The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Google вводит в Chrome обязательное логирование для SSL-сертификатов

28.02.2018 01:57

Браузер Chrome будет требовать от удостоверяющих центров, чтобы все выданные ими публичные сертификаты, созданные после 30 апреля 2018 года, включались как минимум в два общедоступных журнала Certificate Transparency. Это означает, что с этой даты все сертификаты, которые не будут логироваться в Certificate Transparency, будут автоматически отвергнуты браузером, с отображением соответствующей ошибки.

В настоящее время все удостоверяющие центры, зарегистрированные в CCADB (Common CA Database), получили уведомление о предстоящих изменениях и готовятся к применению Certificate Transparency. Для предприятий, на которых используются собственные внутренние сертификаты, предоставлена опция, позволяющая отключить обязательную проверку в Certificate Transparency через задание централизованных правил, привязанных к учётным записям пользователей.

Certificate Transparency базируется на идее ведения независимого публичного лога всех выданных сертификатов, не позволяющего удостоверяющему центру сгенерировать сертификат без отражения в этом логе. Владельцам сертификатов и пользователям публичный лог даёт возможность проводить независимый аудит всех изменений и действий удостоверяющих центров, что позволит сразу отслеживать любые попытки скрытого создания поддельных записей.

Для защиты от искажения данных задним числом при хранении в логе Certificate Transparency применяется древовидная структура "Дерево Меркла" (Merkle Tree), в которой каждая ветка верифицирует все нижележащие ветки и узлы, благодаря совместному (древовидному) хешированию. Имея конечный хэш пользователь может удостовериться в корректности всей истории операций, а также в корректности прошлых состояний БД (корневой проверочный хэш нового состояния базы вычисляется с учётом прошлого состояния).

  1. Главная ссылка к новости (https://groups.google.com/a/ch...)
  2. OpenNews: Let's Encrypt преодолел рубеж в 50 млн активных сертификатов
  3. OpenNews: Chrome 68 начнёт помечать все HTTP-соединения небезопасными
  4. OpenNews: Злоумышленники устроили MitM-атаку на компанию Fox-IT, захватив её домен
  5. OpenNews: В Chrome планируют удалить поддержку технологии PKP (Public Key Pinning)
  6. OpenNews: Google представил Key Transparency, альтернативу серверам криптографических ключей
Автор новости: Аноним
Тип: К сведению
Ключевые слова: cert, chrome
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (85) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (-), 09:46, 28/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    И все самодельные серты от домашнего уц тоже надо будет туда отправлять?
     
     
  • 2.7, Аноним (-), 09:59, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +29 +/
    Нет, надо удалить Chrome.
     
     
  • 3.8, Майнер (?), 10:02, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    И установить Firefox на предприятия с Active Directory и стюардессами!
     
  • 3.9, Майнер (?), 10:06, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://wiki.mozilla.org/Deployment:Deploying_Firefox
    https://www.mozilla.org/en-US/firefox/organizations/
     
     
  • 4.18, Anonymoustus (ok), 11:07, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да-да, и с навечно отключённым жабоскриптом.
     
  • 4.90, Пдшз (?), 22:42, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вы сами-то по ссылке ходили? Сходите.
    Никаких работающих тулзов для централизованой настройки мозилл нет. Те, что были — были так себе, но это не важно, потому что они много лет не актуальны.
     
  • 3.56, rvs2016 (ok), 16:02, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не поможет Это даст лишь временную передышку, ибо шизофрения в этой теме - зара... текст свёрнут, показать
     
     
  • 4.66, гы (?), 17:51, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ничего не изменится. Сложности для разработчиков сайтов только прибавилось чуток...
    Большинство и не юзало ваши фидонеты никогда. А меньшинство продолжает юзать что-то подобное на тор.
    Когда большинство освоило пк на уровне "выйти в интернет" им уже надо было конкрентно открыть соц сеть и вот тот видеосервис и еще пару простых готовых для юзера сайтов.
     

  • 1.2, Аноним (-), 09:47, 28/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –11 +/
    Привет letsencrypt? Во всех смыслах.

    Гугл - чудаки.

     
     
  • 2.20, Аноним (-), 11:15, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Let's Encrypt изначально логи Certificate Transparency поддерживает.
     
