https://www.opennet.dev/openforum/vsluhforumID3/101910.html Компания Google приняла решение (http://googleonlinesecurity.blogspot.ru/2015/03/maintaining-digital-certificate-security.html) исключить из списка заслуживающих доверия корневых сертификатов удостоверяющий центр CNNIC, который был уличен (http://www.opennet.ru/opennews/art.shtml?num=41902) в передаче промежуточного корневого сертификата сторонней компании для организации перехвата HTTPS-трафика сотрудников. По мнению Google, в текущем виде CNNIC не может гарантировать отсутствие подобных инцидентов, приводящих к ненадлежащему использованию сертификатов. Для сглаживания данного решения, на ограниченное время сертификаты клиентов CNNIC будут помещены в белый список и продолжат помечаться заслуживающими доверия в Chrome. Одним из условий возвращения доверия к CNNIC в Chrome является внедрение прозрачной схемы распределения сертификатов.<br><br><br>В ответ CNNIC назвал (http://www1.cnnic.cn/AU/MediaC/Announcement/201504/t20150402_52049.htm) такое решение неприемлемым и непостижимым и пообещал защитить права и интересы https://www.opennet.dev/openforum/vsluhforumID3/101910.html#162 Fri, 03 Apr 2015 21:17:52 GMT &gt; А почему http? Как я могу быть уверен, что это не левый <br>&gt; сайт?<br><br>По уникальному IPv6. <br> https://www.opennet.dev/openforum/vsluhforumID3/101910.html#161 Fri, 03 Apr 2015 21:17:10 GMT &gt;&gt; Неужели так сложно понять, что отзыв <br>&gt;&gt; корневого сертификата - это удар не только по CA, но <br>&gt;&gt; и по его клиентам?<br>&gt; а кому это интересно? с точки зрения обычного человека это выглядит так: <br>&gt; CA сознательно налажал, его пожурили, на безопасность end users всем наплевать.<br><br>На носу заруби - где есть доверие, нет и не может быть никакой безопасности. <br> <br><br>&gt; впрочем, ситуацию спасает то, что подавляющее большинство пользователей непроходимо тупо, <br>&gt; и подобные умозаключения вне их интеллектуальных возможностей.<br><br>Другие не лучше.<br><br> https://www.opennet.dev/openforum/vsluhforumID3/101910.html#159 Fri, 03 Apr 2015 21:15:36 GMT &gt;&gt;но надежный <br>&gt; И где его взять?<br><br>У своего корреспондента. Лично. В руки. Как в PGP предполагалось.<br> https://www.opennet.dev/openforum/vsluhforumID3/101910.html#156 Fri, 03 Apr 2015 21:10:06 GMT &gt;&gt;а задним числом -- нельзя выписывать? имея закрытый ключ в своём распояжении.<br>&gt; можно, но в хроме будет whitelist, если встретится сертификат не из списка <br>&gt; - CCNIC выдадут пожизненный банан.<br><br>"Если" - хорошее слово.<br> https://www.opennet.dev/openforum/vsluhforumID3/101910.html#155 Fri, 03 Apr 2015 21:09:36 GMT &gt; остается открытым вопрос - сколько удостоверяющих центров провели аналогичные процедуры <br>&gt; в СШП? ;) <br>&gt; и их, при этом, не раскрыли <br><br>Все до единого. Ты все еще веришь в то, что https от чего-то там защищает?<br> https://www.opennet.dev/openforum/vsluhforumID3/101910.html#154 Fri, 03 Apr 2015 21:08:45 GMT &gt; Предвзятое мнение редко бывает правдой.<br><br>Нет, золотой мой. Оно редко считается правдой. Миллионы мух же не ошибаются, верно?<br> https://www.opennet.dev/openforum/vsluhforumID3/101910.html#153 Fri, 03 Apr 2015 17:18:10 GMT &gt; Сделали бы в браузере доступ из JavaScript к информации о полученном сертификате <br>&gt; сервера - через месяц был бы список ВСЕХ центров сертификации, которые <br>&gt; торгуют доверием налево, через год у них не осталось бы ни <br>&gt; одного клиента. Но, гуглу и мозилле нужно контролировать, кто будет работать <br>&gt; на ранке, а кто нет.<br><br>Может быть имеет смысл публично озвучить им эту инициативу/предложение?<br><br>Вдруг они возьмут и сделают эту фичу в своих браузерах?<br><br>После чего все браузеры у которых нет такой фичи можно будет считать небезопасными.<br><br>Если не захотят такое делать - было бы интересно почитать отмазки, почему не хотят.<br> https://www.opennet.dev/openforum/vsluhforumID3/101910.html#152 Fri, 03 Apr 2015 17:03:50 GMT &gt; А так - дело обычно даже не в неграмотности, а в нежелании изучить <br>&gt; правила безопасного серфинга. Банки-то, в общем, обычно имеют <br>&gt; комплекс мер, которые позволяют легко отличить фишинговый сайт<br>&gt; - вроде персонализированного приветствия на странице. <br><br>Персонализированное приветствие никак не поможет защититься от MitM-proxy,<br>которое имеет поддельный сертификат банка, подписанный корневым сертификатом,<br>которому доверяет браузер клиента.<br> https://www.opennet.dev/openforum/vsluhforumID3/101910.html#151 Fri, 03 Apr 2015 16:58:54 GMT &gt; это проблемы банка, а не Васи. Банку по жалобе Васи<br>&gt; или по решению суда придется деньги вернуть.<br><br>Не вернет. Банк скажет "вы стали жертвой мошенничества со стороны неустановленных лиц, рекомендуем вам обратиться в правоохранительные органы с соответствующим заявлением".<br><br>Банк не отвечает за последствия от наличия вирусов/троянов на компьютере Васи<br>и/или MITM-прокси между компьютером Васи и сервером банка.<br><br>И никакой суд не заставит его нести такую ответственность.<br>