The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Mozilla объявляет ультиматум удостоверяющим центрам"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от opennews (??) on 18-Фев-12, 14:10 
Проект Mozilla разослал (http://blog.mozilla.com/security/2012/02/17/message-to-certi.../) всем удостоверяющим центрам, корневые сертификаты которых поставляются в составе Firefox и других продуктов Mozilla, письмо (https://wiki.mozilla.org/CA:Communications#February_17.2C_2012) с требованием отозвать все выданные сторонним организациям вторичные корневые сертификаты.


В последнее время входят в обиход случаи (http://www.opennet.ru/opennews/art.shtml?num=33034) генерации вторичных корневых сертификатов для обеспечения работы систем, направленных на транзитный перехват и расшифровку SSL-трафика, например систем корпоративного отслеживания утечек данных. Генерируемые для подобных систем вторичные корневые сертификаты позволяют создать корректный и не вызывающий подозрения сертификат для любого сайта в сети,  без привлечения удостоверяющего центра, авторизированного на выполнение подобных операций.


Mozilla публично осудила такую практику и счи...

URL: http://blog.mozilla.com/security/2012/02/17/message-to-certi.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=33127

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Mozilla объявляет ультиматум удостоверяющим центрам"  –7 +/
Сообщение от Tito (??) on 18-Фев-12, 14:10 
В будущем нужно без спроса удалят. А лучше всего заставить их специфицироваться у мозилы.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Mozilla объявляет ультиматум удостоверяющим центрам"  +11 +/
Сообщение от paulus (ok) on 18-Фев-12, 14:14 
Давно пора! С подачи гугала  и разработчики гуглохрома начинают борьбу с этими оглоедами.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Mozilla объявляет ультиматум удостоверяющим центрам"  +4 +/
Сообщение от bircoph (ok) on 18-Фев-12, 14:16 
Наконец-то стали наводить порядок.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Mozilla объявляет ультиматум удостоверяющим центрам"  +3 +/
Сообщение от Аноним (??) on 18-Фев-12, 14:19 
> Наконец-то стали наводить порядок.

Фиг ли толку? С самого начала вменяемым людям было ясно, что понятия "доверие" и "безопасность" ортогональны. А теперь, когда поезд ушел, начали порядок наводить?

Прикол в том, что сейчас тупо неведомо, где доверие может присутствовать, а где его нет. Поди, проверь банковские транзакции на доверительность, ага.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

12. "Mozilla объявляет ультиматум удостоверяющим центрам"  –2 +/
Сообщение от Аноним (??) on 18-Фев-12, 16:52 
Напротив, доверие и безопасность это одно и то же. Только тут доверия нет и быть не может.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

22. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от arisu (ok) on 18-Фев-12, 18:39 
> Напротив, доверие и безопасность это одно и то же.

O_O
вот люди доверяли дигинотару. были ли они при этом в безопасности?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

68. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Аноним (??) on 19-Фев-12, 03:33 
> вот люди доверяли дигинотару. были ли они при этом в безопасности?

Они для начала пролошились доверяя кривой схеме с кучей ауторитей, где каждый может удостоверить все. Какое тут к черту доверие к таким схемам? Лохоразвод.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

86. "Mozilla объявляет ультиматум удостоверяющим центрам"  +1 +/
Сообщение от arisu (ok) on 19-Фев-12, 15:01 
вопрос не в том. вопрос в том, что *доверяли*. были ли они при этом в безопасности?

как ещё понятней сказать, что «доверие» и «безопасность» понятия совершенно не связаные?

кстати, ты совсем-совсем не можешь себе представить ситуацию, когда ты в безопасности с тем, кому не доверяешь, и наоборот? попробуй, это забавно.

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

116. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Аноним (??) on 22-Фев-12, 08:21 
> кстати, ты совсем-совсем не можешь себе представить ситуацию, когда ты в безопасности
> с тем, кому не доверяешь, и наоборот? попробуй, это забавно.

Первое - затруднительно. Недоверие кому-то - это осознание потенциальной опасности исходящей от данного субъекта по отношению к тебе. Второе - запросто.

Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

124. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от arisu (ok) on 22-Фев-12, 13:16 
> Первое — затруднительно.

совершенно не затруднительно. «недоверие» тоже штука субъективная, и может базироваться на неверных посылках.

Ответить | Правка | ^ к родителю #116 | Наверх | Cообщить модератору

127. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от GG email(ok) on 22-Фев-12, 13:38 
Чего затруднительного-то?
Я не доверяю соседской собаке, но она на цепи, а у меня пистолет.
А ещё я не доверяю форточке, но у меня нет форточки и есть пистолет, на случай если кто принесёт в дом форточку.
И всё хорошо.
Ответить | Правка | ^ к родителю #116 | Наверх | Cообщить модератору

70. "Mozilla объявляет ультиматум удостоверяющим центрам"  +1 +/
Сообщение от A on 19-Фев-12, 08:33 
Еще после первой новости я зашел на сайт Trustwave, посмотрел параметры сертификата и удалил из FF все 2, которые в нем упоминались.

После этого меня заинтересовал вопрос, а нельзя ли из JavaScript посмотреть параметры сертификата? Оказалось, что они недоступны для JavaScript. Тогда было бы достаточно просто сделать проверку подмены цепочки сертификатов: получаешь данные всей цепочки (они ведь приходят в FF) и отправляешь из AJAX'ом на сервер, и он сверяет цепочку, которую получил клиент и то, что ему отдал сервер. Че бы мозилловцам не сделать такую возможность. И пусть барыги продают кому угодно что угодно, но когда пользователь получив окошко от FF, что SSL соединение прослушивается начнет парить мозг своему начальнику на работе или провайдеру дома, то чуваки быстро сообразят, что такая прослушка себе дороже. Ну а владелец домена с сертификатом от такого CA никогда с ним больше не свяжется.

