Как стать автором
Обновить

Комментарии 46

НЛО прилетело и опубликовало эту надпись здесь
Товарищ из Китая подтверждает такую же подделку сертификата у Yahoo.
Правильно Google сделали в Chrome — неверный сертификат — вообще нет шансов для юзера туда зайти. В современной обстановке пора перенимать практику и всем остальным.
НЛО прилетело и опубликовало эту надпись здесь
Почему нельзя? Вот смотрите, вы — юзер. Вы идете на сайт, вам выскакивает окошко о неверном SSL сертификате. Огромный процент пользователей просто отмахнутся от назойливого браузера, нажав ОК, и даже читать не будут. Еще существенный процент прочтут, почешут голову и подумают — ну нафиг, и тоже нажмут ОК. Потому что пользователю совершенно не важно, что там за SSL и почему браузер ругается, потому что браузер позволяет продолжить. Он не должен. Не валидный сертификат должен восприниматься браузером как совершенно нерабочий сайт, чтобы пользователь не мог зайти на сайт с неверным сертификатом. Тогда и фишка такая у китайцев бы не прокатила, ибо пользователям выдавало бы ошибку. Но им выдает предупреждение. Как по мне — это неверное поведение.

Вполне ясна причина, по которой так устоялось — ну не было в Web 1.0 таких огромных объемов персональной и чувствительной информации. В Web 2.0 она на каждом шагу, и за пользователей об их данных должны беспокоится разработчики.
НЛО прилетело и опубликовало эту надпись здесь
Не исключено, но подозрений и головной боли будет куда больше. К тому же с Китая все только начинается. Сколько уже так кредиток было украдено — не сосчитать. А все из-за психологии пользователя, которую разработчики игнорируют.
А кредитки тут при чем? Фишинг? Так это прошлый век и все крупные почтовики давно фильтруют это дело (только если вы сами не проявите желание). А вся sensitive информация собирается совсем по другому и ssl тут никаким боком…
Эмм, то есть китайское правительство ворует кредитки? Я так понял, оно это делает MITM в идеологических целях, а не для наживы
Надежность цепочки определяется самым слабым звеном.
Правительству может это и не нужно, но есть не нулевая вероятность, что в безграничном море чиновников найдутся деятели, которых это заинтересует и которые будут чувствовать себя достаточно безнаказанно для реализации идеи…
дело спасают живительные профилактические расстрелы ;-)
Вы так говорите, как будто воровство с кредиток хуже, чем вмешательство в личную жизнь с идеологическими целями.
И что прикажете делать с self-signed? Или истекшими сертификатами? (они, замечу, работают также хорошо)
А что делать с просроченными доменами?
Они тоже могли бы работать хорошо!

А с self-signed — кому надо, пусть устанавливает в корневые доверенные…
А для всех остальных — пусть покупают.
больше покупателей -> ниже цена.
Про «больше покупателей ниже цена» чушь собачья, с точки зрения капитализма.
Больше конкурентов, ниже цена, и то в случае доступного ресурса.

Ресурс сертификатов сильно ограничен компаниями его выдающими.
Чем прибыльнее бизнес, чем больше спрос — тем больше компаний захотят этим заниматься, а это повлияет на конкуренцию.

Правда надо как-то сертификат в доверенные корневые запихать на кучу компов…
Но всё возможно со временем :)
Дык есть же бесплатные, например
Он не бесплатный. Что бы отозвать сертификат, или восстановить ключ от их системы нужно заплатить денюжку. К тому же не все браузеры считают его доверенным.
или, что значительно легче, включат в обязательном порядке своё CA в доверенные
Ну NeoTheFox не совсем верно выразился войти на сайт можно, но для этого нужно подтвердить что вы осознаете риск, и при показе сообщения кнопка подтверждения изначально отсутсвует
В некоторых случаях, например, если вы заходите на сайты гугла — варианта с продолжение не будет. Просто будет ошибка. И как по мне — это вполне себе верное поведение для браузера.
Может я не прав: допустим серт выдан домену qwertyuiop.com, тогда при попытке зайти на под-домен mail.qwertyuiop.com, который юзает тотже ssl, в браузере будет жесткая ошибка без возможности продолжить? А что если это все одна и таже контора?
У меня такое периодически случается, но сейчас можно просто подтвердить и все
Ну, это на самом деле не совсем правильно со стороны конторы
Может быть это и не правильно, но сплошь и рядом — далеко не все делают отдельный серт на каждый свой поддомен.
Ну вот если их клиентам перестанут разрешать ходить на эти поддомены — придется чинить, хочу — не хочу.
А как быть со *?
Есть вайлдкардовые сертификаты. Они конечно дороже, но помогают в таких случаях
Значит, он юзает другой ssl. Или у вас есть wildcard на все поддомены, или по отдельному сертификату на поддомен. Иначе это не ssl, а что-то свое.
«Что-то свое» через браузер не сильно пропихнешь :) Просто лень бывает на все поддомены серты брать, вот и имеем то, что имеем.
Бывают красавцы, которые на несколько доменов цыпляют один серт — ну, типа, это ж все мы, какая разница :)
Тогда надо wildcard купить, он не сильно дороже. Но вообще, я заметил, не очень себе представляют, как этот ssl работает, причем не только пользователи, но и админы. Думаю, это потому, что ssl не особенно гибкая штука.
Например, такая простая штука, как промежуточный сертификат, которым можно подписывать сертификаты только для поддоменов, никак не реализован. Из-за этого или имей один сертификат на все (на любые) поддомены, или плати за каждый.
Эти домены записаны в конфиг Chrome и их очень немного, там же записаны сайты с strict-transport-security, например заходя на Яндекс даже первый раз вы не отправите запрос по HTTP из-за ограничений внутри хрома
Да, это очень круто. Но в чайне, с браузерами все очень плохо. Здесь властвуют IE, всякие говно360 и прочие «браузеры». — Для которых написать что сертификат настоящий, не проблема, пользователь даже не заметит ничего.

И сам хром, очень проблематично скачать в китае.
В смысле нет шансов? Он блокирует, но если юзер внимательный, то найдет кнопочку «да, понял, понял я, пустите меня все равно на этот сайт!»
На самом деле очень грамотное решение. Сейчас выдаётся вот такое сообщение:

image

И да, для обычного пользователя это всё равно, что нет шансов. Нужно нажать «дополнительно» и, прочитав ещё страшную надпись и проигнорировав её перейти таки куда хочется. Но, как правило, пользователи не будут этого делать, или проконсультируются с кем-нибудь более компетентным.
НЛО прилетело и опубликовало эту надпись здесь
Боюсь, как бы наши до такого не додумались.
С ужасом ожидаю прочесть в завтрашней газете «Депутат Дундуков предложил запретить шифрование, как не отвечающее интересам общества. „Если человек шифрует, значит, он уже виноват — давайте его посадим! Если провайдер пропускает шифрованный трафик — отберем у него лицензию, ибо он помогает виноватым стать еще виновнее!“»

И стройные ряды рукоплещущих представителей «народа»!

:(
К сожалению, провайдер ТМПК в подмосковном городе Дубна занимается ровно тем же самым, дабы блокировать на YouTube какие-то ролики из списка РосКомНадзора по https. И им наплевать, что они при этом нарушают одну уголовную статью и одну статью конституции
Молодцы китайцы!
А как они из приложения перехватывают соединения? Там-то не пройдет невнимательность к сертификату.
Тоже мне новость. Вот если бы китайцы умудрились осуществить MITM без выдачи какого-либо подтвеждения — вот это был бы фокус. Причём мне кажется, что на практике это возможно. Ну то есть теоретически такое невозможно, а вот на практике может быть, потому что, скажем, в SSL есть ещё какая-нибудь пока неизвестная уязвимость, или китайское правительство начнёт сразу браузеры распространять с подменёнными ключами и т. д.
Такое возможно практически.
Просто вежливо просишь какого-нибудь держателя корневого сертификата сгенерить сертификатик для icloud.
А китайское правительство может попросить очень вежливо.
Особенно, если держатель корневого сертификата находится в китае.
Без палева парни работают!

Но что-то мне кажется, что это — косяк конфигурирования, а может, и просто некий тест, «проба пера». При деньгах Поднебесной прикупить себе (или официально приказать китайскому же оператору сертификатов издать) sub-CA сертификат, позволяющий создавать сертификаты для любых доменов — не проблема.

Вывод: не стоит верить только SSL-сертификатам, важно делать на уровне приложения свою систему проверки целостности и авторизации второй стороны.

P.S. Я так понимаю, американское правительство такой ерундой не парится. Может, просто имеет другой, более надежный доступ ко всем секретам на хранилищах грандов отрасли?
В марте ввели шифрование почтового трафика между ДЦ.
habrahabr.ru/post/216557/
Я правильно понимаю, что подмена будет только если я на сайт зайду?
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.