Самая обычная. Вам могут не дать, а могут выданный аннулировать. Потому что так сказали из Белого дома.
Почему подсанкционные банки до сих пор не с сертификатами от Минцифры? (я серьёзно)
Вон, у Россельхозбанка (под санкциями) - вообще Globalsign-овский. У Сбера - какой-то греческий У Альфа-банка - какой-то японский (хм, ок, тут интересно).
"Отобрали по указке Белого дома".... как так-то, господин Соврамши?
Я бы сказал что поняли что наделали и испугались развала интернета на части прямо сейчас. С утратой того контроля который есть. Опыт Визы уже есть и что будет понятно.
Какой опыт визы? Что русские массово заводят карты visa через банки соседних стран? Ну да, отлично получилось. Почему-то МИР не очень-то хотят принимать другие.
Свою ОС с нескучными обоями я могу собрать за выходные. Но зачем?
Ну как минимум для того, чтобы определять политику доверия и контролировать те компоненты, которые вы неё включаете. (и отвечать за них). Что, забыли уже времена хотя бы старого alt-linux времён нулевых, который очень серьёзно патчили для поддержки русского языка. И его имело смысл ставить. Но это же работать надо. Но опять же иллюстрируете своё принципиальное непонимание ситуации. PS. Как там Аврора поживает? Она не с "нескучными обоями", это своя разработка на базе sailfish.
Они и сейчас им не пользуются. Пара гиков никому не интересны.
Я не про это. Я про то, что:
В том, что вы предлагаете - вы предлагает привязать конкретные CA к конкретным национальным доменам.
Это означает, что для того, чтобы получить доверенный сертификат в .ru зоне - придётся идти на поклон к конкретному, например минцифры, а не брать любую CA, которая удобная. Хоть тот же LetsEncrypt. Это неудобно.
Только упсики, вон РФ в своё время сломала DNSSEC в умеренно недавнем инциденте в .ru-зоне и настаивала, что митигация - это отключить его проверку. Не прокатило. (Отключенный DNSSEC позволяет манипулировать любыми DNS записями и произвольно их подменять).
То есть три американские корпорации, подчиняющиеся американским законам, решают какая страна может построить базовую инфраструктуру (банки, магазины Госуслуги и всё такое), а какая не может. Хм, что же может пойти не так?
Во-первых в разы больше. (не 3).
Ну конечно это лучше, чем если каждая страна начнёт разваливать интернет в своих интересах.
Странно ещё, что IANA никто не оспаривает - "а что это нам так мало IPv4 выделили?".
Абсолютно. Mozilla я привёл как пример. (И кстати - набор от Mozilla используется во всех Debian-производных, например).
Google, Microsoft, Apple. (как большая тройка по операционным системам + браузерам). RedHat/Debian/Canonical/etc - как представителей серверной стороны.
В данном случае те, кто занимается включением CA в доверенные. (производители браузеров и операционных систем). Критерий, как минимум у Mozilla - "максимальная безопасность пользователей".
Вы себе неверно представляете процессы. Когда страна приходит в подобное сообщество официальным представительством ее просто принимают.
Мммм, как интересно. Нет, это так не работает.
Пример как все должно работать это DNS. Никто ничего не рассматривает. Национальная зона просто выдается без вопросов. И каждая страна делает с ней что хочет. И с этим ни у кого нет никаких проблем, все просто работает как и должно.
Вы разницу между DNS и CA не понимаете?
В случае DNS страна в пределах своей зоны может творить что угодно, и средний человек не идущий на эти домены не замечает вообще ничего. (Хотя нет, сейчас сюда ещё DNSSEC приложился, там правильно делать надо).
В случае с CA - отсутствие доверия к CA влияет на весь мир и домены всех стран. И нет, монополия на выдачу сертификатов в конкретной стране у одной/нескольких CA - это полное говно. Потому что приведёт и к полному контролю над трафиком в этой стране и к повышению цен (как например случилось с доменами в .ru-зоне).
А ещё - вы не понимаете - как устроен интернет в принципе.
Официальному представителю страны не отказывают в таких вопросах.
В смысле не отказывают - вам указывают процесс для добавления. Вы его проваливаете (по тем или иным причинам). Вас не добавляют. Может вам и правки в код от "официальных представителей страны" вносить без отказа?
И не надо говорить что он хуже или менее прозрачен чем море нонеймов в доверенных.
У "ноунеймов" есть политики прозрачности и выдачи сертификатов, с которыми у минцифры плохо. Насколько я помню - они провалили именно эту проверку на включение в мозиллу как минимум.
Только вместо взаимной валидации двух абонентов напрямую, отдали это дело на аутсорс CA, который (мамой клянусь, что я честный нотариус!) за символическую плату удостоверяет своей печатью, что вооон тот гражданин купил вот этого слона именно в нашем магазине, покупайте наших слонов!
Как вы предлагаете массово взаимно валидировать сертификаты и главное - массово избегать MiTM? CA делает это через доверие конкретным CA подписавшим ваш приватный ключ. А в случае аналогичном PGP - надо обменяться ключами. в доверенном виде и проверить степень доверия, что в идеале делается лично. (Да есть keyserver-ы. Но - у вас нет никакой гарантии, что публичный ключ там тот, который нужен, а не залитый злоумышленником. Собственно это и причина почему PGP за исключением отдельных случаев не взлетела.
