Вы вообще никак не показали необоснованность опасений, чтобы делать такой вывод.
Я и не делал такой вывод. Наоборот! Я считаю что никакой публичный CA не может выступать гарантом подлинности. Это вам так просто кажется, что если браузер из репозитория вашей ОС показывает что сайт защищен, то так оно и есть.
Я показал, что с технической стороны разницы нет никакой. Вы же пишете в самом начале: "Вы что-то путаете: речи о технической стороне не было, весь вопрос как раз в доверии к CA: к подконтрольному российским властям CA доверия не может быть по определению."
А к какому СА у вас есть доверие? Американские УЖЕ навыдавали кучу левых сертов. Это раз. И что вам дает цепочка от СА? Почему вам спокойнее живется то? Откуда эта иллюзия, что "сайт тот, о котором написано в сертификате"? Это два.
Вы меня простите, но я получал EV сертификаты от уважаемых CA. И кроме зелененького значка в броузере, ничего они не удостоверяют - процедура верификации юрлица просто формальная. Вы и сами можете это проверить.
Совершенно верно! На этапе установки соединения происходит обмен ключами, и ключ сервера мы можем проверить у "доверенного" СА (который кто-то положил нам в дистрибутив). И после установки соединения, шифрование становистся симметричным, т.е. защищенным. Но вот с КЕМ мы установили соединение - гарантии нет никакой.
А как делают все? И почему самый известный CA COMODO вынужден был сменить торговую марку?
Проблема в доверии, а не дистрибуции СА. Думаете, если российский сертификат добавят в FireFox все сразу начнут ему доверять? Современные PKI не прозрачные: я не могу проверить кто из доверенных CA (кстати, что это такое: доверенные CA?) выдал сертификат для моего домена.
Я ничего подобного не предлагал. Не нужно передергивать. Я изучил предметную часть, оценил для себя риски и принял адекватные компенсацонные меры. Вы же вправе поступить как считаете нужным - хоть перехать в цивилизованную страну, где никаких MTM быть не может. Например в Австралию, где вас за такие методы противодействия контролю могут просто в тюрьму посадить.
Отвечу последний раз и всем сразу на это хороший вопрос. Давайте рассмотрим варианты. Итак, мы не стали импортировать CA, а просто добавили нужный нам серт Сбера в доверенные. В этом случае "возможность расшифровывать трафик пользователя" возможна только в случае компроментации этого сертификата его владельцем. И не важно кем он подписан - хоть Thawte или Google. Т.е. дополнительных рисков тут не возникает.
Второй случай - Вы добавили новый СА. В этом случае, при выпуске этим CA фейкового сертификата, ваш браузер просто не заметит подмены и MTM-attack возможна. Но, опять же, это не проблема CA. Это может быть с любым, самым крутым СА (Иранцы не дадут соврать). Это вопрос не технический, а вопрос доверия. Доверия к СА нет - т.к. они не прозрачные. К властям - соответственно.
Так что сам по себе новый СА не ухудшает ситуацию, может даже улучшает - в случае, если иностранные СА отзовут выданные сертификаты (что уже бывало, т.е. не пустые фантазии) сайты могут продожить работу с сертификатов выданным российским СА (а его - нет, т.к. нет НПА, регламентирующих его деятельность). Кстати, уже много лет есть возможность добавить к web-серверу 2 и более сертификатов, при установлении соединения клиент выберет тот, что его устраивает (LE или российский, например). Почему все госорганы не сделали так по умолчанию? Вероятно по той же причине - тотальная неквалификация.
А вот о недостатках современных PKI говорить стоит. Современные технологии способны обеспечить их прозрачность (то же блокчейн) - кто, кому и когда выдал какой сертификат. Но вот парадокс - кому это нужно, они только с дивана писать могут даже разобраться как работает PKI не могут . А тот, к то может это реализовать - совершенно в этом не заинтересован.
Резюме: 1. Я считаю национальный СА нужен (как и национальный DNS, например). Но должен быть как технически грамотно реализован, так и оформлен надлежащим обрахом в правовом поле. 2. Доверие - это прекрасно. Но если вы озабочены своей безопасностью, как минимум! нужно знать что такое HTTPS и от чего он может защитить. А от чего не может. 3. Следствие из предыдущего п.: не нужно поддаваться хайповым заголовкам про Северные Кореи, а на основании полученных знаний трезво оценивать свои риски и принимать соответствующие меры.
Мы обсуждаем ситуацию, при которой пользователей пытаются лишить выбора, какие сертификаты им добавлять в их хранилища СА, и то, что пользователи при этом во многом утратят контроль над своими ОС.
Где это вы обсуждаете такую ситуацию? Мы выше обсуждали, что никто никого не заставляет: добавьте Сбер в доверенные и не трогайте CA. Или добавльте CA. ИЛи и не пользоваться Сбером вообще. Это ваш выбор.
Опять передергиваете.
А пользователи уже давно утратили контроль над своими не только ОС, но и PC.
Ваши страхи от лени и безграмотности. Если бы вы прочли про СОРМ, то вы бы знали, как минимум, что СОРМ - это СИСТЕМА оперативно-розыскных мероприятий. Mероприятий! И техническое их оснащение - это лишь малая часть. Основная - регулятивная и оперативная. Я, к сожалению, не могу рассказать, как съемник СОРМ работает, но поверьте - выглядит очень внушительно. Я был поражен, когда увидел своими глазами при приемке. Поэтому мне и смешно слышать про стоны за дополнительный CA.
Ну приехали: в кучу коней и людей навалил. Обсуждали CA, а перекинулись на Беларусию. Конструктивно, конечно. Только вы еще забыли про нож в кухонном отделе магазина, который "рано или поздно .. будет использован против неудобного гражданина". И эти люди борятся с тоталиторизмом..
Бизнес риски я, так же как и вы, предлагаю оставить компаниям. И не кряхтеть по поводу решения Сбера. Это их дело. Это раз. Как пользователь, я уже 15 лет сижу на ОС, которая полностью мной контролируется. И я сам отпределяю какие сертификаты мне добавлять в хранилища CA или репозиториев. Это два.
Так что, по существу, у нас с вами никаких расхождений во взглядах на обсуждаемую проблему нет.
Я и не делал такой вывод. Наоборот! Я считаю что никакой публичный CA не может выступать гарантом подлинности.
Это вам так просто кажется, что если браузер из репозитория вашей ОС показывает что сайт защищен, то так оно и есть.
Я показал, что с технической стороны разницы нет никакой.
Вы же пишете в самом начале: "Вы что-то путаете: речи о технической стороне не было, весь вопрос как раз в доверии к CA: к подконтрольному российским властям CA доверия не может быть по определению."
А к какому СА у вас есть доверие? Американские УЖЕ навыдавали кучу левых сертов. Это раз.
И что вам дает цепочка от СА? Почему вам спокойнее живется то? Откуда эта иллюзия, что "сайт тот, о котором написано в сертификате"?
Это два.
Как вы читаете? Все мне пытаются объяснить что я хотел сказать!
Я хотел сказать, то что написал. Не нужно фантазировать.
Вы меня простите, но я получал EV сертификаты от уважаемых CA. И кроме зелененького значка в броузере, ничего они не удостоверяют - процедура верификации юрлица просто формальная.
Вы и сами можете это проверить.
Совершенно верно!
На этапе установки соединения происходит обмен ключами, и ключ сервера мы можем проверить у "доверенного" СА (который кто-то положил нам в дистрибутив).
И после установки соединения, шифрование становистся симметричным, т.е. защищенным. Но вот с КЕМ мы установили соединение - гарантии нет никакой.
Я не хочу этого сказать. Это ваши фантазии. Не нужно передергивать.
Давайте лучше про PKI подискутируем. Тут фантазиями не отделаетесь. Думать нужно.
А как делают все?
И почему самый известный CA COMODO вынужден был сменить торговую марку?
Проблема в доверии, а не дистрибуции СА. Думаете, если российский сертификат добавят в FireFox все сразу начнут ему доверять? Современные PKI не прозрачные: я не могу проверить кто из доверенных CA (кстати, что это такое: доверенные CA?) выдал сертификат для моего домена.
Просто аплодирую!
Все опасаются товарища майора, но никто не думает, что при помощи одного утекшего СА можно
Ну, у них же лапки.. Это много читать и думать нужно.
Опять же яблочников вы просто вычеркнули 8)
Я ничего подобного не предлагал. Не нужно передергивать.
Я изучил предметную часть, оценил для себя риски и принял адекватные компенсацонные меры.
Вы же вправе поступить как считаете нужным - хоть перехать в цивилизованную страну, где никаких MTM быть не может.
Например в Австралию, где вас за такие методы противодействия контролю могут просто в тюрьму посадить.
Ответил ниже.
Странно, что Сбер просто не добавил несколько сертов.
Отвечу последний раз и всем сразу на это хороший вопрос.
Давайте рассмотрим варианты.
Итак, мы не стали импортировать CA, а просто добавили нужный нам серт Сбера в доверенные.
В этом случае "возможность расшифровывать трафик пользователя" возможна только в случае компроментации этого сертификата его владельцем. И не важно кем он подписан - хоть Thawte или Google. Т.е. дополнительных рисков тут не возникает.
Второй случай - Вы добавили новый СА. В этом случае, при выпуске этим CA фейкового сертификата, ваш браузер просто не заметит подмены и MTM-attack возможна. Но, опять же, это не проблема CA. Это может быть с любым, самым крутым СА (Иранцы не дадут соврать). Это вопрос не технический, а вопрос доверия. Доверия к СА нет - т.к. они не прозрачные. К властям - соответственно.
Так что сам по себе новый СА не ухудшает ситуацию, может даже улучшает - в случае, если иностранные СА отзовут выданные сертификаты (что уже бывало, т.е. не пустые фантазии) сайты могут продожить работу с сертификатов выданным российским СА (а его - нет, т.к. нет НПА, регламентирующих его деятельность). Кстати, уже много лет есть возможность добавить к web-серверу 2 и более сертификатов, при установлении соединения клиент выберет тот, что его устраивает (LE или российский, например). Почему все госорганы не сделали так по умолчанию? Вероятно по той же причине - тотальная неквалификация.
А вот о недостатках современных PKI говорить стоит. Современные технологии способны обеспечить их прозрачность (то же блокчейн) - кто, кому и когда выдал какой сертификат. Но вот парадокс - кому это нужно, они
только с дивана писать могутдаже разобраться как работает PKI не могут . А тот, к то может это реализовать - совершенно в этом не заинтересован.Резюме:
1. Я считаю национальный СА нужен (как и национальный DNS, например). Но должен быть как технически грамотно реализован, так и оформлен надлежащим обрахом в правовом поле.
2. Доверие - это прекрасно. Но если вы озабочены своей безопасностью, как минимум! нужно знать что такое HTTPS и от чего он может защитить. А от чего не может.
3. Следствие из предыдущего п.: не нужно поддаваться хайповым заголовкам про Северные Кореи, а на основании полученных знаний трезво оценивать свои риски и принимать соответствующие меры.
Так вы почитайте уже что такое SSL и PKI! Он и не должен ничего гарантировать кроме зашифрованного туннеля.
Как вы можете быть уверены, что этот пост написан именно мной, а не кем то от моего имени? Просто подумайте над технички решением этого вопроса.
Круто у вас все! Прям как в суде: "у суда нет оснований не доверять показаниям сотрудника полиции".
Рад за вас. Особенно за стандарт СА 8)
Ага. А вы знаете историю CA, который сейчас называется Let's Encrypt и почему он стал выдавать бесплатные сертификаты?
Где это вы обсуждаете такую ситуацию?
Мы выше обсуждали, что никто никого не заставляет: добавьте Сбер в доверенные и не трогайте CA. Или добавльте CA. ИЛи и не пользоваться Сбером вообще. Это ваш выбор.
Опять передергиваете.
А пользователи уже давно утратили контроль над своими не только ОС, но и PC.
Ваши страхи от лени и безграмотности. Если бы вы прочли про СОРМ, то вы бы знали, как минимум, что СОРМ - это СИСТЕМА оперативно-розыскных мероприятий. Mероприятий! И техническое их оснащение - это лишь малая часть. Основная - регулятивная и оперативная.
Я, к сожалению, не могу рассказать, как съемник СОРМ работает, но поверьте - выглядит очень внушительно. Я был поражен, когда увидел своими глазами при приемке.
Поэтому мне и смешно слышать про стоны за дополнительный CA.
Ну приехали: в кучу коней и людей навалил. Обсуждали CA, а перекинулись на Беларусию. Конструктивно, конечно. Только вы еще забыли про нож в кухонном отделе магазина, который "рано или поздно .. будет использован против неудобного гражданина". И эти люди борятся с тоталиторизмом..
Бизнес риски я, так же как и вы, предлагаю оставить компаниям. И не кряхтеть по поводу решения Сбера. Это их дело. Это раз.
Как пользователь, я уже 15 лет сижу на ОС, которая полностью мной контролируется. И я сам отпределяю какие сертификаты мне добавлять в хранилища CA или репозиториев. Это два.
Так что, по существу, у нас с вами никаких расхождений во взглядах на обсуждаемую проблему нет.
Полностью согласен.
Вы не подменяйте тему дискуссии. Я про знактоков вроде вас говорю, а не про пользу контроля над обществом.