Ветка чуть выше. Про расширение сертификатов. Чтобы корневой центр мог удостоверять только домены которые прописаны в его сертификате. По обычной маске.
Даже новых полей добавлять не надо. Все уже есть, надо просто начать их корректно обрабатывать.
Как я и думал, ничего нового придумать почти невозможно. Все уже было придумано, озвучено и не делается.
Или не будет, там с гарантиями слабенько все. Хочется нормальный RFC и его нормальную поддержку начиная с такой-то версии бла-бла-бла.
Минцифры это бюрократы в конце концов. Им не интересно делать фичи которые документами не обосновываются. Понятно что на них тот же Яндекс имеет влияние, но влиять надо на основе каких-то документов. А не рассуждений что вот тут вроде работает.
Был бы RFC с понятной поддержкой фичи, проблем не было бы. Просто делаем по стандартам. Наш бигтех правильные слова для бюрократов напишет.
Тогда у меня вон та хотелка к Минцифры расширяется. В начале додавить такое расширения, потом давить на внедрение национальных сертификатов. Они логично их него вытекают. Прямо нормальный план из двух последовательных этапов получается.
Это доработка которую в Хроме надо сделать. Она правильная и разумная. И для нее даже не надо менять что-то основополагающее в принципах сертификации. Пишем обычный RFC и реализуем. За год все делается.
Она вообще даст полезную фичу. Можно будет получить обычный *.vasya.com и спокойно самому генерить сертификаты pk1.vasya.com подписанные им. Децентрализация, передача возможностей владельцам имен и вообще одни плюсы.
Вот есть у вас корневой сертификат на *.ru в доверенных. На другие домены он все равно не подействует. Где от него ключ лежит в целом не имеет значения.
С железками сложно все на самом деле. Их надо три минимум, географически разнесенных. Они должны уметь вместе работать. Их надо обслуживать и иногда менять, все ломается. Это внезапно может стать проблемой, опять кто-нибудь объявит что не продаст ибо серьезная криптография и что дальше делать? Параллельно импортировать такую ключевую штуку так себе идея. Выглядит как лишнее усложнение на пустом месте.
CT логи достаточно хороши на самом деле. Они только с виду непонятны и бесполезны. На практике там правильная математика и они на самом деле работают и гарантируют.
Придумать можно много чего. Оно не взлетело и видимо уже не взлетит. Значит не очень.
DNS over TLS (DoT) гораздо более здравая и хорошая технология. Ничего нового не придумано, просто добавлено шифрование. Шифрование тоже стандартное. Вот эту технологию и оставляем. Получается пара аналогичная http+https. Простейший текстовый протокол и поверх слой шифрования.
В каком-то другом мире да. В нашем легко могут выдавать в любых количествах.
EV успешно закопали и теперь живем в проклятом мире который сами создали.
Точно. 10 лет назад пока еще была надежда что оно работает попробовали. Послали. Значит надо делать по другому и всю систему менять, она вся прогнила.
Официальному представителю страны не отказывают в таких вопросах.
Тут
Свой CA и сделали. Национальный, как у других стран. Вроде логичное же решение.
Минцифры не может выдать сертификат Госуслугам который признают валидным все дефолт браузеры. Это факт.
То есть рандомная библиотека или турецкое аэрокосмическое агентство лучше? А можно подетальнее? CT логи есть, что еще нужно?
Оставить как есть. хороших идей что с ними можно лучше сделать я не видел.
Зона первого уровня. Юрисдикция полностью четкая. ДНС передан в страны. Сертификаты надо передать аналогично. Ничего нового или необычного.
Мы тут про дефолты. Дефолты вообще правят миром.
Почему он не попал в доверенные по умолчанию и почему он не может заверить сайт Госуслуг чтобы все браузеры ему доверяли?
Кто сказал? Факты говорят сами за себя. И не надо говорить что он хуже или менее прозрачен чем море нонеймов в доверенных.
Ветка чуть выше. Про расширение сертификатов. Чтобы корневой центр мог удостоверять только домены которые прописаны в его сертификате. По обычной маске.
Даже новых полей добавлять не надо. Все уже есть, надо просто начать их корректно обрабатывать.
А почему тогда Минцифры не может? Стрелочка поворачивается?
Порочен механизм корневых центров.
Почему почта Гонконга может выпустить сертификат для Госуслуг, Минцифры не может? Сертификат которому будут доверять все браузеры по умолчанию.
А для этого нужно решение ВС. Чтобы любой суд следовал ему, а не писал глупости.
Это другое, понимать надо.
Как я и думал, ничего нового придумать почти невозможно. Все уже было придумано, озвучено и не делается.
Или не будет, там с гарантиями слабенько все. Хочется нормальный RFC и его нормальную поддержку начиная с такой-то версии бла-бла-бла.
Минцифры это бюрократы в конце концов. Им не интересно делать фичи которые документами не обосновываются. Понятно что на них тот же Яндекс имеет влияние, но влиять надо на основе каких-то документов. А не рассуждений что вот тут вроде работает.
Был бы RFC с понятной поддержкой фичи, проблем не было бы. Просто делаем по стандартам. Наш бигтех правильные слова для бюрократов напишет.
Тогда у меня вон та хотелка к Минцифры расширяется. В начале додавить такое расширения, потом давить на внедрение национальных сертификатов. Они логично их него вытекают. Прямо нормальный план из двух последовательных этапов получается.
Это доработка которую в Хроме надо сделать. Она правильная и разумная. И для нее даже не надо менять что-то основополагающее в принципах сертификации. Пишем обычный RFC и реализуем. За год все делается.
Она вообще даст полезную фичу. Можно будет получить обычный *.vasya.com и спокойно самому генерить сертификаты pk1.vasya.com подписанные им. Децентрализация, передача возможностей владельцам имен и вообще одни плюсы.
А что это даст?
Вот есть у вас корневой сертификат на *.ru в доверенных. На другие домены он все равно не подействует. Где от него ключ лежит в целом не имеет значения.
С железками сложно все на самом деле. Их надо три минимум, географически разнесенных. Они должны уметь вместе работать. Их надо обслуживать и иногда менять, все ломается. Это внезапно может стать проблемой, опять кто-нибудь объявит что не продаст ибо серьезная криптография и что дальше делать? Параллельно импортировать такую ключевую штуку так себе идея. Выглядит как лишнее усложнение на пустом месте.
CT логи достаточно хороши на самом деле. Они только с виду непонятны и бесполезны. На практике там правильная математика и они на самом деле работают и гарантируют.
Это прерогатива основного ВС, а не регионального. Дело больно знаковое и социально значимое. Его решения еще ждем.
Хочется верить что региональный заранее посоветовался у большого и их решения совпадут.
Так можно выкинуть все лишние звенья. Просто сделать корневой сертификат на *.ru и вперед. Все остальное не нужно и ничего не дает.
Придумать можно много чего. Оно не взлетело и видимо уже не взлетит. Значит не очень.
DNS over TLS (DoT) гораздо более здравая и хорошая технология. Ничего нового не придумано, просто добавлено шифрование. Шифрование тоже стандартное. Вот эту технологию и оставляем. Получается пара аналогичная http+https. Простейший текстовый протокол и поверх слой шифрования.
Такие железки работают строго оффлайн. Ну купил, ну показал. Дальше все равно генеришь что хочешь.
Внешней валидации у них бай дизайн нет. И ее нельзя делать. Могут отключить так же как сертификаты блокировали.
А вот это хорошая идея. Поддерживаю.