denis-19 May 23 2022 at 13:13

Национальный удостоверяющий центр начал выпуск TLS-сертификатов с поддержкой прозрачности

2 min

11K

IT-companiesInformation Security*Website development*

Comments 20

pewpew May 23 2022 at 13:25

Сертификаты по данной технологии поддерживают российские браузеры «Атом» и «Яндекс.Браузер».

То есть это сертификаты специально для Чебурнета? Тогда почему выбрали TLS? Можно же было придумать свой национальный стандарт. Да и HTTP протокол чем-нибудь своим заменить.

Volkodlak May 23 2022 at 14:14

Можно пойти дальше: просто png "замочек" вешать на сайт, а трафик гонять по http чтобы товарищу майору не заморачиваться, чего бояться в своем скрепном суверенном чебурнете?

Darlock_Ahe May 23 2022 at 14:18

Не всё сразу, так можно сильно больше бюджета освоить.

ZetaTetra May 23 2022 at 14:58

Под TLS проще поднять свой CA, а изобретать велосипед - долго (и дорого, но уже неважно).

На винде, вон, визард из 18 шагов с кнопочками:

https://docs.microsoft.com/en-us/windows-server/networking/core-network-guide/cncg/server-certs/install-the-certification-authority

Batkovi4 May 23 2022 at 13:34

все сертификаты, выпускаемые Национальным удостоверяющим центром, записываются в три независимых журнала (лога), из которых нельзя удалить сведения после записи из-за использования специализированных криптографических методов.

Из реестра недвижимости тоже нельзя удалить? И электронное голосование у нас не подделывают? Ни где нельзя ни чего изменить, но если очень хочется - то можно /s

alex1478 May 23 2022 at 13:48

Ну вот удалили из лога информацию о выдаче сертификата для домена. Заходит человек через, поддерживающий валидацию выдачи сертификатов, браузер, а ему "ой, соединение не безопасно". И что дальше?

Wexter May 23 2022 at 14:04

В том то и проблема что никто не мешает его добавить, почитать интересующий трафик и потереть запись. А потом сказать ну вот же список, никто ничего не выдавал, и мы трафик не читали

ky0 May 23 2022 at 13:48

Тут скорее вероятность, что некоторые сертификаты попросту не внесут в журнал.

Доверие к CT не может быть выше, чем к самому УЦ — а в данном случае с этим есть некоторые проблемы…

achekalin May 23 2022 at 14:13

Еще бы хоть какие-то движения сделали в сторону принятия этих сертов без принудительного впихивания "своего" корневого - вот бы было дело. Другое дело, что добавление certificate transparency может означать, что авторам не все равно, и они постараются и для "обычных" браузеров выпускать серты, не требующие принудительного добавления корневых.

И ремарка - тяжело читать, в общем-то, простую новости, когда в ней два абзаца по сути об одном:

... Кроме обеспечения выдачи самих сертификатов, мы дополнительно публикуем их в три независимых лога – ...
Он добавил, что реализация технологии certificate transparency основана на том, что все сертификаты ... записываются в три независимых журнала (лога), ...

Чем первый из приведенных абзац менее информативен, и почему бы их не слить?

P.S. Понимаю, что "из одного абзаца сделать два" - это путь к маслу на хлебе, но почему не уважать читателей?

D0001 May 23 2022 at 15:20

Сертификаты так устроены, что корневой сертификат требуется. То, что не надо устанавливать корневой для LE и других, это не свойство сертификата, а то, что этот сертификат добавляют сразу производители браузеров и ОС.

ifap May 23 2022 at 16:12

И что же это за три лога CT, имя, сестра, имя! Или это гостайна? ;)

TomskDiver May 24 2022 at 10:13

Яндекс, VK и Минцифры - https://browser-resources.s3.yandex.net/ctlog/ctlog.json

ifap May 24 2022 at 11:16

Спасибо, а где-то это официально объявлено?

TomskDiver May 24 2022 at 15:26

Ну Яндекс официально заявил. См. тут: https://habr.com/ru/company/yandex/blog/667300/ Насчет каких то указов, постановлений и законов ничего не знаю, т.к. не интересовался.

ifap May 24 2022 at 15:42

Я имел в виду объявление с другой стороны - самого т.н. НУЦ. Т.е. чисто теоретически можно заявить, что Яндекс там сам что-то сварганил, сам себя записал в ведущие лога, а мы-то имели в виду совсем другие логи. Откуда-то Вы же взяли названия этой троицы... может, видели уже сертификат со ссылкой на их логи?

Xardas2000 May 24 2022 at 18:19

Вот ссылка на новость НУЦ - https://www.voskhod.ru/news/sertifikaty-bezopasnosti-dlya-rossiyskikh-saytov-nachali-ispolzovat-tekhnologiyu-prozrachnosti/

Вот ссылка на новость VK - https://zen.yandex.ru/media/id/60b5f4088330b14237d068e5/vydacha-sertifikatov-bezopasnosti-dlia-rossiiskih-saitov-stala-esce-bolee-prozrachnoi-628cd9e5dea40b482e9c15c7

Да и сами логи в статье на хабре Яндекса были.

ifap May 24 2022 at 18:30

У НУЦ только это:

три независимых лога – один государственный и два частных

чьи именно это логи - ни слова. Мне интересно указание на имена конкретных логодержателей от... того, кто выписывает эти сертификаты. А то показания уже расходятся: "Восход" ~~врет~~ заявляет, что НУЦ вовсю работает, Минцифры - что он только будет создан, правительство - рассматривает законопроект о создании НУЦ...

Qwentor May 24 2022 at 01:43

Прозрачности для кого? ФСБ?

Volkodlak May 24 2022 at 23:06

Пока всё это выглядит как запасной аэродром, если у кого-то дрогнет рука и дернут не тот рубильник...

На скорую руку почистил csv'шку от всякого "хлама", оставив domain.tld и дернул Certificate.IssuerName ..из около 1200 уникальных (без всяких wildcard, 3,4 уровень и тех кто в принципе не отдает 200 или 301) только 10% ответили "C=RU, O=The Ministry of Digital Development and Communications, CN=Russian Trusted Sub CA"

Siv62 May 25 2022 at 07:30

Ну хоть что-то, а то у нас такие партнеры, что и врагов не надо.