Комментарии 109
Отличная статья! Спасибо!
На мой взгляд достаточно отображать только отсутствие сертификата или какие либо другие релевантные проблемы. Замочек кажется лишним.
Так бизнес у них такой. Очень похожий на популярные в 90-х продажи супер кастрюль и сковородок. А как еще убедить покупателя, если не победами в «беспристрастных и независимых» тестах? С их фаерволом была та же история. Вообще Let's Encrypt рано или поздно убьет Комодо, если они не выйдут на другие рынки. Но ничего не изменилось — мощнейший маркетинг (а тут Комодо равных нет) не сможет бесконечно тянуть компанию такого размера без реальных технических инноваций.
DANE & DANE & DANE наше все. И к черту все эти центры.
Я вот когда в онлайн сбербанк захожу, все время смотрю что там «Sberbank of Russia [RU]» написано рядом с замочком.
Потому как просто замочки сейчас вообще ничего не гарантируют, любой фишинговый сайт их через Let's Encrypt себе бесплатно подключить сможет.
Потому как просто замочки сейчас вообще ничего не гарантируют, любой фишинговый сайт их через Let's Encrypt себе бесплатно подключить сможет.
Для крутых пацанов есть CAA. Он позволяет ограничить список доступных CA, в которых можно выписать сертификат. Не нравится LE — не вопрос. Оставьте thawte какой-нибудь.
НЛО прилетело и опубликовало эту надпись здесь
Поддерживаю, сейчас вообще эпоха «фейковой безопасности», кругом замочки и зеленые светофоры, анонимные режимы в браузере, и всякие «не отслеживать» в запросах, антивирусы и системы рейтингов. И все это только ухудшает общую безопасность, из-за ложных обещаний и не понимания со стороны пользователей.
Именно. Поэтому мне совершенно непонятны ни действия по удалению зеленой строки и названия компании в браузерах, ни желание автора статьи убить EV. Но даже если оно не показывается в адресной строке, при желании можно открыть свойства сертификата и убедиться. Без EV что делать?
Браузеры жутко возмущаются при заходе на сайт с самоподписанным сертификатом. Но самоподписанный сертификат опасен только при MitM атаке, но такое бывает редко, а большинство атак — это фишинговые сайты и взломы серверов (при котором можно выпустить и подсунуть свой сертификат). Так что теперь, раз SSL есть бесплатно и у каждого (что, конечно, хорошо), как раз-таки нужен способ отличать настоящие сертификаты, подтверждающие, что сайту можно доверять, от сертификатов, которые ничего не подтверждают, а только шифруют, но при этом данные могут уходить кому угодно.
Браузеры жутко возмущаются при заходе на сайт с самоподписанным сертификатом. Но самоподписанный сертификат опасен только при MitM атаке, но такое бывает редко, а большинство атак — это фишинговые сайты и взломы серверов (при котором можно выпустить и подсунуть свой сертификат). Так что теперь, раз SSL есть бесплатно и у каждого (что, конечно, хорошо), как раз-таки нужен способ отличать настоящие сертификаты, подтверждающие, что сайту можно доверять, от сертификатов, которые ничего не подтверждают, а только шифруют, но при этом данные могут уходить кому угодно.
Вы разве не видите, что это рекурсия? Сертификаты изначально были созданы на идеи, что их просто так не выдают. Теперь их выдают просто так. Вы предлагаете сделать «сертификаты сертификатов», которые просто так не выдают. Следующий шаг — их начнут выдавать просто так. Что потом? Дважды зеленая строка? Все дерево подписавших данный сертификата выводить в строку заголовка?
EV — фикция, ни чего не решающее решение.
Более того это не 2ая итерация — а третья. Первой были доменные зоны, типа в СОМ просто так нельзя зарегистрироваться.
Ну не работает это. Нужно искать другие решения.
EV — фикция, ни чего не решающее решение.
Более того это не 2ая итерация — а третья. Первой были доменные зоны, типа в СОМ просто так нельзя зарегистрироваться.
Ну не работает это. Нужно искать другие решения.
EV подтверждает, что сертификат с именем PayPal, Inc. получила именно эта компания, а не Вася Пупкин, получивший доступ к серверу. Как их могут «начать выдавать просто так»? Почему это фикция и почему не поможет отличить настоящий paypal.com от фишингового paypa1.com с бесплатным сертификатом от LE?
Вы просите меня хакнуть EV для вас. А мои аргумент базируются на эмпирике. Если до этого два раза то-же самое привело к провалу, то и этот раз будет провальным. Как? я не знаю. Но будет. Потому что до этого было уже дважды то-же самое.
Чисто как пример, а не как попытка хакнуть EV. В СОМ требовали то, что сейчас требуют для EV. Потом требование сняли, почему? Возможно потому, что он стал терять популярность. И например популярность EV будет падать, а кушать хочется и они свои критерии пересмотрят. Или будет конкурент которого обяжут уважать антимонопольщики. А где два — там двадцать и конкуренция, и снижение цены, а значит и качества проверки.
Еще раз вам говорю — изначально СОМ создавался так, что Вася Пупкин там не зарегается. Изначально сертификаты создавались так — что Вася Пупкин их не получит. Но время прошло — СОМ открыли, сертификаты дают всем.
Какие основания полагать что EV не выродится таким же способом? Очередной «авось в этот раз получится»?
Чисто как пример, а не как попытка хакнуть EV. В СОМ требовали то, что сейчас требуют для EV. Потом требование сняли, почему? Возможно потому, что он стал терять популярность. И например популярность EV будет падать, а кушать хочется и они свои критерии пересмотрят. Или будет конкурент которого обяжут уважать антимонопольщики. А где два — там двадцать и конкуренция, и снижение цены, а значит и качества проверки.
Еще раз вам говорю — изначально СОМ создавался так, что Вася Пупкин там не зарегается. Изначально сертификаты создавались так — что Вася Пупкин их не получит. Но время прошло — СОМ открыли, сертификаты дают всем.
Какие основания полагать что EV не выродится таким же способом? Очередной «авось в этот раз получится»?
Бессмысленно продолжать делать то же самое и ждать других результатов.
Если у сертификата будет конкретная задача — удостоверять личность — то я не вижу, как их вдруг начнут выдавать без удостоверения личности. Речь же не об ограничении — если хочет Вася Пупкин такой сертификат, то пожалуйста, но на нем будет написано Вася Пупкин, а не что-либо еще.
Ну будет там написано PayPa1, Inc. и цикл замкнулся.
Да, но для этого надо будет сначала зарегистрировать такую компанию, потом пройти проверку для получения сертификата. Как максимум, на обоих этапах могут быть условия, что названия не должны быть сходны до степени смешения, как минимум — при этом останется много следов.
В видео в посте приведена история про stripe.ian.sh
Просто в другом штате зарегистрировали «Stripe, Inc», и пожалуйста, вот вам сертификат с EV. Проблема в том, что если на сертификате будет написано «Вася Пупкин», это не гарантирует, что это тот Вася Пупкин, которому вы доверяете.
Просто в другом штате зарегистрировали «Stripe, Inc», и пожалуйста, вот вам сертификат с EV. Проблема в том, что если на сертификате будет написано «Вася Пупкин», это не гарантирует, что это тот Вася Пупкин, которому вы доверяете.
Это лучше, чем ничего. Как заходя завтра на условный PayPal я должен быть уверен, что это настоящий PayPal, а не кто-то хакнул DNS сервера которыми я пользуюсь? Возможно там включен HSTS, но я ведь могу и с другого браузера зайти.
Какое решение вы предлагаете? Где-то брать «эталонный» сертификат для домена и руками сравнивать?
Какое решение вы предлагаете? Где-то брать «эталонный» сертификат для домена и руками сравнивать?
Я предлагаю искать решение. А не делать вид, как-будто сертификаты что-либо гарантируют. Тот случай, когда что-то хуже, чем ни чего.
EV сертификат являлся как раз таким решением. Ничего принципиально другого тут придумать нельзя, только реализации разные (например, Google будет давать «зеленые» URL сайтам из своего реестра).
EV НЕ является таким решением.
Простой пример. Кто-то скомпрометировал (украл) сертификат и приватный ключ PayPal Inc. Теперь он может построить атаку, по которой вы не получите актуальный CRL и приплыли! Ссылаюсь на habr.com/post/332730
Простой пример. Кто-то скомпрометировал (украл) сертификат и приватный ключ PayPal Inc. Теперь он может построить атаку, по которой вы не получите актуальный CRL и приплыли! Ссылаюсь на habr.com/post/332730
EV подтверждает, что сертификат с именем PayPal, Inc. получила именно эта компания
И точно так же подтвердит, что сертификат с именем PayPa1, lnc. получила именно эта компания.
Вот именно, когда из-за какого-то эксперимента Хрома на myetherwallet исчезло название организации я подумал что у них увели домен или что-то в этом роде. EV действительно нужен для финансовых организаций и e-commerce, и попытка его убить выглядит как помощь мошенникам. Для других сайтов достаточно DV.
Большинство воспринимает сертификат как-то странно. Сертификат — это не гарантия, что сайт не левый, это гарантия безопасного канала связи между вами и сервером. Всё остальное — лирика.
Хорошо. OV сертификаты, проверки, все дела.
Тогда это было под крылом симантек, теперь это под крылом дижисёрт.
И знаете что? Они напроверяли, в качестве организации воткнули в изданный сертификат название в транслите с кривой организационной формой, неактуальной лет 5 к тому моменту и добавив в качестве контактного телефона в процессе ответственным лицам для связи номер телефона, нигде не проходивший как официальный для связи с ответственными лицами организации (но числящийся в справочниках) находящийся у одного из сотрудников в дальней коморке подвала. Ну ладно. Не подвала, но в кабинете, где-то на отшибе, где обитает всего 1 сотрудник и бывает всего несколько часов в день.
Вот как они проверяли, и откуда они это взяли?
Изначально был против симантека из-за конских цен и непонятных условий (тоже, кстати, предлагали какие-то гарантии на миллионы долларов), но руководство склонилось «не бесплатно же, гарантия, техподдержка раз платим!».
А симантек с дочками, тем временем, как центр сертификации — все. Вот и гарантия.
Хотя летс энкрипт+сертбот более чем справились бы.
Я могу понять все эти пляски, когда говорим о финансах и банкинге. Когда говорим о более приземлённых вещах, как по мне, это — лишнее.
Хорошо. OV сертификаты, проверки, все дела.
Тогда это было под крылом симантек, теперь это под крылом дижисёрт.
И знаете что? Они напроверяли, в качестве организации воткнули в изданный сертификат название в транслите с кривой организационной формой, неактуальной лет 5 к тому моменту и добавив в качестве контактного телефона в процессе ответственным лицам для связи номер телефона, нигде не проходивший как официальный для связи с ответственными лицами организации (но числящийся в справочниках) находящийся у одного из сотрудников в дальней коморке подвала. Ну ладно. Не подвала, но в кабинете, где-то на отшибе, где обитает всего 1 сотрудник и бывает всего несколько часов в день.
Вот как они проверяли, и откуда они это взяли?
Изначально был против симантека из-за конских цен и непонятных условий (тоже, кстати, предлагали какие-то гарантии на миллионы долларов), но руководство склонилось «не бесплатно же, гарантия, техподдержка раз платим!».
А симантек с дочками, тем временем, как центр сертификации — все. Вот и гарантия.
Хотя летс энкрипт+сертбот более чем справились бы.
Я могу понять все эти пляски, когда говорим о финансах и банкинге. Когда говорим о более приземлённых вещах, как по мне, это — лишнее.
Я когда-то получал EV сертификат, как раз у Comodo. Требования PCI DSS.
Для получения требовалось зарегистрироваться в каком-то дурном коммерческом реестре организаций, чьё европейское отделение отличалось тормозной реакцией на обращения и глючным сайтом. Самое весёлое, что никакой реальной юридически значимой проверки того, что я сотрудник именно той фирмы, на имя которой хочу запросит EV сертификат, не произошло. Просто попереписывался с ними, подождал пока наши данные появятся в этом реестре, показал ссылку в реестре поддержке Комодо, они сказали ОК и выдали EV-сертификат.
Для получения требовалось зарегистрироваться в каком-то дурном коммерческом реестре организаций, чьё европейское отделение отличалось тормозной реакцией на обращения и глючным сайтом. Самое весёлое, что никакой реальной юридически значимой проверки того, что я сотрудник именно той фирмы, на имя которой хочу запросит EV сертификат, не произошло. Просто попереписывался с ними, подождал пока наши данные появятся в этом реестре, показал ссылку в реестре поддержке Комодо, они сказали ОК и выдали EV-сертификат.
Поэтому теперь, чтобы создать соответствующее ожидание у пользователей, нужно им говорить искать зелёные URL и замочек… если только они не пользуются Chrome, который вообще удалил все зелёные элементы!