Никакую бучу поднимать не надо, лучше создавать преимущества для тех CA, которые не торгуют доверием.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

76. "Mozilla объявляет ультиматум удостоверяющим центрам"  +1 +/
Сообщение от VoDA (ok) on 19-Фев-12, 13:51 
> Еще после первой новости я зашел на сайт Trustwave, посмотрел параметры сертификата
> и удалил из FF все 2, которые в нем упоминались.
> Че бы мозилловцам не сделать такую возможность. И пусть барыги
> продают кому угодно что угодно, но когда пользователь получив окошко от
> FF, что SSL соединение прослушивается начнет парить мозг своему начальнику на
> работе или провайдеру дома, то чуваки быстро сообразят, что такая прослушка
> себе дороже.

Trustwave выдал корневой сертификат! Никакой подмены - нет. В этом вся проблема. FF может либо доверять цепочкам идущим от корня Trustwave либо не доверять. Но а любом случае факта подмены нет поскольку подпись то реальная.

Trustwave нагибают потому что он выдал сертификат позволяющий делать реальных подписи для любых доменов.

Либо менять практику центров сертификации, на что никто пока не пойдет. Либо отсекать залетевшие CA по одному.

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

111. "Mozilla объявляет ультиматум удостоверяющим центрам"  +1 +/
Сообщение от Аноним (??) on 20-Фев-12, 12:01 
Лолшто? Достаточно пройтись по цепочке и посмотреть ее сертификаты. Сертификат с уровнем CA в цепочке должен быть только 1. Root-level. Если такой сертификат присутствует уровнем ниже - блокировать. Вычисляется автоматикой на ура. Даже делать ничего не надо. Выводи себе браузером (никаких даже жабаскриптов не надо, как предлагал товарищ выше) предупреждение, мол, так и так, тут какая-то подозрительная цепочка. Скорее всего трафик слушают. Убигай, выгибай.
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

7. "Mozilla объявляет ультиматум удостоверяющим центрам"  –8 +/
Сообщение от gegMOPO4 (ok) on 18-Фев-12, 15:40 
Не в том сейчас Мозилла положении, чтобы ультиматумы ставить… Но лучше поздно, чем никогда.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Mozilla объявляет ультиматум удостоверяющим центрам"  +2 +/
Сообщение от Аноним (??) on 18-Фев-12, 16:31 
А что придёт на смену SSL? Допустимо ли придумать аналог SSL на основе PGP, с децентрализованной системой доверия?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Аноним (??) on 18-Фев-12, 16:53 
> А что придёт на смену SSL? Допустимо ли придумать аналог SSL на
> основе PGP, с децентрализованной системой доверия?

SSL от PGP ничем по сути не отличается и да, использовать децентрализованную систему доверия можно и нужно.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "Mozilla объявляет ультиматум удостоверяющим центрам"  –1 +/
Сообщение от Аноним (??) on 18-Фев-12, 17:02 
PGP само по себе на потоковое шифрование ни разу не рассчитано. Как минимум нужно поверх него реализовать некий сетевой протокол для установления шифрованных соединений.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

69. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Аноним (??) on 19-Фев-12, 03:34 
> PGP само по себе на потоковое шифрование ни разу не рассчитано.

Вы как бы можете передать ключ симметричного шифрования используя асимметричное и ... правда получится нечто типа того что в SSL :)

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

15. "Mozilla объявляет ультиматум удостоверяющим центрам"  +3 +/
Сообщение от MrClon on 18-Фев-12, 17:32 
> А что придёт на смену SSL? Допустимо ли придумать аналог SSL на
> основе PGP, с децентрализованной системой доверия?

Вообще-то уже пришло, TLS (:
Дело ведь не в самом SSL (это просто криптоалгоритм), а в инфраструктуре ключей.

Придумать допустимо что угодно, пока ещё не придумали запретить думать.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

104. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от pavlinux (ok) on 20-Фев-12, 02:29 
>> А что придёт на смену SSL? Допустимо ли придумать аналог SSL на
>> основе PGP, с децентрализованной системой доверия?
> Вообще-то уже пришло, TLS (:
> Дело ведь не в самом SSL (это просто криптоалгоритм)

ССЛ ниразу не крипто.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Mozilla объявляет ультиматум удостоверяющим центрам"  –1 +/
Сообщение от uniman (ok) on 18-Фев-12, 18:20 
>Проект Mozilla разослал всем удостоверяющим центрам, корневые сертификаты которых поставляются в составе Firefox и других продуктов Mozilla, письмо с _требованием_

Читаю оригинал:

Dear Certification Authority,
This note _requests_ a set of immediate actions on your behalf, as a participant in the Mozilla root program.

_Please_ reply by March 2, 2012, to confirm completion of the following actions or state when these actions will be completed. ...

Где указано, что требует? И на каким основании может _требовать_, не возникло мысли?
И что корневые центры в лице своих руководителей могут корректно послать Kathleen Wilson, Module Owner of Mozilla's CA Certificates Module далеко-далеко, и будут полностью вправе?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Тарелькин on 18-Фев-12, 18:51 
>И что корневые центры в лице своих руководителей могут корректно послать Kathleen Wilson, Module Owner of Mozilla's CA Certificates Module далеко-далеко, и будут полностью вправе?

А ты почитай предыдущие письма, где они тоже "request immediate action" по разным поводам. И чего-то не посылают. Кому нужен будет сертификат от центра, чей корневой сертификат Мозилле не известен?

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

30. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от gegMOPO4 (ok) on 18-Фев-12, 19:26 
Корпорациям, которые используют системы с вторичными корневыми сертификатами и Firefox 3.6 (ну хорошо, может быть Firefox 10, раз уж он ESR) и будут использовать ещё несколько лет?
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

40. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Avator (ok) on 18-Фев-12, 21:00 
в 10ке выпустят 10.0.3, в котором выкинут лишние сертификаты. Делов-то.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

47. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Yakov Markovitch on 18-Фев-12, 21:40 
> в 10ке выпустят 10.0.3, в котором выкинут лишние сертификаты. Делов-то.

Гм. Вам не приходило в голову, что корпорация может, например, и пересобрать 10.0.3 с невыкинутыми сертификатами? Хотя, скорее всего, просто в приказном порядке перейдут на что-то ещё, например IE. Если вы думаете, что вменяемой корпорации использование свободного софта важнее политики информбезопасности, Вы сильно ошибаетесь.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

53. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Анон on 18-Фев-12, 22:09 
Только вот назвать Firefoxом законно не смогут.
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

54. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Xasd (ok) on 18-Фев-12, 22:14 
смогут :)... Mozilla вродебы теперь разрешает Firefox-сборки -- называть одноимённо "Firefox"

...однако вот не думаю что корпорации будут заниматься пересборкой... :-D ...оно им надо?

если говносертификаты выкинут из Firefox.. то типичной реакцией (сначало) -- станет то что www-сайты будут менять SSL-провайдеров на тех котоыре ещё работают в новых Firefox

...и теперь возникает вопрос -- "в чём будет профит от <специфичного> Firefox в котором говносертификаты ещё не выкинуты? или профит от перехода на MsIE?"

:-)

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

105. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от pavlinux (ok) on 20-Фев-12, 02:32 
> ...и теперь возникает вопрос -- "в чём будет профит от <специфичного> Firefox
> в котором говносертификаты ещё не выкинуты? или профит от перехода на
> MsIE?"

Осёл работает тока в венде, которой по определению доверять нельзя.

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

55. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Yakov Markovitch on 18-Фев-12, 22:14 
> Только вот назвать Firefoxом законно не смогут.

И впадут от этого в депрессию?

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

58. "Mozilla объявляет ультиматум удостоверяющим центрам"  +1 +/
Сообщение от Тарелькин on 18-Фев-12, 22:48 
>Вам не приходило в голову, что корпорация может, например, и пересобрать 10.0.3 с невыкинутыми сертификатами?

А вам не приходило в голову, что если все компьютеры находятся под единым контролем, то контролирующая сторона может собрать такой Firefox, который будет просто по команде от центрального сервера рапортовать о какой угодно защите соединения с каким угодно сертификатом? Даже если они не смогут назвать его законно Firefox'ом - назовут Iceweasel'ом и скажут сотрудникам, что, мол, "для просмотра сайтов надо пользоваться браузером Iceweasel, установленном на рабочих компьютерах".

Это может быть труднее и немного дороже, чем просто купить сертификат, но куда безопаснее для всего остального мира.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

49. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от gegMOPO4 (ok) on 18-Фев-12, 21:43 
И после двух месяцев согласований корпоративное начальство не утвердит-таки обновление на 10.0.3.

А через полгода поставят в планы миграцию на Хром.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

83. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Аноним (??) on 19-Фев-12, 13:58 
> И после двух месяцев согласований корпоративное начальство не утвердит-таки обновление
> на 10.0.3.
> А через полгода поставят в планы миграцию на Хром.

А чем Хром лучше? Чем грузины?

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

88. "Mozilla объявляет ультиматум удостоверяющим центрам"  +1 +/
Сообщение от arisu (ok) on 19-Фев-12, 15:05 
> А чем Хром лучше?

тем, что исходников нет, аудиту не подлежит, зато нескучный интерфейс.

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

91. "Mozilla объявляет ультиматум удостоверяющим центрам"  –3 +/
Сообщение от Аноним (??) on 19-Фев-12, 21:09 
>> А чем Хром лучше?
> тем, что исходников нет, аудиту не подлежит, зато нескучный интерфейс.

Чхал я на интерфейс и на исходники. Я, как и ты, не только не анализирую исходники, но даже их не читаю. Это не мое хобби и не работа. Чесать свое ЧСВ тем, что я умею делать ./configure && make && make install? Я клал на это.

На моей машине он прежде всего значительно шустрей лисы и полностью готов к употреблению.

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

99. "Mozilla объявляет ультиматум удостоверяющим центрам"  +1 +/
Сообщение от arisu (ok) on 19-Фев-12, 22:37 
> Я, как и ты, не только не анализирую исходники, но даже их не читаю.

всё-таки у тебя поломаный телепатор.

Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

117. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Аноним (??) on 22-Фев-12, 08:24 
> Чхал я на интерфейс и на исходники. Я, как и ты,

Он не только читает исходники но еще и пишет их. Если ты унылая потреб-дь, это еще не означает что и все остальные - такое же унылое и беззаботное хомяковатое фуфло.

Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

43. "Mozilla объявляет ультиматум удостоверяющим центрам"  –1 +/
Сообщение от uniman (ok) on 18-Фев-12, 21:19 
>И чего-то не посылают.

Есть много способов указать на место в этом мире крайне корректно.

> Кому нужен будет сертификат от центра, чей корневой сертификат Мозилле не известен?

А с каких пор мир замыкаеться на Мозилле? Без предустановленных корневых сертификатов в этом изделии отстановяться коммуникации?

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

59. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Тарелькин on 18-Фев-12, 22:53 
> А с каких пор мир замыкаеться на Мозилле? Без предустановленных корневых сертификатов
> в этом изделии отстановяться коммуникации?

Нет. Без предустановленного корневого сертификата - или хотя бы без цепочки сертификатов, восходящих к предустановленному - сертификаты от CA не будут по умолчанию приниматься в Мозилле. А значит, если владелец сайта купит у этого CA себе сертификат, большое количество пользователей на тот сайт ходить не будет, потому что "сайт поддельный".

Вряд ли мозилловцы с пулеметами заставляют кого-либо участвовать в их "CA Programme".

Ваш К.О.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

62. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от uniman (ok) on 18-Фев-12, 23:02 
>> А с каких пор мир замыкаеться на Мозилле? Без предустановленных корневых сертификатов
>> в этом изделии отстановяться коммуникации?
> Нет. Без предустановленного корневого сертификата - или хотя бы без цепочки сертификатов,
> восходящих к предустановленному - сертификаты от CA не будут по умолчанию
> приниматься в Мозилле. А значит, если владелец сайта купит у этого
> CA себе сертификат, большое количество пользователей на тот сайт _ходить_ не
> _будет_, потому что "сайт поддельный".

У вас есть статистика, или это ваши личные предположения?

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

63. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Тарелькин on 18-Фев-12, 23:15 
>У вас есть статистика, или это ваши личные предположения?

Точной статистики, сколько людей не соглашаются соединятьс без действительного сертификати, у меня нет, так что можно считать, что предположения. Но не безосновательные. Они основаны на том, что это далеко не первое требование Мозиллы к CA, и CA их выполняют. А также на том, что когда сайт попадает в блэклисты, например, Гугла за вредоносное ПО, его посещаемость значительно снижается - вне зависимости от того, решена ли уже проблема и где именно она была. А также на том, что люди все же жалуются на недоверенные сертификаты.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

66. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от uniman (ok) on 19-Фев-12, 00:24 
>>У вас есть статистика, или это ваши личные предположения?
> Точной статистики, сколько людей не соглашаются соединятьс без действительного сертификати,
> у меня нет, так что можно считать, что предположения. Но не
> безосновательные.

Да, естественно небезосновательные, и разумно понятные. Просто без конкретики все получается диалог о сферических конях в вакууме. К тому же требование отозвать вторичные корневые сертификаты, предполагаю, не снимает проблемы процента компрометации - запросы-объем сертификатов это не снизит, следовательно объем инфраструктуры X.509, размазаной по миру, не уменьшиться, так, смысл, предполагаю, более имеют вторичные эффекты. Элементы PR тоже присуствуют.

Впрочем, нам бы их заморочки :)

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

50. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Аноним (??) on 18-Фев-12, 21:44 
> Где указано, что требует? И на каким основании может _требовать_, не возникло мысли?

Читайте до конца:


"As a CA in Mozilla’s root program you are ultimately responsible for certificates issued by you and any intermediate CAs that chain up to your roots. After April 27, 2012, if it is found that a subordinate CA is being used for MITM, we will take action to mitigate, including and up to removing the corresponding root certificate. Based on Mozilla’s assessment, we may also remove any of your other root certificates, and root certificates from other organizations that cross-sign your certificates."

Они даже не требуют, а приказывают.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

52. "Mozilla объявляет ультиматум удостоверяющим центрам"  –5 +/
Сообщение от uniman (ok) on 18-Фев-12, 22:06 
>[оверквотинг удален]
> Читайте до конца:
> "As a CA in Mozilla’s root program you are ultimately responsible for
> certificates issued by you and any intermediate CAs that chain up
> to your roots. After April 27, 2012, if it is found
> that a subordinate CA is being used for MITM, we will
> take action to mitigate, including and up to removing the corresponding
> root certificate. Based on Mozilla’s assessment, we may also remove any
> of your other root certificates, and root certificates from other organizations
> that cross-sign your certificates."
> Они даже не требуют, а приказывают.

Нет там приказа. С таким же успехом и я могу вам приказывать.
Ультимативная форма есть. "Если вы после 27 не ...то мы ... уххх! удалим ваш сертификат из своего поделия."

Не, мне тоже не во всем нравиться политика коммерческих CA, но товарищи из Мозиллы тоже еще те перцы... испугали барана новыми воротами.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

107. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от kshetragia (ok) on 20-Фев-12, 07:57 
Кому нужен УЦ которому нет доверия? Мозилловцы хорошо нагнули их на самом деле.
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

110. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от uniman (ok) on 20-Фев-12, 09:53 
> Кому нужен УЦ которому нет доверия? Мозилловцы хорошо нагнули их на самом  деле.

Вы прочитали само письмо? Причем здесь "нагнули"?

Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

113. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от kshetragia (ok) on 22-Фев-12, 06:42 
>> Кому нужен УЦ которому нет доверия? Мозилловцы хорошо нагнули их на самом  деле.
> Вы прочитали само письмо? Причем здесь "нагнули"?

   Читал. И хорошо понимаю последствия. Те кому реально нужны сертификаты очень чутко реагируют на подобные вещи. Т.к. вся схема с УЦ строится на доверии, то есть основания полагать, что подорванное доверие не самым мелким игроком на браузерном рынке отразится на работе УЦ.
   Думаю тут будет уместна аналогия с скомпроментированным сервером. После разбора причин его просто уничтожают и ставят заново.

Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

128. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от uniman (ok) on 22-Фев-12, 16:07 
>>> Кому нужен УЦ которому нет доверия? Мозилловцы хорошо нагнули их на самом  деле.
>> Вы прочитали само письмо? Причем здесь "нагнули"?
> Читал. И хорошо понимаю последствия. Те кому реально нужны
> сертификаты очень чутко реагируют на подобные вещи.
> Т.к. вся схема с УЦ строится на доверии...

На доверии? Гм.. :) Даже в старой поговорке "Доверяй, но проверяй".
И ... матчасть.

"Она" строиться на строгом соблюдении производственных процедур (методик) организациями.
И открытой перекрестной проверке качества исполнения этих процедур независимыми экспертными организациями. То есть - результате независимой сертификации процедур сертификации открытых ключей.

Рекомендую почитать для начала методику сертификачии качества деятельности ISO9001, и проникнуться ее смыслом. Тогда и критерии безопасности будут понятнее.

Имеющиеся случаи компрометации организаций - да, это неприятно. В различных странах есть и банки, управляющие которых мошеничают. Для исключения подобных ситуаций и вырабатываются методики независимого аудита.

Ответить | Правка | ^ к родителю #113 | Наверх | Cообщить модератору

19. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от arisu (ok) on 18-Фев-12, 18:35 
а верисигн, значит, у которого в сети гуляет неизвестно кто, неизвестно когда, неизвестно зачем — довереный. угу.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

82. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Аноним (??) on 19-Фев-12, 13:57 
> а верисигн, значит, у которого в сети гуляет неизвестно кто, неизвестно когда,
> неизвестно зачем — довереный. угу.

А ты почаще доверяй неведомо кому, кого ты ни разу не видел, но который мамой клянется, что заслуживает доверия.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

85. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от arisu (ok) on 19-Фев-12, 14:59 
лично у меня давно нет «довереных сертификатов».
Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

92. "Mozilla объявляет ультиматум удостоверяющим центрам"  –1 +/
Сообщение от Аноним (??) on 19-Фев-12, 21:09 
> лично у меня давно нет «довереных сертификатов».

Ты живешь в лесу, у тебя нет банковской карточки, ты бездомный и всех посылаешь?

Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

95. "Mozilla объявляет ультиматум удостоверяющим центрам"  +1 +/
Сообщение от arisu (ok) on 19-Фев-12, 22:01 
я живу в городе. у меня есть дом. у меня нет «банковской карточки» и я не собираюсь её заводить. ещё вопросы?
Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

21. "Mozilla объявляет ультиматум удостоверяющим центрам"  +1 +/
Сообщение от Аноним (??) on 18-Фев-12, 18:39 
> И что корневые центры в лице своих руководителей могут корректно

Могут, Мозилла выпиливает сертификаты. Пользователи заходят на сайты, фирефокс орёт что дескать сайт плохой. Посещения падают. Владельцы сайтов наезжают на центр сертификации (ибо за сертификат сайта деньги плачены), типа какого х..я их сайт теперь помечен как левый. ??? PROFIT?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Mozilla объявляет ультиматум удостоверяющим центрам"  +2 +/
Сообщение от YetAnotherOnanym on 18-Фев-12, 18:54 
А может быть и так: "Когда я в банк онлайн захожу, в Мозиле какое-то непонятное окошко выскакивает, и чего-то там пишет, а Опере и Експлорере всё нормально работает, не буду больше Мозилой пользоваться, буду пользоваться Оперой".
Баранов ничто не спасёт, как о них не заботься.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

33. "Mozilla объявляет ультиматум удостоверяющим центрам"  –1 +/
Сообщение от Аноним (??) on 18-Фев-12, 19:32 
> Баранов ничто не спасёт, как о них не заботься.

Вот только когда со счета лимон одним махом #$нется а СБ банка объяснит что за фигня - баран имеет все шансы слегка поумнеть :)

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

71. "Mozilla объявляет ультиматум удостоверяющим центрам"  +2 +/
Сообщение от Аноним (??) on 19-Фев-12, 13:46 
Поскольку лично ты никогда не имел лимона на банковском счету, расскажу тебе, что в подобной ситуации СБ банка будет не у дел. А управляющий лично поедет к клиенту объясняться, вилять хвостом и выплачивать страховки. Которые потом в силовом порядке истребует с удостоверяющего центра, согласно политике CPS, в которой оговаривается величина страховки одиночной транзакции заданной величины.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

118. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Аноним (??) on 22-Фев-12, 08:37 
> Поскольку лично ты никогда не имел лимона на банковском счету,

А откуда ты знаешь сколько и чего на моем счету? Во шарлатанов привалило :). А тебе никогда не приходила мысль о том что я догадываюсь о проблемах онлайн-банкинга далеко не с потолка?

> расскажу тебе, что в подобной ситуации СБ банка будет не у дел. А
> управляющий лично поедет к клиенту объясняться, вилять хвостом и выплачивать страховки.

В нормальных банках (не шарашкиных конторах Noname, inc, где в СБ гопник-знакомый директора), СБ обычно все-таки расследует инциденты с безопасностью электронных платежей. В частности левый серт сайта онлайн-банка должен их серьезно заинтересовать.

> Которые потом в силовом порядке истребует с удостоверяющего центра, согласно политике
> CPS, в которой оговаривается величина страховки одиночной транзакции заданной величины.

Как бы банк должен заинтересовать сам факт что кто-то подделал защищенную область их сайта и серт на нее. Это потенциально позволяет иметь легитимных клиентов банка направо-налево, просто hijack'ая их SSL сессию путем подсовывания фэйкового сертификата.

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

38. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Meta11er on 18-Фев-12, 20:03 
Баранов...не спасёт. Понятия доверенность и безопасность, вполне ! :-)
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

81. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Аноним (??) on 19-Фев-12, 13:56 
> Баранов...не спасёт. Понятия доверенность и безопасность, вполне ! :-)

Понятия "доверие" и "безопасность" ортогональны, чувак. Только ты этого не поймешь. Расскажи матерому ГБшнику, почему он должен доверять Васе Пупкину. Пока ГБшник Васеньку не проскринит до десятого колена и досье в сейф не положит - хрена лысого там будет доверие. Что следует из сказанного? Нет отношения "доверие - безопасность". Есть отношение "знание - доверие - безопасность".

Компрене ву?

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

60. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Тарелькин on 18-Фев-12, 22:56 
> А может быть и так: "Когда я в банк онлайн захожу, в
> Мозиле какое-то непонятное окошко выскакивает, и чего-то там пишет, а Опере
> и Експлорере всё нормально работает, не буду больше Мозилой пользоваться, буду
> пользоваться Оперой".
> Баранов ничто не спасёт, как о них не заботься.

Опера? Эксплорер? "Мне сын сказал, что в интернет выходить нажав по рыжему значку, а ваш сайт какой-то неправильный"...

Люди, которые знают, что такое "Опера" и "Эксплорер" обычно не жалуются на "Непонятное окошко", а способны по крайней мере сообщить, какая надпись появляется в этом окошке.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

119. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Аноним (??) on 22-Фев-12, 08:38 
> Опера? Эксплорер? "Мне сын сказал, что в интернет выходить нажав по рыжему
> значку, а ваш сайт какой-то неправильный"...

А если darwinawards.com почитать, то еще и не таких амеб найти можно :)

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

23. "Mozilla объявляет ультиматум удостоверяющим центрам"  +1 +/
Сообщение от YetAnotherOnanym on 18-Фев-12, 18:50 
Вобщем, единственный сертификат, которому можно доверять - это тот, который тебе закатали на флешку в офисе конторы, с которой ты собрался общаться.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от arisu (ok) on 18-Фев-12, 18:52 
> Вобщем, единственный сертификат, которому можно доверять - это тот, который тебе закатали
> на флешку в офисе конторы, с которой ты собрался общаться.

это в том случае, если у них давно уже ключи не попёрли при помощи няшного виндового троянчика.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

27. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от YetAnotherOnanym on 18-Фев-12, 18:55 
>> Вобщем, единственный сертификат, которому можно доверять - это тот, который тебе закатали
>> на флешку в офисе конторы, с которой ты собрался общаться.
> это в том случае, если у них давно уже ключи не попёрли
> при помощи няшного виндового троянчика.

Тоже могёт быть.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

46. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от uniman (ok) on 18-Фев-12, 21:37 
>> Вобщем, единственный сертификат, которому можно доверять - это тот, который тебе закатали
>> на флешку в офисе конторы, с которой ты собрался общаться.
> это в том случае, если у них давно уже ключи не попёрли
> при помощи няшного виндового троянчика.

Какого троянчика? Не несите чепуху, бросте.

1 Приватные ключи для подписи заявлений в норме зашифрованы и имеют код, хранящийся отдельно на бумаге отдельно и изолирован физически, часто состоящий их двух частей. Доступ к ключам дешифровки приватного ключа центра сертификации имеют строго ограниченные лица.

2 Вычислительные системы, на которых происходит подпись заявленного ключа (сертификация), в норме изолированы от сети, и к ним имеют доступ только строго ограниченные лица в ограниченном помещении, в норме изолированном от съема инфомации радиосредствами.

3 В случае подозрения на компрометацию все ключи в иерархии в норме отбъявляються скомпрометированными и отзываются.

4 Код расшифровки приватного ключа клиента центра сертификации в норме вводиться лично клиентом в момент генерации запроса на сертификацию, и более нигде не фигурирует. Даже если его сертификат (открытая подписанная часть) будет опубликована на заборе, это ничего не меняет - это открытая часть.

Если где-то виндовые троянчики и хранящиеся приватные ключи не шифрованы - тот сам себе злостный буратина.

Вообще, рекомендую поучить матчасть.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

72. "Mozilla объявляет ультиматум удостоверяющим центрам"  –1 +/
Сообщение от Аноним (??) on 19-Фев-12, 13:49 
>>> Вобщем, единственный сертификат, которому можно доверять - это тот, который тебе закатали
>>> на флешку в офисе конторы, с которой ты собрался общаться.
>> это в том случае, если у них давно уже ключи не попёрли
>> при помощи няшного виндового троянчика.
> Какого троянчика? Не несите чепуху, бросте.

Тю!

> 1 Приватные ключи для подписи заявлений в норме зашифрованы и имеют код,
> хранящийся отдельно на бумаге отдельно и изолирован физически, часто состоящий их
> двух частей. Доступ к ключам дешифровки приватного ключа центра сертификации имеют
> строго ограниченные лица.

Тю!

> 2 Вычислительные системы, на которых происходит подпись заявленного ключа (сертификация),
> в норме изолированы от сети, и к ним имеют доступ только
> строго ограниченные лица в ограниченном помещении, в норме изолированном от съема
> инфомации радиосредствами.

Тю! У Диджинотара тоже был докУмент "CPS", в котором написано - "Мамой клянусь, инфраструктура PKI находится в неизвестной пещере под Скалистыми Горами!"

> 3 В случае подозрения на компрометацию все ключи в иерархии в норме
> отбъявляються скомпрометированными и отзываются.

И как быстро ты узнаешь об отзыве корневого СА, чувак?

> 4 Код расшифровки приватного ключа клиента центра сертификации в норме вводиться лично
> клиентом в момент генерации запроса на сертификацию, и более нигде не
> фигурирует. Даже если его сертификат (открытая подписанная часть) будет опубликована на
> заборе, это ничего не меняет - это открытая часть.

Расскажи это хомяку, у которого в 1С пароль администратора "123", потому что ничего более сложного он запомнить не способен.

> Если где-то виндовые троянчики и хранящиеся приватные ключи не шифрованы - тот
> сам себе злостный буратина.

Ты не поверишь, чувак. Они не шифрованы почти ни в одной системе сдачи налоговой и финансовой отчетности.

> Вообще, рекомендую поучить матчасть.

Мы в курсе. Но вот, понимаешь, беда. Проблемы безопасности - организационные и матчастью они - вишь ты! - не решаются.


Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

97. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от uniman (ok) on 19-Фев-12, 22:31 
>>>> Вобщем, единственный сертификат, которому можно доверять - это тот, который тебе закатали
>>>> на флешку в офисе конторы, с которой ты собрался общаться.
>>> это в том случае, если у них давно уже ключи не попёрли
>>> при помощи няшного виндового троянчика.
>> Какого троянчика? Не несите чепуху, бросте.
> Тю!

Чувак, ты написал лишь бы возразить? :)

Твои аргументы - эти типовое пионерское искажение, передергивание, когда из нескольких случаев, а то и одного, нарушения методики делаеться вывод о ее низком качестве вообще и всегда.

Выводы в случае систем безопасности делаются статистически, и далее на основании оценки удельных затрат на поддержание рисков НД вносятся корректировки в методику.

И ее в конкретную реализацию на конкретном месте.

Так что тюкать можешь кому другому.

И вообще ответ был насчет "троянчиков".

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

120. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Аноним (??) on 22-Фев-12, 08:39 
> Твои аргументы - эти типовое пионерское искажение, передергивание, когда из нескольких
> случаев, а то и одного, нарушения методики делаеться вывод о ее низком качестве вообще и всегда.

