Как стать автором
Обновить

Комментарии 148

Ххаа... И теперь если кто-то еще не хотел ставить себе в доверенные сертификат от миноборо роскомнадз российских УЦ - придется поставить. И если мы с вами еще можем придумать как запускать правильные сайты/мессенджеры без этого сертификата - то моя мама - вряд ли.

Скоро российских пользователей научат либо вообще по http ходить либо сертификат установить в систему.

А потом перестанут приходить обновления на винду и выйдет АстраВиндовс.

И что в этом плохое? Нравится быть постоянно зависимым от чужих решений?

В товарище майоре, который будет иметь доступ к приватному ключу.

Конечно большой брат сильно отличается от товарища майора!

да

Брат за океаном, и прийти ко мне не сможет, да и не захочет

То есть, если бы выжили не в РФ, а США, то позиция была бы строго обратной? Товарищ майор к вам не пришел бы, в отличие от старшего брата?

Именно так. И именно в этом логика. Оффшоры тоже стараются открывать подальше от той юрисдикции, где дела ведут. Я вот не хочу, чтобы «скерпые» «православные» силовики ко мне пришли выяснять мои сексуальные предпочтения. Точно также я не хочу чтобы ко мне пришли западные «защитники прав детей». Пусть даже сейчас я не боюсь признать, что я анимашник, ситуация как-то слишком быстро меняется.

Оффшоры тоже стараются открывать подальше от той юрисдикции, где дела ведут.

а-а-а-а! поэтому, видимо, японцы в Гонконге и Сингапуре трутся все как один! А Китайцы в Гонконг лезут -- так это вообще прям подтверждение твоей логики!..

я-то, дурак, всегда думал, что слушают того, кто представляет интерес.

Но по итогам, всё как всегда: люди больше всего боятся, что местный участковый узнает какую порнуху те предпочитают, а не того, какие финансовые махинации и схемы предпринимаются, чтобы уйти от налогов. ну, или какая-то ещё незаконщина...

«Сегодня он играет джаз, а завтра Родину продаст» помните? А это запросто применяется не только к джазу, а к чему угодно. Хоть к хамону, хоть к аниме, хоть вообще к увлечению IT в нерабочее время.
И технологии давно позволяют слушать каждого. «Товарищ Майор» в данном контексте это компьютерные программы, СОРМ и т. п.
НЛО прилетело и опубликовало эту надпись здесь
Классика же…

В свете последних событий мы видим, что товарищ майор может и границу пересекать

Для тех кто по ту сторону границы такое изменение ситуации как бы очень заметно. И есть время сменить майора на брата.

Скоро не сможет... И чем мойористее этот майор - тем меньше шансов...

наивный чукоДский вьюноша…

Лучше на фейсбуке видеть рекламу резиновых ди кока-колы и сникерсов, чем сидеть за недостаточное восхваление государства в вк.

ну например меня в фейсбуке заблокировали навечно, та еще контора.

Вообще это здорово, когда диктаторские режимы зависимы от остального мира и не могут развязывать войны и угрожать всему миру

Кажется на хабр ботов нагнали тоже. В 3 смены работают, бедненькие.

Посмотрите определение слова «диктатура» и сравните с происходящим у нас в России. Вот уж точно о чем невозможно поспорить.

А это точно хуже олигархии, которая называет себя демократией?

Ну если олигархия не будет угрожать войной другим странам, а только грабит свою страну, то да.

не будет угрожать войной другим странам

Югославия, Иран, Ирак, Авганистан, Ливия и т.д. и т.п. передают вам привет.

Авганистан

Вам сколько лет?

А Ирак точно не угрожал другим странам?

Это не столь существенно в нашей истории. Просто Ирак имел неосторожность иметь так нужную "демократии" нефть на своей территории. Кстати, как и Сирия сейчас - трубопровода нет, но нефтевозы идут сплошной колонной...

Просто Ирак имел неосторожность иметь так нужную "демократии" нефть на своей территории.

Ирак, имея мало нефти, имел неосторожность захватить Кувейт, где её было как раз много. Все те горящие скважины, о которых вы, вероятно, вспомнили, были подожжены отступающими иракскими войсками на территории Кувейта.

Югославия

Там местные диктатор не один год утюжил местное население перед тем, как НАТО решило вмешаться. Число гражданский жертв от действий Милошевича исчисляется десятками тысяч(причем там как-раз доказанный геноцид. Россия одна из немногих страх, которая это отрицает. Наверно потому что когда Милошевич казнил мусульман у себя, в РФ бомбили Чечню). Но в РФ, конечно же, предпочитают говорить о погибших при бомбардировках. Что тоже плохо, но не нужно считать, что НАТО просто, без причины решило действовать.

