Клоун, сами решили кто в чём не разбирается и над этим смеётесь ? Это очень глупо выглядит, а не смешно.
У меня и к сайту и к почте TLSA DANE стоит, разумеется с DNSSEC (babai.ru)
Компанию immuniweb знаете ?
https://www.immuniweb.com/ssl/about/
Меня упомянули:
"Acknowledgements
The following security experts helped us improve this free product:
🤣🤣🤣
Мальчик, ну прекрати, не позорься дальше. И не позорь компанию.
Експэрты, которых мы заслужили... 😓
А Вы клоуном работаете, да ?
"Страна непуганных идиотов"
Уже на их глазах GS и LE сертификаты обещаются больше не выдавать тем, кто под санкциями, а они продолжают верить в демократию и свободу слова Града на Холме.
Если бы браузеры поддерживали DANE, и внедрили-бы на своих сайтах DANE под DNSSEC какие-нибудь Сбер, Газпром и МО РФ, то тупо подпись всей зоны .ru DNSSEC отозвали бы и все дела. Верьте дальше в светлых эльфов :)
Очень интересная дискуссия с человеком, с человеком слабо представляющем как работает DNS и Интренет, и имеющим понимание на уровне любителя политических ток-шоу...
Ok, опущу дискуссию на твой уровень. Если ты пишешь "тупо подпись всей зоны .ru DNSSEC отозвали бы и все дела", то по почему тогда не "уберут всю зону с корневых серверов"? И про НСДИ слышал? Соловьев неужели об этом из ящика не рассказывал? Все Российские провайдеры и хостеры уже пару лет как обязаны брать записи, которые потом отдают клиентам оттуда, а не с реальных корневых серверов Интернета.
А для людей кто хоть немного понимает, как работат DNS, если тут такие еще остались. Поясню, что в сценарии отключения .ru доменной зоны от Интернета в текущем варианте "PKI с западными CA" TLS в пролете, а случае если бы внедрили DANE все можно было бы сохранить в работающем режиме с проверкой. Для поного сохранения работы для DANE + DNSSEC достаточно было бы чтобы Trusted Anchor у провайдеров на НСДИ был.
Все бы продолжило работать БЕЗ установки в систему "доверенных" корневых сертифкатов от всяких Минцифр, а для выпуска TLS-сертификатов для сайтов не нужно было бы идти на поклон к ним же или кому-то еще. Не надо было бы компрометировать устройсктва установкой каких-то сомнительных корневых сертификатов в доверенные на устройства, никакие особенные браузеры тоже не надо ставить. И все работало бы. Никаких предупреждений о небезпасном соединении. Защита от MITM явно не хуже, попытка подмены выявлется проще.
И сам процесс проще, генерируй сам сертификат и загружай в зону. Все бы работало из коробки. Никаких УЦ, каждый сам себе УЦ. Но видимо слижком "децентрализованная" схема, Удостоверяющие центры потеряли бы власть, и есть много людей заинтересованных чтобы этого не случилось.
Эта услуга уникальна для R01 и их реселлеров, к сожалению.
Это все можно еще можно реализовать переносом в РЦ на ваш NIC-D в R01.
Да, вот как оно оказывается! 🙀
Раскройте мысль пожалуйста. Прям очень очень интересно! И мне, но особенно моему коллеге, который раньше психиатором работал.
Раньше думать надо было. Когда была возможность продвинуть замечательную вещь по названием DANE . Если кто не в курсе, это стандарт, где не требуется доверия одному из горстки доверенных удостоверяющих центров, а проверка сертификата встроена в DNS.
Но стандарт этот, несмотря на то что его давно приняли, так и не был реализован ни в одном популярном браузере. Только через сторонние расширения.
По понятным причинам. Браузеры получают от удостоверяющих центров немалые деньги за то, что включают их в список довененных. Формально там типа независимый форум решает, но никто особо не скрывает куда деньши отчисляются.
И сам факт что интернет мог перейти на бесплатные самоподписные сертификаты, от которых от не получали бы ни копейки был опасен для их бизнеса.
Поэтому они долгие годы не добавляли его реализацию, а потом полуофициально отклонили под надуманным предлогом (переходом на новую криптографию, хотя никто не мешал реализовать ее и в DANE).
Результаты ждать не заставили.
Теперь вот первые отзывы сертификатов уже пошли, это из новой волны, прошлая в 22 году была, https://online.absolutbank.ru/app/ например недавно вроде как уже, Т-банк и другие тоже сообщяют что скоро возможны проблемы доступностью из-за санкций.
Был и альтернативный путь, сделать хоть один корневой доверенный Удостоверяющий Центр из РФ в рамках существующей инфраструктуры PKI. Но это же нужно требования безопасности соблюдать весьма строгие, дорого это.
В итоге оказалось что в стране полно всяких УЦ, которые выдают ЭЦП сертификаты без проверок, которые используются в криминальных схемах на миллиарды, периодически теряют аккредиации, появляются новые. Но ни одного нормального, который смог стать довереным чтобы выдавать TLS-сертификаты для доменов не нашлось.
Понятно что УЦ от российской компании рано или поздно попал бы под санкции, и был бы выпилен из браузеров с западными корнями.
Точно так же и российские регистраторы рано или поздно попадут под санкции, и будут отключены от международных зон.
Но можно было бы пользоваться существующей безопасной инфраструктурой, переход был бы сильно менее болезненным, а не вот это вот все.
А теперь выбор не большой будет. Либо ставить на свои устройства в доверенные эти госсерты минцифровские с риском госMITM. Либо ставить троян под названием ЯБраузер. Либо в отдельный браузер ставить серт, причем собственное хранилище из популярных поддерживает только Огнелис. Либо голый http. Либо не пользоваться ru-сайтами.
Какой путь выберет простая домохозяйка вопрос интересный, но ответ очевидный.
Сейчас набегут тролли и скажут, что и так все крупные российские соцсети и прочие давно обязали депонировать сертификаты в Госхранилище, и трафик и так доступен прослушивания. Все так. Но принциально разные истории когда скомпрометированы отдельные сайты и твое устройство. Когда прослушивать и подменять cмогут любой трафик.
Причем риски можно было бы снизить, для сайтов на который включен DNSSEC. От прослушки трафика не сильно защитит в текущих реалиях когда у каждого российского провайдера и хостера стоит оборудование, через которое идет весь трафик, и с котором оно может делать все что угодно, и которое провайдеры и хостеры никак не контролируют, но от подмены может помочь.
Но много ли сайтов в Рунете с DNSSEC?
Вот тут можно проверить https://dnssec-debugger.verisignlabs.com/
Много крупных российских сайтов защищены? Я ни одного не нашел.
Кто то может знает такой?
Что еще хуже, после позарошлогодней аварии в ru-зоне национальный центр чего то там связанного с безопасностью рекомендовал его отключить! Единственный протокол который хоть как то мог помочь с безопасностью при текущем раскладе!
И многие подчинились, отключили, но что еще хуже, популярные в РФ резольверы начали вырезать DNSSEC записи, сводят на нет всю защиту!
В итоге под соусом суверенного безопасного национального рунета подается что-то такое что ругаться очень сильно хочеться словами нехорошими. И как всегда кто то на этом еще отлично заработает.
Но теперь да согласен, сколько лет прошло с момента санкций, до сих пор не сделали аналоги "вражеских" LE и CF. И это очень печально, т.к. наглядно показывает что для чего на самом деле делается. Красивые слова все для безопасности интеренета делается из каждого утюга, а безопасность локального сегмента только снижается.
Просто крик души, как говорится, понятно там все все за всех давно решили, поделили, и что от написанного ничего не изменится...
Это почти везде так. Иногда жестко контролируешь содержимое сайта и то можешь не уследить. А еще есть спам-рассылки с почты на домене и т.п.
Проще всего с переадресацией (выше писал об этом).
Сейчас столько новых законов принимается, специально сделанных так, чтобы их невозможно было не нарушить, что контолируй или не контролируй что то да нарушишь.
Например по данным закрытого исследования политика обработки данных не соответствует законодательству в 80% даже у тех у кого она есть на сайте. А должна быть почти у всех, после недавних разъяснений и штрафы там не малые.
Или взять список запрещенной информации. Его как такового нет в нормальном виде и отлеживание никак не автоматизировать. Что не мешает сажать людей за публикацию такой информации. А есть еще ссылки, и практика такова, что никого не волнует, что на момент ее размещения там ничего запрещенного не было, или что автор стал инагентом позже.
Или закон про рекламу. Пока нет привязки к госуслугам конечно сложно налог этот контолировать, но потом будут зверствовать всем же понятно.
Или закон о наименованиях на латинице. Казалось бы какие там риски? А почитайте анализы серьезных юристов, они там немалые.
Или... взять почти любой законопроект из сейчас рассматриваемых, да целая армия юристов и помощников нужна чтобы все исправлять и соблюдать. Мелкому бизнесу это очень сложно потянуть, и будут нести ответсвенность.
Да, в открытом доступе полгого списка доменов нет, плюс они чуть разные у разных операторов, но названия сервисов опубликованы в новостях на правительственных сайтах. Их там немного, пара десятков. Даже банка всего два или три там только, остальные до сих пор не смогли выполнить требования ФСБ, хотя уже почти год прошел с момента их введения.
Но вряд ли у комментатора выше хватит денег купить домен ВК или Яндекс.
А если хватит, то он может и так договориться с тем, кто решает какие компании включать в белые рунета 😀
Уже давно помимо этого IP-адрес из белого списка тоже должен быть. А недавно еще и соответсвие начали сверять. Поэтому если нет доступа к подсети на которой веб-сервер Озон хостится (а никто тебе очевидно еге не даст), то ничего не получится.
В некоторых регионах у некоторых оепраторов еще не успели докрутить и фильтрации проще работают. Но это временно, через пару недель гайки закрутят и там.
Будет год в запасе.
Но NSы менять вероятно не дадут без привязки к Госуслугам, поэтому лучше заранее озаботиться этим вопросом.
Да все равно найдуться много тех, кто за копейку что угодно на себя оформят, и домен и карту через которые бабушек обманывают.
Как писал классик...
