"… для этого требуется обратиться к OCSP/TSP-службе ГУЦ, которая ответит – действующий сертификат или же срок действия истек или сертификат отозван."
Зачем вы TSP приписываете? Эта служба подтверждает, что хэш существовал именно в указанный момент времени. А про то, что срок действия сертификата истек не нужно спрашивать ни у какой службы.
О чем и речь — там подан запрос на добавление сертификата Корневого Удостоверяющего Центра (КУЦ). По ссылкам, да и тут на хабре, люди путают несвязанные между собой — УЦ Qaznet trust network (сертификат, которого уже выкладывался на сайте билайна, но потом был убран) и КУЦ (который, честно пытается пройти сертификацию WebTrust). В случае чего, КУЦ просто получит «банан». А ему это не нужно. Вдогонку теперь путаницу внесли, указав ссылку на сертификат УЦ «Гаммы».
Я так понимаю, у самих операторов еще нет четкого представления и инструкций — кто поставляет сертификат. Официальных новостей еще нет. На сайте билайна ссылку на сертификат убрали. А ранее можно было скачать по ней сертификат Qaznet Trust Network. Предполагаю, Гамма тоже не в курсе того, что их сертификат вывесили на сайте телекома.
Думал я один такой. Раз пять подряд перечитал цитаты.
Но в общем суть: «Подмена сертификатов для всех неказахстанских ресурсов будет, эти сертификаты „ничем“ не отличаются от тех же банковских (привел в пример https://homebank.kz), во всем мире это норма!».
Ну-ну, успокоили…
Тут смотрите еще ирония в чем. Захочет человек, который по роду деятельности занимается PKI посмотреть как у людей строятся сертификаты (структура, оиды), а будет видеть родимый сертификат «великого казахского фаервола».
да без проблем. собрали же в Узбекистане для налогоплательщиков для работы с их BouncyCastle на основе Chromium 39. И назовут его у нас «Интернет», который заменит майлрушный «Интернет»
При попытке посмотреть данные о сертификате https-соединения крашится браузер (Windows 8.1 x64.). Уже не помню с какой версии. OSX Yosemite — всё нормально. Или это только у меня?
Да, кстати, вчера тоже убеждали, что в хроме уже есть api. Пришлось наглядно показывать, что это все не будет работать на обычной странице. Благо готовый пример у них есть.
Но насколько я понимаю, даже у приложений есть проблемы с токенами. Вероятно из-за CCID. Поскольку приложение смогло отобразить токен в списке подключенных USB-устройств, а дальше уже не знает что с ним делать.
Кстати, там же есть предостережение насчет USB API.
Not all devices can be accessed through the USB API. In general, devices are not accessible because either the Operating System's kernel or a native driver holds them off from user space code…
Зачем вы TSP приписываете? Эта служба подтверждает, что хэш существовал именно в указанный момент времени. А про то, что срок действия сертификата истек не нужно спрашивать ни у какой службы.
Но в общем суть: «Подмена сертификатов для всех неказахстанских ресурсов будет, эти сертификаты „ничем“ не отличаются от тех же банковских (привел в пример https://homebank.kz), во всем мире это норма!».
Ну-ну, успокоили…
Ну захотят — все подменят. Что скрывать гражданину от государства на своей же территории, если он и зарубежом ничего не скрывает?
Но насколько я понимаю, даже у приложений есть проблемы с токенами. Вероятно из-за CCID. Поскольку приложение смогло отобразить токен в списке подключенных USB-устройств, а дальше уже не знает что с ним делать.
Кстати, там же есть предостережение насчет USB API.