Это у вас просто каша в голове.
Какая каша в голове? До ssl в трафик могли лезть все кому не лень и кому позволяли ресурсы. Так понятно? Массово не лезли пока интернет был прибежищем технарей и это не очень укладывалось в этику. Ну и для того, чтобы лезть на магистралях требовались слишком большие ресурсы. А собирать на локальных сетках - милое дело.
Кстати - откуда ваши тезисы про 90-е? Я их не упоминал. Но уже к нулевым - ресурсы подтянулись до возможности влезать в трафик в реальном времени. А дальше, с развитием javascript в интернете уже начинаются вопросы - а чей код я выполняю у себя в браузере (в отличие от java applet-ов - он не подписанный).
PS. Что вы предлагаете-то? И как оно должно масштабироваться?
Это единственный на данный момент механизм, который работает массово.
В противном случае - вы не можете валидировать корректность сертификатов. (Да, можно реализовывать это через dns + dnssec и раздачу ключей через запись там. но это по сути перекладывает доверие на dns).
Проблема в том, что DNSSEC не внедрён повсеместно.
Но я с удовольствием посмотрю на альтернативы, которые вы предложите.
Почему почта Гонконга может выпустить сертификат для Госуслуг, Минцифры не может? Сертификат которому будут доверять все браузеры по умолчанию.
Может. И если будет поймана - потеряет доверие в браузерах. WoSign уже потерял. Поэтому - не будет.
Минцифры не может
Проблема любой PKI инфраструктуры - доверие. Оснований доверять Минцифры - нет. (непрозрачные процессы, декларация о намерениях от государства - дешифровать любой трафик и много чего ещё).
Спасибо. Этот кейс интересный и я его упустил. Там ситуация, усугублялась тем, что CA признали косяки и отозвали сертификаты, насколько я понял. (Ну и не понятно - было ли вообще что-то выпущено для использования в публичном интернете, чего не должно было быть выпущено). Поэтому собственно мнение и поделилось на то, что делать.
У той что упоминал я - они провалили прозрачность (продажа китайцам - WoSign - и не сообщили об этом) и были пойманы на выдаче левых сертификатов (на github.com, например). И там решение было "удалять".
Почему подсанкционные банки до сих пор не с сертификатами от Минцифры? (я серьёзно)
Вон, у Россельхозбанка (под санкциями) - вообще Globalsign-овский.
У Сбера - какой-то греческий
У Альфа-банка - какой-то японский (хм, ок, тут интересно).
"Отобрали по указке Белого дома".... как так-то, господин Соврамши?
А я - вашу. За сим предлагаю этот бесперспективный спор прекратить. На ключевые вопросы про выбор пользователя вы так и не ответили.
Какой опыт визы? Что русские массово заводят карты visa через банки соседних стран? Ну да, отлично получилось. Почему-то МИР не очень-то хотят принимать другие.
Хм, я могу получить сертификат в любой доступной CA по деньгам. Или у letsencrypt. Бесплатно.
Какая децентрализация не заработала?
То есть в ситуации не ориентируетесь и тянете сову на глобус.
Мммм, а как так получилось, что сбербанк до сих пор с сертификатом? Указка не работает?
Я вам уже объяснил как правильно децентрализовать. DNSSEC, CAA записи. + поддержка DANE в софте.
Это ужасное решение, которое в разы хуже.
И опять вы показываете незнание ситуации. https://en.wikipedia.org/wiki/IPv4_address_exhaustion
Ну как минимум для того, чтобы определять политику доверия и контролировать те компоненты, которые вы неё включаете. (и отвечать за них). Что, забыли уже времена хотя бы старого alt-linux времён нулевых, который очень серьёзно патчили для поддержки русского языка. И его имело смысл ставить. Но это же работать надо.
Но опять же иллюстрируете своё принципиальное непонимание ситуации.
PS. Как там Аврора поживает? Она не с "нескучными обоями", это своя разработка на базе sailfish.
Я не про это. Я про то, что:
В том, что вы предлагаете - вы предлагает привязать конкретные CA к конкретным национальным доменам.
Это означает, что для того, чтобы получить доверенный сертификат в .ru зоне - придётся идти на поклон к конкретному, например минцифры, а не брать любую CA, которая удобная. Хоть тот же LetsEncrypt.
Это неудобно.
Откройте уже для себя CAA записи в DNS и займитесь починкой системы.
И публикацию ключей сертификатов в DNS-же ( https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities ) - вот это - реальная починка системы. (Вместе с повсеместным внедрением DNSSEC).
Только упсики, вон РФ в своё время сломала DNSSEC в умеренно недавнем инциденте в .ru-зоне и настаивала, что митигация - это отключить его проверку. Не прокатило. (Отключенный DNSSEC позволяет манипулировать любыми DNS записями и произвольно их подменять).
Во-первых в разы больше. (не 3).
Ну конечно это лучше, чем если каждая страна начнёт разваливать интернет в своих интересах.
Странно ещё, что IANA никто не оспаривает - "а что это нам так мало IPv4 выделили?".
PS. У вас есть своя ОС? Нету? А почему?
То есть вы хотите лишить выбора пользователей с тем - от кого получать сертификаты?
Абсолютно. Mozilla я привёл как пример. (И кстати - набор от Mozilla используется во всех Debian-производных, например).
Google, Microsoft, Apple. (как большая тройка по операционным системам + браузерам).
RedHat/Debian/Canonical/etc - как представителей серверной стороны.
Что не нравится?
В данном случае те, кто занимается включением CA в доверенные. (производители браузеров и операционных систем). Критерий, как минимум у Mozilla - "максимальная безопасность пользователей".
Мммм, как интересно. Нет, это так не работает.
Вы разницу между DNS и CA не понимаете?
В случае DNS страна в пределах своей зоны может творить что угодно, и средний человек не идущий на эти домены не замечает вообще ничего. (Хотя нет, сейчас сюда ещё DNSSEC приложился, там правильно делать надо).
В случае с CA - отсутствие доверия к CA влияет на весь мир и домены всех стран. И нет, монополия на выдачу сертификатов в конкретной стране у одной/нескольких CA - это полное говно. Потому что приведёт и к полному контролю над трафиком в этой стране и к повышению цен (как например случилось с доменами в .ru-зоне).
А ещё - вы не понимаете - как устроен интернет в принципе.
Послали, потому что тогда русская сторона послала с прозрачностью совсем. Не с теми целями делали CA, совсем не с теми.
В смысле не отказывают - вам указывают процесс для добавления. Вы его проваливаете (по тем или иным причинам). Вас не добавляют. Может вам и правки в код от "официальных представителей страны" вносить без отказа?
И что, он магией должен появиться в доверенных? Вы точно IT-специалист?
Этого мало. Надо как минимум следовать процессу попадания туда:
https://wiki.mozilla.org/CA/Application_Process
А ещё удовлетворить требования аудита: https://www.mozilla.org/en-US/about/governance/policies/security-group/certs/policy/ (security policy).
Там ещё есть. Заявку у mozilla я найти не могу, так что скорее всего даже не подавались.
Что Минцифры сделал для того, чтобы попасть в браузеры? Это инициатива CA.
То есть принципиально вы ничего не меняете. Но "наивные гики". А я-то думал вы web of trust вспомните и прочие штуки.... но нет.
Какие?
У "ноунеймов" есть политики прозрачности и выдачи сертификатов, с которыми у минцифры плохо. Насколько я помню - они провалили именно эту проверку на включение в мозиллу как минимум.
Как вы предлагаете массово взаимно валидировать сертификаты и главное - массово избегать MiTM?
CA делает это через доверие конкретным CA подписавшим ваш приватный ключ. А в случае аналогичном PGP - надо обменяться ключами. в доверенном виде и проверить степень доверия, что в идеале делается лично. (Да есть keyserver-ы. Но - у вас нет никакой гарантии, что публичный ключ там тот, который нужен, а не залитый злоумышленником.
Собственно это и причина почему PGP за исключением отдельных случаев не взлетела.
Какая каша в голове? До ssl в трафик могли лезть все кому не лень и кому позволяли ресурсы. Так понятно? Массово не лезли пока интернет был прибежищем технарей и это не очень укладывалось в этику. Ну и для того, чтобы лезть на магистралях требовались слишком большие ресурсы. А собирать на локальных сетках - милое дело.
Кстати - откуда ваши тезисы про 90-е? Я их не упоминал. Но уже к нулевым - ресурсы подтянулись до возможности влезать в трафик в реальном времени. А дальше, с развитием javascript в интернете уже начинаются вопросы - а чей код я выполняю у себя в браузере (в отличие от java applet-ов - он не подписанный).
PS. Что вы предлагаете-то? И как оно должно масштабироваться?
Это единственный на данный момент механизм, который работает массово.
В противном случае - вы не можете валидировать корректность сертификатов. (Да, можно реализовывать это через dns + dnssec и раздачу ключей через запись там. но это по сути перекладывает доверие на dns).
Проблема в том, что DNSSEC не внедрён повсеместно.
Но я с удовольствием посмотрю на альтернативы, которые вы предложите.
Может. И если будет поймана - потеряет доверие в браузерах. WoSign уже потерял. Поэтому - не будет.
Проблема любой PKI инфраструктуры - доверие. Оснований доверять Минцифры - нет. (непрозрачные процессы, декларация о намерениях от государства - дешифровать любой трафик и много чего ещё).
Спасибо. Этот кейс интересный и я его упустил. Там ситуация, усугублялась тем, что CA признали косяки и отозвали сертификаты, насколько я понял. (Ну и не понятно - было ли вообще что-то выпущено для использования в публичном интернете, чего не должно было быть выпущено).
Поэтому собственно мнение и поделилось на то, что делать.
У той что упоминал я - они провалили прозрачность (продажа китайцам - WoSign - и не сообщили об этом) и были пойманы на выдаче левых сертификатов (на github.com, например). И там решение было "удалять".