Pull to refresh
13
Сергей Б.@sergey-b

Пользователь

0,2
Rating
24
Subscribers
Send message

А он работает вообще? Вроде ТСПУ научилось трафик запрета фильтровать.

Перевози домен в зону .ru. Там такого беспредела нет. /sarcasm-mode.

Главное, пусть сделают это после 10-го числа, когда мне новый айфон должен по почте прийти.

Сколько у вас сестер? Если всего одна, то доля Эппл на этом рынке равна 100%.

Вы правы, что УЦ должен все это делать. Но чтобы браузеры ему доверяли, этого недостаточно. Были попытки подать заявки из разных стран, всех их завернули.

К вашему списку я еще добавлю. Нужна еще и нормативная база, которая зафиксирует, что УЦ обязан делать все необходимое, и определит ответственность должностных лиц за нарушение этих требований. Т. е. государственный УЦ проводит аудит не потому, что он такой пушистый, а потому что закон этого требует.

А получатель имеет право знать, кто ему пишет?

А мне такие сообщения теперь в махе приходят.

Наблюдаю сейчас за сайтами банков, и должен заметить, что сейчас их сертификаты, выпущенные минцифры выглядят корректно. Похоже, действительно доработали свою инфраструктуру и подготовились.

Продолжаем наблюдение. Уход визы граждане вообще не заметили, если уход глобалсайна не заметят, то минцифре можно поставить зачет по этому экзамену.

Если так рассуждать, то вообще свой УЦ поднять можно за пару часов. Можно вообще не париться, и так сойдет.

Вот эта пара недель - это как раз столько времени будет всю нашу инфраструктуру колбасить в случае компрометации корневого сертификата. Думаю, если сильно прижмет, и за сутки все сделают. Но такой подход я никак не могу считать нормальным.

Насчет того, что все поверили, я с вами не соглашусь. Все все понимали. Все понимали, почему нельзя ограничить УЦ фиксированным набором доменов, хотя на это даже есть RFC. Все видели, как послали лесом Казахстан, когда он озаботился этим вопросом.

Они должны в общем комплекте идти и быть равноправными как LE и GlobalSign, и с понятным статусом.

Наоборот, один случай как как минимум был, и этот риск учтен, и в стандартных трасторах лежат разные УЦ. При оценке риска надо умножать вероятность его реализации на возможный ущерб. Ущерб от компрометации единственного УЦ очень большой.

Кроме того, нормальные УЦ выписывают сертификаты через промежуточных издателей. Скомпрометирован может оказаться промежуточный сертификат, в то время как корневой хранится на защищенном физически изолированном носителе.

Приватные ключи не копируются, а хранятся на трм устройстве, на котором их сгенерерировали.

Это в нормальных УЦ, п минцифра всем подписывает сертификаты своим единственным корнем. Это значит, что ее приватный ключ разложен по разным серверам и непрерывно используется.

Непосредственные издатели компрометируются нередко, достаточно заглянуть в crl, чтобы в этом убедиться. Так что компрометация корневого сертификата минцифры в случае его интенсивного использования, учитывая что против него будут работать разведки разных государств, весьма вероятна.

Не вижу в этом ничего плохого. У каждого государства свой CA, который удостоверяет поддомены в своих доменах 1-го уровня. На мой взгляд, так надо было делать с самого начала.

Было бы, конечно, неплохо. Но то, что я сейчас наблюдаю, производит впечатление, что у нас, к сожалению, ничего к такому развитию событий не готово. Очень хотелось бы ошибиться.

Вот например, почему УЦ Минцифры всего 1? Ведь он же может быть скомпрометирован. Должно быть 2, а лучше 3 независимых УЦ, сертификаты которых должны распространяться заранее, чтобы в случае проблем с одним УЦ быстро переключиться на другие.

Habr достаточно активно сотрудничает с финтехом, который под санкциями, так что и ему может прилететь в очередном пакете.

Да. Проблемы у нас будут, так как к данной угрозе наше государство в настоящий момент совершенно не подготовлено.

1
23 ...

Information

Rating
3,145-th
Location
Москва, Москва и Московская обл., Россия
Works in
Registered
Activity