- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Что делать, если ваша email-рассылка попала в спам
10 распространенных причин и решений
Екатерина Ткаченко
Есть вероятность, что народ достаточно быстро привыкнет "отмахиваться" от предупреждений безопасности на просроченные, отозванные и самоподписанные сертификаты как от куки-всплывашек.
Да, что боятся то, если например не производишь оплату и не регистрируется на таком сайте...
Раньше думать надо было. Когда была возможность продвинуть замечательную вещь по названием DANE . Если кто не в курсе, это стандарт, где не требуется доверия одному из горстки доверенных удостоверяющих центров, а проверка сертификата встроена в DNS.
Но стандарт этот, несмотря на то что его давно приняли, так и не был реализован ни в одном популярном браузере. Только через сторонние расширения.
По понятным причинам. Браузеры получают от удостоверяющих центров немалые деньги за то, что включают их в список довененных. Формально там типа независимый форум решает, но никто особо не скрывает куда деньши отчисляются.
И сам факт что интернет мог перейти на бесплатные самоподписные сертификаты, от которых от не получали бы ни копейки был опасен для их бизнеса.
Поэтому они долгие годы не добавляли его реализацию, а потом полуофициально отклонили под надуманным предлогом (переходом на новую криптографию, хотя никто не мешал реализовать ее и в DANE).
Результаты ждать не заставили.
Теперь вот первые отзывы сертификатов уже пошли, это из новой волны, прошлая в 22 году была, https://online.absolutbank.ru/app/ например недавно вроде как уже, Т-банк и другие тоже сообщяют что скоро возможны проблемы доступностью из-за санкций.
Был и альтернативный путь, сделать хоть один корневой доверенный Удостоверяющий Центр из РФ в рамках существующей инфраструктуры PKI. Но это же нужно требования безопасности соблюдать весьма строгие, дорого это.
В итоге оказалось что в стране полно всяких УЦ, которые выдают ЭЦП сертификаты без проверок, которые используются в криминальных схемах на миллиарды, периодически теряют аккредиации, появляются новые. Но ни одного нормального, который смог стать довереным чтобы выдавать TLS-сертификаты для доменов не нашлось.
Понятно что УЦ от российской компании рано или поздно попал бы под санкции, и был бы выпилен из браузеров с западными корнями.
Точно так же и российские регистраторы рано или поздно попадут под санкции, и будут отключены от международных зон.
Но можно было бы пользоваться существующей безопасной инфраструктурой, переход был бы сильно менее болезненным, а не вот это вот все.
А теперь выбор не большой будет. Либо ставить на свои устройства в доверенные эти госсерты минцифровские с риском госMITM. Либо ставить троян под названием ЯБраузер. Либо в отдельный браузер ставить серт, причем собственное хранилище из популярных поддерживает только Огнелис. Либо голый http. Либо не пользоваться ru-сайтами.
Какой путь выберет простая домохозяйка вопрос интересный, но ответ очевидный.
Сейчас набегут тролли и скажут, что и так все крупные российские соцсети и прочие давно обязали депонировать сертификаты в Госхранилище, и трафик и так доступен прослушивания. Все так. Но принциально разные истории когда скомпрометированы отдельные сайты и твое устройство. Когда прослушивать и подменять cмогут любой трафик.
Причем риски можно было бы снизить, для сайтов на который включен DNSSEC. От прослушки трафика не сильно защитит в текущих реалиях когда у каждого российского провайдера и хостера стоит оборудование, через которое идет весь трафик, и с котором оно может делать все что угодно, и которое провайдеры и хостеры никак не контролируют, но от подмены может помочь.
Но много ли сайтов в Рунете с DNSSEC?
Вот тут можно проверить https://dnssec-debugger.verisignlabs.com/
Много крупных российских сайтов защищены? Я ни одного не нашел.
Кто то может знает такой?
Что еще хуже, после позарошлогодней аварии в ru-зоне национальный центр чего то там связанного с безопасностью рекомендовал его отключить! Единственный протокол который хоть как то мог помочь с безопасностью при текущем раскладе!
И многие подчинились, отключили, но что еще хуже, популярные в РФ резольверы начали вырезать DNSSEC записи, сводят на нет всю защиту!
В итоге под соусом суверенного безопасного национального рунета подается что-то такое что ругаться очень сильно хочеться словами нехорошими. И как всегда кто то на этом еще отлично заработает.
Но теперь да согласен, сколько лет прошло с момента санкций, до сих пор не сделали аналоги "вражеских" LE и CF. И это очень печально, т.к. наглядно показывает что для чего на самом деле делается. Красивые слова все для безопасности интеренета делается из каждого утюга, а безопасность локального сегмента только снижается.
Просто крик души, как говорится, понятно там все все за всех давно решили, поделили, и что от написанного ничего не изменится...
к сожалению DANE без DNSSEC никуда не годится, а DNSSEC управляется из Вашингтона условного, так что, как выяснилось недавно, это всё-равно привело-бы к компрометации подсанкционных сайтов.
Да, что боятся то, если например не производишь оплату и не регистрируется на таком сайте...
Особенно доставляет процесс подтверждения владения доменом: пдф-ка со скрепной подписью и печатью
могут внедрять свою рекламу
а DNSSEC управляется из Вашингтона условного
Да, вот как оно оказывается! 🙀
Раскройте мысль пожалуйста. Прям очень очень интересно! И мне, но особенно моему коллеге, который раньше психиатором работал.
пусть будет хоть самоподписанный, безопаснее все равно.
Только для хозяина сертификата, всем остальным придётся верить хозяину сертификата.
Только для хозяина сертификата, всем остальным придётся верить хозяину сертификата.
Главная задача сертификата чтоб небыло митм атак, чтоб провайдер не попалил твои логин с паролем. С этим справится и самоподписанный.
самоподписанный.
Кем само подписанный? Откуда посторонний пользователь будет знать, кто подписал сертификат, хозяин сайта, или хитрый посредник между сайтом и пользователем? Для такого знания сертификаты подписывают цепью подписей, которая начинается от места, которому приходится верить. Хозяину сайта придётся убеждать пользователей доверять своему само подписанному сертификату, для этого пользователю придётся тщательно проверять сертификат при каждом запросе, или настраивать свою бродилку, чтобы она доверяла подписи для сертификатов от хозяина сайта. Тогда хозяин сайта сам может быть хитрым посредником для всех сайтов, которые посещает доверчивый пользователь.
Да, вот как оно оказывается! 🙀
Раскройте мысль пожалуйста. Прям очень очень интересно! И мне, но особенно моему коллеге, который раньше психиатором работал.
А Вы клоуном работаете, да ?
"Страна непуганных идиотов"
Уже на их глазах GS и LE сертификаты обещаются больше не выдавать тем, кто под санкциями, а они продолжают верить в демократию и свободу слова Града на Холме.
Если бы браузеры поддерживали DANE, и внедрили-бы на своих сайтах DANE под DNSSEC какие-нибудь Сбер, Газпром и МО РФ, то тупо подпись всей зоны .ru DNSSEC отозвали бы и все дела. Верьте дальше в светлых эльфов :)