Let's Encrypt присоединился к западным санкциям против российских сайтов ()

P
На сайте с 14.02.2019
Offline
58
#101
Snake800 #:

Есть вероятность, что народ достаточно быстро привыкнет "отмахиваться" от предупреждений безопасности на просроченные, отозванные и самоподписанные сертификаты как от куки-всплывашек.

Да, что боятся то, если например не производишь оплату и не регистрируется на таком сайте...

suffix
На сайте с 26.08.2010
Offline
345
#102
egel #:

Раньше думать надо было. Когда была возможность продвинуть замечательную вещь по названием DANE . Если кто не в курсе, это стандарт, где не требуется доверия одному из горстки доверенных удостоверяющих центров, а проверка сертификата встроена в DNS.

Но стандарт этот, несмотря на то что его давно приняли, так и не был реализован ни в одном популярном браузере. Только через сторонние расширения.

По понятным причинам. Браузеры получают от удостоверяющих центров немалые деньги за то, что включают их в список довененных. Формально там типа независимый форум решает, но никто особо не скрывает куда деньши отчисляются.

И сам факт что интернет мог перейти на бесплатные самоподписные сертификаты, от которых от не получали бы ни копейки был опасен для их бизнеса.

Поэтому они долгие годы не добавляли его реализацию,  а потом полуофициально отклонили под надуманным предлогом (переходом на новую криптографию, хотя никто не мешал реализовать ее и в DANE).

Результаты ждать не заставили.

Теперь вот первые отзывы сертификатов уже пошли, это из новой волны, прошлая в 22 году была,  https://online.absolutbank.ru/app/ например недавно вроде как уже, Т-банк и другие тоже сообщяют что скоро возможны проблемы доступностью из-за санкций.

Был и альтернативный путь, сделать хоть один корневой доверенный Удостоверяющий Центр из РФ в рамках существующей инфраструктуры PKI. Но это же нужно требования безопасности соблюдать весьма строгие, дорого это.

В итоге оказалось что в стране полно всяких УЦ, которые выдают ЭЦП сертификаты без проверок, которые используются в криминальных схемах на миллиарды, периодически теряют аккредиации, появляются новые. Но ни одного нормального, который смог стать довереным чтобы выдавать TLS-сертификаты для доменов не нашлось.

Понятно что УЦ от российской компании рано или поздно попал бы под санкции, и был бы выпилен из браузеров с западными корнями.

Точно так же и российские регистраторы рано или поздно попадут под санкции, и будут отключены от международных зон.

Но можно было бы пользоваться существующей безопасной инфраструктурой, переход был бы сильно менее болезненным, а не вот это вот все.

А теперь выбор не большой будет. Либо ставить на свои устройства в доверенные эти госсерты минцифровские с риском госMITM. Либо ставить троян под названием ЯБраузер. Либо в отдельный браузер ставить серт, причем собственное хранилище из популярных поддерживает только Огнелис. Либо голый http. Либо не пользоваться ru-сайтами.

Какой путь выберет простая домохозяйка вопрос интересный, но ответ очевидный.

Сейчас набегут тролли и скажут, что и так все крупные российские соцсети и прочие давно обязали депонировать сертификаты в Госхранилище, и трафик и так доступен прослушивания. Все так. Но принциально разные истории когда скомпрометированы отдельные сайты и твое устройство. Когда прослушивать и подменять cмогут любой трафик.

Причем риски можно было бы снизить, для сайтов на который включен DNSSEC. От прослушки трафика не сильно защитит в текущих реалиях когда у каждого российского провайдера и хостера стоит оборудование, через которое идет весь трафик, и с котором оно может делать все что угодно, и которое провайдеры и хостеры никак не контролируют, но от подмены может помочь.

Но много ли сайтов в Рунете с DNSSEC?

Вот тут можно проверить https://dnssec-debugger.verisignlabs.com/

Много крупных российских сайтов защищены?  Я ни одного не нашел.

Кто то может знает такой?

Что еще хуже, после позарошлогодней аварии в ru-зоне национальный центр чего то там связанного с безопасностью рекомендовал его отключить! Единственный протокол который хоть как то мог помочь с безопасностью при текущем раскладе!

И многие подчинились, отключили, но что еще хуже, популярные в РФ резольверы начали вырезать DNSSEC записи, сводят на нет всю защиту!

В итоге под соусом суверенного безопасного национального рунета подается что-то такое что ругаться очень сильно хочеться словами нехорошими. И как всегда кто то на этом еще отлично заработает.

Но теперь да согласен, сколько лет прошло с момента санкций, до сих пор не сделали аналоги "вражеских" LE и CF. И это очень печально, т.к. наглядно показывает что для чего на самом деле делается. Красивые слова все для безопасности интеренета делается из каждого утюга, а безопасность локального сегмента только снижается.

Просто крик души, как говорится, понятно там все все за всех давно решили, поделили, и что от написанного ничего не изменится...

к сожалению DANE без DNSSEC никуда не годится, а DNSSEC управляется из Вашингтона условного, так что, как выяснилось недавно, это всё-равно привело-бы к компрометации подсанкционных сайтов.

Клуб любителей хрюш (https://www.babai.ru)
E
На сайте с 01.10.2017
Offline
138
#103
pozis #:
Да, что боятся то, если например не производишь оплату и не регистрируется на таком сайте...
Уже забыли, что даже крупные операторы могут внедрять свою рекламу, в том числе с клубничкой. А могут быть и злонамеренные вмешательства с искажением содержимого и т.п.
Домены на продажу: https://p20.ru/collection/domains-for-sale
E
На сайте с 01.10.2017
Offline
138
#104
Snake800 #:
Особенно доставляет процесс подтверждения владения доменом: пдф-ка со скрепной подписью и печатью
DV должна быть проще. Возможно, и автоматизацию получится "прикрутить". Почитаю на досуге.
Z0
На сайте с 03.09.2009
Offline
842
#105
estic #:
могут внедрять свою рекламу
Не могут, а так и делают =)
egel
На сайте с 20.12.2021
Offline
60
#106
suffix #:
а DNSSEC управляется из Вашингтона условного

Да, вот как оно оказывается! 🙀

Раскройте мысль пожалуйста. Прям очень очень интересно! И мне, но особенно моему коллеге, который раньше психиатором работал.

Artisan
На сайте с 04.03.2005
Offline
388
#107
Mik Foxi #:
пусть будет хоть самоподписанный, безопаснее все равно.

Только для хозяина сертификата, всем остальным придётся верить хозяину сертификата.

www.leak.info / изучайте ДАРОМ входящие линки конкурентов и забытых доменов
Mik Foxi
На сайте с 02.03.2011
Offline
1263
#108
Artisan #:

Только для хозяина сертификата, всем остальным придётся верить хозяину сертификата.

Главная задача сертификата чтоб небыло митм атак, чтоб провайдер не попалил твои логин с паролем. С этим справится и самоподписанный.

Антибот, антиспам, веб фаервол, защита от накрутки поведенческих: https://antibot.cloud/ (8 лет на защите сайтов).
Artisan
На сайте с 04.03.2005
Offline
388
#109
Mik Foxi #:
самоподписанный.

Кем само подписанный? Откуда посторонний пользователь будет знать, кто подписал сертификат, хозяин сайта, или хитрый посредник между сайтом и пользователем? Для такого знания сертификаты подписывают цепью подписей, которая начинается от места, которому приходится верить. Хозяину сайта придётся убеждать пользователей доверять своему само подписанному сертификату, для этого пользователю придётся тщательно проверять сертификат при каждом запросе, или настраивать свою бродилку, чтобы она доверяла подписи для сертификатов от хозяина сайта. Тогда хозяин сайта сам может быть хитрым посредником для всех сайтов, которые посещает доверчивый пользователь.

suffix
На сайте с 26.08.2010
Offline
345
#110
egel #:

Да, вот как оно оказывается! 🙀

Раскройте мысль пожалуйста. Прям очень очень интересно! И мне, но особенно моему коллеге, который раньше психиатором работал.

А Вы клоуном работаете, да ? 

"Страна непуганных идиотов"

Уже на их глазах GS  и LE сертификаты обещаются больше не выдавать тем, кто под санкциями, а они продолжают верить в демократию и свободу слова Града на Холме.

Если бы браузеры поддерживали DANE, и внедрили-бы на своих сайтах DANE под DNSSEC какие-нибудь Сбер, Газпром и МО РФ, то тупо подпись всей зоны .ru DNSSEC отозвали бы и все дела. Верьте дальше в светлых эльфов :)

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий