотите читать мой сайт без предупреждения о недоверенном сайте, поставьте, пожалуйста, мой сертификат к себе в доверенные. Я хороший, честно-честно".
Вариант 2: собираете свой браузер, который будет по-умолчанию доверять сертификатам, выданным теми CA, которым доверяете вы, убеждаете людей, что вам можно доверять — и если вы убедительны, то люди поставят его и не будут иметь проблем с вашим сайтом, точно по той же транзитивной цепочке.
но сам СЦ я обязан выбирать из закрытого списка. Почему, собственно?
А как иначе? Вы считаете, вы должны иметь возможность указывать другим, каким сайтам им доверять и пихать им в доверенные всё, что вам угодно? Доверие так не работает. Доверие нужно заслужить.
Ага, конечно. Напасть на соседа в разрез с тем же Будапешским меморандумом и кучей международных договоров, убивать женщин, детей, стариков - это норм. А тут вот не правильно, внезапно.
Когда одна из сторон первой нарушила все возможные договоры и порядки, разрывать все договоры с ней это НОРМАЛЬНО.
При условии что руководство какой-то компании где-то принимющей решение точно знает кто и что где нарушил. Ну вот как мы с вами здесь, точно знаем что про ядерное оружие на украине это брехня, флот США никогда в 2014 не пытался приехать в Крым, нацбаты это просто патриоты и т.п.
Мы точно знаем и можем принимать осознанные решения.
Это сарказм, если что. Я вот не знаю что из перечисленного реальная угроза, а что - пропаганда. И откуда это может знать руководство Thawte мне не понятно.
То, что Россия напала на Украину без объявления войны - это абсолютно очевидно.
Фокусироваться на сложнодоказуемых вещах вроде "есть ли у Зеленского ядерная бомба" - это уже удел пропагандистов, которым нужно что-то придумать чтобы оправдывать это вторжение.
США в Ираке в 2003 объявляла войну? Или "это другое"?
Меня сейчас больше беспокоит не то, где и как линчевали негров, а то, что происходит в России и на её пороге.
То, что США творили нехорошие вещи в ближнем Востоке и по сей день ловят за это критику как внутри страны, так и вне её - это совершенно не оправдание для России чтобы бомбить города на Украине.
А меня волнует, что и как делала США. Потому что сравнивать надо с теми кто использует эту риторику. Это не внутренний вопрос, когда пример с линчеванием уместен. Это внешщняя политика и когда мы говорим о внешней политике, сравнение с другими игроками более чем уместно.
Когда действия разных стран предлагается оценивать по разному у меня возникает вопрос: а с фигали?
Что позволено Юпитеру не позволено Быку?
Здесь идет аргументация
"ХХХ имеет право на свои действия, потому Россия сделал YYYY."
Я указываю: "Страна из которой XXX - делала YYYY и никакой реакции не было."
И вы всерьез приводите пример про линчевание? А с чего бы Россия должна быть более святой чем другие политические игроки?
Если A сделал X - то и B, C, D, ... тоже имеют право делать X - очень скользкая дорожка, потому что это "правило" можно применять рекурсивно.
Сосед пнул свой забор, поэтому и я тоже пну свой забор (что может пойти не так).
Сосед пнул чужой забор, поэтому и я пну чужой забор (ведь я уже делал как сосед).
Сосед пнул чужую собаку, и я тоже пну её (ведь я уже делал как сосед).
Сосед пристрелил чужую собаку, я тоже пристрелю какую-нибудь (ведь я уже делал как сосед).
Сосед убил человека? А почему мне-то нельзя? Чем этот случай отличается от 2-4?
Чем этот случай отличается от 2-4
Тем, что родственники пристреленной Вами собаки не могут заявить на Вас в милицию, а родственники пристреленного Вами человека — очень даже.
То есть, если я правильно Вас понял, пристрелить человека мешает только то, что родственники могут заявить в милицию? И если решить проблему с милицией (как Евсюков, например) - то можно брать автомат и косить всех направо-налево?
пристрелить человека мешает только то, что родственники могут заявить в милицию?
Более того — некоторым даже это не мешает.
И если решить проблему с милицией (как Евсюков, например) - то можно брать автомат и косить всех направо-налево?
Попытаться можно, да. Только тогда автоматы возьмут все остальные, и баланс будет сильно не в пользу попробовавшего.
США в Ираке в 2003 объявляла войну?
Вы, наверное, хотели сказать "США, Великобритания, Австралия и Польша, при поддержке Иранского Курдистана, Италии и Нидерландов", но просто решили немного сократить?
Или "это другое"?
Что гадать, можно же и сравнить:
- Хуссейн был диктатором, уже отметился нападением на Кувейт, привечал Аль-Каеду и вообще имел длинный послужной список, и даже, внезапно, сам Путин подтвердил, что знал о готовящихся им терактах в США.
- Украина, при всех её недостатках, не была диктатурой, не готовила у себя террористов, не нападала на другие страны и не представляла угрозы.
Украина, при всех её недостатках, не была диктатурой, не готовила у себя террористов, не нападала на другие страны и не представляла угрозы.
Круто что у вас есть доступ к разведовательной информации. У меня нет. Предполагаю что у Thawte нет тоже.
То есть, вы считаете, что утверждать, что "Украина ... не была диктатурой, ... не нападала на другие страны" можно только на основании доступа к разведданным? Ну, типа, там сидит (или сидел) диктатор, но это только для других стран, на самом деле он хороший и тайно проводил демократические выборы. И на другие страны он нападал, но понарошку, типа как дети в войнушку играют, а вместо патронов у солдат конфетти были.
как нистранно, это действительно другое
условием мирного договора по прекращению первой иракской войны был отказ от производства WMD и допуск инспекторов на объекты которые могли использоватся для производства WMD
т.е. недопустив инспекторов, Саддам сам разорвал мирный договор и оказался в состоянии войны.
решение США вновь перевести эту войну в "горячую" фазу поддержали далеко не все участники коалииции.
США же решили начать воевать по множеству внутренних и внешних причин, однако одна из самых важных - активная поддежка Саддамом исламских террористов по всему миру, следы иракской помощи всплывали при расследовании многих терактов.
В иракском госбюджете официально была статья на пенсии членам семей шахидов-смертников, причем платили их в независимости от страны соверщения теракта
все почемуто помнят "пробирку Пауэлла", но когда начинаешь спрашивать детали, никто неудосужился хотябы прочитать стенограму (видео на 1,5 часа есть на ютубе) его выступления, и несут какуюто дичь и пересказы от пропогандистов в стиле "Рабинович напел"
Когда одна из сторон первой нарушила все возможные договоры и порядки, разрывать все договоры с ней это НОРМАЛЬНО
Надеюсь, Вас не затруднит перечислить ВСЕ те договоры, что были нарушены, раз Вы так уверенно об этом говорите.
кстати, были нарушены собственные законы (УК статья 353), кто захочет с такой стороной работать?
Я Вас удивлю: во ВСЕХ государствах рано или поздно, так или иначе нарушаются ВСЕ статьи их УК (иначе бы этих статей в УК не было).
Попробуйте еще раз.
Вспоминается кстати… один литературный цикл (Оксана Панкеева, про Мир Дельта).
Там одной попаданке внятно объяснили что да — есть возможность сделать так, что букву закона нельзя будет нарушить физически. Но вот только обычно такое делают мистические ордена со своими уставами. А законы иногда НУЖНО нарушать. И один из примеров — как раз про военные действия. А другой пример — как один хитрый попаданец убедил одного придурка на троне сделать "ненарушаемый" закон. Последствия для страны… были неприятные при том что закон на первый взгляд очень даже ради благих целей. В итоге разрулили в последний момент с огромным трудом а до этого готовили альтернативный вариант решения проблемы предусматривал дружественнное военное вторжение и смену династии по инициативе текущего же короля.
"Меморандум" ≠ "Договор".
была еще куча двусторонних договоров о признании границ, дружбе-жвачке и тп. Кажется, счет на сотни идет
Как принимать ядерные боеголовки от разоружающейся Украины — так договор. Как не нападать — так не договор. Интересная, однако, позиция.
Ну это примерно, как обещать что НАТО не пойдет на Восток, а потом ну они же сами захотели, разве мы можем отказать. Политика она такая да, если за тобой нет реальной силы - об тебя вытирают ноги. Я так понимаю что господин Путин это осознал, и решил продемонстрировать силу. Что имеет для нас очень печальные последствия, ибо я уже не удивлюсь, если про границы НАТО 1997 года сказано всерьез, ведь тогда на очереди прибалтика. И судя по решениям государственной власти - изоляция всерьез и надолго.
И, кстати меморандум это не договор, но даже его ни одна из сторон не ратифицировала.
А есть какой-то документ об этом "нерасширении НАТО"?
И, кстати меморандум это не договор, но даже его ни одна из сторон не ратифицировала.
Опять же: если исполняете, значит признаёте. Вроде для этого даже есть какой-то специальный латинский термин. Если считаете, что бумажка ничего не стоит, ибо не ратифицирована — зачем тогда исполняете одну из её частей?
Примерно такой же, как этот меморандум. А насчет исполняете значит подписано, это забавно, но имхо реально не работает. Политика грязная штука там и подписанные то договора часто нарушают, если возможность есть, или просто желание. Примеров ведь вагон, та же пресловутая Югославия, и прочие бомбежки без санкции ООН. Или сейчас модная тема - кидать русских заказчиков.
А можно тогда ссылку на такой документ, подписанный каким-нибудь условным генсеком НАТО?
Да пожалуйста:
https://www.nato.int/cps/ru/natohq/official_texts_25468.htm
помимо всякой мути типа Россия и Нато не враги, там сказано об отказе НАТО на размещение ядерного оружия на территории новых членов НАТО.. (напомню, страны восточной европы вступили в НАТО частично в 1999, частично в 2004 году. )
И, кстати меморандум это не договор, но даже его ни одна из сторон не ратифицировала.
Закон о том, что международные договора подлежат ратификации, был приинят после подписания меморандума. И, естественно обратной силы не имеет, поэтому меморандум вступил в силу без ратификации, сразу в момент подписания.
меморандум - это символ, его юридическая сила или ее отсутствие мало что меняют. И кроме него был еще вагон и маленькая тележка реальных договоров, в которых зафиксированы границы
Да, действительно, были еще договора, например Минские, которые вроде и ОБСЕ подписывали. Напомните какие санкции наложили на Украину за их неисполнение?
ну если тут будапештский меморандум - уже ненастоящий договор, то минские упоминать вообще смешно. Это вообще непонятно что, подписанное непонятно кем. И тем не менее, даже там не все так однозначно, так как возник дед-лок с порядком пунктов
UPD: кстати это не договор, а "соглашения"
подписанное непонятно кем.
The first, known as the Minsk Protocol, was drafted in 2014 by the Trilateral Contact Group on Ukraine, consisting of Ukraine, Russia, and the Organization for Security and Co-operation in Europe (OSCE),[1][2][3] with mediation by the leaders of France and Germany in the so-called Normandy Format.
А в каком месте в вашей цитате можно увидеть про то кем это соглашение было именно подписано? "Mediation" это посредничество оно совсем не обязательно подразумевает участие в соглашении.
Кроме того тот же "Будапештский меморандум" у нас "подписан 5 декабря 1994 года лидерами Украины, России, Великобритании и США". Но при этом по хорошему не имеет особой юридической силы, поскольку не был ратифицирован ни в одной из этих стран.
mediation - это они наверное в комнате сидели, но точно не помню. А подписи там стоят людей, которые практически не имеют никаких полномочий, и сам документ - никакой не договор. Sad but true
Такие же, как и на Россию за их неисполнение.
Кстати, ни одна из сторон его так и не ратифицировала.
В части отсутствия у Вас института репутации пояснить сможете? Если бы года 2-3 где-то, даже в форуме, появилась публикация, что Thawte будет действовать по указке и исключительно в интересах определенных структур и территориальных образований, как Вы правильно указали очень часто практикующих геополитические авантюры, то какие бы отзывы были на ту самую публикацию? Месяца 2-3 бил фонтан негодования, 30 страничные опусы от Thawte о независимости и свободе. Ну и вся подобная пена о недопустимости недопустимого и бла-бла-бла.
Серьезное упущение - отсутствие своего национального УЦ. Но он будет. Да, его сертификаты никоем образом и никогда не будут встраиваться в GOOGLE, но кому нужно - установит. Когда припирает, все, а особенно в первую очередь малолетние школьники враз находят способ поднять VPN.
В части отсутствия у Вас института репутации пояснить сможете?
Чего тут пояснять? Никакие, даже самые отвратительные действия компаний в РФ не приводят к значительному оттоку клиентов. Например, мобильные операторы долгие годы использовали кучу приёмов «на грани» — платные подписки, незаметное добавление услуг с абонентской платой и т. д — и ничего. То же самое и в остальных сферах.
Видимо не такой уж он и цивилизованный
Кстати, Letsencrypt - на него завязано пол интернета, если и он начнет чудить тогда будет полная опа...
Пора обратно переводить сайты с ssl на простой доступ?
Вместе с тем достаточно вспомнить, что в постоянных хранилищах популярных браузеров уже находятся корневые сертификаты не только американских и европейских УЦ, но и китайских, турецких и из других стран, имеющих собственное представление о границах допустимого в региональной политике.
Но при этом стоит держать в голове, что у некоторых из этих других стран представления о границах могут быть еще более интересные.