Ага, одна маленькая неувязочка. У НАТО нет полномочий где-то останавливать геноцид. Это полномочия ООН, на которые НАТО насрало.
И еще забавный факт. Геноцидом признан только эпизод в 95 году. Зачем ждали 4 года чтобы остановить геноцид, которые давно случился?

Точно хуже

Да, точно. Учитывая, что их почти не существует. Обычно просто на демократию вешается ярлык "олигархии", и дело готово.

И даже в случае олигархии, всегда группа людей лучше чем единоличное управление.

НЛО прилетело и опубликовало эту надпись здесь

это вы ситуацию со своего рабочего места описываете?

Увы, могут и развязывают...

Ну тогда изначально не надо было продавать сертификат. Ведь они давно Россию так называют. А продать и получить за сертификат деньги, что бы потом отозвать (не важно по какой причине) - не достойный поступок.

А продать и получить за сертификат деньги, что бы потом отозвать (не важно по какой причине) - не достойный поступок.

читайте ToS. Если там указано, что возможен отзыв, то это был вполне законный и рыночный договор. Возможно отзыв был произведен по заявке третьей стороны (не знаю, возможно ли это, через что-то типа механизма эбьюза). Но в текущей ситуации подсанкционные банки не могут вызывать доверия. SSL ведь про доверие. А как можно доверять подконтрольным государству агрессора компаниям? Поэтому все логично. Жду анализа или Ваша точка зрения как бы.... сказать.... беспочвенна.

читайте ToS. Если там указано, что возможен отзыв, то это был вполне законный и рыночный договор

Безотносительно текущей ситуации с войной, от которой я в шоке. А есть УЦ, в которых нет такого пункта? Вот, например, все наши ОПСОСы у себя в договорах имеют пункт, по которому они могут в любой момент как угодно изменить цену и им даже не нужно меня об этом уведомлять, им достаточно просто написать об этом на своем сайте. А если я чудом это прочитал, единственное, что я могу сделать, это расторгнуть договор. Но проблема в том, что альтернативы нет и я не могу заключить договор без этого дискриминирующего меня пункта..


Если зхавтра все ОПСОСы или УЦ напишут, что вы обязаны ставить на лоб клеймо с рекламой их компании, вы тоже будете говорить, что все нормально, что это законный и рыночный договор? Пойдёте клеймо ставить, выбора-то у вас не будет? Сегодня, например, без сотовой связи обойтись практически невозможно, т.к. без номера телефона вас ни банки, ни госуслуги всякие не будут обслуживать. И без сайта большинству бизнесов обойтись нельзя.

Пойдёте клеймо ставить, выбора-то у вас не будет?

ФАС и ее аналоги в других странах как раз такими требованиями и должны заниматься.

SSL как бы изначально подавался про то что это доверие что сайт к которому обращается — принадлежит тем кто запросил сертификат. Все.

  1. Конечно на фоне происходящего между двумя странами эмоции могут зашкаливать, но грамотным воспитанным людям это свойственно их сдерживать.

  2. Еще в школе учат "вассал моего вассала - не мой вассал" и потому высказанное Вами в ответ на мое замечание как бы... сказать... беспочвенно. :)

  3. Кажется президент Украины угрожал России атомной бомбой, но его почему-то ни Вы ни Европа агрессором после этих слов не признает и SSL сертификаты не отзывают. Хотя для стран запада двойные стандарты вполне характерны и не удивительны.


мне нравится подход Китайцев в любом вопросе. Ни кому не угрожают, войска никуда не вводят, а просто работают и своего добиваются просто трудом.

Кажется президент Украины угрожал России атомной бомбой

у него нет и не было атомной бомбы (и не могло быть). Будапештский меморандум помните? Далее пожалуй не буду продолжать.

не я это сказал, вот авторитетное издание РБК от 19 февраля пишет: https://www.rbc.ru/politics/19/02/2022/621108ac9a7947f316c3b93e как минимум грязную бомбу сделать вообще не проблема с его доступом к Чернобыльской электростанции.

сделать вообще не проблема

/сарказм он

Ну да. Чуть сложнее сделать метабурбуляционный транклюкатор, он разрушает связи в любой материи, на основе эффекта "кулоновского взрыва". Ну или трансфлюксер, Этот еще хуже.