  • 2.33, Аноним (-), 12:49, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Привет letsencrypt? Во всех смыслах.
    > Гугл - чудаки.

    Гугл один из главных спонсоров вышеупомянутого letsencrypt-а


     
  • 2.53, Аноним (-), 15:12, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Привет letsencrypt? Во всех смыслах.
    > Гугл - чудаки.

    иксперты опеннета тут как тут

     
  • 2.57, rvs2016 (ok), 16:03, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Гугл - чудаки.

    Не то слово! Но более важная проблема в том, что они такие не одни. За ними последуют и остальные! И тогда наступит полный каюк! Беспрепятственного доступа к информации в WWW больше не будет!

     
     
  • 3.60, Anonim 2.0 (?), 16:35, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +7 +/
    И грядет конец света! Истинно говоря я Вам !!!
     
  • 3.67, гы (?), 17:53, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> Гугл - чудаки.
    > Не то слово! Но более важная проблема в том, что они такие
    > не одни. За ними последуют и остальные! И тогда наступит полный
    > каюк! Беспрепятственного доступа к информации в WWW больше не будет!

    Если кто-то сможет самолично удалять сертификаты из списка, то это будет контроль за распространением инфы, а если не сможет (хотя бы восприпятствовать занесению твоего сертификата в список), то ничего не изменится.

     

  • 1.3, Аноним (-), 09:52, 28/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А доступ к CT? По Https? :)
     
  • 1.4, Аноним (-), 09:55, 28/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    IP клиента/анонима при заходе на HTTPS/1.0-1.1 и HTTP/2.0 сайты тоже будет записывать?
     
     
  • 2.27, Аноним (-), 12:38, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >IP клиента

    Записывает любой вебсервер.
    >анонима

    Анонимность в интернете это миф.

     
     
  • 3.47, Аноним (-), 14:10, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Анонимность в интернете это миф.

    Ну давай, деанонимизируй меня.


     
     
  • 4.77, Аноним (-), 22:49, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ща Мишаня придёт и деонанирует нас всех.
     

  • 1.5, Аноним (-), 09:58, 28/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    надо же, полный абзац вместо бузворда "блокчейн"
     
     
  • 2.11, Аноним (-), 10:06, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Я считаю, что hashmap - это блокчейн. Сатоси Накамото - гений.
     
     
  • 3.14, тоже Аноним (ok), 11:01, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вы можете считать, что угодно, но в абзаце, насколько я вижу, описан именно блокчейн.
    Только не линейный, а древовидный.
     
     
  • 4.17, Аноним (-), 11:05, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В mercurial тоже описан блокчейн, не линейный, а древовидный. Или нет?
     
  • 4.42, DFgertert (?), 13:20, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Сэр, почитайте про блокчейн, в нем ничего суперинновационного нет, технологии старые. Так что писать везде про блокчейн слегка глупо.
     
     
  • 5.89, _ (??), 19:36, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >Сэр, почитайте про блокчейн, в нем ничего суперинновационного нет, технологии старые.

    Школоте ещё не объясняли что всё новое делается из старого и хорошо знакомого? :)

     
     
  • 6.91, Anonymoustus (ok), 22:57, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Школоте ещё не объясняли что всё новое делается из старого и хорошо
    > знакомого? :)

    Зачем открывать школоте страшные тайны бытия? Этак школота перестанет покупать каждый год новый смартфон и компьютер и машину раз в три года, голосовать за уточек и ходить в церковь.

     
  • 4.45, Crazy Alex (ok), 13:29, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Блокчейн без блоков?
     
     
  • 5.49, тоже Аноним (ok), 14:31, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Если частью каждой записи является хэш предыдущей записи, то эта запись - блок блокчейна.
    Я не прав?
     
     
  • 6.58, Аноним (-), 16:17, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, просто запись содержит часть предыдущей записи.
     
     
  • 7.62, тоже Аноним (ok), 16:52, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    О учитель! Я, позднорожденный, безрассуден и глуп.
    Укажи же мне это критичное отличие, которого мои старые и слабые глаза не могут увидеть.
     
  • 6.63, Crazy Alex (ok), 17:00, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Разве что в очень вырожденном виде. По-хорошему блокчейн подразумевает именно группировку записей в блоки с фиксированным максимальным размером и генерацию этих блоков с более-менее постоянной скоростью независимо от наличия в них содержимого. Я не готов внятно объяснять, что это даёт, но если невнятно - то так обеспечивается хоть как-то предсказуемый таймстампинг и куча разных дополнительных валидаций начиная с банальной защиты от спама.
     
     
  • 7.64, тоже Аноним (ok), 17:17, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Я так понимаю, что записи в обсуждаемом дереве как раз должны вписываться в фиксированный размер. Там же конкретные поля ограниченной длины. Записи в логе по заранее известному поводу...
    А вот зачем блокчейну генерить пустые блоки, если в него и так поток будет идти постоянно - имхо, спорный вопрос.
     
     
  • 8.79, Crazy Alex (ok), 00:05, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Фиксированный размер - имеется в виду фиксированный максимальный размер блока П... текст свёрнут, показать
     

  • 1.6, Майнер (?), 09:59, 28/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    > древовидная структура "Дерево Меркла" (Merkle Tree)

    так и пишите подобно смарт-контрактам

     
     
  • 2.10, Ан (??), 10:06, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    тогда уже блокчейну. Смарт контракт это о другом.
     
  • 2.28, Аноним (-), 12:39, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Торент файлы использовали эту структуру задолго до.
     
  • 2.55, Аноним (-), 15:38, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> древовидная структура "Дерево Меркла" (Merkle Tree)
    > так и пишите подобно смарт-контрактам

    иксперты опеннета, золотая коллекция

     

  • 1.12, Аноним (-), 10:12, 28/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    я хоть и ярый фанатик гугла, но даже я чутка возмущен
     
     
  • 2.29, Аноним (-), 12:41, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +11 +/
    > я хоть и ярый фанатик гугла, но даже я чутка возмущен

    Чем? Тем что китайские удостоверяющие центы не смогут продавать на черном рынке валидные сертификаты ко всему интернету?

     
     
  • 3.70, нах (?), 19:11, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    и некитайские на белом тоже не смогут - потому что мало поклониться в ноженьки владельцам списков trusted ca (напоминаю, одно из условий там, к примеру - пройти аудит п-сами, неспособными собственный сайт настроить), так теперь еще и надо дополнительно кланяться владельцам списков сертификатов. А гугл хочет - принимает твои сертификаты в свой список, а хочет - шлет тебя нах.

    Ну, разумеется же, для того чтоб каждый юзер мог убедиться...стоп-стоп-стоп...какой юзер, чего юзер и как именно он будет убеждаться? Убеждаться будет гугл, и второй (афиллированный с ними же) владелец чудо-списка.

    there should be only ONE.

     
     
  • 4.74, Аноним (-), 20:41, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > there should be only ONE.

    СAN be only one
    Если ты конечно не фанат гугла и не выражаешь сугубо свое личное мнение.
    Hold fast!

     
     
  • 5.84, КО (?), 10:19, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В том то и дело, что фраза
    >как минимум в два

    сразу приводит идею к изначальной ситуации.

     

  • 1.13, ойой (?), 10:42, 28/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Я правильно понял, что новость касается только удостоверяющих центров, которые выпускают сертификаты, и они сами будут информировать CT о выпусках?
    Т.е. конечного владельца сертификата это мало должно волновать?
     
     
  • 2.15, тоже Аноним (ok), 11:04, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да, пока все идет, как задумано.
    Задумано, что теперь для подделки сертификата нужно будет не один ключ (для подписывания), а два (еще и для публикации в логе).
    Но, поскольку и то, и другое все СА автоматизируют в единое автоматическое действие (не руками же им ковыряться), то, как и раньше, достаточно будет одной взломанной учетки.
     
     
  • 3.34, Аноним (-), 12:49, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Публичный лог нужен не для блокировки выпуска сертификата (от имени другуго CA, не имея  его приватного ключа, который обычно находится на hsm, это все равно сделать невозможно). Он сделан, чтобы кто угодно мог (включая владельца домена) взять и проверить, на какой домен когда, в каком количестве и кем были выпущены сертификаты.

    Теперь как раз можно не гадать, выпускает ли какой-то CA втихаря дубли сертов для твоего сайта, а удосоверисться, что такого не происходит или поймать злодея за руку.

    что раньше мог делать только гугл, теперь доступно всем.

     
     
  • 4.38, Аноним (-), 13:07, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Теперь как раз можно не гадать, выпускает ли какой-то CA втихаря дубли
    > сертов для твоего сайта, а удосоверисться, что такого не происходит

    Что не как не помешает тому СА что выдал ваш сертификат, распространять его побайтовые копии копии среди третьих лиц.
    Само наличие СА, ака третьей стороны, которой все должны доверять по умолчанию, является профанацией  понятия безопасность.

     
     
  • 5.50, Аноним (-), 15:03, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Побайтовые копии даже сейчас никто не может распространять. Приватный ключ сертификата генериуется вами локально, а в ЦС на подпись передаётся только публичная часть.
     
  • 5.68, Тузя (ok), 18:14, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А какое отношение инфраструктура PKI имеет к понятию безопасность?

    Когда незнакомый человек тебе представился, что его зовут Вася Пупкин, он родился 12 февраля 1982 года и он прописан по адресу ул. Ленина, дом 10, кв. 15, то если ты ему не веришь, то требуешь паспорт. Если не веришь в подлинность паспорта проверяешь его паспорт на знаки защиты. Если думаешь, что это старый, якобы, утерянный, а потом перевыданный паспорт с измененными данными в ЗАГСе, направляешь запрос на проверку в МВД.
    При этом вне зависимости от подлинности паспорта, сам Вася или кто-то третий всё равно может тебя избить и ограбить.
    Я к тому, что речь об удостоверении и доверии, а не о безопасности.

    С сертификатами примерно также. Юр. лицо приобрело домен. Юр. лицо покупает сертификат, доказывающий и показывающий клиенту право пользования доменным именем (DV) или доменом в привязке к юр лицу (OV), или доменом в привязке к юр. лицу, удостоверяя, что юр. лицо существует и ведёт реальную деятельность в соответствии с регистрационными документами (EV). Каждый сертификат - это страховой полис, согласно которому удостоверяющий центр выплачивает сумму денег в случае компрометации. Как и любой страховой полис он выдаётся на ограниченный срок и трактуется бизнесом юр. лица как обычная страховка (принимается к НУ и разносится с разбивкой подневно на РБП).

    Причём тут вообще безопасность-то?! Вы еще скажите, что вас там ОСАГО или КАСКО защищает от аварии.

    > Что не как не помешает тому СА что выдал ваш сертификат, распространять его побайтовые копии копии среди третьих лиц.

    Их ожидают выплаты по страховкам.

     
     
  • 6.76, Аноним (-), 21:36, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > не отличает туалетную бумагу "страховай полис" от криптографических гарантий
     
  • 6.80, Crazy Alex (ok), 00:14, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В большинстве случаев (в интернете) вообще наплевать, какое там лицо или совсем даже морда. А важно:
    1) чтобы ты в следующий раз общался с тем же лицом
    2) чтобы, придя по ссылке, о которой где-то в доверенном источнике узнал, ты попал именно туда, а не к левому дяде
    3) чтобы ваш обмен данными не подменил левый хрен.

    Причём всё это не на уровне "шпионских игр", а вполне себе обычных задач - пообщаться со знакомыми, купить что-то в интернет-магазине и оплатить покупку, оставить резюме у потенциального работодателя и так далее.

    Вот PKI/TLS всё это отлично обеспечивает.

     
  • 5.73, нах (?), 19:23, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Что не как не помешает тому СА что выдал ваш сертификат, распространять
    > его побайтовые копии копии среди третьих лиц.

    вы бы это... хоть википедию бы почитали, что-ли.

    Побайтовая копия и так выдается каждому юзеру, посетившему твой сайт. Но вместе с ней выдается кое-что еще, и CA в этом никак не участвует.

    > Само наличие СА, ака третьей стороны, которой все должны доверять по умолчанию,
    > является профанацией  понятия безопасность.

    профанацией являются попытки делать выводы, не разбираясь в предмете.
    CA не отвечает за безопасность твоего соединения. CA только подтверждает тот факт, что сертификат, предъявленный той стороной, подлинный, и выдан более-менее тому человеку, которому на момент выдачи принадлежал сайт. А не тов.майор посередке сам себе его выдал специально ради тебя.

     
  • 2.71, нах (?), 19:13, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Т.е. конечного владельца сертификата это мало должно волновать?

    да, он просто получит письмо щастья примерно такого содержания:
    бла-бла-бла, despite our best efforts твой сертификат продлению не подлежит, а через пол-года и вовсе автоматически превратится в тыкву, вместе с CA его выдавшим, экипаж желает тебе приятного полета.

    И идет подключать троянский скрипт для letsencrypt. Совершенно случайно именно в этот момент научившийся wildcard.

     

  • 1.19, Аноним (19), 11:14, 28/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Вроде только к сертификатам привыкли. Буквально пару лет назад у юзверей-сайтошлепов были вопросы. Так снова все переделывают костыльно, так ещё и централизованно.
     
     
  • 2.36, Аноним (-), 13:00, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Все быстро, решительно сочуствуем туповатым юзверям-сайтошлепам.
     
  • 2.37, Аноним (-), 13:05, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Расслабься, больно не будет. Даже ничего не почувствуешь.
     

  • 1.22, поледанныхотсутств (?), 11:18, 28/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Даёшь все сертификаты в публичный децентрализованный блокчейн!
     
     
  • 2.30, Аноним (-), 12:44, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Даёшь все сертификаты в публичный децентрализованный блокчейн!

    Намного лучшее решение, чем "Давайте дадим левым Васям полное право удостоверять ваш сайт и барыжыть воздухом, т.е. кучкой байт по конским ценам. Почему конткретно вот тем Васям а не вот этим? Вам знать не нужно."

     
     
  • 3.51, Michael Shigorin (ok), 15:05, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > "Почему конткретно вот тем Васям а не вот этим? Вам знать не нужно."

    Вместо xkcd: https://bugzilla.mozilla.org/show_bug.cgi?id=647959 :]

     
     
  • 4.59, Kuromi (ok), 16:35, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    "Отличная шутка" (с) Петросян
     
  • 4.69, Stop (?), 19:00, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Первый раз вижу Мишу без минусов.
     

  • 1.23, Аноним (-), 12:16, 28/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Когда уже эту сертификацию сделают простой до немогу
     
     
  • 2.31, Аноним (-), 12:45, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Когда уже эту сертификацию сделают простой до немогу

    [code]
    dnf install letsencrypt
    letsencrypt --text --email vasia@pupkin.com \
    --domains www.example.com,example.com,foo.example.com \
    --agree-tos --renew-by-default --manual certonly
    [/code]
    Куда уж проще.

     
     
  • 3.39, Аноним (-), 13:07, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > dnf install letsencrypt

    Неужто в федорке до сих пор letsencrypt, а не certbot?

     
     
  • 4.41, Аноним (-), 13:14, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> dnf install letsencrypt
    > Неужто в федорке до сих пор letsencrypt, а не certbot?

    [code]
    dnf provides letsencrypt

    certbot-0.21.1-1.fc27.noarch
    [/code]

     

  • 1.25, Аноним (-), 12:37, 28/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    кстати блокчейн это похоже как раз для этого отлично подойдет, а вот для денег он совсем не катит, но его туда впихивают вовсю
     
  • 1.35, X4asd (ok), 12:50, 28/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а потом когда логирующих серверов тоже образуется челая куча -- они придумают ещё один серер с цифровой подписью который будет проверять что логирующие серверы тоже не накосячили?

    то есть -- не проще ли тогда было бы -- наоборот -- удалить все CA-центры кроме например одного.

    вместо придумывания очередной контролирующей сущности?

     
     
  • 2.40, Аноним (-), 13:10, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > то есть -- не проще ли тогда было бы -- наоборот --
    > удалить все CA-центры кроме например одного.

    Удалить все CA-центры ДО одного.
    Поправил.

     
  • 2.43, Аноним (-), 13:21, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ЦА не нужны! Нужно как в ssh, если что-то поменялось при подключении сразу сообщать пользователю(и рвать подключение, хотя это надо сделать опциональным)!..Короче Certificate Патруль встроить по дефолку во все браузеры! Но ты попробуй это до миллионов домохозяик донести?
     
     
  • 3.93, Гентушник (ok), 00:31, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Как узнать что подключение к сайту валидное при первом заходе на сайт?
    А после смены сертификата владельцем?
     
  • 2.72, нах (?), 19:15, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > то есть -- не проще ли тогда было бы -- наоборот --
    > удалить все CA-центры кроме например одного.

    принадлежащего гуглю. Именно над этим и работаем.

    > вместо придумывания очередной контролирующей сущности?

    это временная подпорка.

     

  • 1.44, Аноним (-), 13:22, 28/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Очередной велосипед по захвату власти над сертификатами.

    Как по мне возможность самому подключать несколько источников получения сертификатов(некое подобие репозитория публичных сертификатов) лучше чем один контролирующий узел.

     
     
  • 2.86, Аноним (-), 11:51, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Очередной велосипед по захвату власти над сертификатами.
    > Как по мне возможность самому подключать несколько источников получения сертификатов(некое
    > подобие репозитория публичных сертификатов) лучше чем один контролирующий узел.

    Этак Вам каждое утро придется заходить в гости к товарищам обслуживающих все Вами подключенные источники, и с пристрастием спрашивать не приснилось ли этим товарищам, что нибудь нехорошее этой ночью.

     
     
  • 3.87, Аноним (-), 17:21, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так по крайней мере источник не один.
    Сейчас остается надеяться, что разработчикам браузера чего не приснилось
    при выпуске новой версии браузера.
     

  • 1.46, никто (??), 13:42, 28/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    слудующий шаг отказ от СА :-)

    Когда каждый сможет туда запихнуть свой самоподписанный церт и тем самым поддтвердить что верить ему можно.

     
  • 1.48, хрю (?), 14:28, 28/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Усё пытаются и пытаются плохую концепция са подпорками подпереть.
    ню-ню - бох в помощь.
     
     
  • 2.65, Crazy Alex (ok), 17:20, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Частенько в итоге получаются вполне рабочие штуки. TCP/IP тот же вспомнить - там костылей - Эйфелеву башню построить хватит.
     
     
  • 3.83, Майнер (?), 07:10, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Просто роутеры не умеют в SCTP...
     

  • 1.75, Аноним (-), 21:33, 28/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >Это означает, что с этой даты все сертификаты, которые не будут логироваться в Certificate Transparency, будут автоматически отвергнуты браузером, с отображением соответствующей ошибки.

    И это правильно.

    Надеюсь можно будет внести "УЦ" в исключения.

     
  • 1.82, Аноним (-), 01:41, 01/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Мы конечно рады за компнию Гугль, что они в своём собственнном ЦА выписали себе ... текст свёрнут, показать
     
     
  • 2.85, Аноним (-), 11:45, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Слово print  в хостнейме в случае гугла, скорее, говорит о том, что это часть сервиса google cloud print, а не принт-сервер.
     
     
  • 3.92, Аноним (-), 23:58, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А хто их знаеть...

    printserver.msk.corp.google.com для примера.

     
  • 3.97, Anonim (??), 23:26, 18/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, по прошествии года.. сертификаты выданные корпоративным ЦА естественно не попадают ни в какой СТ, но при этом никакой гугло хром на них не жалуется..
     
  • 2.95, 1 (??), 16:47, 05/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Хотите сказать, что одного президента вам вполне хватает? Второй не нужен?
     

  • 1.96, Аноним (-), 13:52, 03/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/

    созданные после 30 апреля 2018 года, включались как минимум в два общедоступных журнала Certificate Transparency. Это означает, что с этой даты все сертификаты, которые не будут логироваться в Certificate Transparency, будут автоматически отвергнуты браузером, с отображением соответствующей ошибки.


    и ? третье мая 2018. Свежий гуглохром (линукс). Сходил выписал себе на своем ЦА сертификат. чтото браузер не него не ругается.. Ни в какие CT сертификат естественно попасть не сможет никак, CA то свой, они не примут наш сертификат. (правил централизованных естественно тоже никто не настраивал)

    Valid from: Thu, 03 May 2018 10:12:42 GMT
    Valid until: Sat, 02 May 2020 10:12:42 GMT

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру