Let's Encrypt присоединился к западным санкциям против российских сайтов ()

egel
На сайте с 20.12.2021
Offline
60
#111
suffix #:

А Вы клоуном работаете, да ? 

"Страна непуганных идиотов"

Уже на их глазах GS  и LE сертификаты обещаются больше не выдавать тем, кто под санкциями, а они продолжают верить в демократию и свободу слова Града на Холме.

Если бы браузеры поддерживали DANE, и внедрили-бы на своих сайтах DANE под DNSSEC какие-нибудь Сбер, Газпром и МО РФ, то тупо подпись всей зоны .ru DNSSEC отозвали бы и все дела. Верьте дальше в светлых эльфов :)

Очень интересная дискуссия с человеком, с человеком слабо представляющем как работает DNS и Интренет, и имеющим понимание на уровне любителя политических ток-шоу...

Ok, опущу дискуссию на твой уровень.  Если ты пишешь "тупо подпись всей зоны .ru DNSSEC отозвали бы и все дела", то по почему тогда не "уберут всю зону  с корневых серверов"? И про НСДИ слышал? Соловьев неужели об этом из ящика не рассказывал? Все Российские провайдеры и хостеры уже пару лет как обязаны брать записи, которые потом отдают клиентам оттуда,  а не с реальных корневых серверов Интернета. 

А для людей кто хоть немного понимает, как работат DNS,  если тут такие еще остались. Поясню, что в сценарии отключения .ru доменной зоны  от Интернета в текущем варианте "PKI с западными CA" TLS  в пролете,  а случае если бы внедрили DANE все можно было бы сохранить в работающем режиме с проверкой. Для поного сохранения работы для DANE + DNSSEC достаточно было бы чтобы Trusted Anchor у провайдеров на НСДИ был.

Все бы продолжило работать БЕЗ установки в систему "доверенных" корневых сертифкатов от всяких Минцифр, а для выпуска  TLS-сертификатов для сайтов не нужно было бы идти на поклон к ним же или кому-то еще. Не надо было бы компрометировать устройсктва установкой каких-то сомнительных корневых сертификатов в доверенные на устройства, никакие особенные браузеры тоже не надо ставить. И все работало бы. Никаких предупреждений о небезпасном соединении. Защита от MITM  явно не хуже, попытка подмены выявлется проще.

И сам процесс проще, генерируй сам сертификат и загружай в зону. Все бы работало из коробки. Никаких УЦ, каждый сам себе УЦ. Но видимо слижком "децентрализованная" схема,  Удостоверяющие центры потеряли бы власть, и есть много людей заинтересованных чтобы этого не случилось.

Y
На сайте с 29.05.2006
Offline
156
#112
egel #:
Все Российские провайдеры и хостеры уже пару лет как обязаны брать записи, которые потом отдают клиентам оттуда,  а не с реальных корневых серверов Интернета.
Не замечал таких, как минимум среди более менее крупных, даже с подменой/фильтрацией у Мета доменов перестали играть 😀
suffix
На сайте с 26.08.2010
Offline
345
#113
egel #:

Очень интересная дискуссия с человеком, с человеком слабо представляющем как работает DNS и Интренет, и имеющим понимание на уровне любителя политических ток-шоу...

Ok, опущу дискуссию на твой уровень.  Если ты пишешь "тупо подпись всей зоны .ru DNSSEC отозвали бы и все дела", то по почему тогда не "уберут всю зону  с корневых серверов"? И про НСДИ слышал? Соловьев неужели об этом из ящика не рассказывал? Все Российские провайдеры и хостеры уже пару лет как обязаны брать записи, которые потом отдают клиентам оттуда,  а не с реальных корневых серверов Интернета. 

А для людей кто хоть немного понимает, как работат DNS,  если тут такие еще остались. Поясню, что в сценарии отключения .ru доменной зоны  от Интернета в текущем варианте "PKI с западными CA" TLS  в пролете,  а случае если бы внедрили DANE все можно было бы сохранить в работающем режиме с проверкой. Для поного сохранения работы для DANE + DNSSEC достаточно было бы чтобы Trusted Anchor у провайдеров на НСДИ был.

Все бы продолжило работать БЕЗ установки в систему "доверенных" корневых сертифкатов от всяких Минцифр, а для выпуска  TLS-сертификатов для сайтов не нужно было бы идти на поклон к ним же или кому-то еще. Не надо было бы компрометировать устройсктва установкой каких-то сомнительных корневых сертификатов в доверенные на устройства, никакие особенные браузеры тоже не надо ставить. И все работало бы. Никаких предупреждений о небезпасном соединении. Защита от MITM  явно не хуже, попытка подмены выявлется проще.

И сам процесс проще, генерируй сам сертификат и загружай в зону. Все бы работало из коробки. Никаких УЦ, каждый сам себе УЦ. Но видимо слижком "децентрализованная" схема,  Удостоверяющие центры потеряли бы власть, и есть много людей заинтересованных чтобы этого не случилось.

Клоун, сами решили кто в чём не разбирается и над этим смеётесь ? Это очень глупо выглядит, а не смешно.

У меня и к сайту и к почте TLSA DANE стоит, разумеется с DNSSEC (babai.ru)

Компанию immuniweb знаете ? 

https://www.immuniweb.com/ssl/about/

Меня упомянули:

"Acknowledgements

The following security experts helped us improve this free product:

  • Alexander Falaleev, clubbabai"
Так что, клоун, иногда лучше жевать чем говорить.
Клуб любителей хрюш (https://www.babai.ru)
egel
На сайте с 20.12.2021
Offline
60
#114
suffix #:

Клоун, сами решили кто в чём не разбирается и над этим смеётесь ? Это очень глупо выглядит, а не смешно.

У меня и к сайту и к почте TLSA DANE стоит, разумеется с DNSSEC (babai.ru)

Компанию immuniweb знаете ? 

https://www.immuniweb.com/ssl/about/

Меня упомянули:

"Acknowledgements

The following security experts helped us improve this free product:

  • Alexander Falaleev, clubbabai"
Так что, клоун, иногда лучше жевать чем говорить.

🤣🤣🤣

Мальчик, ну прекрати, не позорься дальше. И не позорь компанию.

Експэрты, которых мы заслужили... 😓

suffix
На сайте с 26.08.2010
Offline
345
#115
egel #:

🤣🤣🤣

Мальчик, ну прекрати, не позорься дальше. И не позорь компанию.

Експэрты, которых мы заслужили... 😓

О, клоун, перешёл на личные оскорбления :)

Как мило - но так бывает, когда веришь в светлых эльфов. Ничему не учит жизнь этих малолеток - продолжают  смотреть восторженно на всё забугорное. Им санкциями по рылу, сертификаты отзывают - а им всё божья роса :) 


P.S.


Сайт мой проверили ? Убедились что и TLSA DANE  с DNSSEC стоят ? Ну и кто ничего в DNS не понимает ? Ох клоун, такой клоун :)

R2
На сайте с 17.04.2025
Offline
10
#116
И что будет, если все RU-сайты лишат сертификатов в каком-нибудь условном 30-м пакете санкций? Есть условная китайская альтернатива, если православные сертификаты "переваривает" только "Яндекс.Браузер"?
stp2001
На сайте с 12.08.2017
Offline
101
#117
root2025 #:
И что будет, если все RU-сайты лишат сертификатов в каком-нибудь условном 30-м пакете санкций? Есть условная китайская альтернатива, если православные сертификаты "переваривает" только "Яндекс.Браузер"?

Можно вернуться к http

Что? Где? Когда?
sergv
На сайте с 13.04.2006
Offline
453
#118
root2025 #:
если православные сертификаты "переваривает" только "Яндекс.Браузер"?

Почему же только Я? Добавьте сертификаты Минцифры (https://www.gosuslugi.ru/crt) на свои устройства и переварит даже любой спутник\амиго.

Госуслуги
Госуслуги
  • www.gosuslugi.ru
Проще, чем кажется
R2
На сайте с 17.04.2025
Offline
10
#119
sergv #:

Почему же только Я? Добавьте сертификаты Минцифры (https://www.gosuslugi.ru/crt) на свои устройства и переварит даже любой спутник\амиго.

То есть других альтернатив нет? Суверенненько 
Mik Foxi
На сайте с 02.03.2011
Offline
1264
#120
sergv #:

Почему же только Я? Добавьте сертификаты Минцифры (https://www.gosuslugi.ru/crt) на свои устройства и переварит даже любой спутник\амиго.

для простого пользователя "поставить в бразуер сертификат" звучит как "поставить вирус на комп". 
Антибот, антиспам, веб фаервол, защита от накрутки поведенческих: https://antibot.cloud/ (8 лет на защите сайтов).

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий