РБК сообщил о новой волне отзыва сертификатов у российских сайтов японским GlobalSign.
Источник - https://www.forbes.ru/tekhnologii/563301-rbk-soobsil-o-novoj-volne-otzyva-sertifikatov-u-rossijskih-sajtov-aponskim-globalsign
пока это всё относится исключительно к подсанкционным компаниям, так что...
А почему ГС с рерайтными, ворованными текстами, который выполз в топ накруткой поведенческих и украшенный как новогодняя ёлка рекламными баннерами должен приносить деньги ?
🤣🤣🤣
Мальчик, ну прекрати, не позорься дальше. И не позорь компанию.
Експэрты, которых мы заслужили... 😓
О, клоун, перешёл на личные оскорбления :)
Как мило - но так бывает, когда веришь в светлых эльфов. Ничему не учит жизнь этих малолеток - продолжают смотреть восторженно на всё забугорное. Им санкциями по рылу, сертификаты отзывают - а им всё божья роса :)
P.S.
Сайт мой проверили ? Убедились что и TLSA DANE с DNSSEC стоят ? Ну и кто ничего в DNS не понимает ? Ох клоун, такой клоун :)
Очень интересная дискуссия с человеком, с человеком слабо представляющем как работает DNS и Интренет, и имеющим понимание на уровне любителя политических ток-шоу...
Ok, опущу дискуссию на твой уровень. Если ты пишешь "тупо подпись всей зоны .ru DNSSEC отозвали бы и все дела", то по почему тогда не "уберут всю зону с корневых серверов"? И про НСДИ слышал? Соловьев неужели об этом из ящика не рассказывал? Все Российские провайдеры и хостеры уже пару лет как обязаны брать записи, которые потом отдают клиентам оттуда, а не с реальных корневых серверов Интернета.
А для людей кто хоть немного понимает, как работат DNS, если тут такие еще остались. Поясню, что в сценарии отключения .ru доменной зоны от Интернета в текущем варианте "PKI с западными CA" TLS в пролете, а случае если бы внедрили DANE все можно было бы сохранить в работающем режиме с проверкой. Для поного сохранения работы для DANE + DNSSEC достаточно было бы чтобы Trusted Anchor у провайдеров на НСДИ был.
Все бы продолжило работать БЕЗ установки в систему "доверенных" корневых сертифкатов от всяких Минцифр, а для выпуска TLS-сертификатов для сайтов не нужно было бы идти на поклон к ним же или кому-то еще. Не надо было бы компрометировать устройсктва установкой каких-то сомнительных корневых сертификатов в доверенные на устройства, никакие особенные браузеры тоже не надо ставить. И все работало бы. Никаких предупреждений о небезпасном соединении. Защита от MITM явно не хуже, попытка подмены выявлется проще.
И сам процесс проще, генерируй сам сертификат и загружай в зону. Все бы работало из коробки. Никаких УЦ, каждый сам себе УЦ. Но видимо слижком "децентрализованная" схема, Удостоверяющие центры потеряли бы власть, и есть много людей заинтересованных чтобы этого не случилось.
Клоун, сами решили кто в чём не разбирается и над этим смеётесь ? Это очень глупо выглядит, а не смешно.
У меня и к сайту и к почте TLSA DANE стоит, разумеется с DNSSEC (babai.ru)
Компанию immuniweb знаете ?
https://www.immuniweb.com/ssl/about/
Меня упомянули:
"Acknowledgements
The following security experts helped us improve this free product:
Да, вот как оно оказывается! 🙀
Раскройте мысль пожалуйста. Прям очень очень интересно! И мне, но особенно моему коллеге, который раньше психиатором работал.
А Вы клоуном работаете, да ?
"Страна непуганных идиотов"
Уже на их глазах GS и LE сертификаты обещаются больше не выдавать тем, кто под санкциями, а они продолжают верить в демократию и свободу слова Града на Холме.
Если бы браузеры поддерживали DANE, и внедрили-бы на своих сайтах DANE под DNSSEC какие-нибудь Сбер, Газпром и МО РФ, то тупо подпись всей зоны .ru DNSSEC отозвали бы и все дела. Верьте дальше в светлых эльфов :)
Раньше думать надо было. Когда была возможность продвинуть замечательную вещь по названием DANE . Если кто не в курсе, это стандарт, где не требуется доверия одному из горстки доверенных удостоверяющих центров, а проверка сертификата встроена в DNS.
Но стандарт этот, несмотря на то что его давно приняли, так и не был реализован ни в одном популярном браузере. Только через сторонние расширения.
По понятным причинам. Браузеры получают от удостоверяющих центров немалые деньги за то, что включают их в список довененных. Формально там типа независимый форум решает, но никто особо не скрывает куда деньши отчисляются.
И сам факт что интернет мог перейти на бесплатные самоподписные сертификаты, от которых от не получали бы ни копейки был опасен для их бизнеса.
Поэтому они долгие годы не добавляли его реализацию, а потом полуофициально отклонили под надуманным предлогом (переходом на новую криптографию, хотя никто не мешал реализовать ее и в DANE).
Результаты ждать не заставили.
Теперь вот первые отзывы сертификатов уже пошли, это из новой волны, прошлая в 22 году была, https://online.absolutbank.ru/app/ например недавно вроде как уже, Т-банк и другие тоже сообщяют что скоро возможны проблемы доступностью из-за санкций.
Был и альтернативный путь, сделать хоть один корневой доверенный Удостоверяющий Центр из РФ в рамках существующей инфраструктуры PKI. Но это же нужно требования безопасности соблюдать весьма строгие, дорого это.
В итоге оказалось что в стране полно всяких УЦ, которые выдают ЭЦП сертификаты без проверок, которые используются в криминальных схемах на миллиарды, периодически теряют аккредиации, появляются новые. Но ни одного нормального, который смог стать довереным чтобы выдавать TLS-сертификаты для доменов не нашлось.
Понятно что УЦ от российской компании рано или поздно попал бы под санкции, и был бы выпилен из браузеров с западными корнями.
Точно так же и российские регистраторы рано или поздно попадут под санкции, и будут отключены от международных зон.
Но можно было бы пользоваться существующей безопасной инфраструктурой, переход был бы сильно менее болезненным, а не вот это вот все.
А теперь выбор не большой будет. Либо ставить на свои устройства в доверенные эти госсерты минцифровские с риском госMITM. Либо ставить троян под названием ЯБраузер. Либо в отдельный браузер ставить серт, причем собственное хранилище из популярных поддерживает только Огнелис. Либо голый http. Либо не пользоваться ru-сайтами.
Какой путь выберет простая домохозяйка вопрос интересный, но ответ очевидный.
Сейчас набегут тролли и скажут, что и так все крупные российские соцсети и прочие давно обязали депонировать сертификаты в Госхранилище, и трафик и так доступен прослушивания. Все так. Но принциально разные истории когда скомпрометированы отдельные сайты и твое устройство. Когда прослушивать и подменять cмогут любой трафик.
Причем риски можно было бы снизить, для сайтов на который включен DNSSEC. От прослушки трафика не сильно защитит в текущих реалиях когда у каждого российского провайдера и хостера стоит оборудование, через которое идет весь трафик, и с котором оно может делать все что угодно, и которое провайдеры и хостеры никак не контролируют, но от подмены может помочь.
Но много ли сайтов в Рунете с DNSSEC?
Вот тут можно проверить https://dnssec-debugger.verisignlabs.com/
Много крупных российских сайтов защищены? Я ни одного не нашел.
Кто то может знает такой?
Что еще хуже, после позарошлогодней аварии в ru-зоне национальный центр чего то там связанного с безопасностью рекомендовал его отключить! Единственный протокол который хоть как то мог помочь с безопасностью при текущем раскладе!
И многие подчинились, отключили, но что еще хуже, популярные в РФ резольверы начали вырезать DNSSEC записи, сводят на нет всю защиту!
В итоге под соусом суверенного безопасного национального рунета подается что-то такое что ругаться очень сильно хочеться словами нехорошими. И как всегда кто то на этом еще отлично заработает.
Но теперь да согласен, сколько лет прошло с момента санкций, до сих пор не сделали аналоги "вражеских" LE и CF. И это очень печально, т.к. наглядно показывает что для чего на самом деле делается. Красивые слова все для безопасности интеренета делается из каждого утюга, а безопасность локального сегмента только снижается.
Просто крик души, как говорится, понятно там все все за всех давно решили, поделили, и что от написанного ничего не изменится...
к сожалению DANE без DNSSEC никуда не годится, а DNSSEC управляется из Вашингтона условного, так что, как выяснилось недавно, это всё-равно привело-бы к компрометации подсанкционных сайтов.
result = 2 * 2
🤣
На какое место бы вы поставили Qwen3-Coder?
Зачем Вам мнение формошлёпа ? Разве из всех его постов на форуме непонятно что это весьма недалёкий понторез с большим апломбом.
99% нормальных компаний уже принимают крипту, хотя бы стейблы. Купить их и оплатить проблем нет.
99% старых, крупных компаний принимают визу, мастер и пейпал только лишь. Даже амекс и дайнерс клаб не принимают, а Вы тут какие-то фантазии про крипту :)