Как стать автором
Поиск
Написать публикацию
Обновить

Комментарии 22

SSL-сертификат? Не слышали. Даже сайт президента не защищен.

Всего голосов 1: ↑0 и ↓1-1

Если я не ошибаюсь, то при отсутствии передачи на/с сайт(а) приватной информации, наличие сертификата или его отсутствие ни в коей мере не влияет на его работу

Всего голосов 1: ↑1 и ↓0+1
Смотря что считать приватной информацией… ПД — приватная информация? А она не защищена.
Комментарий пока не оценивали0

С физической точки зрения верно, сайт работает и без сертификата. Но посетители сайта могут не доверять ему и уйдут. Так что проблема переходит в другую плоскость - отношение к самому сайту и сервису в целом.

Всего голосов 1: ↑0 и ↓1-1

Это да.

Но провайдер интернета может встроить в поток (с сайта на браузер клиента) всё, что угодно. И не только провайдер.

Т.е.

  • реклама

  • изменить содержимое

В результате пользователь может увидеть совсем не ту информацию, которую разместили на сайте.

Читаем главу "Любитель персиков" Графа Монте-Кристо :)

Всего голосов 1: ↑1 и ↓0+1

Дело наверное в том - а каким корневым сертификатом подписывать?

Забугорным?
Официальный сайт президента?

Не пускают мелгомягкие в корневые сертификаты (которые идут в поставке Windows по умолчанию) ни один наш доверительный центр.

И кто в этом виноват? Президент?
А может правительству стоит надавить на них и заставить?
Ну хотите наш рынок - будьте добры ...

Всего голосов 3: ↑0 и ↓3-3
Как-то весь мир не переживает по этому поводу, подписывает сайты своих президентом забугорным сертификатом, и только у советских — собственная гордость. Какой-нибудь Sectigo должен сам придти, в ножки глубокоуважаемому поклониться и попросить милостивого разрешения выдать ему сертификат?
Всего голосов 4: ↑4 и ↓0+4
НЛО прилетело и опубликовало эту надпись здесь
Суть — верна — надо иметь ваши собственные, Российские, руты итд, но форма комментария отвратительна. Какие незалежные и каким панам? У вас телевизор головного мозга.
(Если что я из ЕС, Литвы, которая, как многие думают, ненавидит Россию и всё такое)
Всего голосов 1: ↑1 и ↓0+1
НЛО прилетело и опубликовало эту надпись здесь

Запретов на размещение сертификатов нет.

Комментарий пока не оценивали0

Поправлю себя - прямых запретов нет.

Комментарий пока не оценивали0

Хм.. Тут вот https://github.com/mozilla/policy-templates

таблица

as well as the following security preferences:

security.tls.hello_downgrade_check boolean true    

 If false, the TLS 1.3 downgrade check is disabled

Явно не указанно, но выводы сделать можно.

Комментарий пока не оценивали0
А вот какие выводы из этого можете сделать Вы? Что такое TLS 1.3 downgrade check? Fallback SCSV но только для TLS 1.3? Это как?
Всего голосов 1: ↑1 и ↓0+1

Вы спрашивали оф, я дал ссылку, это конечно не самый оф, но вполне пруф. Мои выводы вы не спрашивали в статье. По части предположений могу дать ссылки на не оф https://blog.gypsyengineer.com/en/security/how-does-tls-1-3-protect-against-downgrade-attacks.html ,

https://github.com/openssl/openssl/issues/6756

как это реализованно в лисе я не задавался вопросом, но если про мои выводы я запрещаю.

Но вы наверное и сами это знаете.

И да @dartraiden про винду и ее крипто библиотеку все описал.

Комментарий пока не оценивали0
Под выводами я понимал, как это описание понимаете Вы, потому что я его понимал неоднозначно. Спасибо dartraiden, по его ссылке ситуация полностью прояснилась.
Комментарий пока не оценивали0
Практика показала, что проще таскать со своим приложением OpenSSL и не думать о том, что в виндах опять чего-то не хватает.

Например, один из наших пользователей столкнулся с тем, что больше не может заходить на свой любимый IRC-сервер, если используется крипто, предоставляемое Windows. Оказалось, что администратор сервера оставил только поддержку TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, а для этого требуется минимум Windows 10.

Ну и во всяком легаси типа Windows XP тоже лишь OpenSSL и спасает, хотя руки давно чешутся дропнуть поддержку ОС, на которые даже производитель забил.
Всего голосов 1: ↑1 и ↓0+1
Да, у Windows странные отношения с сочетанием ECDHE+RSA. ECDHE+ECDSA — пожалуйста, DHE+RSA — без проблем, а с ECDHE+RSA у них начинаются необъяснимые лапки :(
Всего голосов 1: ↑1 и ↓0+1
К сожалению, мне не удалось найти никакой официальной информации о параметре security.tls.hello_downgrade_check Судя по его названию и дефолтному значению true, это аналог Fallback Signaling Cipher Suite Value на стороне клиента, а судя по неофициальной информации – как раз наоборот. Если кто подскажет ссылку на официальную информацию по этому поводу, буду признателен.

Эту настройку сначала завезли в отключённом виде — bugzilla.mozilla.org/show_bug.cgi?id=1487279

Затем её включили — bugzilla.mozilla.org/show_bug.cgi?id=1576790
Всего голосов 1: ↑1 и ↓0+1
TLS 1.3 includes a backwards-compatible hardening measure to strengthen the protocol’s protections against downgrade to TLS 1.2 and below.

То есть, false — отключает защиту от даунгрейда (разрешает даунгрейд)
Всего голосов 1: ↑1 и ↓0+1
Спасибо, теперь понятно: это таки встроенный в TLS 1.3 Fallback SCSV и понятно, почему встречались советы отключать эту проверку (но религия не позволяла советчикам объяснить, почему) — из-за бага.
Комментарий пока не оценивали0
На будущее, есть такой замечательный проект, где документируют все изменения настроек (добавление, изменение, удаление) в каждом релизе. Плюс по каждому такому изменению приводят ссылку на багзиллу.

Просто вбиваем в поиск название интересующей настройки и вжух — видим, в каком выпуске она появилась, в каком её значение изменилось и (почитав багзиллу) почему это произошло.
Всего голосов 1: ↑1 и ↓0+1
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2024, Habr