Не пускал Касперский на форум из-за сертификата ssl let's encrypt

1 234 5
saanvi
На сайте с 01.04.2015
Offline
108
#21
SeVlad:
Идея была бы зравой, если бы серты не выдавались кому попало, а владельцы жестко, очень жестко верифицировались.

Идея была бы здравой, если бы шифрование было без всяких сертификатов, на основе временно генерируемых ключей в ходе сессии. Кому в голову пришли все эти "центры сертификации" - ума не приложу. Они ничего не решают, а только создают гемор, да ещё и требуют бабло. :)

Здоровый пофигизм (http://saanvi.ru)
SeVlad
На сайте с 03.11.2008
Offline
1609
#22
saanvi:
Идея была бы здравой, если бы шифрование было без всяких сертификатов, на основе временно генерируемых ключей в ходе сессии.

+1

Или хотя бы заголовков. Не всегда шифровать все передаваемые данные (ака контент) есть хорошо.

saanvi:
Кому в голову пришли все эти "центры сертификации" - ума не приложу.

Ну дык... деньги ж.

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Связь со мной через http://wp.me/P3YHjQ-3.
Solmyr
На сайте с 10.09.2007
Offline
501
#23
saanvi:
Идея была бы здравой, если бы шифрование было без всяких сертификатов, на основе временно генерируемых ключей в ходе сессии.

Если бы было так - провайдер мог бы подменять ключи при установлении сессии и встраивать в сайты свою рекламу.

---------- Добавлено 10.01.2020 в 13:22 ----------

SeVlad:
Не всегда шифровать все передаваемые данные (ака контент) есть хорошо.

Контент надо шифровать от провайдеров. В РФ весьма распространена практика, когда провайдеры встраивают в HTTP сайты свои рекламные баннеры. В США и некоторых европейских странах (Испания к примеру) тоже такое есть.

SeVlad
На сайте с 03.11.2008
Offline
1609
#24
Solmyr:
Если бы было так - провайдер мог бы подменять ключи при установлении сессии и встраивать в сайты свою рекламу.

Во первых - не мог бы. (В см можно сделать так, что не мог бы.)

Во вторых (в который раз) все эти MiTM - это нарушение законов. И надо с ними бороться юридически, а не технически. А то будет как в Казахстане.

saanvi
На сайте с 01.04.2015
Offline
108
#25
Solmyr:
Если бы было так - провайдер мог бы подменять ключи при установлении сессии и встраивать в сайты свою рекламу

Не мог бы. Учите матчасть. "Встроить" что-то можно только в нешифрованный трафик, и то не без последствий.

---------- Добавлено 10.01.2020 в 17:12 ----------

SeVlad:
Во вторых (в который раз) все эти MiTM - это нарушение законов
Причём, раньше это было каждой собаке ясно, а теперь, на фоне "мы ввели HTTPS", трафик подменяют почти все мобильные провайдеры, и всем пофиг. :) Хотя о чём говорить, если в рекламе яшигоши - противозаконные дела и всё такое прочее. Хотя это на раз ведь фильтруется. Просто - бабло не пахнет. Чуть что - а мы чо, а мы ничо. Я у TELE2 тут потребовал долю от рекламы, которую они вставляют в нешифрованный трафик на мои сайты. "А мы чо, а мы можем отключить. Для вас лично".
SeVlad
На сайте с 03.11.2008
Offline
1609
#26
saanvi:
"А мы чо, а мы можем отключить. Для вас лично".

Это если не у всех, то у многих.

saanvi:
Причём, раньше это было каждой собаке ясно, а теперь, на фоне "мы ввели HTTPS", трафик подменяют почти все мобильные провайдеры, и всем пофиг.

Да, просто удивляет. то ли ламерсвтво то ли лень, толи не знаю что вебмастеров.

Поголовно жалуются на это, теряют бабки, но никто не хочет судиться. Не хотя даже скинуться на юриста и наказывать опсосов. Ждут пока они это узаконят или ещё хуже (как в Казахстане напр).

saanvi
На сайте с 01.04.2015
Offline
108
#27
SeVlad:
Да, просто удивляет. то ли ламерсвтво то ли лень, толи не знаю что вебмастеров.
Поголовно жалуются на это, теряют бабки, но никто не хочет судиться.

В моём случае ламерство и лень. :) Реально не знаю - а есть закон, по которому притянуть за уши? Как показывает практика, если закон есть - истцы найдутся. Но что-то не слыхать дел. Наверняка лазейка какая-нибудь припасена. Но могу и ошибаться, конечно.

Solmyr
На сайте с 10.09.2007
Offline
501
#28
SeVlad:
Во первых - не мог бы.
saanvi:
Не мог бы. Учите матчасть. "Встроить" что-то можно только в нешифрованный трафик, и то не без последствий.

Если нет проверки хоста выдавшего ключи шифрования, то именно мог бы. Центр сертификации и отвечает за валидацию хоста.

SeVlad:
все эти MiTM - это нарушение законов.

Это вмешательство предусмотрено договором между абонентом и провайдером. Поэтому юридически бороться не получится. В США не дурнее юристы чем вы - и все равно не получается.

saanvi
На сайте с 01.04.2015
Offline
108
#29
Solmyr:
Если нет проверки хоста выдавшего ключи шифрования, то именно мог бы. Центр сертификации и отвечает за валидацию хоста.

Как тогда работают самоподписанные сертификаты без всяких центров? В их трафик тоже ничего не вставишь.

Solmyr
На сайте с 10.09.2007
Offline
501
#30
saanvi:
Как тогда работают самоподписанные сертификаты без всяких центров? В их трафик тоже ничего не вставишь.

Смотря что вы понимаете под "самоподписанным сертификатом". Если это у вас на сервере самоподписанный сертификат, а посторонний пользователь заходит к вам на сайт - то конечно провайдер может подменить именно этот самоподписанный сертификат, потому что пользователь не знает кем он должен быть подписан и не может ничего проверить. Клиент устанавливает связь с сервером хостера, а сервер хостера с вашим хостом под видом клиента. На двух сегментах - разные сертификаты. Изменение потока происходит на сервере хостера, где данные существуют в расшифрованном виде.

А если вы используете самоподписанный сертификат для связи между своими собственными двумя серверами, и лично передаете через какой-то условно-защищенный канал связи приватный ключ с одного сервера на другой, то тогда вы сами для себя выполнили роль центра сертификации и валидировали хост. Так делать можно.

1 234 5

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий