Вы правы, что УЦ должен все это делать. Но чтобы браузеры ему доверяли, этого недостаточно. Были попытки подать заявки из разных стран, всех их завернули.
К вашему списку я еще добавлю. Нужна еще и нормативная база, которая зафиксирует, что УЦ обязан делать все необходимое, и определит ответственность должностных лиц за нарушение этих требований. Т. е. государственный УЦ проводит аудит не потому, что он такой пушистый, а потому что закон этого требует.
Наблюдаю сейчас за сайтами банков, и должен заметить, что сейчас их сертификаты, выпущенные минцифры выглядят корректно. Похоже, действительно доработали свою инфраструктуру и подготовились.
Продолжаем наблюдение. Уход визы граждане вообще не заметили, если уход глобалсайна не заметят, то минцифре можно поставить зачет по этому экзамену.
Если так рассуждать, то вообще свой УЦ поднять можно за пару часов. Можно вообще не париться, и так сойдет.
Вот эта пара недель - это как раз столько времени будет всю нашу инфраструктуру колбасить в случае компрометации корневого сертификата. Думаю, если сильно прижмет, и за сутки все сделают. Но такой подход я никак не могу считать нормальным.
Насчет того, что все поверили, я с вами не соглашусь. Все все понимали. Все понимали, почему нельзя ограничить УЦ фиксированным набором доменов, хотя на это даже есть RFC. Все видели, как послали лесом Казахстан, когда он озаботился этим вопросом.
Наоборот, один случай как как минимум был, и этот риск учтен, и в стандартных трасторах лежат разные УЦ. При оценке риска надо умножать вероятность его реализации на возможный ущерб. Ущерб от компрометации единственного УЦ очень большой.
Кроме того, нормальные УЦ выписывают сертификаты через промежуточных издателей. Скомпрометирован может оказаться промежуточный сертификат, в то время как корневой хранится на защищенном физически изолированном носителе.
Приватные ключи не копируются, а хранятся на трм устройстве, на котором их сгенерерировали.
Это в нормальных УЦ, п минцифра всем подписывает сертификаты своим единственным корнем. Это значит, что ее приватный ключ разложен по разным серверам и непрерывно используется.
Непосредственные издатели компрометируются нередко, достаточно заглянуть в crl, чтобы в этом убедиться. Так что компрометация корневого сертификата минцифры в случае его интенсивного использования, учитывая что против него будут работать разведки разных государств, весьма вероятна.
Не вижу в этом ничего плохого. У каждого государства свой CA, который удостоверяет поддомены в своих доменах 1-го уровня. На мой взгляд, так надо было делать с самого начала.
Было бы, конечно, неплохо. Но то, что я сейчас наблюдаю, производит впечатление, что у нас, к сожалению, ничего к такому развитию событий не готово. Очень хотелось бы ошибиться.
Вот например, почему УЦ Минцифры всего 1? Ведь он же может быть скомпрометирован. Должно быть 2, а лучше 3 независимых УЦ, сертификаты которых должны распространяться заранее, чтобы в случае проблем с одним УЦ быстро переключиться на другие.
Между прочим, отзыв сертификата - это тоже услуга. Причем, важная и небесплатная. Если я скомпрометировал свой ключ, то с помощью CA я могу минимизировать последствия, а CA будет хранить его в списке отзыва вечно.
Получается, что CA навязывает клиенту услугу, чтобы сделать его сервисы недоступными. Это как если бы производитель моторного масла добавлял в него металлическую стружку при поставке неугодным клиентам.
Да. Но все равно рубильники нужны. Вот у меня рубильник в комнате, автомат на входе в квартиру, рубильник в подъезде, выключатель в трансформаторе во дворе и еще сотни выключателей на пути от турбины генератора к моей лампочке. Любой из них в любой момент кто-то может щелкнуть и время от времени это даже происходит. Но это не повод от них отказываться.
Главное, пусть сделают это после 10-го числа, когда мне новый айфон должен по почте прийти.
Сколько у вас сестер? Если всего одна, то доля Эппл на этом рынке равна 100%.
Именно так.
Вы правы, что УЦ должен все это делать. Но чтобы браузеры ему доверяли, этого недостаточно. Были попытки подать заявки из разных стран, всех их завернули.
К вашему списку я еще добавлю. Нужна еще и нормативная база, которая зафиксирует, что УЦ обязан делать все необходимое, и определит ответственность должностных лиц за нарушение этих требований. Т. е. государственный УЦ проводит аудит не потому, что он такой пушистый, а потому что закон этого требует.
А получатель имеет право знать, кто ему пишет?
А мне такие сообщения теперь в махе приходят.
Наблюдаю сейчас за сайтами банков, и должен заметить, что сейчас их сертификаты, выпущенные минцифры выглядят корректно. Похоже, действительно доработали свою инфраструктуру и подготовились.
Продолжаем наблюдение. Уход визы граждане вообще не заметили, если уход глобалсайна не заметят, то минцифре можно поставить зачет по этому экзамену.
Именно так.
Если так рассуждать, то вообще свой УЦ поднять можно за пару часов. Можно вообще не париться, и так сойдет.
Вот эта пара недель - это как раз столько времени будет всю нашу инфраструктуру колбасить в случае компрометации корневого сертификата. Думаю, если сильно прижмет, и за сутки все сделают. Но такой подход я никак не могу считать нормальным.
С 2015-го года
Насчет того, что все поверили, я с вами не соглашусь. Все все понимали. Все понимали, почему нельзя ограничить УЦ фиксированным набором доменов, хотя на это даже есть RFC. Все видели, как послали лесом Казахстан, когда он озаботился этим вопросом.
Они должны в общем комплекте идти и быть равноправными как LE и GlobalSign, и с понятным статусом.
Наоборот, один случай как как минимум был, и этот риск учтен, и в стандартных трасторах лежат разные УЦ. При оценке риска надо умножать вероятность его реализации на возможный ущерб. Ущерб от компрометации единственного УЦ очень большой.
Кроме того, нормальные УЦ выписывают сертификаты через промежуточных издателей. Скомпрометирован может оказаться промежуточный сертификат, в то время как корневой хранится на защищенном физически изолированном носителе.
Приватные ключи не копируются, а хранятся на трм устройстве, на котором их сгенерерировали.
Это в нормальных УЦ, п минцифра всем подписывает сертификаты своим единственным корнем. Это значит, что ее приватный ключ разложен по разным серверам и непрерывно используется.
Непосредственные издатели компрометируются нередко, достаточно заглянуть в crl, чтобы в этом убедиться. Так что компрометация корневого сертификата минцифры в случае его интенсивного использования, учитывая что против него будут работать разведки разных государств, весьма вероятна.
Не вижу в этом ничего плохого. У каждого государства свой CA, который удостоверяет поддомены в своих доменах 1-го уровня. На мой взгляд, так надо было делать с самого начала.
Было бы, конечно, неплохо. Но то, что я сейчас наблюдаю, производит впечатление, что у нас, к сожалению, ничего к такому развитию событий не готово. Очень хотелось бы ошибиться.
Вот например, почему УЦ Минцифры всего 1? Ведь он же может быть скомпрометирован. Должно быть 2, а лучше 3 независимых УЦ, сертификаты которых должны распространяться заранее, чтобы в случае проблем с одним УЦ быстро переключиться на другие.
Habr достаточно активно сотрудничает с финтехом, который под санкциями, так что и ему может прилететь в очередном пакете.
Да. Проблемы у нас будут, так как к данной угрозе наше государство в настоящий момент совершенно не подготовлено.
Между прочим, отзыв сертификата - это тоже услуга. Причем, важная и небесплатная. Если я скомпрометировал свой ключ, то с помощью CA я могу минимизировать последствия, а CA будет хранить его в списке отзыва вечно.
Получается, что CA навязывает клиенту услугу, чтобы сделать его сервисы недоступными. Это как если бы производитель моторного масла добавлял в него металлическую стружку при поставке неугодным клиентам.
Лучше создать отдельный профиль для таких сайтов. А что, уже у кого-то отозвали сертификат? Пример можете показать?
Да. Но все равно рубильники нужны. Вот у меня рубильник в комнате, автомат на входе в квартиру, рубильник в подъезде, выключатель в трансформаторе во дворе и еще сотни выключателей на пути от турбины генератора к моей лампочке. Любой из них в любой момент кто-то может щелкнуть и время от времени это даже происходит. Но это не повод от них отказываться.