Ну вон у верисайна тоже в сети творится непонятно что. Учитывая что они могут подписывать некоторые вещи в режиме _онлайн_ - какое в гопу физическое разделение??? Вы упоролись???

Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

123. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от uniman (ok) on 22-Фев-12, 12:20 
>> Твои аргументы - эти типовое пионерское искажение, передергивание, когда из нескольких
>> случаев, а то и одного, нарушения методики делаеться вывод о ее низком качестве вообще и всегда.
> Ну вон у верисайна тоже в сети творится непонятно что. Учитывая что
> они могут подписывать некоторые вещи в режиме _онлайн_ - какое в
> гопу физическое разделение??? Вы упоролись???

Во первых, у вас в момент написания случилась истерика. Прекращайте истерики, это не аргумент :)
Во вторых, постарайтесь не хамить.

Еще раз. Нарушение критериев безопасности в частном случае не обначает компрометации всей системы и методики безопасности в ее независимых элементах.

Вы делаете из одного случая при наличии сотен, если не тысяч удостоверяющих центров по всему миру, в разных странах с разной юрисдикцией, слишком много выводов безо всяких оснований.

"В Гвинее до сих пор людей едят. Какие в опу права человека в Европе?"

Ответить | Правка | ^ к родителю #120 | Наверх | Cообщить модератору

28. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Анон on 18-Фев-12, 19:12 
Не знал, что такое возможно! Так можно любой сайт под колпаком держать!? Интересно, а сколько всего в мире УЦ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Аноним (??) on 18-Фев-12, 19:33 
> Не знал, что такое возможно! Так можно любой сайт под колпаком держать!?

SSL такой SSL. Любой будак прописаный в корневые сертификаты может кому угоно что угодно удостоверить. Такая фигня.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

48. "Mozilla объявляет ультиматум удостоверяющим центрам"  –1 +/
Сообщение от uniman (ok) on 18-Фев-12, 21:43 
>> Не знал, что такое возможно! Так можно любой сайт под колпаком держать!?
> SSL такой SSL. Любой будак прописаный в корневые сертификаты может кому угоно
> что угодно удостоверить. Такая фигня.

Обоснуйте пожалуйста. Как вы это сделаете?

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

73. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Аноним (??) on 19-Фев-12, 13:49 
>>> Не знал, что такое возможно! Так можно любой сайт под колпаком держать!?
>> SSL такой SSL. Любой будак прописаный в корневые сертификаты может кому угоно
>> что угодно удостоверить. Такая фигня.
> Обоснуйте пожалуйста. Как вы это сделаете?

Погуглить уже не судьба? Почитать стандарт x509v3? Головой подумать, наконец?

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

100. "Mozilla объявляет ультиматум удостоверяющим центрам"  –1 +/
Сообщение от uniman (ok) on 19-Фев-12, 22:39 
>>>> Не знал, что такое возможно! Так можно любой сайт под колпаком держать!?
>>> SSL такой SSL. Любой будак прописаный в корневые сертификаты может кому угоно
>>> что угодно удостоверить. Такая фигня.
>> Обоснуйте пожалуйста. Как вы это сделаете?
> Погуглить уже не судьба? Почитать стандарт x509v3? Головой подумать, наконец?

Не, вывод ваш. Вы если чего-то и читали, то в объеме "как за 5 минут сделать сертификат для апача".

Интересно, как вы подпишете чей-то сертификат, если у вашего сертификата, подписанного CA не будет свойств "для сертификации" от CA, а будет указано "только для мыла"?

Хочу видеть. Не тиснете в форум? И что бы все проверки проходили корректно?

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

64. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от saNdro on 19-Фев-12, 00:03 
И почему вы упёрлись в SSL? Как в наиболее известное применение сертификатов? Вообще-то X.509 поддерживает очень большой список ПО.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

29. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Анон on 18-Фев-12, 19:15 
В нашем мире все относительно. Даже безопасность! :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "Mozilla объявляет ультиматум удостоверяющим центрам"  +1 +/
Сообщение от Аноним (??) on 18-Фев-12, 19:34 
> В нашем мире все относительно. Даже безопасность! :)

SSLная безопасность - близка к нулю. Как ни относи.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

51. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от uniman (ok) on 18-Фев-12, 21:57 
>> В нашем мире все относительно. Даже безопасность! :)
> SSLная безопасность - близка к нулю. Как ни относи.

Обоснуйте пожалуйста ваше заявление.


Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

67. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Аноним (??) on 19-Фев-12, 03:24 
> Обоснуйте пожалуйста ваше заявление.

Дохрена идиотов как root of trust. При том кретинизм любого из подставляет _всю_ схему. Надежность на уровне карточного домика. Единственный вменяемый юзеж SSL который я вижу - что-то типа OpenSSL, когда я сам себе ауторити, при том единственно верная и только так.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

78. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Аноним (??) on 19-Фев-12, 13:53 
>> Обоснуйте пожалуйста ваше заявление.
> Дохрена идиотов как root of trust. При том кретинизм любого из подставляет
> _всю_ схему. Надежность на уровне карточного домика. Единственный вменяемый юзеж SSL
> который я вижу - что-то типа OpenSSL, когда я сам себе
> ауторити, при том единственно верная и только так.

Убеди анонимного Васю Пупкина, что твоему самоподписному серту можно и нужно доверять. Особенно корневому серту. Думаешь, Вася будет звонить по телефону, указанному в серте, чтобы таой несуществуюбщий колл-центр продиктовал ему для сверки дайджест? Щаз...

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

121. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Аноним (??) on 22-Фев-12, 08:42 
> Убеди анонимного Васю Пупкина, что твоему самоподписному серту можно и нужно доверять.

Comodohacker уже убедил всех что он - гугл, мозилла, скайп, яху и кого я там еще забыл. Это стоило DigiNotar'у процедуры банкротства. Только вот не он первый, не он последний. Схема когда любой козел может расписаться в том что он Папа Римский и по этому поводу его придется селить в Ватикане - дефективна by design.