Все знают, что Великий Туран начинается от Вены и заканчивается Алтаем + пара эксклавов в Восточной Сибири. Алга! (по мнению Турции).
Китайские границы по мнению "дружелюбной" и "плюшевой", "демократичной" Республики Китай (также известной как Тайвань), я даже обсуждать не хочу, потому по их мнению они проходят между Абаканом и тувинским Кызылом.
Вроде как сейчас при попадании на не защищённый сайт хром сразу начинает ругаться
Поступки центра сертификации Thawte и магистрального провайдера Cogent — это очень серьёзный звоночек для всех.
Как говорится, в удивительно время живём — во время глобальных перемен.
... время глобальных перемен ...
Логика текущих событий ведет к тому, что, в современном понимании и форме, явления "интернет" не будет. Произойдет неизбежная атомизация и создание новой глобальной сети, как регулируемой межгосударственными договорами "конфедерации", юридически, организационно, логически и технически независимых интранетов государств участников договора. :)
Современный интернет, как инструмент политики глобализации, исчерпал свои возможности и закономерно умирает. Интернет умер! Да здравствует Интернет!
Надеюсь, рано или поздно, пусть даже и через столетия, власть в глобальном масштабе перейдёт от силовиков-феодалов к капиталистам. Без этого дальнейший прогресс невозможен.
Мир, поделенный на зоны влияния Apple, Microsoft, Google, не сильно лучше мира, поделенного на зоны влияния США, России и Китая.
Любой разделенный мир - это наличие повода для будущего пересмотра этого самого разделения.
Да, только государству обычно нужен какой-то повод, чтобы "отменить" собственного гражданина, и обычно там есть хоть какой-то формальный суд с (якобы) состязующимися сторонами; а вот если вас в лучших традициях "экосистем" заблокируют в Apple/Xiaomi/Google, то тут только с голой жопой на мороз. Потому что это сделает бездушный робот по каким-то критериям "в черном ящике", обжалованию и пересмотру не подлежит, применяется - немедленно.
Не хочу, чтобы меня "отменил" бот/интеллект Google.
Но ещё сильнее не хочу, вот прям очень сильно, чтобы меня "отменил" человек-представитель государства- тот, который с маузером в деревянной кобуре.
Последствия "отмены" от государства в разы хуже последствий отмены от корпорации.
Возможно, когда-то в далёком будущем это изменится, но пока - это так.
сменить экосистему Apple на экосистему какого-нибудь Xiaomi намного проще, чем сменить гражданство
Это только пока мир поделён на зоны влияния государств, а не компаний.
Когда на коне будут компании, лицензионный договор пользователя будет выглядеть как список библейских заповедей. «Не возжелай продукции компании Имярек».
... Интернет ... может существовать только при капитализме. ...
А, капитализм никуда не делся и деться никуда не может, пока существует общество, в любой его форме и виде, в любом его масштабе. Товарно-денежные отношения (капитализм), это фундаментальная основа любого общества, в том числе и общества, которое идеологически капитализм отрицает.
Этот объективный факт констатировал даже дедушка Ленин:
... социализм есть не что иное, как государственно-капиталистическая монополия, ...
В. И. Ленин Грозящая катастрофа и как с ней бороться (1917)
.... государства взяли верх над корпорациями ...
Любое государство, всегда и везде, объективно является капиталистической корпорацией, находящейся в частной собственности правящей олигархии, в лице бюрократии:
... Бюрократия имеет в своем обладании государство... Это есть ее частная собственность ...
Маркс Собрание сочинений. Т1 К КРИТИКЕ ГЕГЕЛЕВСКОЙ ФИЛОСОФИИ ПРАВА
Даже СССР не избежал этой объективной участи:
... Выходит, следовательно, самая настоящая «олигархия». Ни один важный политический или организационный вопрос не решается ни одним государственным учреждением в нашей республике без руководящих указаний Цека партии. ...
Ленин. Детская болезнь "левизны" в коммунизме
Где были ваши олигархи, когда это решение принималось, если они оказывается тут власть? В том-то и дело, что в России у капиталистов нет никакой власти, они со всеми своими миллиардами вообще никак не могут влиять на решения силовиков. Наоборот, даже самого крупного капиталиста здесь могут по щелчку пальцев лишить всего, даже жизни.
... российские силовики приняли совершенно убойное для капиталистов решение, которое уже нанесло олигархии триллионный ущерб ...
Капитализм и капиталисты, это не монолитное и не однородное явление. Напротив, интересы капиталистов и образуемых ими групп и сообществ, всегда конкурируют, применяя различные средства и способы, в том числе и идеологические средства и способы, в том числе и войну. Бизнес, просто бизнес, и ничего личного.
Так, что современные события, это внешнее сиюминутное проявление объективной, закономерной, перманентной борьбы капиталистов всех стран, на глобальном, региональном и внутригосударственном уровнях. Всех со всеми, всех с каждым, каждым против всех, каждого с каждым.
Идет передел рынков, который выливается в передел политических сфер влияний. Обычный капитализм, наше горе и наша надежда, жестокий и бесконечно добрый, уродливый и бесконечно прекрасный. Объективная реальность такова. :)
Российский случай интересен именно тем, что предельно наглядно разбивает «левые» построения о том, что за любой современной войной стоят интересы капиталистов. Потому что все, абсолютно все до единого, российские капиталисты понесли такие потери, которые не окупятся даже за 20 лет. И понесут ещё больше.
Эта война не выгодна ни одной российской капиталистической группе, ни одному российскому олигарху. То есть решение начать войну было принято кем угодно, но только не крупным российским капиталом. Напротив, капитал показал своё полнейшее бессилие перед силовиками.
Можете назвать хоть одного российского капиталиста, который от всего происходящего выигрывает?
Ну тут надо всё-таки надо понимать что "выигрывает" и "ожидал что выиграет" это немного разные вещи. То есть совсем не факт что те, кто принимал это решение, ожидали что результатом будет то, что мы имеем сейчас.
То есть условно говоря если бы Россия по "крымскому сценарию" почти бескровно захватила Украину за пару дней и посадила там марионеточное правительство, то от этого вполне себе могли оказаться в плюсе куча олигархов.
... Можете назвать хоть одного российского капиталиста, который от всего происходящего выигрывает? ...
Например, самое очевидное, все российские и не только российские капиталисты, извлекающие выгоду из природных ресурсов на территории России и государств сателлитов России.
Какие капиталисты, приобретут, а какие потеряют, на данном этапе перманентной конкуренции, мы увидим, в исторической перспективе. Если конечно будет кому и что увидеть. :)
Вы серьезно? )
Власть корпораций это как раз и есть новый феодализм. Когда власть будет принадлежать никем не выбираемым лицам, получившим это право по наследству. А зачастую еще и совершенно неизвестным. И которые будут судить вас по своим собственным законам. Установленным ими самими. Исходя из того приносит ли это им прибыль или нет. Или каким-то еще только им ведомым критериям.
В лучшем случае - ваши права будут равны доле ваших акций. В реальности - только если она будет значительной.
Никакого всеобщего интернета само собой не будет. Да что говорить, если прямо сейчас вы можете ставить приложения только из "своего" магазина.
М.б. как раз то что этого пока(!) не произошло и есть признак того, что Цивилизация таки достаточно развита? И не хочет повторять такой "прогресс" - только на новом уровне.
Этот инцидент уже не первый.
Был отзыв SSL-сертификатов у Sci-Hub
Моё мнение - санкции должны вводиться только против государства и связанных напрямую с ними лиц. Иначе это политический терроризм, которым, к сожалению, в той или иной форме, пользуются практически все правительства.
Здесь термин "политический терроризм" предполагает давление, запугивание, устрашение или уничтожение населения страны для изменения политического курса правительства этой страны. Учитывая, что существует явный дисбаланс прав между государствами(как участником политических отношений) и народом, то давление со стороны государства А на население государства Б с целью влияния на политику правительства государства Б я считаю очень грязным приёмом, т.к. ставит население государства Б в безвыходное положение - или поддаться давлению и иметь проблемы с законами государства Б, или не поддаться, и иметь проблемы с рычагами давления государства А, а государство А и государство Б ничего не теряют.
P.S: Не поддерживаю ровным счётом никого, не являюсь гражданином России или Украины. Ни к чему не призываю. Если кто-то не согласен - ваше право.
Моё мнение - санкции должны вводиться только против государства и связанных напрямую с ними лиц.
Я- гражданин России и напрямую с ней связан. Я здесь живу, работаю, плачу налоги, воспитывают детей и выращиваю картошку. Я со школьной скамьи слушаю сказки про правовое государство, демократические институты и выборную власть, я выбираю себе власть на выборах. Я - часть народа этой страны. Должны ли вводиться санкции против меня?
Да. Вы выбрали свое правительство и несете солидарную ответственность за все его действия.
В России даже на заборах писали "Мы его не выбирали".
по факту в стране 100500 людей в возрасте, которые боготворят его. Подделывают ли результаты выборов? Да, этому много примеров. Влияет ли это на выбор? Вряд ли, скорее всего подделывают ради того, чтобы подозрение в подделке не имело потенциального влияния на результат (соответственно, от них можно бы было отмахнуться).
И еще, те, кто кричали в 2014м "Крым наш" де-факто поддерживали действия властей, даже если за них не голосовали. Потому что сегодняшняя ситуация - это продолжение той истории.
Тогда выходит, что все украинцы несут солидарную ответственность за майдан и его последствия?
Да, несем. Вы все еще верите в лапшу про майдан, которой вас кормят? - Это не говорит ничего хорошего о ваших способностях к аналитическому мышлению и адекватности восприятия происходящего.
Вы учтите, что в головах подобных личностей в "последствия Майдана" обычно вписывается вторжение в Крым и на Донбасс.
А вы до сих пор думаете что решение по майдану было за вами?
заранее извиняюсь за сурс, кто хочет может найьи без эмоционально окрашенного видеоряда
Это про вот эту лапшу? Да многое из этого уже убрали из доступа ,но факт что майдан был откровенно антироссийским, под вопли москаляку на гиляку, отрицать глупо.
И что, что майдан был антироссийским? Это внутреннее дело Украины, какой у них там майдан.
Если посмотреть видео того, как "космонавты" обрабатывают участников митингов в Москве и Питере, то можно сделать вывод, что "космонавты" тоже того - давайте Россия в Москве проведёт специальную операцию?
Само по себе нет. Но там москаляку на гиляку это вообще говоря не безобидные слова. Я не оправдываю войну но если ты регулярно говоришь соседу что его надо резать, то будь готов огрести.
Так "не оправдываю войну" или "будь готов огрести"? Вы ведь понимаете, что между государствами "огрести" - это именно война? И сколько человек должно озвучить националистический лозунг, по-Вашему, чтоб страна начала "огребать"?
Если ты регулярно говоришь соседу что его не существует, придумал Ленин в австрийском генштабе, что его язык телячий и его тоже нет, что культура сельская а история выдуманная -- то тоже будь готов огрести. Терпение и тут не бесконечно.
А можно примеры, когда подобная чушь озвучивалась, на госуровне? То есть не кто-то типа Жириновского вякнул, а именно из лиц принимающих решения, от Порошенко например про убийства и террор в отношении русских было.
А можно
Можно. Речь Путина от 22 февраля с.г. Там как раз об этом.
от Порошенко например про убийства и террор в отношении русских было.
Что было?
DreamingKitten тут в комментариях, кто-то указал (не стал искать, не суть) на то, что Донбасс был меньшим из зол и надо было оставить все как есть, пусть бы тлело. И также было сказано про недостаток информации и каждый судит со своей стороны. Так вот это ключевые моменты. Со стороны России как раз такое развитие событий выглядит для многих меньшим из зол, поэтому и реакция такая у многих. А Югославия и иже с ними не оправдание, а просто фон.
Если бы был сейчас условный некто абсолютно беспристрастный и обладающий полным объемом ДОСТОВЕРНОЙ информации от обеих сторон, то я затрудняюсь ответить, какое решение он бы принял.
Не знаю про это или нет речь, но меня от его речи о том, что одни дети пойдут в школу и детские сады, а другие будут сидеть в подвалах коробит каждый раз, как вспоминаю. Ну и там дальше не лучше, поищите, если хотите.
Про детей в подвалах это фейк:
Со стороны России как раз такое развитие событий выглядит для многих меньшим из зол, поэтому и реакция такая у многих.
Да что вы говорите? А какие ещё были альтернативы?
Вот же: www.youtube.com/watch?v=DVIDR9JSPFs
Я понимаю, что там не вся речь, но я не знаю, что там еще может быть рядом, чтобы прокатило «выдернуто из контекста».
Да что вы говорите? А какие ещё были альтернативы?
Я только сказал о том, о чем сказал. Если угодно, перечитайте еще раз мое сообщение.
Я только сказал о том, о чем сказал. Если угодно, перечитайте еще раз мое сообщение.
Перечитал. Вы там очень таинственно упоминаете меньшее из зол, "забыв" уточнить, по сравнению с чем оно меньшее. А без этого такая концепция не работает, извините.
Я понимаю, что там не вся речь, но я не знаю, что там еще может быть рядом, чтобы прокатило «выдернуто из контекста».
Ну вот вам
транскрипт с комментариями
Однако слова Петра Порошенко в данном случае были вырваны из контекста. В полной версии его видеовыступления президент Украины говорит не о том, что Украина будет давить на жителей Донбасса, а о том, что из-за того, что Донбасс отрезан от Украины вооруженными боевиками, страдают местные жители, вынужденные сидеть без пенсий и в подвалах.
«Эту войну оружием выиграть невозможно. Каждая пуля рождает двух врагов. И каждый день мира, когда украинское государство демонстрирует на освобожденных территориях, что граждане, которые еще месяц назад пели осанну псевдосепаратистскому режиму, сегодня понимают, что они получают тепло, у них есть свет, они наконец могут отправить детей в школу, они начинают получать пенсии, выплати по потере кормильца, по инвалидности, они получают работу, они получают зарплату.
А с той стороны — женщина, доцент Луганского университета имени Тараса Шевченко, с которой я виделся еще четыре месяца назад, звонит мне и я говорю: «Ну, как Ваш день проходит?» Говорит: «Встаю в пять утра. Так как это единственная возможность, чтобы стать в очередь и достояться, чтобы взять две банки воды. Так как воды нет. Возвращаюсь в десять после очереди. Оставляю их дома — бегу в очередь за хлебом. Полторы булки хлеба. Потому что до двенадцати, до часа хлеба уже не будет. Возвращаюсь оттуда и больше из дому не выхожу, потому что с двух часов начинают выходить эти с оружием и могут расстрелять на улице кого угодно».
Дорогие мои, одесситы! Это то, чего мы с вами избежали благодаря вашей мудрости, благодаря вашей сплоченности. И благодаря — теперь мы уже в этом убеждены — вашей проукраинскости. У меня сердце радовалось, когда я в последний день был на встрече с делегацией ОБСЕ, которая вернувшись из Одессы, сделала вывод, что Одесса — это город согласия, город спокойствия. Нельзя сделать большего комплимента! Я был очень рад этому. Одесситы, спасибо вам за мудрость!
И миром мы все победим! Потому что у нас работа будет — у них ее нет. У нас пенсии будут — у них их нет. У нас поддержка людей — детей и пенсионеров — будет, у них ее нет. У нас дети пойдут в школы и детские сады, а у них они будут сидеть в подвалах. Потому что они ничего не умеют делать! Вот так, именно так мы выиграем эту войну. Потому что война и победа — в голове, а не на полях сражений! Они этого не понимают, я это понимаю. И у меня есть ваша поддержка, и она мне очень нужна, чтобы мы победили, не кладя украинских героев в могилы, в том числе, и одесситов».
Важно отметить, что Порошенко говорит о нынешней ситуации на Донбассе, а не о возможной ситуации в будущем. Поэтому «Первый канал» не только вырвал слова из контекста, но и неточно перевел их. Порошенко говорит на украинском «У нас робота буде — у них немає. У нас пенсії будуть, у них немає» (то есть, нет сейчас). Поэтому в переводе на русский некорректно передавать это предложение как «У нас пенсии будут, у них — нет» (в этом случае в украинском варианте было бы «У нас пенсії будуть, у них — ні»), так как из-за такого манипулирования может действительно создаться ошибочное впечатление, что президент говорит о будущем времени — о том, что пенсий у жителей Донбасса якобы не будет в будущем.
В этом случае конечно звучит существенно мягче, чем в вырезке, но на счет смысла сомнительно и объяснение приведенное тоже выглядит, как попытка манипуляции.
Вот нашел (просто скопировал):
"ні" - звичайне заперечення, рус. "нет, не"
Приклади:
>>Я хочу пукнути!
<<Ні, не можна цього робити в публічних місцях
"Я нічого не хочу. Ні доброго вина не хочеться, ні дорогої ікри. "
"Ні те, ні се" - стала фраза, рус "них то, них сё".
---------
"Немає, нема" синоніми. Означають відсутність чогось. рус. "нет, нету".
"На морі нема(є) людей. Зараз ще надто холодно."Вот нашел (просто скопировал):
Это вообще причём тут?
С учетом найденного мной пояснения разницы «ні» и «немає» ничего не меняется, кроме как при полном выступлении звучит несколько мягче.
Вы вообще куда-то не в ту степь уехали.
Смысл в том что он описывал текущую ситуацию, что сепаратистские власти неспособны обеспечивать базовый уровень жизни для населения, вот и всё. А разница между ні и немає тут вторична -- из самого текста понятно, что речь идёт о нынешней ситуации а не в будущем времени.
Может фразы про детей вообще не должно было быть сказано и тогда бы действительно все выглядело предельно ясно. Но увы, из песни слов не выкинешь. На счет детей сказано именно в будущем времени и в контексте или без, это многих шокировало.
Может фразы про детей вообще не должно было быть сказано и тогда бы действительно все выглядело предельно ясно.
Пропаганда всегда найдёт к чему придраться. Просто к детям проще всего, это чувствительная тема.
На счет детей сказано именно в будущем времени и в контексте или без, это многих шокировало.
Тут скорее всего сказывается знание языка. Для натива текст не шокирующий, потому что контекст и время не теряются. А перевод могут пропагандисты исказить как им надо.
Просто к детям проще всего, это чувствительная тема.
Еще какая чувствительная. И вот такие моменты и привели к тому, о чем было мое первое сообщение в этой ветке:
Со стороны России как раз такое развитие событий выглядит для многих меньшим из зол, поэтому и реакция такая у многих.
Пропаганда, знание языка сказалось, неосторожное высказывание — это причины и если от пропаганды при наличии желания можно защититься, то от второго сложнее, а от третьего вообще не возможно.
И да, даже с учетом всего, звучит очень неоднозначно. И тут самое страшное. В этом шатком моменте каждый даже понимая полностью может трактовать так, как ему выгодно.
Вы так и не смогли объяснить, по сравнению с чем это зло выглядит меньшим.
И правильно ли я вас понимаю, что это вы так легитимизируете войну неосторожными высказываниями экс-президента 8-летней давности?
Вы так и не смогли объяснить, по сравнению с чем это зло выглядит меньшим.
По сравнению с планируемым силовым подавлением сопротивления в Донбассе. Подчеркну, это еще одна крупица того, почему в России для многих это меньшее из зол. Почему так думают (пропаганда, не так поняли,...) уже не важно. Ну то есть важно в том плане, что наличие пропаганды и все это надо учитывать. Но сейчас уже не об этом.
И правильно ли я вас понимаю, что это вы так легитимизируете войну неосторожными высказываниями экс-президента 8-летней давности?
Перестаньте передергивать. Если вам удобнее обвинить меня в легитимизации, то сделайте это и закончим разговор.
Я только что объяснил знакомому, что имелось в виду в том высказывании. Знаете, что он ответил?: «Кому сейчас это объяснишь?».
Это же как красная тряпка для быка…
Там выше были примеры про соседей. Я не очень люблю аналогии, они лживы. Но все-таки попробую тут использовать. Если кто-то в быту услышит, что его детей хотят в подвал посадить, то дальше и слушать не станет, а просто даст в морду. Тут тот же эффект, поймите.
По сравнению с планируемым силовым подавлением сопротивления в Донбассе.
Которого, как оказалось, никто на самом деле не планировал. И это тоже был полностью выдуманный фейк.
Ну то есть важно в том плане, что наличие пропаганды и все это надо учитывать.
Но вы не учитываете.
Вам сказали что Украина планирует задавить донбасс, показали какие-то фэйки, и вы такие ррррряяяя, меньшее зло, за путина за родину!
Чуть чуть включить голову и подумать, каким надо идиотом быть чтобы нападать на Донбасс когда вдоль границы уже стоят войска вторжения -- ну неееее, это ж думать своими мозгами надо. Страшно. Непривычно.
Перестаньте передергивать. Если вам удобнее обвинить меня в легитимизации, то сделайте это и закончим разговор.
Я вас не обвиняю. Но то, что вы делаете, это и есть та самая легитимизация. Причём предельно тупорылая легитимизация. Буквально: ах он такой сякой негодяй 8 лет назад сказал что то такое про детей Донбасса, что нам показалось ужасным. И теперь полстраны считает полномасштабную войну меньшим злом, чем какой-то очередной показанный по телеку фэйк.
Я, чес гря, х...ею с мыслительного процесса мышебратьев.
Если кто-то в быту услышит, что его детей хотят в подвал посадить, то дальше и слушать не станет, а просто даст в морду. Тут тот же эффект, поймите.
То есть переспрашивать и уточнять у вас не принято, да? Сразу в морду? Ну так и привыкайте к тому, что к вам будут относиться как к быдлу в лучшем случае.
То есть переспрашивать и уточнять у вас не принято, да? Сразу в морду? Ну так и привыкайте к тому, что к вам будут относиться как к быдлу в лучшем случае.
Плохо, но увы, мне кажется, но в общей массе, так везде.
Вот так одно, второе, есть и треть и дальше и сложилось, то что сложилось. Что там правда, а что фейк не берусь судить.
Разговор утратил объективность, заговорили эмоции, поэтому заканчиваю.
Плохо, но увы, мне кажется, но в общей массе, так везде.
Вам кажется.
Цивилизованные люди, прежде чем переходить к насилию, обязательно попробуют прояснить и устранить конфликт путём переговоров.
Что там правда, а что фейк не берусь судить.
Я тут уже кидал картинку на эту тему. Вы, видимо, тот мужик справа.
Интересная версия, но фраза "Потому что они ничего не умеют делать!" всё портит. Если бы было "У них нет возможности работать", тогда ещё ладно, а в оригинальной формулировке наводит на мысль о принижении сепаратистов, типа они дурачки что ли что ничего не умеют делать? В общем, надо было бы ещё поработать над "трудностями перевода" и тогда можно было бы поверить.
Про детей в подвалах это фейк:
Цитата из речи Порошенко, которую я тупо скопировал со страницы, ссылку на которую Вы привели:
У нас дети пойдут в школы и детские сады, а у них они будут сидеть по подвалам. Потому что они ничего не умеют делать!
Нет, это — не расчеловечивание, это другое!
Потом в человеке заговорили эмоции и в итоге все-таки слил мне карму.
Если соседу регулярно гадить под дверью, то рано или поздно огребешь по лицу.
Вы по старой доброй российской традиции любите обвинять всех в том, что сделали бы вы сами. Гадить под дверью, в отличие от вас, привычки не имею.
Справедливости ради, коллега @IGO2022не указал, в каком именно человеке забурлили эмоции. Слова "этом" в его высказывании нет.
P.S. Вангую, что сейчас привяжутся к слову "коллега". Не волнуйтесь, не "по Ольгино", я просто по умолчанию считаю, что на Хабр не-программисты не ходят.
Не волнуйтесь, я прекрасно понял, что и кого имел в виду коллега.
Это вам, чтобы диагностировать говно, надо обязательно на вкус его попробовать, а мне и запаха хватает.
Это вам, чтобы диагностировать говно, надо обязательно на вкус его попробовать, а мне и запаха хватает.
Мухи тоже были уверены. Но, тем не менее, ошибались.
Вы только что меня упрекали за фигурное резное цитирование, а сами занимаетесь ровно тем же самым. Нехорошо так.
Читайте полную цитату:
У нас дети пойдут в школы и детские сады, а у них они будут сидеть по подвалам. Потому что они ничего не умеют делать! Вот так, именно так мы выиграем эту войну. Потому что война и победа — в голове, а не на полях сражений! Они этого не понимают, я это понимаю. И у меня есть ваша поддержка, и она мне очень нужна, чтобы мы победили, не кладя украинских героев в могилы, в том числе, и одесситов».
Тут уже очевидно, что "у них", "они" -- это про власти ЛДНР. И нет, это не расчеловечивание. Это простая констатация некомпетентности "властей" самопровозглашённых республик.
Которую именно лапшу? Я вот де-юре верю в фактически военное свержение демократически избранного законного президента государства при участии первых лиц из других государств (благодаря или вследствие мягкотелости исполнительной власти). При этом ранее подписанное Соглашение об урегулировании политического кризиса на Украине его участниками было полностью проигнорировано.
Где именно мое аналитическое мышление и адекватность сломались?
Основная проблема как раз в утверждении "выбрали". См. исследования Шпилькина
Скажите, а беларусы также отвественны за действия Григорьича?
Ракеты все еще летят с территории Беларуси.
Боевые самолеты и вертолеты летят с территории Беларуси.
Войска, их обеспечение подходят через территорию Беларуси и пересекают границу
При этом атаковать аэродром или эти колонны получается нельзя.
Возможность непропустить была и есть. Сложно, тяжело, но без крови.
Солидарная ответственность - это что-то из родоплеменного строя? Говорят, в России в некоторых регионах ещё существует. Помогает виноватому прятаться за толпой своих - наказание размазывается и не так страшно творить всякое.
У детей ещё встречаются попытки её использовать - а Вася тоже курил. Типа, либо все вместе отвечают, либо никто.
Одна из многих хороших идей развитой цивилизации - индивидуальная ответственность. Каждый отвечает в рамках своей вины. Нет ответственности за то, что не бросился под танк.
Санкции против государства всегда будут бить по гражданам. Также как применение самого высокоточного орудия при осаде и взятии города будет приводить к огромным жертвуем среди мирного населения. Collateral damage, так сказать.
Я изготовил всего две бомбы, обе менее 10 грамм тротилового эквивалента каждая(срок давности уже прошел, товарищ майор, и в 13 лет за такое не привлекают), и пока ещё ни одного танка. Но мне очень печально, что против энтузиаста оружейного дела-одиночки вводятся санкции по такому пустяковому случаю.
проблема в том, что альтернатив, как оказалось, нет. С 2014 года че-то там вводили, чтоб, типа, простой народ не пострадал - не сработало. Получается, нет таких санкций, которые могут заставить власть сменить курс и при этом не заденут "простых" людей. Это даже не вдаваясь в философию об ответственности населения за действие властей, одобрение этих действий и тп. Просто предполагаем, что прям вот 100% голосовали против текущей власти и люто-бешено против текущих действий (что, скорее всего, не так)
Санкции и вводятся против государства РФ и власти РФ.
Статья 3
1. Носителем суверенитета и единственным источником власти в Российской Федерации является ее многонациональный народ.
2. Народ осуществляет свою власть непосредственно, а также через органы государственной власти и органы местного самоуправления.
3. Высшим непосредственным выражением власти народа являются референдум и свободные выборы.
4. Никто не может присваивать власть в Российской Федерации. Захват власти или присвоение властных полномочий преследуется по федеральному закону.
я провёл достаточно много временя читая немецкие форумы что думает немецкое правительство: или мы сейчас все вместе остановим путина, или нам грозит 3-я мировая с россией. Потому что он наверняка пойдёт дальше. Лучше санкции во вред своей экономике, чем война с россией.
что думает русское правительство: историческая несправедливость, ядерное оружие, биологические лаборатории, геноцид, Ленин, нет такого народа, нацисты, денацификация
немцы: почему русские не выходят на митинги, всех же не арестуют? Украинцев бомбят, они отрезанные от воды и электричество в подвалах сидят
мы, русские: ну а что мы можем сделать, я то тут причём, нас то за что наказывать
В настоящий момент сайты всех пострадавших банков доступны по HTTPS, защищенные новыми сертификатами от американского же УЦ GlobalSign.
Получается вот настолько наши не доверяют китайцам и туркам?
почему не доверяют? просто процент ос/устройств, в которых из коробки будет доверие к корневому сертификату globalsign, больше.
Преп. Оккам подсказывает не искать сложные объяснения там, где можно найти простое все объяснить идиотизмом исполнителей: один американский УЦ отозвал сертификат - закажем в другом.
Нет, получается, что это было символическое действие для создания информационного шума и подобных статей. Сами подумайте, если бы, например, M$ получила бы прямое указание обнулить все лицензии на своё ПО в этих организациях, то их IT инфраструктура была "разорвана в клочья". Точек давления вагон и маленькая тележка. В этом конкретном случае инициатива исходила от менеджмента компании Thawte: я точно знаю, что официального документа они не могли получить, значит либо их попросили сделать это через не официальные каналы, либо это их частная инициатива. :)
если бы, например, M$ получила бы прямое указание обнулить все лицензии на своё ПО в этих организациях, то их IT инфраструктура была "разорвана в клочья"
Не так давно по историческим меркам почти все лицензии на по, в т.ч. microsoft на территории exUSSR были 'обнуленными' и практически все связанные с этим проблемы, если и возникали, то имели сугубо юридический характер.
Сейчас с этими вашими ажурами, о365 и прочими облаками все, конечно, сложнее. Но лично я всегда консультировал, что облака это удобно, часто дешево как по инвестициям, так и по эксплуатации, но выносить на аутсорс business critical сервисы можно только имея железобетонный план на их приземление 'в случай чего'. Причем со сроком реализации 'внезапно'
Не так давно по историческим меркам почти все лицензии на по, в т.ч. microsoft на территории exUSSR были 'обнуленными' и практически все связанные с этим проблемы, если и возникали, то имели сугубо юридический характер.
Так-то ж была не блокировка, а только пробник: они хоть завтра, например, могут заблокировать все не лицензионные копии Windows, подключённые к интернету, и даже не нарушат ни одного закона. Или пере выпустят те же корневые сертификаты, и они могут, даже, не ссылаться на санкции, а просто скажут, что старые сертификаты были скомпрометированы (кто-то забыл дискету в баре, а агент АНБ случайно её подобрал). Им нужна лишь фантазия. :)
я не понял, а почему привязались к пункту про нарушения при выдаче? ИМХО вот этот
использование сертификата ненадлежащим образом;
тоже может быть привлечён. Ну или надо уточнить, что подразумевается под "использование ненадлежащим образом".
Если сертификат используется для того, чтобы продолжать работу подсанкционным банком, то возможно это нарушение санкций и повод для отзыва. А может нет...
Это правильный вопрос, который я оставил за кадром, а напрасно. Нет, к использованию под санкциями это точно не имеет отношения. Сходу такой пример: Иванов подписывает своим сертификатом код Петрова (мы же помним, что сертификаты - не только для сайтов и правила пишутся для всех случаев их обращения). Утечки приватного ключа сертификата не происходит, Иванов сам подписывает код Петрова с его согласия. Но такая практика - misuse, Петров должен получить свой сертификат или не подписывать код вовсе.
Я понимаю, что моя реплика выглядит неким резонёрством, но всё же. Вы начали с того, чтобы рассматривать историю абстрактно, "Евразия с Океанией", но ожидаемо таки вырулили на американскую военщину и BLM. Если всё-таки попытаться вернуться к исходному посылу, то и описанную проблему стоит воспринимать абстрактно: некая фирма нарушила свои обязательства. Тогда в этой парадигме надо идти в суд, а не рассуждать о том, что всё это означает для мирового интернета и судеб мира. Опять же, если совсем абстрактно, всё то же самое может случиться по причине умственного помешательства менеджера фирмы (утром проснулись, а сертификат тю-тю вообще без повода), и что вы в этом случае можете делать? Только судиться, как мне кажется.
Меня в своё время вообще коробило "этот сайт безопасный". Даже если это сайт virus-virus
То есть технарь, понимающий - поймёт тот факт, что "да, попал туда, но что именно там - вне компетенций браузера и сертификата", а так реально пару раз "гуманитарии" на голубом глазу по разбору скачивания какой-нибудь гадости аргументируют "ну там же зелёный замочек был"...
p.s. кстати вне накала политики: сайт с зловредами... ssl - отзывать или нет?
Чего-то поздно всполошились про "систему доверия". Когда Symantec выдавала сертификаты кому попало и как попало - система доверия нормально работала? Или когда DigiNotar или Comodo тупо взламывали и выписывали сертификаты себе, соседу и "тому чуваку у ларька"?
IMHO, система доверия, на которой основана PKI, никогда не была 100% надёжной by design, так что хвататься за голову поздновато. Особенно с такими громкими заголовками.
Symantec был за свои проделки бит ссаными тряпками и выкинут на мороз. От взлома никто не застрахован, это действия третьих лиц. Но сейчас ситуация как Symantec, а раеакция на нее - все нормально, обстоятельства требуют. Во всяком случае, пока. Я надеюсь, что мир очнется и Thawte еще ждет публичная порка.
TLS-сертификат сайта: «бумажка», в которой декларируется всего один (и то лишь предполагаемый) факт, а именно: лицо, обладающее этим сертификатом, и лицо, администрирующее соответствующее доменное имя – одно и то же лицо
Это верно для DV-сертификата. Для OV-, IV- и EV-сертификатов всё несколько сложнее.
Где гневный релиз про происки заокеанской военщины от пострадавших банков?
а зачем им это? чтобы привлечь общественное внимание на западе? так это может усугубить ситуацию.
В сухом осадке мы имеем отзыв сертификатов без должных на то оснований, т.е. заведомо ложное утверждение УЦ Thawte о том, что отозванным сертификатам нельзя доверять.
с моей точки зрения ваша формулировка не совсем точная.
возвращаясь к вашему примеру с нотериусом, отзыв сертификата означает не «петров на такую-то дату не был женат», а «нотариус X более не желает удостоверять тот факт, что петров на такую-то дату был женат».
интересно, если отозвать одну «ногу» у cross-signed сертификата, то сертификат будет считаться валидным или нет?
«случайная» выдача поддельного сертификата для российского сайта, скажем, ЦРУ
для меня «я не хочу иметь никаких дел с петровым и не буду свидетельствовать, что он петров» и «я выдал сидорову справку о том, что он петров» — совершенно разные вещи.
примерно как «не подать копеечку голодающему ребёнку» и «перерезать этому ребёнку горло».
Отзыв TLS-сертификатов у российских подсанкционных банков – это конец «системы доверия» в Интернете в том виде, как мы ее знаем. Ящик Пандоры открыт.
очень громкое заявление, для него надо быть на 100% уверенным, что до этого ни одного прецедента отзыва сертификата по нетехническим причинам не было.
возвращаясь к вашему примеру с нотериусом, отзыв сертификата означает не «петров на такую-то дату не был женат», а «нотариус X более не желает удостоверять тот факт, что петров на такую-то дату был женат».
Нотариус, не желающий исполнять взятые на себя обязательства, волен подать заявление о ликвидации своей конторы, и ничего более.
интересно, если отозвать одну «ногу» у cross-signed сертификата, то сертификат будет считаться валидным или нет?
Будет, совсем недавно это проходили ЕМНИП с Lets Encrypt. Для того более одной ноги и делают.
для него надо быть на 100% уверенным, что до этого ни одного прецедента отзыва сертификата по нетехническим причинам не было
Я о подобном не слышал (не означает, что не было). Возможно, в комментах исправят это упущение.
Будет, совсем недавно это проходили ЕМНИП с Lets Encrypt. Для того более одной ноги и делают.
я помню, но там одна нога просрочилась, а не была отозвана. и то с кучей софта были проблемы.
ИМХО без разницы, почему нога невалидна. Есть другая валидная - сертификат действителен.
я тоже так думаю, но не специалист, потому и спросил у более знающих
И повылазили баги в софте, из-за которых некоторые либы считали сертификат валидным, другие — невалидным. Например, в Android 11 функция Private DNS считала невалидным сертификат с одной просроченной ногой — пришлось исключать из бандла истёкший сертификат.
Мы же про теорию, а не практику быдлокодинга. Так-то можно сказать, что ни один сертификат невалиден, т.к. найдется какой-нибудь софт, который не знает про соответствующий рут-сертификат.
бабуины из BLM
Вы реально не считаете негров людьми?
Есть люди, а есть бабуины.
Бабуинство не определяется цветом кожи, разрезом глаз, или какими-то другими физическими параметрами. В первую очередь, оно определяется уровнем мозговой деятельности (насколько человек в состоянии строить логические цепочки, или воспринимать уже построенные логические цепочки), а во вторую - общей культурой индивида. Если эта культура направлена на созидание нового и на синергию с существующим - отлично. Если она направлена на "отнять и поделить" или "взять и перекрасить\переименовать\переделать\насадить" - то плохо, потому что это ведёт к конфликтам.
Так или иначе, значимая часть из BLM - именно бабуины. И нет, не потому что они негры. А потому что они не понимают, что занимаются разрушением той культуры, в которой живут (здесь не только канселлинг тех или иных ныне живущий людей, а канселлинг давно умерших, в т.ч. тех, кто не делал что-либо плохого во временных рамках их жизни), разрушение окружающей среды, мародерство, насили; а также не в состоянии выстраивать нормальный конструктивный диалог с другими заинтересованными лицами.
Вы разделяете темнокожих людей и активистов BLM? Не каждый темнокожий - активист или даже сторонник BLM. И более того не каждый сторонник BLM темнокожий.
https://habr.com/ru/post/654633/#comment_24142621
В моем представлении отношения с транснациональными компаниями должны быть выше национальных интересов. И давление на них неприемлемо в принципе. Иначе они простая податливая грязь. И в дальнейших отношениях эту особенность нужно учитывать в договорах, что они есть грязь, отдельными пунктами закрепляющими недоверие компании. К чему собственно всё и идёт, с законами о недружественных государствах.
Если компания захочет доверия, то обязана обосноваться на нашей территории со всей инфраструктурой и 80% штата Российских специалистов, включая ключевые персоны, которым присваевается статус невыездных.
В моем представлении отношения с транснациональными компаниями должны быть выше национальных интересов. И давление на них неприемлемо в принципе
что?!?
на власть в государстве граждане ещё как-то могут повлиять (выборы, протесты, перевороты в конце концов).
транснациональные корпорации же уже сегодня достаточно сильны, чтобы «бодаться» с государствами (и достаточно богаты, чтобы лоббировать свои интересы). вы же хотите полностью вывести их из-под контроля государств и пусть творят что захотят?!?
Сегодня отозвали сертификаты у российских подсанкционных банков, завтра
стая бабуинов разобьет палаточный лагерь у офиса Thawte и потребует
отозвать сертификаты у компаний, не поддавшихся на рэкет BLM
Эмоции, понятно, но про бабуинов - лишнее. Не нужно уподобляться справедливо критикуемым субъектам.
Я не ставлю знак равенства между чернокожими и бабуинами, а как назвать еще эти толпы приматов (к слову, не только чернокожих), марадерствующих и устраивающих погромы - подскажите.
Если вам действительно нужен совет: любым другим оскорбительным словом, не имеющим отношения к животным, а к обезьянам - тем более. Надеюсь, вы понимаете, почему. Вы же хотите, чтобы ваша статья как-то помогла повернуть ситуацию с парадом блокировок в лучшую для вас (и меня) сторону? Так вот, одна ваша фраза про бабуинов сделает обратное. До CNN не дойдет, но на Reddit ваши оппоненты вас с удовольствием процитируют. И никакие дополнительные разъяснения смягчить ситуацию не помогут. Просто поверьте.
Вы правы, но это статья для умных, для тех, кто может взглянуть на ситуацию объективно. А для остальных тут и без бабуинов куча соблазнов, начиная с собственно повода для отзыва.
Вот тоже соглашусь с @aarseniy,глаз зацепился за такой выпад. Согласен с основной мыслью, изложенной в статье, но лучше не использовать формулировки, за которые оппоненты смогут зацепиться и свести дискуссию до уровня "сам дурак"
Меня как разработчика волнует какой стек технологий будет актуальным в будущем России? Быть может имеет смысл что-то изучить или вспомнить? Если представить негативный сценарий и мы останемся в своем суверенном интернете без доступа к внешним ресурсам. python, как мне кажется, станет бесполезным, если у тебя нет локального репозитория библиотек. Мой текущий стек .Net + SQLServer + SSIS используется повсеместно но хватит ли его на долго.... понятно что можно скачать заранее все SDK и пр. и сидеть долго на старых версиях. Интересно мнение сообщества, на чем будем писать ПО в ближайшие годы
какой стек технологий будет актуальным в будущем России?
Нужно делать резервную копию github, docker hub, npm и т.д. А дальше посмотрим куда весь этот ураган нас принесёт.
SQLServer + SSIS
Microsoft suspends new sales in Russia
что они имели в виду пока не очень понятно (скажем, если у меня была лицензия на 16 ядер и я решил докупить ещё на 8 — это new sale или нет?), но в целом стек мс, наверное, будет не очень актуальным.
python, как мне кажется, станет бесполезным, если у тебя нет локального репозитория библиотек
это не такая уж и проблема, во времена блокировок телеграма у каждого первого мониторинг слал нотификации в телеграм.
или вы имеете в виду, что доступа к интернету из РФ вообще не будет? перерубят все кабели через границу и т. п.? даже не хочется думать о таком варианте.
да, волнует именно полное отключение от глобальной сети, понятно, что нужно надеяться на лучшее, но готовится к худшему... было время, не так давно, я работал на закрытом предприятии, где в кабинете стоял отдельный ПК с доступом в интернет, остальные машины были исключительно в локальной сети предприятия... это было жестоко, когда чтобы загуглить простейшую информацию или скачать недостающую библиотечку из nuget приходилось использовать другой комп, да и скорость доступа была медленной, а проносить свои устройства на территорию запрещено, даже флешку... очень не хочется так жить в обычной жизни )))
В свете происходящего - чебурнет уже очень близок. Это страшно, но это так.
Упор на открытые технологии. Вместо винды - линух. Вместо SQLServer - Postgres. Причём это независимо от войны или мира, от блокады или свободной мировой торговли.
Ну и софт придётся делать более экономичным т.к. ожидается удорожание/сокращение вычислительных ресурсов (запрет на поставки серверов), а в более отдалённой перспективе удорожание/сокращение энергии (это уже независимо от запретов: нефть и газ потихоньку иссякают, а мощность "зелёнки" недостаточна).
Для опенсурс либ сделают зеркала, не так страшно. Главное чтобы было железо на чем все это работать будет. С этим 2 последние пару лет из-за ковида все и так не супер было, а сейчас просто жесть. Не будет железа, актуальный стек будут перфокарты.
Язык Фокал. Русскими буквами. На БК-001. Советую начинать учить. Ну и 1С
БК-0010 и 0011 (не 001!) были основаны на архитектуре PDP, оттуда и Фокал на 0010 (на 0011 уже Бейсик вшивался).
Русскими буквами и русскими словами в те времена выделялись Рапира и «школьный алгоритмический язык», выглядевший как дословный перевод Алгола.
Любопытно, что даже на русском не очень много материалов с описанием произошедшего: пост на VC, статья на РБК, пост на Хабре, да и вроде всё.
А вот на английском вообще ни одного материала не вижу. У кого-нибудь получилось найти?
Вы захотели пойти погулять в парк? — от вашего участия в местной политике (уровень муниципалитета) будет зависеть как облагорожен этот парк. Прогулка по парку зависит от политики.
Вы каждый день едете на работу? — от городской политики будет зависит удобство того, как вы доберётесь. Ваше передвижение зависит от политики.
Вы идёте в магазин? — ассортимент, цены, информация на ценниках — политика.
Поехали в другой город? — связность транспорта, виды транспорта, цена — политика.
В отпуск в Турцию или в Испанию? — политика.
Отношение лично к вам в мире — политика.
Превращение в страну-изгой — политика.
Всё в нашей жизни — политика, от самых мелочей и до глобального уровня. И то что в РФ не принято обсуждать политику (с друзьями, в семье, с коллегами, на Хабре) — приводит именно к тому, что когда случается таки что-то «грандиозное» (во всех смыслах слова), вся эта «внеполитики» прорывается наружу и вместо нормальных дисскуссий и обсуждений происходят срачи.
Чтобы не было срачей надо не запрещать политику, а ровно наоборот — начинать обсуждать её с ранних лет.
Мы и на работе, и с друзьями и, особенно, в семье постоянно обсуждаем политику. И взгляды у всех разные. Нет, войну, конечно, почти все осуждают, но в остальном есть либералы, социалисты, левые, правые, и т.п. И ничего, срачей не бывает, потому что это не «накапливается», а происходит постоянный диалог.
Требовать от всех поголовно заниматься политикой, потому что дескать иначе есть риск, что вам на головы посыплются бомбы — это как требовать от всех граждан страны в обязательном порядке изучать программирование, потому что у каждого сейчас сложное вычислительное устройство в кармане и глобальный сбой способен создать серьёзные проблемы.
Каждый должен заниматься тем, к чему у него есть склонность.
И нет ничего плохого в том, если какой-то человек в этой области совершенно не разбирается и считает, что заниматься всем этим должны профессионалы.Профессионалы должны заниматся проектированием, дипломатией, оценкой рисков и т.п. — да. Это и называется «представительство».
Политика с нашей стороны в том, что мы обсуждаем, дискутируем о том, какие «представители» (профессионалы) лучше или хуже справятся с той задачей, которая, как нам кажется, перед нами стоит. А ещё условно у меня, у вас, у вашего соседа и у дяди Вани могут быть разные мысли о самой задаче и о том пути, которым эта задача будет решаться.
Вы можете в лифте перекинуться фразой с соседом, что у вас в ближайшем парке дорожки ужасные. А потом кто-то из вашего дома возьмёт и выдвинется в муниципальные депутаты с конкретной программой улучшения района; потому что он услышал, что такая проблема есть и он решил попробовать. Поздравляю, вы в лифте «сделали политику» (хехе, забавный каламбур получился).
И это работает! Это сработало на прошлых выборах в муниципалитеты в Москве. Толпа новых ребят избрались. Просто открылась ширма и оказалось, что политика — это не обязательно подковёрные игры, грязь и фу-фу-фу, это просто механизм. И относиться надо к ней так же — это не что-то такое, чем надо прям *заниматься* 24/7/365; от неё главное не закрываться (что вся РФ сделала в «сытые» нулевые).
Есть считать, что политика — грязь, и что её не принято обсуждать в приличном обществе, то и пойдёт «в неё» только тот, кому плевать на мнение общества.
Да, на Хабре, нет смысла обсуждать местную политику двора. Потому что они не пересекаются. Но обсуждать то, что может (и будет) повлиять на IT просто необходимо.
И нет ничего плохого в том, если какой-то человек в этой области совершенно не разбирается и считает, что заниматься всем этим должны профессионалы.
"Нет ничего плохого, если какой-то человек не умеет читать и считать, и считает, что заниматься должны только учёные." /s
Политическая и правовая грамотность, т.е. знание законов и умение их обсуждать, принимать, следовать и отстаивать — это такая же часть базового образования, как чтение и счёт. То, что люди обычно делегируют эту задачу избранникам, не оправдывает собственной безграмотности, особенно с учётом того, что именно в политике куча мошенников. Это примерно как слепо доверять строительство своего дома странным людям, ездящим по ушам, и не пытаться хотя бы минимально изучить вопрос — какой вообще опыт строительства, какие материалы нынче используют, как контролировать стройку и проч.
Например, 2+2=4 вне зависимости от ваших политических взглядов (кстати, на этом строится идея, что по возможности, научные законы должны быть выражены на математическом языке, что, как считается, привело к росту естественнонаучного знания и техническому прогрессу)
print(«Hello world») в Питоне также однозначно. И я на это опираюсь в своей повседневной практике.
А есть решения политические; на них можно опираться при определенных условиях.
Опять же, имхо, история роста человечества заключается в накоплении технических механизмов. Они иногда могут опираться на человеческие — например, очевидно, что в генерации электроэнергии участвуют люди — но в основном они сводятся к интерфейсам, которые считаются стабильными.
Я считал SSL техническим решением, основанным на осмысленном консенсусе и правилах — так оно позиционировалось и позиционируется (хотя я испытывал определенное недоверие к централизованной выдаче). Но недавняя практика, которую мы обсуждали, показала, что возможно нарушение этих технических правил без серьезной реакции сообщества. Стало быть, из удобного интерфейса решения проблем защищенной коммуникации между А и B, это становится более сложным инструментом политического воздействия.
Мне печально; с моей точки зрения это отказ от общечеловеческого удобного интерфейса.
И ваш пример с электроэнергией тоже очень к месту. Казалось бы — выработка электроэнергии, какие могут быть проблемы? Механизм работает, всё хорошо. Ну вот всё те же события показывают, что и тут осложнения случаются (да, опять из-за людей).
Если SSL выпускает человек/компания, то у этого человека/компании/страны всегда будет некий лимит, красная черта, переступив через которую он откажется от своих обязательств перед тем, кто эту черту нарушил. Все обязательства, договоры, инструменты имеют механизм прекращения отношений, в том числе и односторонний.
Далее мы можем смотреть, что происходит:
1. либо система «наказывает» этот УЦ, и утверждает, что данное поведение неприемлемо. Тогда считается, что система поддерживает понятные принципы, хотя иногда УЦ могут их нарушать и нести наказание. (Кстати, где-то тут был пример про утечку Symantec — там наказание было)
2. либо система не наказывает этот УЦ, и подает сигнал — «мы не готовы заставлять элементы системы (УЦ) следовать их принципам», точнее, мы будем это делать по обстоятельствам. Система становится политической, т.е. не следующей принципам, а опирающейся на столкновение разных сил. Надо понимать, что политические системы, в отличие от технических, обладают значительно меньшей привлекательностью.
Собственно, с электроэнергией — если её подача будет зависеть от того, как руководство электростанции (или даже отдельный монтер) относится к текущей политической ситуации, то система также перестанет быть технической, а станет политической, с значительно более высокими рисками, по понятным причинам.
Мне кажется, что идеалистические представления хиппи про всеобщий пис давно выкинуты на помойку и самый очевидный шаг в эпоху деглобализации - это чтобы каждая доменная зона завела себе свои корневые сертификаты.
Т.е. понятное дело что сателлиты США на такое не пойдут - но Китай и Россия вполне способы организовать систему когда для .cn и .ru/.рф будут свои корневые сертификаты.
Хотя вероятнее всего, что подобные страны не будут мелочиться и поставят корневые сертификаты на всё - и на .ru и на .com
Если какие-то отношения у УЦ в связи с выданным им сертификатом и продолжаются, то они уже с посетителями соответствующего сайта, которым УЦ сообщает через CRL/OCSP: да, мы выдавали такой сертификат, нет, он не отозван.Т.е. УЦ в течение срока действия сертификата осуществляет его поддержку, несет какие-то обязательства? Следовательно, услуга не ограничивается одной лишь выдачей сертификата, и любая из сторон может разорвать договор досрочно. Клиентом, в данном случае, является владелец сайта (который платил деньги за сертификат), а не его посетитель.
Также непонятно, как обязанность отменить сертификат, пересекается с правом это сделать. Это разные вещи. Ну отменил УЦ сертификат, и что? Он же не фальшивый нарисовал. Да, доверие подорвано, но как к коммерческому партнеру, а не как к УЦ.
Т.е. УЦ в течение срока действия сертификата осуществляет его поддержку, несет какие-то обязательства?
Нет, не осуществляет и не несет. УЦ предоставляет всем желающим доступ на чтение к реестру выданных и отозванных сертификатов, больше ничего. Аналогия с нотариусом прямая: нотариальное действие совершено и нельзя заявить потом, что оно не совершалось, потому что выяснилось: Иванов - та еще скотина.
>>находятся корневые сертификаты не только американских и европейских УЦ, но и китайских, турецких и из других стран
Не соглашусь:
А) Давайте возьмём цепочку:
Клиент---[Супруг(а)]---Банк
1. Банк всегда знает сколько у клиента на счету денег (и все операции, ведь он ведёт счёт клиента)
2. Банк заинтересован в конфиденциальности клиента (не будет он рисковать репутацией из-за моих 10 тысяч)
2. Банк шифрует канал между клиентом для того чтобы супруг(а) не мог(ла) "посниффать" трафик на роутере.
Т.о. шифрование (с использованием TLS/PKI) решает локальную проблему.
Б) Пользователь---[Государство]---Сервер соцсети с буржуинским УЦ
Господину Ляо нет дел до моей переписки в соцсетях, он получил денежки за сертификат.
Но переписку очень хочет видеть государство (вот и пытается продвинуть свои стандарты, алгоритмы и УЦ)
Говоря "мне нечего скрывать" все почему-то забывают о важной вещи - управление сертификатами заинтересованной стороной (в данном случае государством) - это не только "прослушка", но и возможность создать трафик от вашего имени.
Пример:
Приглянулся депутату ваш дачный участок (надо через него провести коммуникации) -бац, и вы уже "на зоне" за "лайк" в соцсети, даже не включая компа.
Вы правы, это не решает проблемы MitM, но решает нерешаемую проблему запихивания корневого сертификата "ГосУЦ" в хранилища браузеров.
Кстати, это снижает вероятность самовольной выдачи сертификатов к чужим сайтам: как только на этом поймают, корневой УЦ с легким сердцем и под всеобщие (без преувеличения) апплодисменты отозовет сертификат у "ГосУЦ".
Так что я предлагаю подумать о смене УЦ не только подсанкционным банкам или тем, кто допускает свое попадание под санкции в будущем, но и всем остальным, включая украинцев.
Им как раз только об этом сейчас и думать, когда, как Вы сказали, "стадо бабуинов" уничтожает их страну. Вы там в своей реальности живёте?
1. Я не специалист в сере ИБ и имею достаточно общие представления о работе сертификатов сайтов, так что поправьте меня, если я ошибаюсь: отзыв сертификата ведь не компрометирует связь браузера с сервером, не позволяет кому-нибудь сделать атаку MITM и т.д.? Отсутствующий (неверный, просроченный) сертификат, это, в некотором смысле, вполне штатная ситуация. Не могли бы вы объяснить поподробнее, каким рискам для информационной безопасности я подвергаюсь, используя сертификат даже конкретно Thawte, не говоря уже о всей «системе доверия в Интернете». Если никаким, то «убийство», скорее всего, не случится.
2. Я согласен, что отзыв сертификата по несколько сомнительным причинам может рассматриваться клиентами как предоставление некачественной услуги. Однако, следует учитывать, что происходящее — это очень очень неординарная ситуация. Если против вас введет санкции правительство, мать его, США, доступ к сайтам окажется самой маленькой вашей проблемой) Думаю, большинство организаций, пользующихся сертификатами, оценивают вероятность такого события равной 0.
Сертификаты продвигались как часть технической инфраструктуры обеспечения безопасности. УЦ выдавал их по определенным правилам (проверки), и отзывал тоже по определенным правилам (проверки, указанные в статье). У этого никогда не было политического подтекста, и вся эта система всегда была вне политики. Т.е. это всегда было предельно мирным техническим интерфейсом.
Подрыв произошел в тот момент, когда Thawte сказала — мы отзываем ваш сертификат не по правилам УЦ, а потому что мы следуем политической конъюнктуре. Неожиданный отзыв сертификата минимум создает перебои в работе сайта.
И сейчас никто не может дать гарантий, что какой-нибудь другой УЦ не отзовет сертификат по какой-то другой причине, которую посчитает важным. Что подрывает доверие к системе сертификатов в целом.
Подрыв произошел в тот момент, когда Thawte сказала — мы отзываем ваш сертификат не по правилам УЦ, а потому что мы следуем политической конъюнктуре.
Хуже того, она сказала, что отзывает по уважительной причине - из-за требований регулятора, что является ложью.
По какой причине он отозван — это дело десятое. Может, так УЦ захотелось. Автор приводит список случаев, когда УЦ обязан отозвать сертификат. А покажите, где написано, что УЦ не имеет права отзывать сертификат просто по желанию своей левой пятки.
А не воскреснет ли? УЦ один раз наплевал на правила, сделал как удобно политически. Где гарантия, что он не наплюет ещё раз? В текущей обстановке им политически удобно выдать сертификат на любое имя в зоне .ru, su, .рф кому угодно. Раз им плевать на правила и они руководствуются не ими и не законом - я бы ожидал именно этого действия от них.
10. Revocation is required by the CA’s Certificate Policy and/or Certification Practice StatementТ.е. УЦ обязан отозвать сертификат, если того требует его собственный регламент. Вот и всё. УЦ имеет право самостоятельно решать, кому выдавать, у кого отзывать. Кроме случаев, когда он обязан отозвать.
А автор статьи намеренно перевел этот пункт некорректно, якобы «если выдача была с нарушением регламента». Нет, не только выдача.
Даже если в TOS Thawte будет пункт «мы можем отзывать сертификаты без предупреждения в одностороннем порядке по своему желанию», и Thawte будет это регулярно делать, это будет подрывать не систему доверия в смысле ИБ, а доверие к Thawte как к поставщику услуг.
Кстати, я посмотрел TOS DigiCert-а, который владеет Thawte, и там действительно сказано:
DigiCert may revoke a Certificate without notice for the reasons stated in the CPS, including if DigiCert reasonably believes that… Customer is added to a government prohibited person or entity list or is operating from a prohibited destination under the laws of the United StatesВерсия TOS от мая 2021 года, но, возможно, этот пункт был там и раньше.
Да, в первую очередь Thawte подрывает доверие к себе. Но неосуждение этого со стороны сообщества, не лишение Thawte статуса УЦ, также подрывает доверие к системе в целом. Либо УЦ следуют регламентам, и к ним, и к регламентам есть доверие, либо следуют собственным TOS. Как и в реальной жизни, TOS никому не интересен — интересно, можно доверять системе в целом или нет.
Если бы Chrome и прочие одаренные товарищи не начали бы ставить на чисто HTTP-сайтах плашку «Не защищено», я бы спокойно продолжал поддерживать свои сайты на HTTP. Но меня интенсивно загоняют в систему HTTPS с дополнительным контрагентом со своими рисками, и мне это не нравится :( Мне хватает контрагентов — и так есть хостинг, или например рассылка мейлов, в которой один раз меня внесла в спам-лист компания по некоторой странной левой технической причине. Хотя я потом выбрался, нервов было потрачено прилично.
«Не защищено», я бы спокойно продолжал поддерживать свои сайты на HTTP.
НЕЛЬЗЯ! Как минимум - HTTP позволяет всяким недобросовестным провайдерам (типа Мегафон) внедрять рекламу в трафик. И это только самое безобидное. А как максимум - это подрывает любую безопасность конф данных (как минимум - логин-пароли, дальше карточные данные, дальше тайна переписки и все такое и атаки на другие ресурсы, которыми пользуется пользователь).
1. Дайте мне HTTPS, не завязанный на политические веяния, и я на него перейду. Собственно, уже пытался, но и неожиданно здесь появились проблемы, другие уже.
2. > HTTP позволяет всяким недобросовестным провайдерам (типа Мегафон)
Проблемы провайдеров — это проблема сайта? Извините, но тупо не стоит пользоваться недобросовестным провайдером. То же касается похищения данных в целом, если что.
3. > дальше карточные данные,
Карточные данные всегда обрабатываются по HTTPS и требованиям PCI DSS на отдельных специально защищенных сайтах. Тут я вообще не спорю.
4. > как минимум — логин-пароли
Проблема в том, что даже если у меня сайт без логинов-паролей, Chrome все равно показывает незащищенность.
Проблемы провайдеров — это проблема сайта? Извините, но тупо не стоит пользоваться недобросовестным провайдером. То же касается похищения данных в целом, если что.
да, проблемы сайта. Возможности не использовать недобросовестного провайдера нет. Как минимум вся большая тройка такая + бесплатный городской WiFi в МСК
Проблема в том, что даже если у меня сайт без логинов-паролей, Chrome все равно показывает незащищенность.
и правильно делают. Повторяю для тех, кто не врубается - если не HTTPS и нет какой-то дополнительной криптографии (как например есть в репозиториях убунты и дебиан на PGP ключах), то я контенту Вашего сайта НЕ МОГУ ДОВЕРЯТЬ, потому что он мог по дороге от Вашего сервера ко мне быть модифицирован
Проблемы провайдеров — это проблема сайта?
Это проблемы пользователей браузеров. Браузеры для пользователей делают, а не для владельцев сайтов.
Извините, но тупо не стоит пользоваться недобросовестным провайдером.
Не у всех есть возможность сменить провайдера или найти среди двух-трёх того, кто отказался от возможности менять контент по финансовой или ещё какой причине. Зачастую у провайдеров естественная монополия, ибо кабельное хозяйство и частоты — это ограниченный ресурс.
Не сваливаясь в политосрач давайте уж будем честны - сейчас во многих сферах будет переосмысляться система доверия. Отключение России от визы и мастеркарда явно приведет к тому что какой-то процент стран начнет продавливать аналог НСПК у себя внутри. И так во многих сферах где не нужен какой-то rocket science для "импортозамещения".
Чем PKI недостаточно децентрализована?
2) Любая ОС позволяет пользователю установить любые корневые сертификаты и играть в децентрализацию любому, кому это интересно.
Ну как пример — не любая.
Есть такая ОС под названием Android.
Начиная с 7-й версии прописать то свой сертификат можно но вот приложения должны специально сказать что доверяют пользовательским сертификатам вообще (или конкретным). А по умолчанию — не доверяют.
Обойти можно но либо производителю либо есть рут. А рут в свою очередь не любит много другого ПО а со способами маскировки его наличия — гугл борется.
Формально то свобода а на практике — все не так.
Смешно то что ДАЖЕ СЕЙЧАС не до всех это доходит. Домены и сертификаты к ним должны быть децентрализованы - собсно, .eth уже существует, это не какая-то фантастика, это уже рабочий инструмент.
Не вижу никаких проблем с этим. Некрасиво, но не критично.
Задача обеспечить безопасность - выполнена. Доступность пострадала, но с доверием вопросов нет.
Вот если бы они выпустили фейковый сертификат какого-нибудь ВТБ и анонсировали его префиксы из собственных сетей - была бы проблемка, да. Но чем-то похожим пока только DigiNotar отличился.
ИМХО, компании в принципе никому не должны иметь возможности отказать в оказании заранее обозначенных услуг, ни по расовому признаку, ни по национальному, ни по любому другому; дискриминация - прерогатива государств, а не компаний.
Если отвлечься от санкций, доверия и всего такого, то интересна одна такая деталь:
в то время, когда этот многострадальный ЦБ РФ заказывал сертификат у Thawte, эта контора в области выдачи сертификатов считалась чуть ли не самой дешёвой - реально на уровне какой-то помойки. Считалось, что если ты студент и денег на пет-проект у тебя нет, что прямая дорога в Thawte. Дешевле был только бесплатный StartCom, который позже выкинули ко всеобщему облегчению. И тут на волне санкций внезапно оказалось, что вот именно там ЦБ огромной страны и затоварился сертификатом.
Строго говоря, вы не рассматриваете ещё один вариант.
"Отзыв сертификата – заявление о том, что сертификату больше нельзя доверять: он был украден, получен неуполномоченным лицом, выпущен с ошибкой и т.п. " - в итп входит "мы больше не удостоверяем данное лицо". То есть действителен ли паспорт гражданина Петрова, или не действителен - районное отделение милиции на этот вопрос не может дать ответ, так как человек Петров со всеми своими документами больше не обслуживается в данном отделении милиции.
И не сказать, чтобы они не имели права так заявить. По совести - так поступать плохо, но тут большая политика со всех сторон, тут всем не до совести.
в итп входит "мы больше не удостоверяем данное лицо".
Позвольте, а какой это пункт в гидлайне CA/B Forum? Вот на уровне аналогий с паспортным столом - это все красиво звучит, но в первоисточнике-то что искать?
Отзыв TLS-сертификатов у российских подсанкционных банков – это конец «системы доверия» в Интернете в том виде, как мы ее знаем. Ящик Пандоры открыт.
Нет, это просто показывает, что никакой "системы доверия" не было.
А все рассуждения о том, что вы должны следовать каким-то правилам, даже если они вам не нравятся или не выгодны, были нужны лишь для того чтобы вы продолжали выполнять невыгодные вам правила.
Интересно как многие неглупые люди военную агрессию переводят в класс политических вопросов, это все равно как выйти сейчас в Харькове и спокойно гулять, говоря всем "я не в политике", под разрывы снарядов и пуль.
Коллеги, это 2022 год, и не нужно приводить доводы, мол всегда кто-то кого-то захватывал, мир взрослеет, и если Россия хочет быть в ногу с цивилизацией, ей тоже нужно взрослеть.
Это не политика, это наша жизнь, и военная операция на суверенное современное демократическое государство (даже почти без армии и ядерного оружия) в Европе неприемлемо, и сертификаты это наименьшее за что Россия заплатит, а вы вместе с ней прямым образом или косвенно.
Минцифры доверия нет. Нет доверия тому, что они будут использовать сертификаты во благо, а не будут левачить и раздавать свои сертификаты для узаконенного по факту MitM. Независимые центры как раз своей репутацией дорожили и все держалось именно на ней. На независимости thawte от условного недемократического пр-ва Ирана. Касательно отзыва - ощущения смешанные. С одной стороны, подтвердить сейчас, что условным приватным ключом владеет ВТБ, а не условный силовик нельзя. С другой, действительно разорвали договорные отношения (ибо имели право по ToS). С третьей - как-то не очень красиво получилось
С одной стороны, подтвердить сейчас, что условным приватным ключом владеет ВТБ, а не условный силовик нельзя.
Хм, а до 1 марта это можно было подтвердить?
Обычно такого рода доверие основывается на том принципе, что в достаточно открытом обществе злоупотребления "всплывают" благодаря информаторам (whistleblowers) и конкурентам. По приезде в США удивляло, что практически вся бюрократия основывалась не на многочисленных справках, а на том, что ты просто ставишь в форме галочки "не был, не состоял, не привлекался" — и тебе верят на слово, как джентльмену. Но внизу обычно стоит приписка, что лжесвидетельство наказывается — и если оно всплывает, то это действительно больно.
Если же открытости в обществе нет, то и доверия такого уровня тоже больше нет. Не будет же CA проводить в каждом банке аудит безопасности каждый месяц, а раз нет аудита и нет возможности появиться информатору, то и нет основы для доверия.
Кажется, нечто подобное произошло только что и с Россельхозбанком (rshb.ru ругается на revoked certificate, иссьюер сертификата GoGetSSL (Латвия)).
1 марта с утра в современных браузерах можно было наблюдать такую картину:
Мы еще с коллегой обсуждали, как быстро они догадаются получить серт у LE :)
И вот к концу рабочего дня они именно так и поступили
Странно как-то люди понимают сертификаты. Сертификат это ведь по сути что? Это заявление "Вы можете быть уверены, что вот эти чуваки те, за кого себя выдают, поскольку Вы доверяете нам, а мы проверили их и удостоверяем их". И вот если "мы" больше не хотим (не можем) проверять и удостоверять "их", то с чего же держать сертификат валидным? Конечно, он больше не валиден.
Внезапно, но со мной было именно так. Нотариус отказалась оформлять доверенность мне, т.к. ей показалось, что паспорт поддельный. Пришлось идти к другому нотариусу
Есть более известный пример.
Летел один товарищь транзитом через Москву и как то так случайно выяснилось что в Москве его паспорт оказался аннулирован (за общественно поощряемую но в его стране деятельность, совмещенную с нарушением законов(или обвинением в )). Пришлось в итоге Сноуден в России убежище просить).
Дайте мне свободный от прослушивания канал по Диффи-Хеллманну и больше ничего.
Чтобы был ДХ с сайтом, вам вначале нужно получить публичный ключ сайта и как-то убедиться, что это именно его ключ, а не хакера/майора-в-середине. И как вы это будете делать? Обмениваться ключами при личной встрече с каждым владельцем сайта? А если ключ скомпрометирован и отозван, то опять идти на встречу?
Прочитал несколько раз, так и не понял, как ваш коммент относится в атаке man-in-the-middle, с которой пытается справиться PKI (т.е. все эти CA, сертификаты, цепочки доверия, процедуры отзыва и проч). Простой голый Диффи-Хеллман от этой атаки не предотвращает. Ваше "с большой вероятностью" — это вообще никакая не гарантия, потому что вероятности зависят от ценности атакуемой цели, например, от наличия крупной суммы на банковском счете.
Вот простая аналогия
Плохая аналогия подобна котёнку с дверцей. Вы, похоже, слабо представляете, что такое PKI.
Во-первых, ключи всегда изготавливаете вы сами, а не "управляющая организация". Вы выпиливаете пару ключей (отпирающий и запирающий) и просто приносите запирающий ключ на подпись, чтобы управляющая организация выдала справку о том, что именно вы изготовитель ключа и, опционально, что именно вы владелец квартиры №6 (DV — domain validation) и что вы Владимир Калачихин, а не Вася Пупкин (OV/EV — organization/extended validation).
Во-вторых, эта справка нужна не вам, а вашим знакомым, которые периодически приходят к вашей двери, оставляют для вас ценные подарки и запирают их для сохранности. Для удобства друзей вы вешаете запирающий ключ прямо на двери. Проблема в том, что ваш сосед по лестничной клетке поставил точно такую же дверь, с похожим замком и похожим ключом, и даже номер квартиры повесил такой же, так что знакомые стали ошибаться и оставлять ценности не вам, а соседу. Вашим знакомым нужно как-то понять, что они не ошиблись дверью, когда оставляют вам ключи от Феррари. Вы можете не брать никаких справок, а просто самому сделать слепок ключа (self-signed certificate) и раздать всем знакомым заранее, чтобы они могли сравнить ключ на вашей двери со слепком и не перепутали. Но это немасштабируемо — если у вас тысячи знакомых, сменяющих друг друга каждый час, то за каждым не побегаешь. Да и знакомым не с руки постоянно таскать ворох справок на каждого из своих знакомых, следить за их актуальностью, вовремя обновлять. Нужно доверенное лицо, центр сертификации, которому они все доверяют. Если ваша управляющая компания достаточно честная, то этим центром может выступать она. Или любая другая — из тех, кто захочет иметь с вами дело. Ясно, что если прознают, что ваша квартира — это дроп-зона для награбленного или для наркотиков, то вас пошлют, а ранее выпущенные справки — отзовут.
Чтоб вы понимали тезис про старые мобилки: они либо ничего не хотят загружать, либо требуют при каждом визите согласиться что сертификат небезопасный с возможностью добавить в исключения (похоже что кроме протухшего сертификата может протухнуть сертификат всех сертификатов), либо если сигнал сети слабый — я просто не могу загрузить ничего по https из-за отвала по таймауту из-за необходимости делать handshake при каждой загрузке новой страницы. Это же бред, мне не нужна никакая защита когда я просто хочу почитать какой-нибудь текст без полей ввода при слабом сигнале сети.
Однако сайты могут попросить меня при регистрации поделиться моим публичным ключом, а при всех остальных визитах — подписать моим приватным ключом что-нибудь из /dev/random.
Как это защитит вас от MITM? Ваша способность что-то подписать вашим приватным ключом никак не доказывает вам, что сайт не фишинговый. Клиентские сертификаты используются, чтобы доказать сайту, что вы — это вы, а не наоборот. Ну так фишеру эти доказательства и не нужны.
Я понимаю ваш тезис про устаревшие девайсы, не обновляющие сертификаты. Да, это проблема, но она вызвана криворукостью/пофигизмом/недальновидностью тех, кто эти девайсы делал и не предусмотрел возможность обновлять сертификаты хотя бы вручную.
Как это защитит вас от MITM?Вы имеете в виду фишинговую атаку на основании подмены адреса сайта на уровне DNS, насколько я понял, ведь защита от прослушивания канала, суть Диффи-Хеллмана, уже защищает от некоторых разновидностей атаки MiTM.
Пусть каждый веб-сервис для которого такая атака имеет смысл (банк или средство связи) имеет публичный ключ для того чтобы я мог попросить подписать мой случайный текст. Подмена сайта потребует подмены публичного ключа. Чтобы фишинговый сайт не перенаправлял мой случайный текст на подпись оригинальному сайту, пусть подписывается конкатенация из моего текста и ip-адреса по которому доступен оригинальный сайт. Осталась мелочь — узнать каким-то образом ip-адрес сайта который актуально открыт в браузере. В браузере из коробки я не нашел как это сделать, но можно воспользоваться консольной утилитой ping.
Решение не отвечает на вопрос что делать если я, допустим, зашел на сайт впервые в жизни и хочу сразу перечислить ему кучу бабла но просто не знаю не на фишинговый ли веб-сайт я попал. С другой стороны, если злоумышленник создаст веб-сайт habr2.ru с таким же интерфейсом и создаст ему https через Let's Encrypt, а потом заставит моего провайдера перенаправлять habr.ru на habr2.ru — то насколько я понимаю это будет идеальное преступление, в 99 из 100 случаев я просто не посмотрю куда я ввожу пароль если я помню что ввел название сайта правильно и загрузилось то что я ожидаю.
То есть, я пытаюсь развить тезис о том что зеленый замочек в браузере — просто театр безопасности, и (с учетом содержания статьи которую мы комментируем) возможная угроза свободе слова; а Диффи-Хеллманн — та часть защиты которая реально нужна каждому юзеру, просто чтобы вводить пароли не боясь что их прочитают.
я пытаюсь развить тезис о том что зеленый замочек в браузере — просто театр безопасности
так правильно, потому что зеленый замочек не про безопасность в том ключе, о котором Вы говорите, а про то, что
узел это узел, куда Вы обратились (подтверждается УЦ)
провайдер не может влезть в трафик (mitm)
если же скомпрометирован целевой узел, то сорян. Или если Вы не посмотрели на какой узел идете (облажались и вместо sberbank.ru написали sberbahk.ru). И именно в этом смысле оно работает
провайдер может днсы подменять, но тогда домен будет тот же, но айпи другой...
ведь защита от прослушивания канала, суть Диффи-Хеллмана, уже защищает от некоторых разновидностей атаки MiTM.
Ещё раз: DH — это протокол обмена сессионными ключами, а не протокол установления аутентичности. DH защищает от пассивного прослушивания канала, но не защищает от MITM, т.е. активной врезки в канал ещё до стадии обмена ключами, потому что в DH нет способа узнать, что собеседник на другом конце канала, с которым вы обмениваетесь ключами — тот, за кого он себя выдаёт.
По уму — сертификационный центр должен быть такой же государственной организацией, как центральный банк, и таким же атрибутом суверенитета.
Нет, это глупо. Сертификационным центром может быть любой, кто может доказать своим клиентам, что их процессы сертификации достаточно надёжны. Это может включать государства, но не должно ограничиваться только ими.
Отказ взаимодействовать с таким сертификационным центром — должен быть таким же casus belli, как отказ от взаимодействия с центральным банком.
Простите, casus belli против кого? Против частного производителя ОС или браузера? Война России против Мозиллы, Гугла, Майкрософта, Яндекса и проч? Вы понимаете, что каждый клиент/юзер-агент сам и независимо от других решает, какие корневые сертификаты поставлять по-умолчанию, а какие — нет? Вы всё ещё живёте в иллюзии, что государства регулируют (или должны регулировать) всё вокруг, даже человеческое доверие?
Ну Госуслуги не работают неиллюзорно.
Не знаю как в РФ, а в Казахстане, например, в Центрах Обслуживания Населения (ЦОН) выдают ЭЦП, а при установке софта для работы с ним (КриптоПро) в систему устанавливается корневой сертификат, выпущенный казахстанским УЦ. И все, эта проблема решена (правда может появиться другая, но это можно обойти созданием виртуалки).
Россия может сделать себе свой государственный УЦ, выпустить свою государственную ОС и браузер с правоверным корневым сертификатом (или заставить всех российских производителей добавлять его) — и российские сайты у россиян будут открываться нормально. "Нет поводов не доверять представителям власти". Да, тем бездуховным чужакам, что приходят из внешнего мира, будет неудобно — но в РФ, похоже, многие даже рады изоляции, так что с их точки зрения всё должно быть ок, "Россия — для русских".
И чтобы два раза не вставать: Ваша аналогия абсолютно дикая, и очень далека от понятий права. Но Вы, похоже, этого не замечаете.
Да, я не вижу, в чём дикость аналогии, и с какого боку тут понятия права, если речь идёт о системе доверия между частными лицами/компаниями? Можете разъяснить, что именно дикого вы нашли?
Никогда не заморачивался из-за сертификатов. Eсли он поддельный и мои технические средства сами этого никак не выявляют, то я все равно не смогу проверить его подлинность. У меня просто знаний необходимых нет. А если сертификат подлинный - замечательно.
A у Thawte в условиях написано:
b) Denied Lists and Other Legal Black Lists
thawte will not issue any EV Certificate to the Applicant, without first taking appropriate steps for obtaining clearancefrom the relevant government agency, if either the Applicant, the Contract Signer, or Certificate Approver or if the Applicant’s Jurisdiction of Incorporation or Registration or Place of Business is:
(a) Identified on any government denied list, list of prohibited persons, or other list that prohibits doing businesswith such organization or person under the laws of the country of thawte’s jurisdiction(s) of operation; and
(b) Has its Jurisdiction of Incorporation or Registration or Place of Business in any country with which the lawsof thawte’s jurisdiction prohibit doing business
Thawte takes reasonable steps to verify EV Certificate applications with the following lists and regulations:
(A) If the CA has operations in the U.S., thawte MUST take reasonable steps to verify with the following US Government Denied lists and regulations:
(B) BIS Denied Persons List
(C) BIS Denied Entities List
(D) US Treasury Department List of Specially Designated Nationals and Blocked Persons
(E) US Government export regulations
Так что получается, надо внимательно читать условия при покупке товара.
По сути сертификат действует (как отличительный знак) внутри системы доверия, он не учереждает систему доверия.
Так что получается, надо внимательно читать условия при покупке товара.
ОК, давайте:
Thawte takes reasonable steps to verify EV Certificate applications with the following lists and regulations:
ну, т.е. получается они могли разорвать договор обслуживания с компанией из подсанкционного списка? И смотрите выше - там не только про application, а в целом про operation
https://www.digicert.com/legal-repository
https://www.digicert.com/content/dam/digicert/pdfs/legal/digicert-cps-v-5-8.pdf
(DigiCert выкупил оказывается бизнес у VeriSign, а они в свое время выкупили Thawthe. Так что формально вся юридическая котовасия через них, но суть от этого не меняется)
Там написано, что причиной для отзыва сертификата может стать заявление государственной инстанции либо добавление владельца в "черный список".
4.9.1. Circumstances for Revocation
DigiCert may revoke any Certificate in its sole discretion, including if DigiCert believes that:
1. Either the Subscriber’s or DigiCert’s obligations under the CP or this CPS are delayed or prevented by circumstances beyond the party’s reasonable control, including computer or communication failure, and, as a result, another entity’s information is materially threatened or compromised;
2. DigiCert received a lawful and binding order from a government or regulatory body to revoke the Certificate;
3. DigiCert ceased operations and did not arrange for another Certificate authority to provide revocation support for the Certificates;
4. The technical content or format of the Certificate presents an unacceptable risk to application software vendors, Relying Parties, orothers;
5. The Subscriber was added as a denied party or prohibited person to a blocklist or is operating from a destination prohibited under the laws of the United States;
6. For Adobe Signing Certificates, Adobe has requested revocation; or
7. For code-signing Certificates, the Certificate was used to sign, publish, or distribute malware, code that is downloaded without user consent, or other harmful content. DigiCert always revokes a Certificate if the binding between the subject and the subject’s Public Key in the certificate is no longer valid or if an associated Private Key is compromised.
Спасибо, вот это интересный документ. Ссылкой кинетесь? Мне нравится их формулировка: мы можем отозвать по своему усмотрению, если того потребует правительство. А можем не отозвать?!
@ifap вверху указал вроде, общий список документов и конкретный документ из которого взята цитата. ¯\(°_o)/¯
По своему усмотрению - означает в данном контексте "согласие или даже предварительное уведомление контрагента не требуется".
С другой стороны - американские компании неоднократно оспаривали подобные ордеры и во многих случаях суд был частично (сокращение обьема/охвата) или полностью (отмена) на их стороне.
Формально, поскольку сертификат ЦБ РФ был выпущен 26.01.2022, следует ссылаться уже на digicert-cp-v5-9.pdf
Но этот раздел, похоже, не изменился.
Россия начала войну, потому что Может.
Отозвали сертификаты, санкции и прочее, потому что могут.
Всё логично.
Ну почему, мистер Андерсон, почему вы продолжаете хуманизировать страны?
Казахстан начал протестовать внутри себя против повышение себе цен на топливо. Потом попросил соседей ввести в себя войска, чтобы справиться с самим собой. А потом обнаружил у себя внезапно появившихся тысячи музыкальных террористов из Киргизии.
США начал бомбить. Прям вся страна, что ли? И не было против никого?
Бомбить начали военные. Хоть Китай, хоть Япония, хоть Бразилия. Бомбят, убивают, сжигают дома, расстреливают. Какой-то определенный этнос? Есть культура, которая как богам Хаоса покланяется богу гнева? Нет такой культуры. Но есть куски земли на этой планете, которые по некоторым причинам имеют в своем населении большое количество вооруженных, необразованных людей, в чьем воспитании была пропаганда насилия. А есть те, кто относятся к этому как ерунде, чем то само-собой разумеющимся. Их это якобы не касается.
Конкретные действия совершают конкретные люди с определенным мотивом. Вот приедет из Сибири чел, который отшельником живет - и узнает, что он оказывается на другие страны нападает. И обратно уедет, потому что ну нас нафиг с такими приколами.
Страны - это просто клочки суши, которые разделены воображаемыми стенами, на которых живут воображаемо-принципиально разные люди. ФРГ и ГДР. Ну вот там прям страны две разные были, или что-то другое? Страны - это не живые люди и вообще не люди. Это государственный аппарат с монополией на насилие и правом собственности на человека на своей территории. Предки? История? В составе РФ 22, Карл! 22 республики! Не 2 и не 3! Вы всерьез хотите сказать, что вся Якутия прям спит и видит земли Крыма и жизни им нет спокойной, пока Зеленский президент? Я не знаю, если есть кто из этой республики - сколько у вас военных всего и сколько из них сейчас за пару тысяч км от дома на противоположной стороне континента?
Воюют военные - а виноват во всем пацифист-программист, пенсионеры, школьники и еще 99% населения, но только не вооруженный наемник. Л - логика.
Спасибо, хороший анализ.
Предки? История?
но это не в случае национальных гос-в - вроде Венгрии, Словакии, Чехии. У них как раз есть общность предков, истории, языка, культуры. Но это частный случай, в остальном согласен
Окружность Земли в километрах: 40075 км. От Якутии до Крыма 5800км. От Москвы до Берлина - 1600км. Париж - 2470км. Лондон - 2500км. Мадрид - 3500км. Лиссабон - самая дальний город Европы - 3900км. От Москвы до Анадыря (Onandyr, тоже РФ) - 6200км. Это 1/6 окружности земли, шестая кругосветного путешествия. Если кругосветку лететь сутки, то 4 часа из них вы будете лететь из Анадыря до Москвы. А из Анадыря до Лиссабона - 8500км. Почти четверть окружности планеты, в Сиэтл будет ближе - 4000км всего, как от Москвы до Лиссабона.
Одичалые, живущие за Стеной, считают себя «истинными северянами». Они называют «южанами» всё население Вестероса к югу от Стены вне зависимости от происхождения.
Загнивающий запад, иронично. А где золото зарыто? Проснитесь, мистер Андерсон.
если бы в 2014 не было переворота, то не было бы Крыма. Переворот сделал Запад. Российская империя не позволит себе иметь рядом такого соседа. Россия не начала войну, а хочет ее закончить. На Украине выросли поколения заблудших душ. Хватит притворяться и врать. Маски сброшены.
не влез бы Путин со своим Таёжным Союзом, не было бы никакого переворота. Так что к нему все претензии.
Российская империя не позволит себе иметь рядом такого соседа
Как будто её спрашивать будут.
Россия не начала войну, а хочет ее закончить.
чушь. Посмотрите, например, аналитику https://www.youtube.com/watch?v=OPLRa0rQKvU
На Украине выросли поколения заблудших душ
какое вам до этого дело? Украина - суверенное государство
если бы в 2014 не было переворота, то не было бы Крыма.
чушь. И отмазки
маска сброшена у РФ, нацист показал свое лицо. Убийцы и насильники гражданских. Мародеры, которые даже трусы и сковородки потащили домой.
“At present Sectigo is unable to issue new public certificates for .ru, .by, or .su domain names or for addresses located in Russia, Belarus, or the Ukrainian states of Crimea, Luhansk, and Donetsk.”
Самое обидное, что Запад методично бьет санкциями не по ядерному электорату Путина, которому всё буржуйское и так не нужно или недоступно, и который дальше своей деревни нигде не бывал. И который даже радуется "раскулачиванию" среднего класса. Запад бьет по либерально и оппозиционно настроенному меньшинству, которое хочет быть частью мира, общаться, путешествовать. Люди попали меж двух огней, снаружи рвут все связи, ненавидят и травят за то, что не повезло родиться в империи зла, внутри крутят на митингах и угрожают набутылить.
А "запад" и не борется за "патриотичненький" ядерный электорат Путина, плюющего на Пендостан, или за комфорт антипутинского "умненького меньшинства" России, желающего общаться с Великой Америкой (желающего общаться с долларами) и путешествовать по миру. "Запад" борется за красивую картинку именно для своего электората (от чего зависит их военный бюджет и обоснованность "освобождения нефти" от недружественных режимов), и в качестве краски для этой картинки сгодится любая кровь, главное лить её подальше от границ США. Пусть, мол, умненькие сами воюют с патриотичненькими, хотя за подсказками (и даже за не слишком технологичным оружием, если вдруг закончилось) могут обращаться, конечно.
Те люди, которые хотят "быть частью мира" - к сожалению, оказали молчаливую поддержку "ядерному электорату" в его агрессивных устремлениях. В конце концов - сеть и системы связи в Генштабе монтировали не какие-то отборные упыри, а обычные IT-шники. И систему для голосования сколько угодно раз - тоже они. Да, не думали что так [быстро] это вернется - наука на будущее.
Вы забыли упомянуть тех, кто не молчит, тех, кто выходит на улицы, и тех, кого задерживают. Да, большинство запуганы и не ходят на протесты, потому что надежды что-то изменить протестами уже давно нет, а продолжить жить в этом Мордоре как-то нужно, мало у кого есть возможность из него вырваться. Или вы считаете, что все несогласные должны обязательно сидеть на бутылке? Права на мирную жизнь хотя бы в каком-то виде вы им не даёте? P. S. Я не знаю политических взглядов разработчиков Генштаба и голосования. Но даже если они оппозиционных взглядов, то что? Какое это имеет отношение к остальным людям?
Вы заходите в автобус и видите, что водитель пьян/в неадеквате. Такого не может/не должно быть, поэтому вы проходите в салон - пытаясь убедить себя что вам показалось. Но водитель несет в микрофон какую-то хрень и только что проехал на красный. У вас есть два выхода - или сойти на следующей остановке, или остаться и попытаться (уговорами или силой) заставить водителя остановиться и забрать у него ключи.
Если же вы просто останетесь сидеть - есть приличная вероятность закончить поездку в травматологии/полиции. Хотя и не стопроцентная.
— как?
— бросайся под него
Только это не автобус, а поезд, и вы в него не зашли, а там родились. Первые вагоны занимает охрана безумного машиниста, преданные безумному машинисту полиция и армия. Большинство пассажиров считает что машинист везёт их в светлое будущее. По вагонам ходит полиция и бьёт по голове тех, кто не верит машинисту. Тех, кто пытается выйти на редких остановках, с криками "фашисты" и "остановите поезд" закидывает обратно разъярённая толпа.
Я вообще не понимаю предмета спора. Мне кажется очевидным, что не все граждане страны несут ответственность за действия правителя. Иначе мы так договоримся до того, что те евреи, что были гражданами нацистской Германии, сами виноваты.
"Срок действия сертификата может быть и 2 года, но УЦ к нему уже не имеет
отношения: УЦ удостоверил определенный факт на определенную дату,
получил плату за свою услугу, на этом все."
- я с этим не совсем согласен. уц имеет возможность подписать поддельные сертификаты для этого же домена. и в течение времени жизни сертификата уц может получать множество предложений с деньгами и угрозами, и попытки взлома с целью получить их. работа уц заключается в противодействии таким попыткам.
я не разбираюсь, но подозреваю, что система Certificate Transparency защищает от того, что удостоверяющие центры могут когда угодно сделать поддельный сертификат. возможно, браузеры при каждом новом домене обращаются в публичные списки, со многими зеркалами, где должны храниться все выданные сертификаты доменов, и если сертификат там отсутствует, значит он публично не выдан, а это попытка подложить поддельный сертификат.
"Доверие к сертификату обусловлено репутацией выдавшего его УЦ, а доверие
к УЦ – доверием к корневому УЦ. Это и есть «система доверия», на
которой строятся «цепочки доверия» и защищенные коммуникации в
современном Интернете."
- почему люди должны доверять корневым уц? это же не родная бабушка человеку. это какая-то неизвестная организация. я пока доверяю, что они не допускают совсем уж "ненормальных", неавторитетных взломщиков. а вот если к ним обратятся организации типа оон, ес, сша, возможно, они могут содействовать таким митм-щикам, для каких-то благородных целей.
смотрите мой коммент https://habr.com/ru/post/654633/comments/#comment_24148427 , выше, 09.03.2022 в 14:31, "я не разбираюсь, но подозреваю, что система Certificate Transparency защищает ...", который я написал в ответ на свой другой такой свой коммент, как здесь, выражающий недоверие.
Там есть SHALL и SHOULD. В одном 5 в другом 11 пунктов. В статье только 9
Ещё вполне применим SHALL пункт 5 о том, что если доменное имя или ip адрес не вызывают доверия. В условиях суверенного интернета, РКН и прочих ежей они никакого доверия не вызывают у внешнего интернета
Нет оснований для применения этого пункта
4.9.1 Circumstances for Revocation
The Issuer CA shall revoke a Certificate within 24 hours after receipt and confirming one or more of the following occurred:
...
5. The Issuer CA obtains evidence that the validation of domain authorization or control for any FQDN or IP address in the Certificate should not be relied upon.
А если бы они бы были, то отзывать надо было в течении 24 часов после выдачи, т.е. для ЦБ РФ - 27.01.2022.
Ничего, кроме доверия к себе самой, Thawte не убила.
Не менее достойным кандидатом на отзыв станет Израиль с его добрососедскими налетами на половину стран региона.🤣🤣🤣
Слушайте, так нельзя. Я сделал чай с печеньками, открыл статью почитать — чуть не подавился со смеху.
Интересное случается на стыке санкций и сертификатов. Отношения между УЦ и его клиентами начинаются в момент получения заявки на выдачу сертификата и заканчиваются его выдачей
Это не совсем так, к примеру, грубо говоря, ЦБ РФ 26.01.2022 заключил с DigiCert (Thawt) договор на 1 год и 1 месяц на выдачу и обслуживание сертификата (подтверждение подлинности по OCSP, возможность отзыва по запросу, ...).
Конечно, не хорошо разрывать договор таким образом, но если регуляторы США заставили внести соотвествующие пункты в договор, и заставили выполнить это ритуальное действие, ну, форс-мажор. От Госдепа, увы, и не такое можно ожидать.
Технически верно. Но сколько пропагандистской шелухи...
Рекомендую тред от создателя Реддита https://twitter.com/yishan/status/1348548616076447746. Он знает о проблеме дикарей в обществе, и как с ними бороться, не понаслышке. Если кратко — ничего с системой доверия не случилось, выбросили ненужный опасный мусор и работают дальше.
Ложь из солидарности: как Thawte убила «систему доверия» в Интернете