/сарказм офф

Суть же простая: за возможность или за рассказы о возможности создания оружия обычно не наказывают очень строго. Иначе каждого фрика от науки, который бредит рейлганами или иной фигней надо не только в дурку сажать, а давать сразу три года расстрела, каждый день - смертельно.

вот авторитетное издание РБК

Мда уж... Насчет авторитетности, особенно про то, кто и что сказал... Это уж Вы, батенька, дали дыму-чаду.

Угрожал отказом от Будапештского меморандума. И не России, а всем участникам. Бомбы у него нет и не может быть в ближайшие годы, так, что ей он угрожать не мог. Остальное ваши домыслы и кликбейт СМИ.

А если ещё учесть, что Россия считает Украину не тем государством, что подписывало Будапештский меморандум, то становится вообще непонятно, от чего он угрожал отказаться.

Да какие там годы. Грязную бомбу можно за часы сделать.

Я понимаю, что мужик может и ляпнул с горяча, может и делать вовсе не хотел, но на такой должности фильтровать надо каждую букву прежде чем что-то ляпнуть.

Вот только это вторжение нанесёт России на порядок больше ущерба, чем могла бы нанести даже полноценная атомная бомба.
К концу года глянем статистику по сверхсмертности (если её к тому времени не засекретят) и сравним с количеством жертв в Хиросиме. Что-то мне подсказывает, что только по числу жертв потери России от экономических последствий вторжения будут как от десятка атомных бомб, и это только за первый год.
Потери материальных ценностей и вовсе за пределами всякого воображения.

Я уже писал, что в этом отношении мне Китайский подход нравится. Ни одной войны за последние годы вроде не начинали, а всего чего хотели добиться - добились.

Учитывая какой там сейчас бардак с прогнозами и аналитикой, то больше не авторитетное. И авторитетных теперь нет. Хотя бы уже потому, что везде не «война», а «спец. операция».

Вот ведь ни слова в вашей ссылке про угрозы бомбой нету. Это вы додумали продолжение того, что он сказал (ну или за вас додумали, как вам приятней)?

Может быть он имел в виду

Будапештский меморандум не работает, и все пакетные решения 1994 года будут поставлены под сомнение ... поэтому мы сделаем ядерную бомбу и будем всех бамбить(с)

А может быть

Будапештский меморандум не работает, и все пакетные решения 1994 года будут поставлены под сомнение ... и это означает большую угрозу для мира, поскольку ядерные державы которые могли рассматривать вопрос разоружения больше не чувствуют себя в безопасности

Ни кому не угрожают, войска никуда не вводят, а просто

Очень выразительно смотрят на Тайвань. Очень выразительно так смотрят.

ну тут не поспоришь, не в бровь, а в глаз .

Китайцы то никуда не вводят? Помимо Тайваня, который уже упомянули, нужно ещё вспомнить Южно-Китайское море, где китайцы активно насыпают острова и строят военные базы чтобы захватить себе нефть, газ, рыбу и судоходные маршруты. https://en.wikipedia.org/wiki/Territorial_disputes_in_the_South_China_Sea

Всякие расторжения должны производиться с уведомлением за разумный срок, что бы вторая сторона могла подготовиться, иначе любые подобные внезапные поступки на эмоциях не красят того кто их делает в независимости от обстоятельств. Получается, что кто-то кого-то считает негодяем только за то, что он, тот другой - гражданин другой страны, руководство которой повело себя не так как хотелось бы этим самым недовольным и потому они поступают точно также и встают в один ряд, но называют себя правильными пацанами. Проявление нетерпимости к людям и организациям по факту расовой/этнической/гражданской и иной принадлежности лично я считаю неприемлемым.

перепалку на эту тему продолжать не хочу. Это не наши с Вами шахматы.

Я вот спустя несколько часов почитал свои же комментарии и понял, что грубоват был. Извиняюсь за грубость.

"Свои" сертификаты страна внедряла ради того, чтобы обрезать "неугодную" информацию в интернете и образовать чебурнет. Сейчас же, когда "неугодная" информация самоустранилась сама, или вот-вот, и чебурнет уже почти пришел, то переживать из-за одного единственного сертификата както мелочно

У меня все нормально открывается.

Я бы скорее банк сменил, чем поставил российские сертификаты.

Нормально зашел, все ОК.

А я нет.

Только с компьютера. С телефонов до сих пор не работает.

Вот только что зашел через хром с андройд телефона.

Мобильное приложение так же функционирует.

У меня ругается на сертификат. Safari, iPhone. С компа без проблем, тоже Safari. Возможно нюансы с обновлением сертификата.

У вас уязвимая версия, обновитесь)

перевыпустили новый серт в спешном порядке.
перевыпустили новый серт в спешном порядке.

Я сейчас зашёл, у crb.ru от digicert'а, выдан 26 января этого года. Не выглядит как срочная ротация.

Мне кажется, перед громким заявлением про "отзыв" надо было бы эти отзывы показать.

И да, у cbr.ru сертификат всё-таки от Thawte. Root CA в данном случае наверное не так важен, правда? =)

C = US, O = DigiCert Inc, OU = www.digicert.com, CN = Thawte TLS RSA CA G1

Thawte был куплен digicert'ом много лет назад же?

Про покупку не знал, смотрел только на canonical name.

Хороший троллинг, или просто опечатка в адресе сайта? ))

Опечатка. Но я бы там что-то душевное разместил. Например, ужастик про доллар по 50.

Opera - Сертификат отозван

Теперь вы тоже знаете, что Chrome использует собственную технологию проверки отзыва сертификатов -- CRLSets, которые обновляются с задержкой относительно CRL/OCSP.

У меня не открывались ни в FireFox, ни в Chrome, ни в IE. На соседних компьютерах тоже самое.

Теоретически еще может зависеть от антивируса или, если Вы недавно посещали эти сайты, то от кэширования.

Если бы не было проблемы с сертификатами, то зачем бы ВТБ в срочном порядке сегодня заменил предыдущий сертификат, у которого срок действия заканчивался нескоро? У ВТБ еще пару часов назад был точно такой же сертификат, как у ЦБ и ПСБ. Пока писал статью не успел его заскриншотить.

И еще нужно учитывать, что проблемы с сертификатом явно решат и это может произойти очень быстро. Поэтому, если все оперативно исправили, то я рад. Но сам факт того, что по щелчку пальцев можно сделать недоступными такие сайты пусть и на короткое время, настораживает.

Потому что на самом деле по какой-то причине отозван. Просто остальные браузеры ещё не проверили цепочку доверия, а firefox сразу это делает.

Ну в файрвофксе на десктопе у меня пока норм. А вот в телефоне 11 дроид с хромом, открывается без сертификата.

На хабраэффект надеетесь?

У меня почему-то Firefox без проблем зашел.
Что я сделал неправильно?

Вообще в FF нет никаких проблем. Цепочка сертификатов валидна.
Видно, ВТБ сегодня сменили сертификат, а другие имеют выданный в январе и на год. Подозреваю, что проблема в доступности центров сертификации.

ВТБ сменили, потому что старый просто аннулировали. Сам наткнулся на такое. Firefox не пускал, в хроме получилось зайти. В firefox снял галочку в настройках про проверку сертификатов - и тоже работает.

Кстати, а как с оплатой хостингов типо azure... Или корпоративной почты на gmail...

Кто в курсе, есть ли вероятность отзыва сертификатов ZeroSSL и Let's Encrypt у сайтов, не попадающих под санкции (простыми словами, обычные частные сайты)? Если есть, то какова она?

В общем случае у LE нет достаточно информации, чтобы классифицировать сайт как принадлежащий лицу под санкциями. Хотя могут рубануть ru/рф; вероятнее всего не через отзыв, а просто отказавшись продлевать - дальше в течение трёх месяцев всё протухает само собой.

Хотя могут рубануть ru/рф;

Я насчёт этого и переживаю.

Не знаю, как с сертификатами, но https://namecheap.com вчера сообщил, что что с 6 марта разделегирует мой .info домен. Разумеется, ни о каком возврате денег речь не идёт. Сейчас в процессе трансфера.

Сразу видно: честная коммерческая компания, которая выполняет взятые обязательства перед клиентом!

У них 1700 сотрудников на Украине, вот и психанули.

У меня с германского сервера moex.com как будто не существует, при этом с питерского открывается нормально.

SOAP-сервис ЦБР с курсами валют при запросе из германии возвращает 403 на wsdl и курсы USD и EUR, но 200 на курс KZT, что прям вообще странно. В теле ответа html страничка с js, который что-то делает и перенаправляет куда надо, но робот в эти игры не умеет.

Да сейчас много сайтов только из России открывается.

Вчера надо было зайти на сайт РФ налоговой из Кипра. Не открывается, как и госуслуги. Побоялся искать левый VPN, решил поднять дешевый VPS в России для своего VPN - не смог оплатить сервер на двух хостингах.

Теперь из российского интернета через VPN и в российский интернет - через другой VPN.

Подтвержаю, у меня с польского сервера не открывается

А из России открывается только по www.moex.com, по moex.com ни редиректа ничего не происходит

НЛО прилетело и опубликовало эту надпись здесь

Следующим шагом нужно возвращаться к http в open source, снимать с него deprecated

нельзя ни в коем случают. В этом случае т-щ Майор получит доступ ко всему трафику.

контроль безопасности делать на уровне приложений

А чем вам протокол https в частности и tls в целом не угодил в этом случае ?

Использовать собственный root ca в своем приложении никто не мешает

НЛО прилетело и опубликовало эту надпись здесь

К сожалению децентрализованная замена иерархии центров сертификации малореальна.

Вам нужно либо смириться с возможностью mitm, либо нужен кто-то, кому вы доверяете по внешним каналам (список корневых сертификатов) для подтверждения "да, этот ключ действительно этого сайта: честное слово (подписанное RSA с известным вам отпечатком) даю"

И проблема с децентрализацией именно в выборе таких доверенных лиц и передачи информации о них.

Можно, конечно рассматривать всякие proof of work, но будем честными: pow держится на старой доброй жажде наживы, конкуренции и балансировке на грани окупаемости.

А каким образом проблема mitm решена в tor/i2p? Вроде бы подменить .onion или .i2p-ресурс другим на транзитном узле или прочесть транзитный трафик невозможно, и всё это как-то работает.

Внезапно - весьма фигово.

Техническое решение элементарно: отпечаток ключа содержится в адресе ресурса

К примеру

DuckDuckGo в обычном веб: https://duckduckgo.com/

В TOR: https://duckduckgogg42xjoc72x3sjasowoarfbgcmvfimaftt6twagswzczad.onion/

Но учитывая то, что вот эти вот ogg42xjo.... большинство людей запомнить не в состоянии, то тем самым кем-то, кому вы доверяете (что по ссылке действительно ddg) сейчас являюсь я.

Хотя никаких объективных оснований для доверия моей информации, размещенной на неконтролируемом мной и вами ресурсе (и вообще взятой мной откуда-то с подобного ресурса) нет.

И вместо ddg по приведенной ссылке может быть что-то очень внешне похожее.

Варианты решения проблемы с помощью каталогов ресурсов приводят к той самой централизации

В приложении всё нормально, а в браузере нет

Подскажите, какие корневые удостоверяющие центры есть в юрисдикции России, Южной Америки, Китая?
В РФ никаких. Никто не будет встраивать в браузер корневой сертификат товарища мойора…

В текущей ситуации — видимо будут. Как минимум в Яндекс.Браузер.
А потом техподдержка неработающих из-за отзыва банковских сайтов будет отвечать что скачайте Яндекс.Браузер — там все работает потому что запад решил ломать интернет.


А на слова про товарища майора ответ будет в лучшем случае что или так или никак. И эксперты ведь любые подтвердят что непосредственная проблема с сертификатами — из-за решений западных компаний (потому что это так и есть, причины — вопрос другой).

ВТБ перевыпустил отозванные сертификаты с помощью УЦ имени себя, который у них припасен минимум с прошлого года, подписан GlobalSign-ом и валиден по дефолту.

На Reg.ru есть сертификаты от GlobalSign, Thawte, Comodo, TrustWave, Symantec и GeoTrust. Ни один Вашим требованиям не удовлетворяет.

Судя по беглому гуглежу, у нас собирались в 2016-м открывать центр сертификации, но дальнейшая судьба этого проекта мне неизвестна.

В России есть сертификационные центры, но ни один из них, насколько мне известно, в браузерах не валиден. Поправьте, кто в теме, если не прав.

Несколько пользователей уже выложили отчеты специализированных сайтов, которые подтверждают, что проблема с сертификатами действительно есть.

Дополнительно только что сделал проверку сертификата сайта ЦБ РФ на https://www.ssllabs.com/ssltest/ .

Результат еще раз подтвердился. Согласно отчета сайт ЦБ РФ с точки зрения настроек https получил наихудшую оценку "F", а статус сертификата "NOT TRUSTED" (НЕ доверенный), "Revoked" (Аннулированный). Анулирован сертификат ЦБ РФ был вчера, 28/02/2022.

Скриншоты отчета добавил выше в саму статью. Чтобы их посмотреть перезагрузите страницу.

Странно, что кто-то удивляется. А с чего бы у какой-то подпавшей под санкции компании должен остаться работающий сертификат? Ну, в смысле, не от роскомнадзора какого-нибудь, а от зарубежной компании, удостоверяющий что-то там для соединения с сайтом заблоченной организации? Состояние дел теперь будет "вот сертификат от товарища майора, действующий на территории России, товарищ майор сказал гражданам России ему верить". И всё. Никаких действующих глобально цепочек доверия больше нет и не будет.

Сертификат заверяет что это — та самая компания. Компания таки та самая. Ключи не утрачены.
Ну как бы изначально была идея.
А теперь решили как средство давления использовать.

Допустим, вы купили квартиру и у вас есть ключ от замка в её дверях. И тут вас садят в тюрьму на 15 лет за какое-то преступление. Означает ли это, что у вас есть право настаивать на том, чтобы вас выпустили и дали ключом открыть дверь, ведь ключ настоящий, и квартира та самая? Да, настоящий, да, та самая. Но есть обстоятельства, по которым вы этим ключом пока что не воспользуетесь.

НЛО прилетело и опубликовало эту надпись здесь

Ну, Росреестру уже нет доверия. Вспомните историю про засекречивание недвижимости госчиновников…

А с чего бы у какой-то подпавшей под санкции компании должен остаться работающий сертификат?

С того, что за него уплачено и он выдан до санкций. Сейчас УЦ по сути лжет пользователям, что сертификат недействительный, тогда как оснований для его отзыва нет и сейчас.

Эта вся логика работает только пока работают в целом законы, правовое поле. Россия сказала, что такие мелочи ей не интересны. Как УЦ с этого момента вообще может сообщать пользователям кому там принадлежит сертификат?

Не разжигания для, но любопытства ради. Почему бы наконец какому-нибудь рег.ру не стать нормальным корневым CA и не развернуть продажу клиентских сертификатов вплоть до EV?

Не получится внести свой Root CA в браузеры. CA/Browser forum и раньше то бы не взял.


А вот если речь про Яндекс.Браузер с поддержкой властей — скорее вопрос — кто именно это будет? reg.ru или кто

А в чем, собственно, проблема?

Программы MS/Apple в открытом доступе с условиями, политическую ситуацию в расчет не берём в силу переменчивости.

Проблема в том, что корневые сертификаты должны быть либо в дистрибутиве браузера либо дистрибутиве ОС(у разных браузеров по разному) и обновляться с ними.
А дистрибутивы сами подписаны.


Можно сделать корневой сертификат Habr CA, можно добавить его в свою сборку Chromium'а, но засунуть его в дистрибутивы Chrome/Firefox которые качаются с их родных сайтов без согласия соответствующих команд разработки — нельзя (а чтобы это согласие было — надо согласие CA/Browser Forum'а и публичное обсуждение).
Если надо чтобы это работало в штатном Chrome/Firefox — то только распространять отдельную программу которая добавит что надо куда надо или распространять инструкцию пользователю что как сделать (кстати Казахстан попробовал со своими "учениям" — https://habr.com/ru/news/t/531642/#comments — их сертификат вообще в черный список внесли так что руками или программой не поставишь).


Бонусом — на андроиде начиная с 7-й версии программы по умолчанию НЕ доверяют установленным пользователем сертификатам (есть опция доверять). А вот так. Без рута проблема глобально не решается.

Вопрос был не про то. :)

Известны и опубликованы процедуры бандлинга своего рут СА в ОС/браузеры. Технической сложности в них нет.

Вообще говоря выходит, что условный регру или любой другой отечественный провайдер не захотел/не смог пройти бюрократические процедуры - и вот это интересно было бы почитать почему.

Ну так у нас окологосударственных CA выгон. Казначейство, торговые площадки и тому подобные типы. Требуют установки своего корневого сертификата для работы, а временами — ещё и спец.софта или спец.браузера.
Но чтобы выйти на доверие всего мира — нужно быть из страны, которой доверяют.

Интересно, так и будут бегать от одного УЦ к другому, или РКН внесет адреса CRL/OCSP в "черный список"?

В криптографии центр сертификации или удостоверяющий центр (англ. Certification authority, CA) — сторона (отдел, организация), чья честность неоспорима, а открытый ключ широко известен. Задача центра сертификации — подтверждать подлинность ключей шифрования с помощью сертификатов электронной подписи.

Техническим языком выразили: К вам доверие утеряно и более не намерены подписываться под какими либо вашими действиями.

А так я правильно понимаю что CA отвечают за (например) мошенничество на сайтах которым выдали сертификат? с каких это пор?

Извините, это чушь.

Задача центра сертификации не подтверждение абстрактного доверия к некоему субъекту, которому был выдан сертификат, а подтверждение того, что центр сертификации удостоверился, что именно этому субъекту принадлежит открытый ключ выданного сертификата, не более того

И действия по отзыву ранее выданных сертификатов, не связанные с компрометацией ключа, как раз и позволяют усомниться в неоспоримой честности центра сертификации

Компрометация ключа произошла в момент схода президента России с катушек. Вот представьте, летит самолёт, у людей в нём есть телефоны. Тут самолёт захватывают террористы и отбирают у всех телефоны. Как с этого момента телефонный оператор может гарантировать кому какой номер телефона принадлежит?

отличный пример, спасибо!

ЦБ починил свой сайт, заменив сертификат на новый, выпущенный сегодня.

Отчет SSLLabs выглядит теперь так:

Действительно, весь день не могу оплатить покупки в интернете с втб, с ошибкой отозванного сертификата отвалилось 3d secure.

Сертификат ВТБ заменил в первой половине дня. Если проблемы весь день, то может быть еще что-то отвалилось. Ведь сертификат это только верхушка, а ВТБ могут по всем фронтам блокировать или пытаться блокировать.

С ВТБ возможно другая проблема — они под санкциями. У меня вчера в двух местах их карту отклонили.

У Emercoin есть проект EmerSSL на блокчейне

И как там работает процедура отзыва сертификата?

Немного технической информации: все отозванные сертификаты были выпущены Thawte CA, отозваны ночью 28 февраля — 1 марта. Было отозвано 157 сертификатов Thawte RSA CA 2018 и некоторое количество других. В списках отзыва фиксируется время с точностью до секунды, видно что отзывали всю ночь. Со списками можно ознакомиться тут:
cdp.thawte.com/ThawteRSACA2018.crl cdp.thawte.com/ThawteTLSRSACAG1.crl
В списках отзыва только ID сертификата и время, список URL получить затруднительно — нужно как-то получить сам сертификат по его ID.
online.sberbank.ru по ходу тоже всё — даже не пингуется на 22.10 мск.

Я сегодня всё утро потратил на общение с техподдержкой ПСБ: "У нас все хорошо, все работает!". Говорю - сертификаты аннулированы. Ответ: все проверили, все работает. Заразы, до сих пор не восстановили, хотя дело минут на десять

Есть такая поговорка - "Пока гром не грянет, мужик не перекрестится". Тут точно такая же ситуация. "А зачем что-то своё делать и разрабатывать если можно готовое использовать и не важно что уже не один год грозятся покарать и показать место на коврике у двери. Это же только на словах, а на самом-то деле иностранные цивилизованные компании никогда не нарушат контракты и взятые на себя обязательства." - типичная логика как большого количества чинуш, так и предпринимателей. Вот и дождались, а теперь будут впопыхах исправлять то, что нужно было исправить уже давно.

Высокотехнологичные вещи — это только вершина довольно здорового айсберга. И айсберг этот имеет планетарные масштабы — в Россию не влезет.
Так что некоторые вещи просто бессмысленно делать. Те же сертификаты — это целая экосистема, которая включает в себя в том числе только на техническом уровне и ОС, и браузеры, и BIOSы, и (сейчас уже)процессоры, и т.д. — замучаешься делать всё это своё. Хотя конечно можно было бы попытаться заставить тот же Microsoft сделать «региональный Windows», как это сделали с андроидфонами, но это бы не сильно помогло бы в такой ситуации.

Ну так я же и не говорю весь айсберг в РФ запихать:) Но это не значит, что не нужно ничего делать и ждать манны небесной от западных стран. Кто-то под этой новостью в комментариях писал, что он не хотел бы сертификаты РФ так как за ним бы следил "товарищ Майор", а американский "большой брат" за океаном и ему ничего сделать не может так что его слежки он не боится. Паранойя и комплекс Бога, ну да не нам судить этого человека. Но следуя его логике, наверняка найдутся граждане США, которые предпочтут слежку из РФ чем от своих служб, по указанной выше причине. Всё же развивать свои высокотехнологичные вещи стоит, но не оголтело браться за всё и сразу, а выбирать наиболее выгодные и полезные для страны направления. Есть ресурсы, есть возможности, но увы нет желания. Как вдолбили в мозг мысль, запад нас оденет, обует, накормит и приласкает, так ничего и не меняется.

На сайте RBC спустя два дня опубликовали статью под названием "Как на безопасность сайтов повлияет отзыв SSL-сертификатов у банков". Статья явно вышла по мотивам новости с хабра. То, что пишет RBC без слез читать невозможно. Писал человек, который не очень разобрался в теме. Кроме того RBC обманывает читателей. Издание пишет, что первым на эту проблему обратил внимание «Деловой Петербург»... Я проверил. «Деловой Петербург» написал свою статью 1 марта в 13:02, а на хабре новость появилась в тот же день, но почти на час раньше, в 12:17.

Ссылка на статью rbc: https://www.rbc.ru/technology_and_media/03/03/2022/621f8b8e9a794717d8efc87a

Сегодня у многих пользователей (не зависимо от местоположения сервера) не загрузились курсы валют в 1с бухгалтерия, ут и прочие типовых конфигурациях. Как временное решение - под администратором пройти в меню "функции для технического специалиста" найти там константу "Использовать Альтернативный Сервер Для Загрузки Курсов Валют", установить её в истину, попробовать загрузить курсы ещё раз. При такой настройке курсы будут грузиться с серверов РБК.

Скорее всего сегодня-завтра всё починят и константу можно будет вернуть в исходное значение.

То, о чём я говорил, но все отвечали - Не гони, ты параноишь! Эти сертификаты нужны для защиты от злоумышленников.

По-моему любому мало-мальски воспитанному админу было понятно, что сертификаты повсеместные нужны не для "вашей безопасности". Кому нужны ваши пароли вида "1234" и аккаунты с весьма недалёким бедным содержанием. К тому же вы периодически забываете последовательность цифр в пароле, и дабы не нагружать, своё сознание, создаёте новый аккаунт. Так делает большинство. Зато раньше в эпоху http у вас открывались большинство ресурсов и открывались бы даже на самых древних устройствах. Да-да-да! Стандарты web меняются конечно, но не так, чтобы совсем страницы не показывались в старом формате. А сейчас мы увидели обратное действие https-изации. Информационный Террор! Когда ваше устройство не обновляется, сертификаты устаревают и вы вынуждены покупать новое устройство, а старое работающее выбрасывать. Когда вот в таких кризисных ситуациях, центр сертификации считает себя в праве возвысится и нарушить договор и прервать действие сертификата раньше срока без согласования с владельцем сертификата.

Всегда, когда вы решаете проблемы, вы должны смотреть, какие проблемы создают ваши решения. И https-изация интернета сейчас привела к тому, что люди очень строго ограничены, устройствами, и политикой сервисов. Этот терроризм был очевиден с самого начала, но наивные мальчики от IT поверили добрую сказку.

Кому нужны ваши пароли вида "1234" и аккаунты с весьма недалёким бедным содержанием

нужны! А вдруг там крамола против правительства! Или ты заводишь одни и те же учетные данные на всех сервисах? Так что https - это хорошо.

И https-изация интернета сейчас привела к тому, что люди очень строго ограничены, устройствами, и политикой сервисов. 

обновлять всякие мобильные устройства еще нужны потому что в них постоянно уязвимости уровня критикал. Хвала тому же аппле - они закрывают их даже для старых устройств. А вот с дешевыми андроидами проблемы. Они одноразовые. Вот как их выпустили, так они и живут на единственной версии прошивки.

15/03/2022 Сайт Министерства обороны РФ не открывается по протоколу https по той же причине - "Для сертификата или одного из сертификатов в цепочке была аннулирована доверенность". См. скриншот.

Я пробежался по паре сайтов, в связи с проблемой и нынешним дополнением, что большинство УЦ решило свалить и не продлевать сертификаты. Надеюсь, что Let's Encrypt не поддастся панике и не будет трогать Россию. Так де порадовало заявление ICAN RIPE, что они не будут отзывать ip адреса и домены.

Вариант с сертификатом МинЦифры с одной стороны хорош, а с другой на "наши" сайты никто из друзей страны без игнорирования сообщений безопасности или без загрузки корня не зайдёт. Более чем уверен, что этот корень никто в обновления операционок и браузеров не добавит и админам придётся руками его добавлять... Когла речь шла только о паре компов с КриптоПро и сертификатом Казначейства, было вполне нормально раз в год обновить сертификаты и ключи. А сейчас придётся бегать всем юзверям и знакомым ставить...

Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Другие новости

Истории