Pull to refresh

Comments 42

Commerce Department Issues New Export Controls on Russia in Response to the Invasion of Ukraine

...

To provide an idea of the broad scope of these new controls, here is a brief overview of the scope of the affected CCL categories:

Category 3 covers electronics,

Category 4 covers computers,

Category 5 covers telecommunications and information security items (including most software containing encryption functionality),

https://www.ustrademonitor.com/2022/02/new-commerce-department-sanctions-on-russia-in-response-to-the-invasion-of-ukraine/

Я не читал детали, но подозреваю, что варианты 2, 3 и 4 подпадают под эти санкции.
А так как последствия нарушения этих санкций могут быть весьма неприятными, мало кто захочет связываться.

Думаю, если вы детальнее исследуете этот вопрос - подпадают ли сертификаты под санкции - это сразу добавит ценности статье.

Насколько я пока исследовал этот вопрос, даже западные юристы спорят, что такое TLS сертификат, является ли он имуществом и т.д., следовательно, можно ли его отозвать в принципе по щучьему велению. А на практике, как мы видим, УЦ действуют исходя из соображений классового чутья, политического момента и революционной целесообразности.

Скорее - минимизируют потенциальные риски. Если выдача (или неотзыв) TLS сертификата является нарушением санкций - это будет очень-очень неприятно для нарушителя.

Тут очень тонкая грань между минимизацией рисков и политическим холуйством. Я бы в такой ситуации написал запрос на разъяснение политики партии и правительства, а до тех пор - сидел бы ровно, не дергаясь. Скажут отозвать - я получил прямое указание регулятора, не скажут - у меня бизнес, а не политика.

Почитайте про эти санкции детальнее. Как они вообще работают. И нам расскажите. )))

Насколько я понял, там действует принцип "по умолчанию - запрещено". То есть если есть какие то сомнения - запрашиваешь разрешение, и только если получишь такое разрешение - можешь поставлять товар / оказывать услугу.
Более того, если продал дистрибьютору и не удостоверился, что он не поставит куда нельзя - то тоже виноват.
А за нарушения не штрафы, а реальные сроки для руководства и очень большие штрафы для компании.

Впрочем, я не откажусь почитать более детальный анализ. Это я быстро нагуглил и не уверен, что все понял правильно.

и только если получишь такое разрешение - можешь поставлять товар / оказывать услугу

Есть мнение, что товар (сертификат) уже поставлен и/или услуга (его выдача) уже оказана и фарш никак нельзя прокрутить назад с точки зрения закона, даже если Байден лично позвонит директору УЦ и потребует. Но фактически можно... просто потому, что есть техническая возможность.

Если нашли дополнительную информацию - дополните статью.
Это ведь действительно итересно.

Например, понятно, что сама по себе технология TLS является предметом санкций, так как там стойкое шифрование. А сертификаты - являются или нет?

Еще интересный вопрос - а самый обычный смартфон с Андроид тоже подпадет под санкции? Ведь там эти технологии есть...

И - VPN (там тоже есть шифрование). Если какой либо провайдер за пределами РФ будет каким либо образом давать доступ к своему оборудованию / сервисам с использованием VPN (VPN канал на территорию РФ) - будет ли это нарушением?

Я быстро никаких нормальных разъяснений по этим вопросам не нашел.

Сертификация выглядит как услуга.

Сертификация - это очень странный предмет: товар как бы есть, но его как бы нет ;) С одной стороны, создаваемым/приобретаемым благом является удостоверение УЦ некоего факта. С другой, без "материального" свидетельства этого удостоверения само удостоверение не имеет ценности. С третьей, без факта удостоверения, очевидно, не имеет ценности и (самоподписанное) свидетельство. Тут есть о чем поспорить...

Ну таких штук много. valuation, например, тоже услуга, а ценится бумажка. Аудит - услуга, а ценятся результаты.

Казахстанский сценарий с блокировкой национального сертификата со стороны крупнейших производителей браузеров - хороший пример того как не нужно решать такие проблемы.

Вот-вот, казахстанский пример должен бы научить: один раз прилюдно обосрался - всю жизнь не отмоешься, так что если уж удастся протолкнуть нацсертификат в хранилища - ни-ни, никаких "шалостей". Но у нас бег по граблям - национальный вид спорта :(

любой из перечисленных вариантов подвержен угрозе казахстанского сценария. Забанить хэш сертификата из продукта — задача дня на три. Продуктов на "рынке" пять штук. У всех штаб-квартиры в известном месте.

И, по идее, это должно остужать горячие головы сердца: один раз MitM'нули, условно расшифровали условную переписку условного Навального и на этом все и навсегда - корневой сертификат все выкинули на мороз, новый никогда и никуда не включат, за малейшее подозрение в плохом поведении - даже конечный сертификат не выдадут/отзовут.

Я имел ввиду, что даже если бы у вас был УЦ уже 10 лет назад его всё-равно сравнительно просто забанить по не связанному с деятельностью УЦ поводу

один раз MitM'нули, условно расшифровали условную переписку условного Навального и на этом все и навсегда

Когда их это останавливало? СЦ в российской юрисдикции практически гарантирует майор-ин-зе-мидл и хуже того - "ростелеком ин зе мидл". Будет как с ЭЦП.

Вы, вероятно, не поняли. Скажем, сегодня MS чудом соглашается включить РосКорень в хранилище Windows. Завтра тов. майора ловят на шалостях с MitM, послезавтра РосКорень с треском вылетает из хранилища Windows и MS отказывается даже обсуждать возможность его возвращения туда. Т.е. шалости тов. майора прокатывают ровно один раз и обходятся очень дорого, что и должно остудить. Но не факт, что остудит, это да.

Я именно так и понял. Но я скептически отношусь к их способности или желанию думать о последствиях. Хотя бы исходя из того, что такая ситуация вообще сложилась.

Ещё есть вариант просто отключить SSL. Зачем шифрование? Майор и так всё видит.

Да, но переход на HTTP/1.1 вполне сохраняет работоспособность сайта. Главное, стрикт-пиннинг вовремя отменить.

HSTS? Мы уже. И 301-редиректы с не-SSL версий заменили на 302.

Ну ходят же SMSки по сетям опсосов в не зашифрованном виде которые дают полный доступ к веб сайтам тех же банков и госуслуг. Чем веб принципиально отличается?

Есть еще вариант. Выйти на улицы, снести безумного карлика и продолжить нормальную жизнь.

К причинам санкций добавится "незаконный захват власти"...

Когда начинаем?

Сможете организовать необходимое количество народа так, чтобы действительно донести информацию до всех сочувствующих и убедить, что на этот раз точно "до конца" идём?

Так просто бросаться лозунгами и так невыполнимо сложно воплотить их в жизнь.

Я ничего не собираюсь за вас организовывать. Это ваш выбор и ваша отвественность. Я лиш подсказал что есть путь гораздо эффективней разрешить корень проблеммы нежели бороться с последствиями. Да он небезопасный, да возможно погибнут люди, но если этого не сделать сейчас последствия вас завалят своей глыбой и погибнет еще больше людей и будет еще больше потерь.

Ну а организовываться вам или нет это ваше дело. И судя по комментарию вы уже все решили.

Проблема решается достаточно просто созданием своего отечественного корневого сертификата. В Линукс (подозреваю и в Виндос) новые сертификаты добавляются очень просто. Со старыми Андроидами конечно проблема (но это известная проблема, проблема была и у летсэнкрипт), а вот в новые телефоны достаточно просто импортёров обязать предустанавливать новый сертификат, а ещё лучше предусмотреть возможность позволить пользователям достаточно легко обновлять их.

Для тех кто опасается прослушки достаточно в браузере сделать такую функциональность - спрашивать при первом входе на конкретный сайт, доверяешь ли ты этому (корневому) сертификату для этого конкретного сайта. Например если хочешь зайти на сайт госуслуг - то просто нет смысла не доверять российскому сертификату.

А как временное решение, на переходный период просить китайцев выдавать...

подозреваю и в Виндос

Пара кликов, но новый корневой сертификат надо сперва где-то взять, а при заходе на сайт, который удостоверяется таким сертификатом, пользователь видит не: хотите довериться, установить, забить? а соединение не защищено, тикаем! В случае с LE проблема затронула очень много и достаточно популярных сайтов, пользователям волей-неволей пришлось заморачиваться. В случае с санкциями - пока 1,5 сайта, на которые пользователям проще забить, чем выяснять, что с ними не так и как это исправить. Проще говоря, в случае с суверенным сертификатом нет достаточного "спроса" и - тьфу-тьфу-тьфу - не ожидается.

при заходе на сайт, который удостоверяется таким сертификатом,
пользователь видит не: хотите довериться, установить, забить? а
соединение не защищено, тикаем!

Не, в Линуксе если установил корневой сертификат, то больше ничего не спрашивает.

В Windows так же, если уже установил.

если установил корневой сертификат

а где ты его возьмёшь-то? Нет безопасного способа скачать корневой сертификат через неконтролируемое подключение к интернету.

Напечатают QR на скачивание\валидацию в <гос газете\телевидению\продиктуют хэш по радио\etc>. Сертификаты и должны доставляться сторонним путем.

Да. Я пытался донести мысль, что эти варианты небезопасны:

лучше предусмотреть возможность позволить пользователям достаточно легко обновлять их

...

Для тех кто опасается прослушки достаточно в браузере сделать такую
функциональность - спрашивать при первом входе на конкретный сайт,
доверяешь ли ты

Здесь речь шла о другом. Если ты уже получил безопасным способом корневой государственный сертификат РФ, но не доверяешь ему в шифровании доступа к своей почте, а доверяешь для шифрования доступа к госуслугам. То есть ты хочешь чтобы сертификаты подписанные корневым сертификатом РФ использовались только для определённых сайтов.

Есть конечно. Во-первых можно скачивать, а потом сверить отпечатки с теми что получены по другому каналу. Например как написал@Ztare, по ТВ, по QR коду. Во-вторых можно для начала использовать сертификаты подписанные китайцами, и по этому защищённому соединению скачивать отечественный уже, в третьих, можно его предустанавливать в новые компьютеры и телефоны, в-четвёртых, его можно на носителях распространять.

Вариант первый модифицированный.
p1 — Национальный УЦ (со всей инфраструктурой) — поднять и обеспечить функционирование и выдачу сертификатов.
p2 — сертификация устройств — не поддерживаешь сертифика — не получаешь ростест, не можешь ввозить и продавать.
p3 — требования к распространению продуктов на территории РФ.

Это бизнес. Им всем проще будет добавить в версию дистрибутива для РФ нужный сертификат. Будет ли он признаваться или работать где-то ещё, вопрос отдельный и из другой плоскости. Если наша изначальная задача стоит обеспечить адекватный https для наших сервисов внутри страны.
И разумеется даже в этом случае произойдёт всё не мгновенно. Но это будет существенная подвижка в вопросе.

Техническими методами нельзя решать политическую проблему.
Безусловно, нужен национальный УЦ и новая международная система УЦ между союзниками (включающая национальные УЦ) отражающая политику, а также система продавливания оных в бизнес-продукты на территории России и союзников (недружественные страны пусть ставят сертификаты вручную или идут лесом).

Все остальное - костыли.

Люди же, всерьёз озвучивающие "Кац предлагает сдаться" ((с) Мосфильм) заслуживают только жалости (по крайней мере, в текущей обстановке).

  1. По моим смутным воспоминаниям в Debian вообще есть каталог с сертификатами и можно туда добавить любой самоподписанный сертификат, и даже написать которенький deb-пакетик для этого. Если же воспоминания неверны, надо взять код firefox, немножко подшаманить его (условно за $200k) и будет пакет firefox-russland-ueber-alles, который поймёт все нужные сертификаты. Делов-то на копейку!

  2. Отправить в украинские пыточные подвалы тех, кто не позаботился о таком в 2014 г.

Sign up to leave a comment.

Articles