Национальный удостоверяющий центр начал выпуск TLS-сертификатов с поддержкой прозрачности

[pewpew]

Сертификаты по данной технологии поддерживают российские браузеры «Атом» и «Яндекс.Браузер».

То есть это сертификаты специально для Чебурнета? Тогда почему выбрали TLS? Можно же было придумать свой национальный стандарт. Да и HTTP протокол чем-нибудь своим заменить.

[Volkodlak]

Можно пойти дальше: просто png "замочек" вешать на сайт, а трафик гонять по http чтобы товарищу майору не заморачиваться, чего бояться в своем скрепном суверенном чебурнете?

[Darlock_Ahe]

Не всё сразу, так можно сильно больше бюджета освоить.

[ZetaTetra]

Под TLS проще поднять свой CA, а изобретать велосипед - долго (и дорого, но уже неважно).

На винде, вон, визард из 18 шагов с кнопочками:

https://docs.microsoft.com/en-us/windows-server/networking/core-network-guide/cncg/server-certs/install-the-certification-authority

[Batkovi4]

все сертификаты, выпускаемые Национальным удостоверяющим центром, записываются в три независимых журнала (лога), из которых нельзя удалить сведения после записи из-за использования специализированных криптографических методов. 

Из реестра недвижимости тоже нельзя удалить? И электронное голосование у нас не подделывают? Ни где нельзя ни чего изменить, но если очень хочется - то можно /s

[alex1478]

Ну вот удалили из лога информацию о выдаче сертификата для домена. Заходит человек через, поддерживающий валидацию выдачи сертификатов, браузер, а ему "ой, соединение не безопасно". И что дальше?

[Wexter]

В том то и проблема что никто не мешает его добавить, почитать интересующий трафик и потереть запись. А потом сказать ну вот же список, никто ничего не выдавал, и мы трафик не читали

[ky0]

Тут скорее вероятность, что некоторые сертификаты попросту не внесут в журнал.

Доверие к CT не может быть выше, чем к самому УЦ — а в данном случае с этим есть некоторые проблемы…

[achekalin]

Еще бы хоть какие-то движения сделали в сторону принятия этих сертов без принудительного впихивания "своего" корневого - вот бы было дело. Другое дело, что добавление certificate transparency может означать, что авторам не все равно, и они постараются и для "обычных" браузеров выпускать серты, не требующие принудительного добавления корневых.

И ремарка - тяжело читать, в общем-то, простую новости, когда в ней два абзаца по сути об одном:

... Кроме обеспечения выдачи самих сертификатов, мы дополнительно публикуем их в три независимых лога – ...

Он добавил, что реализация технологии certificate transparency основана на том, что все сертификаты ... записываются в три независимых журнала (лога), ...

Чем первый из приведенных абзац менее информативен, и почему бы их не слить?

P.S. Понимаю, что "из одного абзаца сделать два" - это путь к маслу на хлебе, но почему не уважать читателей?

[D0001]

Сертификаты так устроены, что корневой сертификат требуется. То, что не надо устанавливать корневой для LE и других, это не свойство сертификата, а то, что этот сертификат добавляют сразу производители браузеров и ОС.

[ifap]

И что же это за три лога CT, имя, сестра, имя! Или это гостайна? ;)

[TomskDiver]

Яндекс, VK и Минцифры - https://browser-resources.s3.yandex.net/ctlog/ctlog.json

[ifap]

Спасибо, а где-то это официально объявлено?

[TomskDiver]

Ну Яндекс официально заявил. См. тут: https://habr.com/ru/company/yandex/blog/667300/ Насчет каких то указов, постановлений и законов ничего не знаю, т.к. не интересовался.

[ifap]

Я имел в виду объявление с другой стороны - самого т.н. НУЦ. Т.е. чисто теоретически можно заявить, что Яндекс там сам что-то сварганил, сам себя записал в ведущие лога, а мы-то имели в виду совсем другие логи. Откуда-то Вы же взяли названия этой троицы... может, видели уже сертификат со ссылкой на их логи?

[Xardas2000]

Вот ссылка на новость НУЦ - https://www.voskhod.ru/news/sertifikaty-bezopasnosti-dlya-rossiyskikh-saytov-nachali-ispolzovat-tekhnologiyu-prozrachnosti/

Вот ссылка на новость VK - https://zen.yandex.ru/media/id/60b5f4088330b14237d068e5/vydacha-sertifikatov-bezopasnosti-dlia-rossiiskih-saitov-stala-esce-bolee-prozrachnoi-628cd9e5dea40b482e9c15c7

Да и сами логи в статье на хабре Яндекса были.

[ifap]

У НУЦ только это:

три независимых лога – один государственный и два частных

чьи именно это логи - ни слова. Мне интересно указание на имена конкретных логодержателей от... того, кто выписывает эти сертификаты. А то показания уже расходятся: "Восход" врет заявляет, что НУЦ вовсю работает, Минцифры - что он только будет создан, правительство - рассматривает законопроект о создании НУЦ...

[Qwentor]

Прозрачности для кого? ФСБ?

[Volkodlak]

Пока всё это выглядит как запасной аэродром, если у кого-то дрогнет рука и дернут не тот рубильник...

На скорую руку почистил csv'шку от всякого "хлама", оставив domain.tld и дернул Certificate.IssuerName ..из около 1200 уникальных (без всяких wildcard, 3,4 уровень и тех кто в принципе не отдает 200 или 301) только 10% ответили "C=RU, O=The Ministry of Digital Development and Communications, CN=Russian Trusted Sub CA"

[Siv62]

Ну хоть что-то, а то у нас такие партнеры, что и врагов не надо.