Как стать автором
Обновить

Комментарии 29

а почему дарт вейдер, тьфу дарк маттер вообще решила, что её сертификат должен быть в мозилле? они собираются стать удостоверяющим центром? или теперь любой может попросить включить свой сертификат в список доверенных?
Поясните плз, кто в курсе…
теперь любой может попросить включить свой сертификат в список доверенных?

Так собственно всегда и было, более-менее.

прочитал. однако. а… зачем? я понимаю, что например удостоверяющим центрам необходимо свой сертификат в мозиллу впихнуть, но вот другим-то зачем? Вернее, почему мозилла разрешает не только публичным сертификат сервисам добавлять свои сертификаты? это позволит (например) использовать фф в гос.органах без необходимости добавки корневого сертификата? какой юз кейс для мозиллы то…

Например AWS позволяет делать https-терминирование на своих LB и выписывает сертификаты своим CA. AWS, в целом, не является публичным CA так как ключевой материал они на руки не выдают.

Почему им нельзя subordinate CA получить у кого то еще для этих целей?

А разве кто-то из корневых CA продает безлимитные и публичные дочерние?

Ну судя по тому что GlobalSign это прямо упоминает — www.globalsign.com/en/blog/what-is-an-intermediate-or-subordinate-certificate-authority
Why Would You Want Your Own Subordinate CA?
So, now that you know what subordinate or intermediate CAs are and where they fit into the broader CA architecture, we can now address why organizations might want their own – that is, a dedicated subordinate CA in their name

How to Get Your Own Subordinate CA — In-House vs. Hosted PKI
If having your own subordinate CA sounds like the answer to your problems, the next logical question is how to get one. For this, like so many other aspects of technology nowadays, you have the option to build your own or use a SaaS solution.

To be fair, if you need public trust, this debate is kind of irrelevant – you need to work with a public CA. For private use cases though, such as those mentioned above and others unique to the company, running an internal CA is still an option.

И даже www.globalsign.com/en/blog/what-is-ssl-inspection

There's a Better Way – Use a Private, Dedicated Root From a Third Party CA
If trying to manage multiple roots or relying on self-signed certificates doesn’t appeal to you, you should know that those aren’t your only options. You can work with a third party CA instead (note: not all CAs support this; GlobalSign does). Now you may be wondering, “wait a minute, I thought you couldn’t use publicly trusted certificates for SSL inspection appliances?” You’re right – in this case, the certificates would be issued from a private issuing CA that chains up to a dedicated, private root CA created for your company that GlobalSign manages.


Сколько это стоит и какие именно ограничения — я думаю GlobalSign_admin сможет рассказать.
Вопрос регистрации публично-доверенного удостоверяющего центра связан как с выполнением требований по оборудованию и инфраструктуре, так и прохождению различных проверок, аудитов, а также процедурой добавления корневых сертификатов в браузеры, операционные системы. Согласование с каждым поставщиком браузеров, операционных систем происходит независимо друг от друга.
Публично-доверенные удостоверяющие центры могут предоставлять облачные решения по выпуску брендированных сертификатов.
Решение SSL Inspection подразумевает выпуск только приватных сертификатов, которые вне инфраструктуры организации не будут являться доверенными.
Если будут вопросы, можете обратиться к нашим техническими специалистам, которые расскажут подробнее +7 (499) 678 2210
Но общепринятые правила таковы, что хакерские фирмы сотрудничают только с демократическими правительствами, то есть стоят «на стороне добра».

Сомневаюсь, что сотрудничество с любым правительством можно назвать стоянием на стороне добра, даже в кавычках.
Тк вы бы отказались помогать правительству ловить особ занимающихся human trafficking?

И как вы думаете, лучше, чтоб правительство взаимодействовало с whitehat, которые имеют етические нормы, или с blackhat, которые могут попросить расчитаться бартером каким-нибудь доступом к гос данным?
Я стараюсь не преувеличивать зависимость действия правительства от того, что я считаю лучшим)))
Почему?
отказ в заявке DarkMatter на основании этих статей в прессе создаст прецедент отказа в очевидной добросовестности члена индустрии на основании только слухов и без доказательств
Но ведь в этом и состоит «доверие», разве нет? Если компания хоть «немного мутная», то и доверять не стоит. Тем более, «поставлять доверие» пользователям.
А «немного мутной» по такой логике можно стать всего лишь по одной заказной статье от конкурента?
Возникает вопрос почему DarkMatter не пытается засудить Reuters за клевету/подрыв деловой репутации и прочее. Это же вроде должно быть нормальным решением в такой ситуации?
Доверие должно быть обеспечено деньгами. Если с помощью сертификата, выпущенного данным УЦ, злоумышленники смогут контролировать трафик к ресурсу, который им не принадлежит, то УЦ должен выплатить штраф и компенсировать пострадавшим убытки. Вот на таком механизме и должно основываться доверие.
Согласен. Всегда и во всём должна быть оговорена и закреплена ответственность.
Доверенное корневое хранилище сертификатов Mozilla используется в том числе некоторыми дистрибутивами Linux.

И отечественными дистрибутивами Linux тоже. Вообще хранилище сертификатов от Mozilla используется очень широко, например, может использоваться в LibreOffice.

И никому в голову не приходит предоставить пользователю контроль над тем, кому можно доверять, а кому нет. Почему нельзя, например, запомнить удостоверяющий центр при первом посещении сайта? Если встрянет митм, сразу станет заметно.
И настройку ограничения по доменам, которые могут им удостоверяться.
Например, введут российский ЦА, а в браузерах можно было бы ограничить его только для доменов в зонах .ru,.рф и .su, например. Либо вообще списком доменов.
Эффективность такого метода будет скорее всего отрицательной. Некоторым пользователям достаточно сложно объяснить что «если не видишь зеленый замочек в верхнем-левом углу — пароли не вводи», а вы тут какие-то удостоверяющие центры проверять предлагаете. Это ещё при том, что многие пользователи ведутся на «зеленый замочек» у сайтов вроде «security-of-your-bank.ru.co.me».
Пользователей, которым сложно объяснить, что нельзя вводить пароли на подозрительных сайтах, ничем нельзя спасти. Они одинаково уязвимы при любой политике доверия. Но у таких пользователей, как правило, и нет ничего особенно ценного на компьютере. Поэтому брать их в расчет просто не стоит. Для них нужны отдельные решения, основанные на доверии к знакомому человеку, опекуну, наставнику или нотариусу.

Зато подавляющее большинство остальных пользователей вполне способно выделить критичные для себя ресурсы и самостоятельно настроить параметры доверия к ним. Например мне достаточно обеспечить доверенное подключение к одному из почтовых ящиков и к нескольким ресурсам, через которые я управляю своими деньгами.

Но нам почему-то навязывают мнение, что все пользователи тупые, поэтому их надо защищать без их ведома. При этом все риски авторы «безопасных протоколов» почему-то предпочитают переложить на самих пользователей.
Попробовал себе поставить аддон для фоксы, который мониторит изменение сертификата. (cert controller или как-то так). По итогам — полная жесть. Сертификаты меняются постоянно, при чём даже порой при перезагрузке страницы. В т.ч. и сертификационные центры. Часто после входа приходится закрывать кучу окошек с сообщениями о новых сертификатах.
Самое забавное, что запрет замены (аддон позволяет отклонть новый) ни на что не влияет. Т.е., похоже, многие сайты постоянно используют нескорлько сертификатов от разных центров и выдают их рандомно.
Короче — нормальный юзер повесится от такого контроля минут через 0.5
Такое уже было. Гуглите «HPKP». От него отказались.
Есть CAA запись домена, которая определяет УЦ, который может выпускать сертификаты для этого домена. Не знаю проверяют ли браузеры эту информацию, но, технически, вполне возможно добавить.
Мобильный Яндекс.Браузер проверяет. Я на своих доменах на всякий случай везде поставил 128 (critical). Но это опять же хозяин сервера решает, а не клиент. Я на свои сайты могу запретить заходить, если от сервера пришел не тот сертификат, а вот банки почему-то таких ограничений не накладывают. Значит, если при подключении к интернет-банку мне придет сертификат касперского, то мой браузер будет обязан ему верить.

Да-да-да. Слышали. Все пользователи тупые, поэтому мы будем их защищать без их ведома, но все риски все равно переложим на них.

https — это вроде хорошо. Все перевели сайты на https, ведь зеленый значок — это круто и безопасно. А потом бац — сертификат-то кривой оказался и массовые отзыв сертификатов. И все сайты с этими сертификатами перестали открываться. А есть есть целый ряд IoT-устройств?
Удобно обрушить целые сегменты интернета одним легким движением руки…
«Хорошо, если это сертификат на одном сервере, но проблема становится серьёзной, если у вас мгновенно отзывают сотни сертификатов на IoT-устройствах. „
Ага, а завтра РКН (и их казахские коллеги) попросят их корневый серт добавить в список корневых во всех браузерах, ссылаясь, что это будет ЦС для нужд госслужб — и слова «гос-MITM» обретут некий смысл.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.