Как же бесит то, что Google со своим Chome поджал под себя весь интернет и веб-стандарты, что хочет, то и делает, а поскольку он фактически монополист, остальные браузеры вынуждены копировать поведение/фичи/..., местами выгодные только Гуглу.
И да, я уверен что в скором времени Гугл выкатит свою замену «зеленой» адресной строке, но контролируемую Гуглом.
Автор так ругает предвзятость других авторов, но из его статьи она же просто потоком хлещет через монитор! Comodo хотя бы просто денег заработать хочет, тут хоть мотивация простая, а для чего автор и его многочисленные соратники так хотят перевести весь веб в зависимость одной конторы (Let's Encrypt)? Если (когда) в Let's Encrypt начнут отказывать в выдаче сертификатов (как Cogent уже нульроутил некоторые адреса для всего мира по «плохо сформулированному» решению местечкового испанского суда), то куда идти через 5-10 лет, когда других сертификационных центров не останется, а какой-нибудь Chrome перестанет вообще открывать http (без s)? Как по мне, это значительно страшнее, чем недобросовестная реклама от Comodo.
Теперь про OV/EV сертификаты. То, что популярные браузеры никогда нормально не показывали юридическое лицо, которое стоит за сайтом (а эта информация была и в OV сертификатах, не только в EV, но их «убили» первыми), это не плюс, а минус. Автор зря ссылается на списки наиболее популярных сайтов — им-то как раз подтверждать ничего и не надо! А вот когда я пару лет назад покупал недешёвые билеты на концерт на неизвестном мне сайте с ничего не значащим именем, я полез смотреть (через все дебри подменю браузера), какое хоть юрлицо за ними стоит. К сожалению, там был DV сертификат, что не прибавило мне к ним доверия, а мог бы быть OV/EV — хоть было б понятно, кому претензии слать и существуют ли фирма вообще.
То, что идея OV/EV не дошла до финальной стадии реализации, и, по сути, была «убита» — этому не радоваться надо, как автор, а, скорее, печалиться. Если б WoSign не убил StartCOM, была б возможность каждому за $120(OV)/$180(EV) (а не многие тысячи, которыми пугает автор) пройти проверку и вписать название организации. Если б не вломился «слон» Let's Encrypt, может быть, и другие бы появились. Сейчас же нам гарантировано отсутствие проверки юридического лица и, скорее всего, в недалёком будущем гарантирована монополия Let's Encrypt. Как следствие, все будут предпочитать покупать на amazon.com и прочих сайтах, которым никакое подтверждение EV не нужно, а мелкие конторы будут вынуждены идти к крупным на поклон, это только в сегменте торговли. В остальных сегментах от монополии Let's Encrypt тоже ничего хорошего не будет. Чему тут радоваться?
Теперь про OV/EV сертификаты. То, что популярные браузеры никогда нормально не показывали юридическое лицо, которое стоит за сайтом (а эта информация была и в OV сертификатах, не только в EV, но их «убили» первыми), это не плюс, а минус. Автор зря ссылается на списки наиболее популярных сайтов — им-то как раз подтверждать ничего и не надо! А вот когда я пару лет назад покупал недешёвые билеты на концерт на неизвестном мне сайте с ничего не значащим именем, я полез смотреть (через все дебри подменю браузера), какое хоть юрлицо за ними стоит. К сожалению, там был DV сертификат, что не прибавило мне к ним доверия, а мог бы быть OV/EV — хоть было б понятно, кому претензии слать и существуют ли фирма вообще.
То, что идея OV/EV не дошла до финальной стадии реализации, и, по сути, была «убита» — этому не радоваться надо, как автор, а, скорее, печалиться. Если б WoSign не убил StartCOM, была б возможность каждому за $120(OV)/$180(EV) (а не многие тысячи, которыми пугает автор) пройти проверку и вписать название организации. Если б не вломился «слон» Let's Encrypt, может быть, и другие бы появились. Сейчас же нам гарантировано отсутствие проверки юридического лица и, скорее всего, в недалёком будущем гарантирована монополия Let's Encrypt. Как следствие, все будут предпочитать покупать на amazon.com и прочих сайтах, которым никакое подтверждение EV не нужно, а мелкие конторы будут вынуждены идти к крупным на поклон, это только в сегменте торговли. В остальных сегментах от монополии Let's Encrypt тоже ничего хорошего не будет. Чему тут радоваться?
Чему тут радоваться?
Тому, что все будут покупать на Amazon и других крупных сайтах. Вы в магазин за продуктами в ООО «Ромашка» ходите? Или одежду на базаре покупаете?
Все укрупняется. Мелкое производство/компании с маленьким оборотом товаров не нужны. Это неэффективно. Это опасно (контролировать проще одно юр. лицо, а не десятки). Да, у монополии есть свои негативные эффекты, но я не говорю, что монополия — это хорошо. Несколько крупных игроков, вот что является самым оптимальным вариантом.
Это совсем неоптимальный вариант. Я даже не буду говорить об очевидном (меньше конкуренции -> выше цены, меньше конкурентов -> больше вероятность сговора), возьму просто на примере еды: чем крупнее сеть, тем хуже у них по качеству товар (стараются закупать дешевле, что плохо сказывается на качестве). В обратную сторону это работает не всегда, но в небольшом магазине я вполне могу взять качественное молоко (а не федералов, которое хранится по 2 месяца и на вкус как из штукатурки), а в большом нет. Потому что для больших сетей важны объемы, которые можно обеспечить только добавляя штукатурку. А если вдруг там и окажется качественный товар, то стоить он будет в разы дороже (чем это объясняется я уже не знаю).
Поэтому в хождении в ООО «Ромашка» за продуктами гораздо больше смысла чем вы думаете.
Поэтому в хождении в ООО «Ромашка» за продуктами гораздо больше смысла чем вы думаете.
Никто не мешает сделать аналог Let's Encrypt. Некоторое время назад существовал, например, StartEncrypt, к сожалению, недолго. Нужна просто конкуренция на этом рынке, и всё будет хорошо.
LetsEncrypt серьезно подорвал откатный бизнес недалекого Мели. Турок, всю жизнь впаривающий откровенную фигню энтерпрайзу, так до сих пор и не понял что это такое IT. Как говорится, пожарная безопасность — это вам не кнопки нажимать…
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Больше зеленой малополезной фигни на страницах, еще больше. Рядовому пользователю что раньше что сейчас унопенисуально на зеленый замочек. Будет унопенисуально на еще одну зеленую херь. Пользователю важен контент и удобство с ним работать.
Хотя Chrome 69 и «убил» зеленый замочек и зеленую строку, факт небольшой визуальной разницы между DV и EV остается. Что все еще позволяет заметить попытку фишинга. Тут уже можно дать рекомендацию запрашивать более длинное значение Subject Organization.
Вообще планы разработчиков Chrome по https marking описаны тут. Там написано, что в следующем релизе Chrome 70, все http сайты будут «красными» при вводе данных, а в будущем они будет «красными» сразу же при открытии страницы.
Замочек на https тоже планируют убрать. Предположу, что, возможно, оставят его для EV https.
Его убирают по одной единственной причине: безопасность и HTTPS стали настолько привычными вещами что считаются ОБЫЧНЫМИ. Тоесть, это нормальное состояние сайта — быть безопасным. Выделяться будут как раз небезопасные сайты с http или просроченными/самоподписанными сертификатами. В этом и состоит идея грядущих изменений.
Сколько слов, чтобы скачать простые мысли:
1. EV умерли сразу, потому что не бывают wildcard. Если тебе нужен wildcard (а организациям так удобнее) — ты останешься без «зелёной адресной строки» (раньше, когда это было фичей).
2. Никто (н-и-к-т-о!) не смотрит на тип сертификата. OV, DV, EV — 99% посетителей не знают этого, а кто знает, все равно не проверяет, т.к. знает про сертификаты чуть больше (см. ниже).
3. Никакой гарантии по сути нет, гарантии — это ненадёжная юридическая, а не техническая, обвязка. А значит — человеческий и денежный фактор.
4. Продавцы сертификатов очень хотят денег, и будут подтасовывать факты до посинения.
5. Авторам браузеров на их игры наплевать, и эту игру поддерживать они не стали. Что неудивительно: никто и не обещал.
6. Из известных ЦС остались единицы, кого бы не поймали за руку на темных делах, но это не мешает им всем говорить о надёжности защиты и прочем.
По факту, наличие сертификата даёт а) шифрование и б) проверку, что этот тот сайт, что сайт остаётся тем же (куда зашёл клиент) весь сеанс связи, и тот клиент (который коннектится к сайту) — т.е. защита от mitm. Больше верить тут не во что, и слова «дороже значит надёжнее» тоже не при чем.
Зато в посте много картинок, за это автору спасибо!
1. EV умерли сразу, потому что не бывают wildcard. Если тебе нужен wildcard (а организациям так удобнее) — ты останешься без «зелёной адресной строки» (раньше, когда это было фичей).
2. Никто (н-и-к-т-о!) не смотрит на тип сертификата. OV, DV, EV — 99% посетителей не знают этого, а кто знает, все равно не проверяет, т.к. знает про сертификаты чуть больше (см. ниже).
3. Никакой гарантии по сути нет, гарантии — это ненадёжная юридическая, а не техническая, обвязка. А значит — человеческий и денежный фактор.
4. Продавцы сертификатов очень хотят денег, и будут подтасовывать факты до посинения.
5. Авторам браузеров на их игры наплевать, и эту игру поддерживать они не стали. Что неудивительно: никто и не обещал.
6. Из известных ЦС остались единицы, кого бы не поймали за руку на темных делах, но это не мешает им всем говорить о надёжности защиты и прочем.
По факту, наличие сертификата даёт а) шифрование и б) проверку, что этот тот сайт, что сайт остаётся тем же (куда зашёл клиент) весь сеанс связи, и тот клиент (который коннектится к сайту) — т.е. защита от mitm. Больше верить тут не во что, и слова «дороже значит надёжнее» тоже не при чем.
Зато в посте много картинок, за это автору спасибо!
А какой принципиально иной механизм вы предлагаете?
А какую задачу мы хотим решить? Можете пожалуйста ее формализовать?
Проверить, что условно Xbank.com действительно принадлежит банку Х, где у меня вклад, или это фишеры. В идеале EV это решают.
Нет не решает. Фишинговый Хэbank.com банк будет принадлежать Хэ, и они скажут что у них есть ваш вклад. При этом они будут фишеры.
Теперь попробую формализовать я. Нужно доказать, что этот сайт, является тем-же самым сайтом, с которым я работал вчера\позавчера и в котором я зарегистрировался, и которому я доверяю, потому, что много раз проверил это сам на практике.
EV это не решает. А что может решить?
Ну например пары публичных и секретных ключей, которыми вы обменялись с банком в момент заключения догвора или регистрации. И последующая валидация как вашего ключа, так и ключа банка.
На сколько я знаю, такие алгоритмы есть и они работают, но они не очень удобные на данный момент, и требуют переноса сертификата на каждое ваше устройство.
Теперь попробую формализовать я. Нужно доказать, что этот сайт, является тем-же самым сайтом, с которым я работал вчера\позавчера и в котором я зарегистрировался, и которому я доверяю, потому, что много раз проверил это сам на практике.
EV это не решает. А что может решить?
Ну например пары публичных и секретных ключей, которыми вы обменялись с банком в момент заключения догвора или регистрации. И последующая валидация как вашего ключа, так и ключа банка.
На сколько я знаю, такие алгоритмы есть и они работают, но они не очень удобные на данный момент, и требуют переноса сертификата на каждое ваше устройство.
EV это не решает
Почему? Если привести в порядок требования, необходимые для выдачи OV/EV, а так же нормально акцентировать внимание в браузерах, то по крайней мере фирме-одноневке на скорую руку получить EV-сертификат для xb4nk.com будет не так просто, и пользователи возможно задумаются.
И ещё:
1) Ввести какие-то дополнительные плашки типа "Этот сайт принадлежит ПАО Сбербанк из Реестра Банков ЦБ РФ лицензия №228/1337"
2) Запретить фишнгово схожие имена в одной области (что в любом случае нужно для охраны TM)
И вообще запретить фирмы однодневки! И пользователи пусть по паспортам регистрируются. И плевать что интернет — интернациональный. И пускай будет комиссия которая решает какие фирмы однодневки, и какие пользователи плохие. Может даже государственная. И обязательно еще служителя церкви в комиссию.
А если без сарказма. То задача техническая, нужно просто доказать что сайт тот-же что и ранее. А вы хотите принести государственный учет в интернет. Это явно лишнее и скорее всего ни как не поможет. Мошенников в реале очень много и государство бессильно.
А если без сарказма. То задача техническая, нужно просто доказать что сайт тот-же что и ранее. А вы хотите принести государственный учет в интернет. Это явно лишнее и скорее всего ни как не поможет. Мошенников в реале очень много и государство бессильно.
