Ну что, пацаны. Чебурнет? / политика :: песочница политоты :: чебурнет

политикапесочница политотычебурнет

Ну что, пацаны. Чебурнет?

В россии и беларуси перестали работать компании, которые выдают сертификаты безопасности SSL и TLS для веб-сайтов.
Как передает Укринформ, об этом вице-премьер-министр - министр цифровой трансформации Михаил Федоров сообщил в Телеграме.

«По инициативе Минцифры на территории россии и беларуси перестали работать основные компании, которые выдают сертификаты безопасности SSL и TLS для веб-сайтов, а именно: GeoTrust, Sectigo, DigiCert, Thawte, Rapid», - заявил Федоров.

Он отметил, что наличие сертификатов означает, что ресурсы надежно защищены, и им можно передавать свои персональные данные. Например, предоставить реквизиты карты, чтобы они вводились автоматически, когда вы хотите что-то приобрести.

Федоров отметил, что компании больше не будут выпускать сертификаты для российских и белорусских сайтов и обновлять имеющиеся, поэтому они автоматически станут опасны всем пользователям, а браузеры по всему миру их будут блокировать.

"Фактически это означает смерть протокола https на территории россии", - заявил Федоров.

ЧЕБУРНЕТ
загружается... подождите 20 минуг,политика,политические новости, шутки и мемы,песочница политоты,чебурнет

Про смерть https бред сивой кобылы
Во всяком случае пока работает le и другие центры сертификации, коих заметно больше чем 5 выше перечисленных

15.03.2022, 22:21

+3,8

Вы находитесь здесь.

Взрыв мозгов

15.03.2022, 22:23

+9,5

Всегда можно создать государственный корневой сертификат и им подписывать все сайты а также соединения перехваченные при помощи man-in-the-middle

15.03.2022, 22:39

+0,7

А в случае конкретных организаций и вовсе есть практика обмена сертификатами с внесением их в список доверенных и перевыпуск каждые N месяцев через генерацию csr запроса

15.03.2022, 22:46

-0,2

Государственный? Ты вообще на сайт райцентров заходил? Их айти армия Украины некоторые положила так что не встанут. Сомневаюсь что там у Путлера где-то в кармане свой личный анонимус.

16.03.2022, 00:57

+2,9

,политика,политические новости, шутки и мемы,песочница политоты,чебурнет

16.03.2022, 12:07

0,0

Создать свой сертификат большого ума не надо. Главное заставить людей его установить

16.03.2022, 12:42

+0,9

>>пока работает le
Он выдает сертификат по http, так что серьезные компании с этой игрушкой не сотрудничают.

Что до "смерти": скорее всего не смогут получать и обновлять сертификаты пользователи/юрлица РФ. Это означает что тот же Сбер после дня Х (ранее выпущенный сертификат не вечен) столкнется с серьезными проблемами.

Предположу, что отечественный софт будет работать с внутренним сертификатом, который не будет приниматься остальными (осталось его переписать, что тоже не бесплатно и не безопасно). Учитывая что дядя ФСБшник скажет "я должен иметь все закрытые ключи"... ух, в общем это будет Чебурнет, просто не тот, который представляет большинство людей.

15.03.2022, 23:29

+2,7

> Он выдает сертификат по http,
Не только, там и через dns можно.
LE даёт сертификаты "обычного" уровня которые только подтверждают владение доменом, более "серьёзные" EV (Extended Validation) сертификаты можно получить только за бабло и после некого процесса проверки конторы, важно в основном для банков.

Решением в таком случае было бы выпуск своих сертификатов через что-то вроде госуслуг или как оно там у вас называется, и установка корневого сертификата (Certificate Authority) в системы пользователей, так например пытались уже сделать в Казахстане.
Что позволило бы товарищам майорам просматривать весь https трафик который "защищён" такой цепочкой сертификатов.
Ессно это не чем хорошим не закончилось так как браузероделы сразу внесли эту CA в чёрный список превращая сию затею в тыкву.
Посему единственная надежда что что-то в этом роде заработает - использовать какойто скрепный хуяндекс браузер с сертификатами от товарищей майоров.

16.03.2022, 00:52

+0,9

ЗЫ и при наличии работоспособного корневого сертификата в системе пользователя можно свободно подменять любые сертификаты и прослушивать любой https трафик, браузер бы даже не пискнул.

16.03.2022, 00:55

+0,7

>>Не только, там и через dns можно.
Насколько я понял, на своем домене разворачиваешь сервис, к которому LE делает запрос по http через указанный домен и после отгружает сертификат. Но в целом "да" -- это решение не подходит для банков (и не только для них).

>>использовать какойто скрепный хуяндекс
Не единым браузером... Теже игры, корпоративный VPN, всякие сервисы мониторинга и удаленного доступа. Вся ирония в том, что для 99% юзеров интернет -- это только странички с котами в браузере. А, ну еще пара месседжеров. Всем понимать это нафиг не нужно, но строго говоря это далеко не так, и сложно предложить сколько навернется всего.

16.03.2022, 05:12

0,0

> Насколько я понял, на своем домене разворачиваешь сервис, к которому LE делает запрос по http через указанный домен

по сути там сейчас работают 2 типа проверки http-01 (который работает так как ты описал) и dns-01 который работает через добавление в твою dns зону определённой TXT записи по которой и производится проверка, у dns-01 есть плюс что по нему можно получить wildcard сертификат то есть *.domain.name с которым может работать вообще любой твой поддомен.

Оба варианта можно (и нужно) автоматизировать.

Кстати да ещё один из минусов LE это то что серты выдаются на 3 месяца, платные серты можно брать на год, в некоторых случаях взависимости от конторы которая их выдаёт и на больший срок.

Вообще сертификаты это на самом деле торговля воздухом, цепочка доверия и вот это вот всё ...
Самоподписанный сертификат который делается одной строчкой в консоли защищает подключение так же как и дорогой валютный, ессно в браузере не будет замочка в адрессной строке и некоторые приложения могут отказаться работать с таким сертифкатом если их не убедить что всё ОК.

> корпоративный VPN
там вообще похуй, грубо гря обычно как раз для впнов не используются "честные" сертификаты, вместе с клиентсим сертификатом и ключём обычно распространяется CA сертификат, это в случае openvpn и ipsec ikev2

16.03.2022, 13:13

0,0

>>Самоподписанный сертификат который делается одной строчкой в консоли защищает подключение так же как и дорогой валютный
Нет. Самоподписной подвержен атаке по середине. Корневые сертификаты решают эту проблему, при условии что корневой считается невзламываемым. Собственно за этот "воздух" и платят -- корпорация обеспечивает сверх надежный вариант подписи/отзыва, и убеждает всяких вендеров добавить их корневой паблик-кей к себе в список.

>>там вообще похуй
Скорее это на совести конторы. Где-то забивают, где-то работают над безопасностью. Как бы нужно еще понимать что условный "Вася энд Корпорейтен" который клипает сайты-визитки по 100$ за штуку действительно нафиг никому не нужен, а вот скажем корпоративная сеть филиала того же МакДака -- вот это уже цель поинтересней.

16.03.2022, 13:51

0,0

> Нет. Самоподписной подвержен атаке по середине.
и да и нет
если свою CA установить в систему и браузеры то MITM идёт лесом так же как и с честными
ессно если этого не сделать то MITM вполне возможен

В больших корпорациях свой CA распространяется на компы юзверей автоматом через доменные политики, грубо говоря внутри корпоративной сети можно плевать на покупные сертификаты если всё правильно настроить.

Для впнов в реально больших конторах используются проприетарные решения аля cisco итд итп, там редко кто использует openvpn и иже с ними.
Для того же ipsec покупные серты не юзают, как раз это угроза безопастности июо фиг его знает не оставил ли себе продаван копию ключа и не передаст ли он его товарищам майорам. Обычно просто в систему пользователя устанавливается свой сертификат который заверяет подлинность итд итп.

16.03.2022, 14:16

0,0

Новость двух часовой давности

https://www.rbc.ua/rus/news/rossii-perestanet-rabotat-protokol-https-1647381534.html

Рбк украина это единственное чему я верю из сми ибо оно почти как джой топит за правду.

16.03.2022, 00:52

+1,6

Ты просто в загон к ватанам не плюхался.

16.03.2022, 01:30

-0,1

плюхалась, там как в книге Алиса в стране чудес

Всё страньше и страньше! Всё чудесатее и чудесатее! Всё любопытственнее и любопытственнее! Всё страннее и страннее! Всё чудесится и чудесится!

16.03.2022, 08:10

+1,5

Тянет пошутить, что администрация реактора давно это предвидела и у реактора нет https и никогда не было

16.03.2022, 02:38

+3,6

Слава Вождю!

16.03.2022, 03:56

+0,9

кока не раз писал, что в противном случае заблочат весь реактор, так как не смогут отфильтровывать конкретные странички.

16.03.2022, 05:12

+1,9

Чтобы написать коммент, необходимо залогиниться

Похожие посты ↓↓↓

5118748, 5120914, 5124336, 5119377, 5120339, 5129942, 5191926, 5033460, 5287812, 4909470, 4936095, 5122034, 5133984, 5139619, 5137353