СОРМ-2 регламентирует технические требования к логированию и съему информации. Т.е. кто куда ходил и зачем - уже ясно. ФЗ и лицензионные требования операторов связи и операторов средств массовой информации требуют логирование и хранение информации. Уже все закрыто! Чего пыхтеть по поводу сертификата?
И ведь никто не ответил на простые технические вопросы: Какие риски купируются? Какие вектора угроз появляются?
Но все против! Прямо классика: "не читал, но осуждаю".
Вряд ли. Тут, на Хабре, была отличная статья про VIA. VIA - всё. Но они передали свои компетенции и лицензии на x86 совместному с правительством Китая предприятию, которое уже выпускает линейки десктопных и серверных x86 процесоров.
Блин, вы отвечаете на этот вот мой пост: "Вы не обязаны устанавливать CA - вы лично можете самостоятельно определять какому сертификату доверять, а какому - нет."
Что мне еще добавить?
Ну а насчет "сертификат установит производитель телефона" - возможно это и профессиональная деформация, но у меня своя сборка для телефона и я сам решаю какие сертификаты и ПО там установлены. И когда что и откуда обновлять. Если вы пользователь продуктов от Apple - тогда мне тоже добавить нечего. Могу только порекомендовать покупать те продукты, производитель которых позволяет вам управлять из безопасностью.
Я бы тоже. Но как обеспечить гарантированную доставку и целостность этого сертификата? Как быть уверенным, что он выпущен именно Google, Ink, а не кем-то другим?
И еще про ФСБ: наверное, это самый животрепещущий вопрос для многих. Расскажите пожалуйста, какие вектора угроз вы видите? Чего вы боитесь?
MTM атаки? Что ФСБ узнает, что вы скачиваете с сервера СБ РФ и nalog.ru? И постите в VK?
Я, наверное, чего то не знаю.. Но я знаю ТУ СОРМ-2, и подозреваю что все ваши страхи давно уже реализованы в железе. Лет 10 уже как. А вы все еще трясетесь о ФСБ.
Видите ли, даже если "лично мне почему-то кажется, что LetsEncrypt продолжит работать", то это не повод снижать бизнес-риски с этой угрозы. И, да, очень часто в закрытых системах и в системах с повышенными треованиями к безопасности, используют свои каналы дистрибуции CA. Кто знает что вам запихнул вендор системы в пакет с CA? 8) ЦБ РФ, например, так работает всегда. При подключении шлюзов платежных банков, например, ПСБ, ТКБ, ТКС - тоже обмен сертификатами производится напрямую и так было еще 10 лет назад. Это общепринятая практика и я считаю ее совершенно нормальной. К чему этот хайп?
Право выбора чего? Ну поясните мне уже! Все переживают за это право выбора.
Вы вообще представляете как работает PKI? CA лишь технически облегчает вам выбор - устанавливая CA вы просто соглашаетесь доверять всем сертификатам, которые им подписаны. Вы не обязаны устанавливать CA - вы лично можете самостоятельно определять какому сертификату доверять, а какому - нет. Вот и всё!
А выбора сертификата у вас нет и не было никогда! Владелец сайта определяет какой сертификат он использует и использовать ли вообще шифрование. У вас, пользователя, есть только один выбор - посещать сей сайт, или нет. А вот как на него попасть: HTTPS, VPN или вовсе plain HTTP - это не ваш выбор.
Просто до боли уже невыносимо видеть не просто вопиющую безграмотность, а еще и воинствующих её носителей! И это на сайте технических специалистов! А еще в соседней ветке обсуждают ненужность высшего образования...
А длЯ этого нужно хоть немного разбираться в предмете. И это сложнее значительно, чем бравурно с поднятым флагом "Я против Сбера" ходить. Как обычно, в общем.
p.s. РЖД, правда, свой собственный гейт использует. Но в остальном - вы правы абсолютно.
Я против всяких ГОСТ сертификатов. Но в условиях возможного отзыва или непродления сертификата какое техническое решение лично вам кажется грамотным и обоснованным?
И что значит "скатился к хренам моментально"? Как давно проживающему за границей и польщующемусЯ ежедневно, мне кажетсЯ что современный российский финтех все ещё на голову, а то и две, выше европейского и американского.
Нет. И не должно. Постмотрите ТУ СОРМ. Они доступны.
СОРМ-2 регламентирует технические требования к логированию и съему информации. Т.е. кто куда ходил и зачем - уже ясно.
ФЗ и лицензионные требования операторов связи и операторов средств массовой информации требуют логирование и хранение информации.
Уже все закрыто! Чего пыхтеть по поводу сертификата?
И ведь никто не ответил на простые технические вопросы:
Какие риски купируются?
Какие вектора угроз появляются?
Но все против! Прямо классика: "не читал, но осуждаю".
Вряд ли. Тут, на Хабре, была отличная статья про VIA. VIA - всё.
Но они передали свои компетенции и лицензии на x86 совместному с правительством Китая предприятию, которое уже выпускает линейки десктопных и серверных x86 процесоров.
Уже ответил выше: Могу только порекомендовать покупать те продукты, производитель которых позволяет вам управлять из безопасностью.
Блин, вы отвечаете на этот вот мой пост:
"Вы не обязаны устанавливать CA - вы лично можете самостоятельно определять какому сертификату доверять, а какому - нет."
Что мне еще добавить?
Ну а насчет "сертификат установит производитель телефона" - возможно это и профессиональная деформация, но у меня своя сборка для телефона и я сам решаю какие сертификаты и ПО там установлены. И когда что и откуда обновлять.
Если вы пользователь продуктов от Apple - тогда мне тоже добавить нечего. Могу только порекомендовать покупать те продукты, производитель которых позволяет вам управлять из безопасностью.
Я бы тоже. Но как обеспечить гарантированную доставку и целостность этого сертификата? Как быть уверенным, что он выпущен именно Google, Ink, а не кем-то другим?
Вот что действительно страшно: https://habr.com/ru/post/666520/
И еще про ФСБ: наверное, это самый животрепещущий вопрос для многих. Расскажите пожалуйста, какие вектора угроз вы видите? Чего вы боитесь?
MTM атаки? Что ФСБ узнает, что вы скачиваете с сервера СБ РФ и nalog.ru? И постите в VK?
Я, наверное, чего то не знаю..
Но я знаю ТУ СОРМ-2, и подозреваю что все ваши страхи давно уже реализованы в железе. Лет 10 уже как. А вы все еще трясетесь о ФСБ.
Видите ли, даже если "лично мне почему-то кажется, что LetsEncrypt продолжит работать", то это не повод снижать бизнес-риски с этой угрозы.
И, да, очень часто в закрытых системах и в системах с повышенными треованиями к безопасности, используют свои каналы дистрибуции CA. Кто знает что вам запихнул вендор системы в пакет с CA? 8)
ЦБ РФ, например, так работает всегда. При подключении шлюзов платежных банков, например, ПСБ, ТКБ, ТКС - тоже обмен сертификатами производится напрямую и так было еще 10 лет назад. Это общепринятая практика и я считаю ее совершенно нормальной.
К чему этот хайп?
Нужно просто использовать браузер, который использует свое собственное, не системное хранилище CA.
Про гражданина Сноудена вы слышали?
Право выбора чего? Ну поясните мне уже! Все переживают за это право выбора.
Вы вообще представляете как работает PKI?
CA лишь технически облегчает вам выбор - устанавливая CA вы просто соглашаетесь доверять всем сертификатам, которые им подписаны. Вы не обязаны устанавливать CA - вы лично можете самостоятельно определять какому сертификату доверять, а какому - нет. Вот и всё!
А выбора сертификата у вас нет и не было никогда! Владелец сайта определяет какой сертификат он использует и использовать ли вообще шифрование. У вас, пользователя, есть только один выбор - посещать сей сайт, или нет. А вот как на него попасть: HTTPS, VPN или вовсе plain HTTP - это не ваш выбор.
Просто до боли уже невыносимо видеть не просто вопиющую безграмотность, а еще и воинствующих её носителей! И это на сайте технических специалистов!
А еще в соседней ветке обсуждают ненужность высшего образования...
Покупать с наценкой 200% лучше, чем не иметь возможности купить вообще.
Это и есть конкуренция.
Весь российский финтех и нефтесектор, например.
Да и тот же Иран, это не Израиль - 80 млн население. Тоже не мало.
Сам Китай - один из крупнейших рынков мира.
Много кто будет рад. Даже и не заместить существующего поставщика, а хотя бы не позволить ему выкручивать себе руки.
Так вы мне поясните, пожалуйста, какая свЯзь между беспокойством и неустановкой нового CA?
Как технарь технарю?
Какие риски купируются? Какие вектора угроз?
А то тут выше уже про троянов даже написали..
А почему вас это беспокоит?
Вы сертификаты правительств и спецслужб других стран, внедрённых в хранилище производителем, уже выковыряли?
Вы вообще понимаете как работает PKI? Или вы просто за все хорошее и против всего плохого?
А длЯ этого нужно хоть немного разбираться в предмете. И это сложнее значительно, чем бравурно с поднятым флагом "Я против Сбера" ходить. Как обычно, в общем.
p.s. РЖД, правда, свой собственный гейт использует. Но в остальном - вы правы абсолютно.
А можете развернуть суть вашей претензии?
Я против всяких ГОСТ сертификатов. Но в условиях возможного отзыва или непродления сертификата какое техническое решение лично вам кажется грамотным и обоснованным?
И что значит "скатился к хренам моментально"? Как давно проживающему за границей и польщующемусЯ ежедневно, мне кажетсЯ что современный российский финтех все ещё на голову, а то и две, выше европейского и американского.
Вы слышали про PKI? Сбер все делает совершенно корректно, с технической точки зрения.
Как выше написали, вы можете вообще СА не добавлять, а указать что доверяете каждому из сайтов, с которыми работаете вручную.
Проблема то в другом: что национальную PKI инфраструктуру так и не построили. Сейчас и использовать то нечего.
Не сможете. Сбер уже процессит более половины транзакций в Рунет. И процессит не только Рунет!
И у Сбера не только платежные сервисы!
Переводчик - зверь!
"метод шифрования РША" - это ПЯТЬ!