Я об этом же нижу пишу habr.com/post/425261/#comment_19193793
Вообще такими темпами заставят всех ставить национальные корневые сертификаты на каждый компьютер… И у каждой страны будет свой Чебурнет.
Вообще такими темпами заставят всех ставить национальные корневые сертификаты на каждый компьютер… И у каждой страны будет свой Чебурнет.
нужно просто доказать что сайт тот-же что и ранее
Что делать если я захожу с этого браузера\компьютера на этот сайт впервые? С EV сертификатом я сразу увижу, что это тот сайт, который мне нужен (или не тот). А что с DV? Мне потребуется скачивать сертификат на старом устройстве (если у меня к нему есть доступ) и сравнивать с сертификатом на новом? Да даже я вряд ли так стану заморачиваться, а для большинства пользователей это звучит как ритуал вуду.
В тоже время название организации в EV вот оно, только руку протяни.
Я не сравниваю EV с этим решением, т.к. EV попросту не работает. Это фикция (уже 100 раз обсудили почему). Так что, ответ на ваш вопрос, если вы на этом устройстве впервые — вы не можете доверять ни одному сайту, в принципе. Нужны процедуры проверки устройства и его выхода в интернет, и инициирования доверия с сайтами. Можно ли это как-то автоматизировать? Можно ли начать доверять устройству, не сравнивая его со уже доверенным устройством? Вы же понимаете что ни чего не мешает на новом хакнутом в публичном месте устройстве, отображать вам хоть весь экран зеленым цветом?
Вопрос в цене атаки.
Ниже человек отписался, что атака на EV мизерна по деньгам и сложности, просто нужно подождать. Со временем цена упадет еще больше, т.к. EV нужно продавать. Это все «домик из сена против волка».Сейчас же все массовое, ни кто не будет ломать один аккаунт банка, будут ломать сотни тысяч. И главная проблема всегда — «отмыть награбленное». На фоне этой проблемы такая ерунда как «получить EV» — выглядит смешно.
Ломать сотни тысяч в 100 000 раз дороже, не? Реальные примеры фишинга с EV есть?
Речь же о том, что без EV атака быстрее и дешевле. А значит, пока есть достаточно доменов без EV, атаковать будут их. Верно?
Речь же о том, что без EV атака быстрее и дешевле. А значит, пока есть достаточно доменов без EV, атаковать будут их. Верно?
Я не говорю, что нужно разрешить только EV сертификаты. Хотите — берите Let's Encrypt или любой другой поставшик DV. А хотите — получите EV.
Более того, не факт что этим должны заниматься CA authorities. В моем примере выше — к сертификату просто добавляется какое-то метаданное (не знаю как это выглядит технически, но такая возможность, думаю, есть) с номером лицензии подписанное Центробанком РФ.
Дальше заботливый производитель браузера по дефолту доверяет ЦБ РФ.
При этом ЦБ РФ не может выдавать сертификаты — он может только дополнительно заверять соответствие сайта и банка. При этом параноик может этот сертификат спокойно убрать.
Если я живу в России, то я и так определенным образом доверяю центробанку. Не вижу ничего плохого в том, чтобы центробанк ставил дополнтельные метки на сертификаты банков.
А кто заверит что ЦБ РФ — тот самый? Ну честное слово, просто подумайте чуть дальше чем первый шаг…
- Публицный ключ ЦБ, так же как и ПК Let's Encrypt, входит в дистрибутив браузера/ОС.
- Даже в случае компрометации — ломается не вся система, а только лишь преступники получают возможность обозначить свой сайт как принадлежащий банку с точки зрения ЦБ. Это плохо, но не фатально.
К тому же подразумевается, что ЦБ умеет хранить такие секреты.
(Насколько я помню, все проблемы с СА были не из-за утечки ключа, а кривых проверок). - Добавить в МФЦ услугу "Получить распечатку с фингерпринтами ключей гос-ва".
Возможностью создания фишингового МФЦ, я думаю, можно пренебречь))
В дистрибутив какой ОС? а что делать со старыми ОС?
Так будет фишинговый ЦБ, похожий на него. И что значит не фатально? Сейчас то-же ни чего фатального нет.
Распечатка это вообще простите бред. Ни кто не будет сидеть и сверять ключи шифрования по распечаткам. Проще уже чексум урла проверять для защиты от фишинга.
Так будет фишинговый ЦБ, похожий на него. И что значит не фатально? Сейчас то-же ни чего фатального нет.
Распечатка это вообще простите бред. Ни кто не будет сидеть и сверять ключи шифрования по распечаткам. Проще уже чексум урла проверять для защиты от фишинга.
Пользователь старых ОС не смогут увидеть плашку "Этот сайт принадлежит ПАО Сбербанк из Реестра Банков ЦБ РФ лицензия №228/1337"
Фишинговый CA? Решается третьим пунктом.
Это предназначено для разработчиков браузеров, ОС, и тех кто не доверяет первым двум сущностям, т.е. параноикам.
Т.е. корнень доверия выносится в офлайн, где все довольно хорошо)
Ну тогда можно и не обсуждать даже. Большая часть населения использует старые ОС. Без возможности обновлять корневые сертификаты решение не жизнеспособное.
Каким образом фишинговый СА решается 3м пунктом?
Каким образом фишинговый СА решается 3м пунктом?
1) У Файрфокса свои списки ЦА, другие браузеры тоже могут что-то такое сделать
2) Вы имеете в виду ЦБ РФ CA?
Любой желающий, в том числе разработчик браузера, может прийти в МФЦ и получить там правильный публичный ключ. Т.е. для фишингового ЦБ СА вам потребуется поднять фишинговый центр госуслуг.
Фишинговый это не ломаный, фишинговый это «с похожим именем». Например буквы Р и А будут латинские. Визуально — то-же самое. У меня ощущение что мы строим велосипед — т.е. те-же самые сертификаты. Желания в 10ый раз объяснять как в итоге это все сломают — иссякло, уж простите.
- Злоумышленники не смогут создать якобы центр госуслуг.
- Злоумышленники не смогут создать якобы ЦБ СА.
- Злоумышленники не смогут получить получить подтверждение ЦБ на фишинговый сайт.
- PROFIT
На каком шаге вы видите ошибку в моих рассуждениях?
Они могут создать свою иерархию от корневого сертификата на всяких там «виргинских островах», и браузеры раздадут это с обновлениями. По началу будут выдавать с маломальскими проверками, а потом как Let's Encrypt — всем подряд. Тот кто сверяет ключи по распечаткам конечно это заметит — но он и сейчас это может заметить.
Потому 1 и 3 — не нужно, а 2 возможно.
grumbler66rus атаки на блокчейн возможны, и не дороги, мы же не биткоин атакуем, а какой-то мелкий-альт-коин-на-трех-видеокартах. А если это будет биткоин — то цена такой транзакции будет существенной. 5 баксов за вход на сайт?
Потому 1 и 3 — не нужно, а 2 возможно.
grumbler66rus атаки на блокчейн возможны, и не дороги, мы же не биткоин атакуем, а какой-то мелкий-альт-коин-на-трех-видеокартах. А если это будет биткоин — то цена такой транзакции будет существенной. 5 баксов за вход на сайт?
И в сертификате будет подпись Виргинского центробанка. В сетап браузера по умолчанию будет входить подсвечивание таких полей, что не соответствует стране пребывания.
Государств примерно 200, проверить 200 сертификатов — несложно.
Т.е. эдакий закрытый клуб сертификатов для банков? А завтра захочет такой-же для парикмахерских, а потом еще для чего-то. В итоге отличить зеленость адресной строки «по банковски» от «по парикмахерски» сможет чуть больше чем ни кто.
Аналогично банкам, так же можно поступить со всеми организациями вообще. В том числе парикмахерскими. Для банков да, отношение будет другим. Но ведь и риск от фишинга там куда выше.
В итоге отличить зеленость адресной строки «по банковски» от «по парикмахерски» сможет чуть больше чем ни кто.
grumbler66rus я не специалист по блокчейну. Но насколько я знаю — сложность не важна, важно контролировать ресурсы для контроля над консенсусом. В одном случае выч ресусры, в другом быть держателем коинов в количестве 51% и более. Вот недели две назад был на конференции, там иностранный докладчик перечислили будущие проблемы блок чейна, атака 51% там значилась как не решенная, а еще были квантовые вычисления.
А в случае если человек, контролирует ваш ДНС, он вполне может вам и левый блок чейн подсунуть.
сложность не важна, важно контролировать ресурсы для контроля над консенсусом— сложность у PoW прямо связана с затратами для получения этого самого контроля.
держателем коинов в количестве 51% и более— это относится к PoS и это уже прямые затраты, причём при попытке скупить такое количество их цена вырастет в десятки раз.
Атака стоимостью даже в десять миллионов долларов технически возможна, но бессмысленна.
На сколько я знаю, у PoW сложность динамическая и зависит от мощности сети. Если все резко перестанут майнить — то она упадет. В любом случае можно использовать мощности одной сети, для хака другой сети, и возврата в свою сеть.
Люди склонны считать что их деньги украли — когда их кто-то потратил вместо них. Можно завладеть чужими коинами исключительно для голосования, не тратить и не выводить, тогда люди ни чего не заметят. А еще обычно много коинов у основателя и прочих крупных игроков, которые можно «украсть» или «одолжить».
Люди склонны считать что их деньги украли — когда их кто-то потратил вместо них. Можно завладеть чужими коинами исключительно для голосования, не тратить и не выводить, тогда люди ни чего не заметят. А еще обычно много коинов у основателя и прочих крупных игроков, которые можно «украсть» или «одолжить».
Можно завладеть чужими коинами— как, если не купить?
можно «украсть» или «одолжить»— крадите холодный кошелёк неизвестного владельца. флаг в руки.
можно использовать мощности одной сети, для хака другой сети, и возврата в свою сеть.— очень дорогое удовольствие. Чтобы получить контроль над существенной долей майнинга, нужны гигантские затраты и уйма времени.
Переключить весь пул на пару секунд на нужную сеть, вроде не сложно.
Украсть доступ к кошельку, но не выводить средства, а просто использовать для голосований.
Украсть доступ к кошельку, но не выводить средства, а просто использовать для голосований.
Переключить весь пул на пару секунд на нужную сеть, вроде не сложно.И никому не нужно. Чтобы поддержать нужный форк, придётся майнить PoW-блокчейн мощностью больше 50% около часа (6 подтверждений для биткойна и других с 10-минутными блоками). За час часть народа свалит с такого пула.
Украсть доступ к кошельку, но не выводить средства, а просто использовать для голосований.— Слишком сложно в реализации, для надёжности монеты нужны на одном адресе.
Опять же стоимость атаки порядка десятков-сотен миллионов долларов.
u010602, я не утверждаю, что взлом (поддельная транзакция) невозможен. Подделать блокчейн можно, как и любое другое творение человека. просто стоимость подделки выше разумных пределов (потенциального профита) на порядки.
Оплачивается только публикация, и публикация в блокчейне копейки, особенно по сравнению с выпуском удостоверенного сертификата.
Просмотр блокчейна бесплатен на сторонних сервисах, а при необходимости полной уверенности нужно скачать блокчейн, это стоит собственный дисковых ресурсов и, для первого обращения — времени.
Посмотрите, как это сделано в namecoin и emercoin.
Кстати, emercoin имеет сложность биткойна — стоимость взлома превышает разумные пределы
Просмотр блокчейна бесплатен на сторонних сервисах, а при необходимости полной уверенности нужно скачать блокчейн, это стоит собственный дисковых ресурсов и, для первого обращения — времени.
Посмотрите, как это сделано в namecoin и emercoin.
Кстати, emercoin имеет сложность биткойна — стоимость взлома превышает разумные пределы
Некоторые банки используют смарткарты и, соответственно, mutual ssl authentication. Но это, все-таки, для юрлиц, ибо дорого и слооожно. С точки зрения рядового клиента
В идеале описанное вами решает запись в блокчейне:
— непосредственно перед запуском сайта создаём запись в блокчейне, что такой-то сайт имеет такого-то владельца, расположен по такому-то IP и имеет такой-то сертификат
— запускаем сайт
— при изменениях обновляем запись в блокчейне (на самом деле делаем новую запись)
— при обращении к сайту браузер смотрит непротиворечивость содержимого блокчейна и позволяет пользвоателю увидеть всю историю сайта в нём.
Подделка невозможна технически либо чрезвычайно дорога.
В случае утечки приватного ключа (как сертификатного, так и блокчейнового) делаем запись об этом в том же блокчейне (которая даёт браузеру сигнал о подделке) и заменяем сайт на новый — с другим именем.
— непосредственно перед запуском сайта создаём запись в блокчейне, что такой-то сайт имеет такого-то владельца, расположен по такому-то IP и имеет такой-то сертификат
— запускаем сайт
— при изменениях обновляем запись в блокчейне (на самом деле делаем новую запись)
— при обращении к сайту браузер смотрит непротиворечивость содержимого блокчейна и позволяет пользвоателю увидеть всю историю сайта в нём.
Подделка невозможна технически либо чрезвычайно дорога.
В случае утечки приватного ключа (как сертификатного, так и блокчейнового) делаем запись об этом в том же блокчейне (которая даёт браузеру сигнал о подделке) и заменяем сайт на новый — с другим именем.
EV-сертификаты с самого начала были шарлатанством и совершенно ничего не гарантировали. Как, впрочем, ничего не гарантирует и сама идея доверенных CA. Подробности можно найти в отличной книге Питера Гутмана «Engineering security».
Да тут и без книги все было понятно с самого начала, чисто из идеи: если мой сертификат подписывается сторонним сертификатом, то надо проверять тот, сторонний. Если сторонний кем-то, в свою очередь, подписан — то проверяем того, третьего, если же и он подписал — то… Как ни крути, эта «логика курица-яйцо» должна иметь «первую точку», которой и выступает доверенный ЦС.
И если на заре интернета встроенные в ОС списки ЦС казались надежным дубовым решением (даром что даже договориться не смогли: часть браузеров и ПО использует идущий с ОС список ДЦС, а часть — свой, встроенный; отдельно стоят «классные парни» вроде Filezilla, которые пишут буквально: «мы не проверяем серты по спискам, при первом входе на TLS-защищенный сервер вы должны сами проверить присланный им сертификат и подтвердить, что этому сертификату можно доверять всегда»), то с тех пор почти все ЦС из тех, первых списков уже показали себя как недостойные доверия (вспомните недавнюю тему с Symantec — и она не единственная с теми «столпам», что как бы «доверенные» с самого начала были). Так что сегодня мы имеем ситуацию, когда мы по инерции верим старой неверной идее, и какие книги не пиши — исходная проблема никуда не девается.
Да, есть костыли, вроде умения Chrome проверять сертификаты Google по своим, независимым от всего мира, спискам — но костыли эти лишь оттеняют основную проблему: сертификаты относительно, а не абсолютно, достойны доверия.
Старый принцип, что существующую проблему в самом основании любой технологии никак не решить наваливаем поверх проблемы новых решений — как дом, построенный на слабом грунте без правильного фундамента, может развалиться, какой бы качественный кирпич мы не брали — так что все эти виды сертификатов, проверка юрлица и прочее только отвлекают наше внимание от вопроса, на который ни один продавец сертификатов не может ответить.
Иные компании покупают EV только из-за гарантий, которые идут с ним (хотя гарантия там бессмысленная). Это тупо влияет на бизнес-имидж компании, на ее капитализацию. На безопасность по сути влияния от этой покупки нет.
Кстати, что у EV выводится — это тоже отдельная штука. В России, где половина бизнесов работает в виде группы ИП-шечек и ООО-шечек, читать в адресной строка сайта supermagazin.tld строчку «Pupkin I.A. Individual Entrepreneur» (ну да, UTF8 запилить не осилили, хотя 21 век на дворе, а в строке должно быть юридическое название владельца сайта, так?) — на какое «доверие» к сайту такая надпись работает? Я так понимаю притом, что строка эта по закону не должна содержать правду, т.е. это вовсе и не доказательство с юридической точки зрения. Последнее время, правда, вижу, что в EV стали писать более читабельные строки, вроде «BANK ABC [RU]», а не как раньше практиковалось, «ABC BANK JSC [RU]» — но русских букв так и не появилось.
И если на заре интернета встроенные в ОС списки ЦС казались надежным дубовым решением (даром что даже договориться не смогли: часть браузеров и ПО использует идущий с ОС список ДЦС, а часть — свой, встроенный; отдельно стоят «классные парни» вроде Filezilla, которые пишут буквально: «мы не проверяем серты по спискам, при первом входе на TLS-защищенный сервер вы должны сами проверить присланный им сертификат и подтвердить, что этому сертификату можно доверять всегда»), то с тех пор почти все ЦС из тех, первых списков уже показали себя как недостойные доверия (вспомните недавнюю тему с Symantec — и она не единственная с теми «столпам», что как бы «доверенные» с самого начала были). Так что сегодня мы имеем ситуацию, когда мы по инерции верим старой неверной идее, и какие книги не пиши — исходная проблема никуда не девается.
Да, есть костыли, вроде умения Chrome проверять сертификаты Google по своим, независимым от всего мира, спискам — но костыли эти лишь оттеняют основную проблему: сертификаты относительно, а не абсолютно, достойны доверия.
Старый принцип, что существующую проблему в самом основании любой технологии никак не решить наваливаем поверх проблемы новых решений — как дом, построенный на слабом грунте без правильного фундамента, может развалиться, какой бы качественный кирпич мы не брали — так что все эти виды сертификатов, проверка юрлица и прочее только отвлекают наше внимание от вопроса, на который ни один продавец сертификатов не может ответить.
Иные компании покупают EV только из-за гарантий, которые идут с ним (хотя гарантия там бессмысленная). Это тупо влияет на бизнес-имидж компании, на ее капитализацию. На безопасность по сути влияния от этой покупки нет.
Кстати, что у EV выводится — это тоже отдельная штука. В России, где половина бизнесов работает в виде группы ИП-шечек и ООО-шечек, читать в адресной строка сайта supermagazin.tld строчку «Pupkin I.A. Individual Entrepreneur» (ну да, UTF8 запилить не осилили, хотя 21 век на дворе, а в строке должно быть юридическое название владельца сайта, так?) — на какое «доверие» к сайту такая надпись работает? Я так понимаю притом, что строка эта по закону не должна содержать правду, т.е. это вовсе и не доказательство с юридической точки зрения. Последнее время, правда, вижу, что в EV стали писать более читабельные строки, вроде «BANK ABC [RU]», а не как раньше практиковалось, «ABC BANK JSC [RU]» — но русских букв так и не появилось.
А я по-прежнему стараюсь смотреть на зеленую строку когда ввожу инфу типа кредитки. И дело даже не в том, что EV сложно получить какому-нибудь левому парню, а в том, что он просто пожмотится на него. Я бы, как минимум, загуглил отзывы по какому-либо сайту прежде чем вводить туда данные кредитки, если бы там стоял летс енкрипт.
Поэтому не совсем согласен с автором статьи. Как раз замороченная и долгая процедура выдачи + неоправданная и невозможность автоматизации частично останавливают скамеров, которым количество важнее качества
долгая процедура выдачи + неоправданная дороговизна*
И выборка по самым крупным компаниям тоже не совсем правильна. Конечно, у амазона URL у всех на слуху, зачем заменять его названием компании?
А когда заходишь на сайт о котором еще вчера ничего не слышал, ведёшь себя более осторожно и присматриваешься к
что EV сложно получить какому-нибудь левому парню, а в том, что он просто пожмотится на него
Но если ты разработал целевую атаку на пользователей какого-нибудь PayPal, то можешь и не пожмотиться, и тогда все эти якобы проверки и якобы гарантии замечательнейшим образом превратятся в тыкву.
НЛО прилетело и опубликовало эту надпись здесь
что центр выдачи сертификатов проверил юрлицо, а не просто DNS-запись.
а как же https://stripe.ian.sh/ ?
Длинная статья, вот это Троя бомбануло, не дочитал 20%
I am done tweeting in nerdville and back focusing to my customer's real world problems.
Я общаюсь и в нердвилле и в нормальном мире, ориентируясь на проблемы моих клиентов из реального мира.
С меня достаточно «твиттать» с нердвиллем, я возвращаюсь к насущим проблемам своих клиентов.
Сколько стоил перевод?
Я общаюсь и в нердвилле и в нормальном мире, ориентируясь на проблемы моих клиентов из реального мира.
С меня достаточно «твиттать» с нердвиллем, я возвращаюсь к насущим проблемам своих клиентов.
Сколько стоил перевод?
Какие-то странные аргументы против EV.
Сертификат, подписанный доверенным ЦС (о доверии к ЦС отдельный вопрос..), решает одновременно несколько независимых вопросов.
1) Подтверждение домена. Точнее так — можно удостовериться с высокой вероятностью, что в данный момент соединение к d0m41n.com или его поддоменам идет к серверам того же владельца, до которого в момент выдачи сертификата вело соединение с серверов ЦС.
После появления LE и массового отказа от HTTP это как бы стало нормой и пожалуй действительно уже не должно выделяться. Важный минус тут в том, что LE у нас получается фактическим монополистом.
2) Подтверждение организации (OV/EV). Это защита от именно фишинга в практическом смысле — что, перейдя по ссылке из письма на привычную страницу банка, я могу мельком посмотрев на адресную строку, удостовериться, что по крайней мере какой-то из доверенных ЦС после какой-то своей проверки выдал организации ACME Ltd сертификат на домен acme-online.com
И при следовании всех доверенных ЦС определенным правилам и нормальном аудите проверок при выдаче OV/EV, я понимаю, что большинство мелких фишеров не будет заморачиваться регистрацией однодневки для рассылки фишингового спама со ссылкой на асmе-оnlinе.com. А если заморочится — то можно будет попробовать найти какие-то юридические концы, при условии нормальной работы спецслужб.
И если браузеры будут этому обучать пользователей, то хоть какая-то горстка юезров сможет не попаться на фишинговый домен, задавшись вопросом, а почему это вон в углу не отображается название банка.
Тут можно провести параллель с нотариальными доверенностями — для совершения каких-то некритичных действий по доверенности достаточно её просто показать (с нее возможно снимут скан, но действие выполнят сразу, не выполняя дополнительных проверок), но если я приду в банк выполнять какие-то действия со счетами другого лица — доверенность будут проверять, уточнят существование такого нотариуса в базах, обратятся по официальным контактам к этому нотариусу для подтверждения существования такой доверенности и т.п.
Короче говоря — EV как некий нотариальный индикатор нужен для компаний ряда видов деятельности (банки, госуслуги/налоговая, ...), но нужна его адаптация под современные реалии и обучение пользователей.
Сертификат, подписанный доверенным ЦС (о доверии к ЦС отдельный вопрос..), решает одновременно несколько независимых вопросов.
1) Подтверждение домена. Точнее так — можно удостовериться с высокой вероятностью, что в данный момент соединение к d0m41n.com или его поддоменам идет к серверам того же владельца, до которого в момент выдачи сертификата вело соединение с серверов ЦС.
После появления LE и массового отказа от HTTP это как бы стало нормой и пожалуй действительно уже не должно выделяться. Важный минус тут в том, что LE у нас получается фактическим монополистом.
2) Подтверждение организации (OV/EV). Это защита от именно фишинга в практическом смысле — что, перейдя по ссылке из письма на привычную страницу банка, я могу мельком посмотрев на адресную строку, удостовериться, что по крайней мере какой-то из доверенных ЦС после какой-то своей проверки выдал организации ACME Ltd сертификат на домен acme-online.com
И при следовании всех доверенных ЦС определенным правилам и нормальном аудите проверок при выдаче OV/EV, я понимаю, что большинство мелких фишеров не будет заморачиваться регистрацией однодневки для рассылки фишингового спама со ссылкой на асmе-оnlinе.com. А если заморочится — то можно будет попробовать найти какие-то юридические концы, при условии нормальной работы спецслужб.
И если браузеры будут этому обучать пользователей, то хоть какая-то горстка юезров сможет не попаться на фишинговый домен, задавшись вопросом, а почему это вон в углу не отображается название банка.
Тут можно провести параллель с нотариальными доверенностями — для совершения каких-то некритичных действий по доверенности достаточно её просто показать (с нее возможно снимут скан, но действие выполнят сразу, не выполняя дополнительных проверок), но если я приду в банк выполнять какие-то действия со счетами другого лица — доверенность будут проверять, уточнят существование такого нотариуса в базах, обратятся по официальным контактам к этому нотариусу для подтверждения существования такой доверенности и т.п.
Короче говоря — EV как некий нотариальный индикатор нужен для компаний ряда видов деятельности (банки, госуслуги/налоговая, ...), но нужна его адаптация под современные реалии и обучение пользователей.
Короче говоря — EV как некий нотариальный индикатор нужен для компаний ряда видов деятельности (банки, госуслуги/налоговая, ...), но нужна его адаптация под современные реалии и обучение пользователей.
Это не работает, хотя бы потому что государства еще не отменили. Условно — какому-нибудь УЦ из Америки вообще ехало-болело от существования банка Вася Пупкин и Ко в России. Я уж не говорю о том, что если РФ попадает под санкции, то есть неиллюзорная возможность получить отзыв сертификата. Или какое может быть доверие к УЦ, который является ООО в во враждебно настроенной стране? Решения общего не существует.
Талант, текст в один абзац разбить на такую портянку…
Порадовал график со шкалой от 0% до 60%. Явно делал грамотный человек :)
Скрытый текст
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
EV-сертификаты мертвы