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

36. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от dima (??) on 18-Фев-12, 19:37 
удалил Trustwave  из chrome (встроенные виндовые)

правильно все делают

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Avator (ok) on 18-Фев-12, 21:03 
Приятно, что не все в этом мире определяют за деньги.
Спасибо мозилле за то, что они улучшают веб.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

93. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Аноним (??) on 19-Фев-12, 21:11 
> Приятно, что не все в этом мире определяют за деньги.
> Спасибо мозилле за то, что они улучшают веб.

Ты не поверишь, чувак - основное применение SSL и технологий PKI - это обеспечение безопасности банковских транзакций. Так что твое заявление ничего не стоит, бессеребренник ты наш.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

57. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Аноним (??) on 18-Фев-12, 22:37 
Ждем аналогичных заявлений от гугла.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

106. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Tamahome on 20-Фев-12, 07:37 
Большинству юзеров всеравно на то что браузер во всю кричит что там небезопасно, сертификат левый, сайт вообще мошеннический.. он упорно будет материться и тыкать ДАДАДА я хочу открыть..
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

108. "Mozilla объявляет ультиматум удостоверяющим центрам"  +1 +/
Сообщение от kshetragia (ok) on 20-Фев-12, 08:06 
> Большинству юзеров всеравно на то что браузер во всю кричит что там
> небезопасно, сертификат левый, сайт вообще мошеннический.. он упорно будет материться
> и тыкать ДАДАДА я хочу открыть..

До тех пор пока человек реально не озабочен безопасностью.. например своих денег. Мне так и с правильными сертификатами страшно вводить номер своей карты.

Ответить | Правка | ^ к родителю #106 | Наверх | Cообщить модератору

112. "Mozilla объявляет ультиматум удостоверяющим центрам"  +1 +/
Сообщение от arisu (ok) on 20-Фев-12, 12:59 
штука в том, что обычный пользователь надеется на профессионализм компьютерных слесарей. жизни не хватит всё на свете изучать. я вот вынужден доверять хирургам, например: сам и не умею, и не могу.

это всё я к чему? к тому, что «система прогнила». она сделана неудобно. неинтуитивно и неудобно. юзер знать не знает про всякие там «сертификаты», «корневые удостоверяющие центры», etc. и не хочет знать. и это его право. юзер предполагает, что security делали профессионалы, а не «хирурги» типа «ну, мы тут разрезали, идите, дома зашьёте себе».

а по итогам у нас есть:
а) система псевдобезопасности, которой доверять себе дороже;
б) даже если система о чём-то и предупреждает, делает это она так громоздко и непонятно, что пользователи подтвердят ей что угодно, лишь бы избавиться от таких «услуг».

такие дела.

Ответить | Правка | ^ к родителю #108 | Наверх | Cообщить модератору

114. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от kshetragia (ok) on 22-Фев-12, 06:56 
  Когда вы идете к хирургу или слесарю прежде всего вы оцениваете риски. И если пьяному дяде Васе вы еще доверите починку автомобиля, то к хирургу требования будут совершенно другими.
  Если вы сидите дома и разглядываете девочек, то действительно разницы никакой. Но когда речь идет о деньгах, то будете более осмотрительны. В противном случае кто виноват покажет зеркало.

> юзер предполагает, что security делали профессионалы

  И профессионалы говорят: не влезай - хуже будет.

Ответить | Правка | ^ к родителю #112 | Наверх | Cообщить модератору

122. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от Аноним (??) on 22-Фев-12, 08:43 
>   И профессионалы говорят: не влезай - хуже будет.

А потом получается Титаник...

Ответить | Правка | ^ к родителю #114 | Наверх | Cообщить модератору

126. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от arisu (ok) on 22-Фев-12, 13:31 
>> юзер предполагает, что security делали профессионалы
>   И профессионалы говорят: не влезай — хуже будет.

для того, чтобы отличить профессионалов от «профессионалов», нужен опять же опыт в предметной области. на виду-то в основном «профессионалы», которые убеждают пассажиров «титаника», что «всё идёт по плану».

Ответить | Правка | ^ к родителю #114 | Наверх | Cообщить модератору

129. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от kshetragia (ok) on 23-Фев-12, 06:51 
Ну так мозг всегда включать нужно. не можешь отличить - найди того кто может.
Ответить | Правка | ^ к родителю #126 | Наверх | Cообщить модератору

130. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от arisu (ok) on 23-Фев-12, 14:51 
> Ну так мозг всегда включать нужно. не можешь отличить — найди того
> кто может.

желаю тебе услышать подобное предложение в момент, когда срочно нужна операция, и ты вынужден выбирать хирурга. понять ты, конечно, и тогда ничего не поймёшь, но есть большая надежда, что с таким апломбом или не успеешь выбрать, или выберешь неверно. конец немного предсказуем.

p.s. да, хирург был занят изучением основ криптографии и современного её применения, ему некогда было учить анатомию.

Ответить | Правка | ^ к родителю #129 | Наверх | Cообщить модератору

131. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от kshetragia (ok) on 28-Фев-12, 08:40 
Срочно? Вот так вот внезапно ни с того ни сего отвалилась печень? Извини, дорогой(раз уж мы на "ты") так не бывает. Проблема была и раньше, как минимум на тонком плане, просто кое-кто дотянул до последнего момента.
   В действительно экстренных случаях проблема выбора слегка другая. Либо выбираешь из того, что есть, либо решают за тебя.(по крайней мере что касается медицины).
   Но насколько я понимаю проблема выбора относительно интернетов не стоит так остро.
Ответить | Правка | ^ к родителю #130 | Наверх | Cообщить модератору

115. "Mozilla объявляет ультиматум удостоверяющим центрам"  +/
Сообщение от kshetragia (ok) on 22-Фев-12, 06:58 
Система гнилая.. да.. изначально гнилая.

Ответить | Правка | ^ к родителю #112 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру