Pull to refresh

Comments 19

Корпорация Google объявила о том, что ее браузер Chrome в операционных системах Chrome и Android более не будет принимать корневые сертификаты, выданные удостоверяющим центром DarkMatter.

А наших сертификатов там нет и санкции нам не грозят
А вот интересно, что Mozilla и NSS (то бишь IBM) по этому поводу?

А вот интересно, что Mozilla и NSS (то бишь IBM) по этому поводу?

Это из разряда старого мема «Я случайно X»?

А разве Certificate Transparency, вроде бы уже давно активный в хромиум браузерах, не должен давать чёткого ответа на вопрос, выпускает ли CA "левые" сертификаты? Чтобы блокировать CA не по желанию левой пятки, а в связи с имеющимися фактами…

Да статья как всегда замечательно написана. Некие правозащитники предполагающие злоупотребления, СМИ написавшие статьи с обвинениями… Сразу вспоминается ситуация вокруг 5G, когда внезапно осознали что производитель может выпустить прошивку или железо с недокументированными функциями.
Ладно бы говорилось о расследовании и действительно найденных, и официально подтвержденных случаях как о причине блокировки. Почему-то все предпочитают формулировку «угроза», а не «подтвердившиеся факты». Это оставляет массу сомнений в источнике статьи.
Потому что в мире еще существует такое понятие как репутация. Многие отказываются сотрудничать с теми, кто имеет подмоченную репутацию. В какой-то мере отзыв сертификата Гуглом подмачивает репутацию самого Гугла, но, сопоставляя издержки, Гугл решает, что так будет лучше. Его право. Если кто-то после этого обеспокоится, что и его сертификат могут аннулировать — пусть не имеет дел с Гуглом. Тоже его право.

Я не понимаю почему люди возмущаются, когда компания делает что-то не имея твердых фактов на руках — компания ведь тоже несет от этого «убыток»: если большинство посчитает, что она поступила не правильно, — от нее начнут отворачиваться и она будет терять позиции.
> А разве Certificate Transparency, вроде бы уже давно активный в хромиум браузерах, не
> должен давать чёткого ответа на вопрос, выпускает ли CA «левые» сертификаты?

Нет. СТ защищает только от случаев когда недобросовестные клиенты добросовестного СА пытаются получить сертификат для домена, к которому они не имеют отношения. Если же СА само занимается выпуском левых сертификатов по своей инициативе то никакой СТ тут не поможет.

Я вычитал доки по CT довольно давно, но, насколько я помню, если CA в принципе согласился участвовать в CT, то даже если он не будет сам добровольно публиковать некоторые из выпущенных им сертификатов, этот факт автоматически вскроется в тот момент, когда такой сертификат приедет в браузер любого юзера, дальше браузер сольёт этот сертификат серверам CT, и CA не сможет отмазаться потому что — вот подпись CA на сертификате, информацию о котором CA не дал через CT, как должен был.


(А если CA отказывается участвовать в CT, то, как только такие CA останутся в абсолютном меньшинстве, их всех надо будет заблокировать.)

Сертификаты от публично доверенных CA без CT уже не принимаются Хромом: https://chromium.googlesource.com/chromium/src/+/master/net/docs/certificate-transparency.md
"For all new certificates issued after 30 April 2018, Chrome will require that the certificate be disclosed via Certificate Transparency. If a certificate is issued after this date and neither the certificate nor the site supports CT, then these certificates will be rejected as untrusted, and the connection will be blocked.… net::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED"
(запись о принятии в лог — SCTдолжна быть приложена к сертификату — в X.509v3 поле, в опции TLS, либо OCSP Stapling)
Apple требует CT с октября 2018 https://www.venafi.com/blog/apple-joins-google-requiring-certificate-transparency

Когда уже появится децентрализованные сертификаты и вообще веб, не зависящий от Гугла, Амазона, правительства Гондураса и остальных. Понятно, что кто-то будет крупнее, кто-то будет иметь большую рыночную долю, но вовсе не обязательно при этом контролировать то, что ты уже продал. И не надо смешивать мягкое с зеленым: когда с кем-то перестают сотрудничать (и это становится мейнстримом), потому что он замечен в сотрудничестве с кем-то другим, то это имхо уже неправильно.
Так уже есть. Никто не мешает создать собственный удостоверяющий центр.
Или даже выпускать самоподписанные сертификаты.
Но в таком случае даже тех гарантий, которые мы имеем сейчас не будет.
Очевидно зависит от типа сертификата. В случае личных — то что удостоверяющий центр проверил личность, в случае доменных — что какой то контроль над доменом у получившего сертификат имеется.
когда с кем-то перестают сотрудничать (и это становится мейнстримом), потому что он замечен в сотрудничестве с кем-то другим, то это имхо уже неправильно.


А, по-моему, очень даже правильно — вся жизнь на этом построена: если кто-то водится с наркоманами, то вы или говорите ему, чтоб он это прекращал, или сами перестаете с ним водиться.

До тех пор, пока баба Глаша не начнёт говорить, что вы водитесь с наркоманами и все перестают с вами водиться независимо от того, водитесь вы с наркоманами или нет.

Если у бабы Глаши все наркоманы, то на мнение бабы Глаши очень быстро станет плевать.

А если не все? Если баба Глаша видела Сталина из New York Times и зря говорить не станет? Суть в том, что с вами не водятся независимо от правды. Не проверяется ваша фактическая дружба с наркоманами.

Более того, наличие друзей-знакомых среди наркоманов не делает вас автоматически плохим человеком/профессионалом.
Особенно это заметно когда начинают притеснять на основании «внутренних правил» какие-то большие корпорации. Представьте себе, что вас бы принципиально начал банить Гугл (по всем продуктам) из-за того, что у него в правилах написано, что что-то нельзя (неважно что). И уже непринициально что вы что-то сделали не так. Полный отказ от общения и изгнание в древних обществах фактически приравнивался к смерти, а сейчас человека фактически выкидывают из общества из-за его мнения где-то неосторожно высказанного.
Sign up to leave a comment.

Other news