> При том, что TeliaSonera - это не только CA. Согласен, что это их проблема,
> но сути дела это не меняет.Или они изыскивают методы ведения бизнеса так как ожидают от них клиенты, а не какие-то там товарищмайоры, или вытряхиваются с этого рынка. Других вариантов просто нет.
MITM нагло хакающий протокол, который по идее должен защищать траффик от этих самых MITM - нагибает всю идею CA вообще. Хакинг протокола и выписка левых сертификатов остаются хакингом протокола и выпиской левых сертификатов независимо от того кем и с какой целью это практикуется. Это неизбежно подрывает доверие к такому CA. Это как с телохранителями примерно: если телохранитель допускает смерть клиента - хана карьере. Без условий и оговорок.
> Найдите способ отвертеться от требований СОРМ, предоставляя услуги передачи данных.
CA сам по себе не предоставляют услуги передачи данных, по поводу чего ваш плач о тяжкой судьбе иррелевантен. То что некто захотел и на елку влезть и зад не ободрать - его проблемы. Магистрал в роли CA вообще выглядит потенциально проблемной сущностью.
> Найдёте (сами, или с помощью ваших магических юристов) - все интернет-провайдеры РФ
> (магистральные и локальные) вас хорошо отблагодарят.
Сами по себе провайдеры - суть потенциальные MITM'ы. По положению своему. Поэтому вдвойне странно и подозрительно когда они лезут в CA, для начала. MITM будет защищать от MITMов? Ха, это что-то типа защиты рэкетиром от "проблем"? :)
> Или: кому нужен браузер, в котором не работают нужные сайты?
Почему же не работают? Если сильно надо - заработают. Но будут вопли и будет сразу видно что сертификат - фуфельный. Ну так если это MITM откровенно хакающий протокол - логично все его сертификаты считать именно фуфлом. И явно информировать народ что осетринка то в лавочке - тухлая.
> В Mozilla это тоже очень хорошо понимают, и поэтому не хотят рисковать. И их понять можно.
Поэтому и пытаются договориться по хорошему. Но позволять MITMам явно хакать протокол, абузивно используя свой сертификат для подделки подписей - вот извините! Не смог отбрехаться от подделки сертификатов под чьим либо нажимом - карьере труба, извини.
> Вы до сих пор не поняли. Либо ты работаешь для клиентов и
> при этом сливаешь инфу, либо не работаешь вообще. Всё. Третьего не дано.
Законов требующих от CA заниматься подделкой сертификатов - как вы понимаете, нет. А кто не может обеспечить соответствие ожиданиям - не должен заниматься таким родом бизнеса.
> Ну, если только не уходить на нелегальное положение.
На то и юридическая служба, чтобы придумывать как сделать так чтобы и целей достичь и за рамки закона не вылезти. Может быть, операции надо отдать дочке/филиалу/... в более дружественной к данному направлению бизнеса юрисдикции. Может еще чего. У бизнеса много средств для маневрирования на самом деле. И юристы знают много фокусов как сделать чтобы все стопроцентно легально и не в ущерб бизнесу. За это их и кормят там собственно. И опять же - проблемы магистралов к CA сами по себе не относятся чуть менее чем никак. CA вообще никак не относится к магистралам сам по себе. Так что да, или они ведут бизнес CA так как ожидается, или пусть валят с рынка. Если некто обуел настолько что не только подделывает сертификаты на заказ, но еще и не скрывает этот факт - он явно задержался на рынке дольше чем следовало бы.
>> клинит из-за его очень уж искусственной природы. Что и наблюдалось.
> С перечисленным согласен. Но, всё-таки, ещё один важный момент - это именно
> ошибочная ставка на стремление к лучшему в человеке.
Как бы это сказать? В целом такое стремление наверное есть. Во всяком случае, мир в целом движется в сторону развития, а большинство людей не являются откровенными криминалами и не ставят самоцелью нанесение вреда другим. Да, этот процесс в целом хилее чем следовало бы при данном уровне развития технологий, спору нет. Прогресс обгоняет в развитии развитие личность человека. Картина все больше похожа на неандертальца с микроволновкой. И это определенная проблема. Чем это закончится в таком виде - никто не знает. Это мы на себе и протестируем как раз.
> См. выше про СОРМ.
Он к CA вообще никаким боком. Те кто передает данные - они вообще MITM по природе своей. И когда потенциальный MITM вдруг лезет оказывать услуги по защите от MITM'ов - это вообще вызывает много вопросов :). Больно уж на рэкетиров похоже, которые "защищают от проблем".
> Плюс речь не шла о мифических "нормальных" странах.
> Речь идёт о реальных странах с реальными требованиями.
В цивилизованных странах требуют лишь соблюдать законы. Законов требующих подделывать сертификаты разумеется в большинстве юрисдикций и близко нет.
>> пусть CA и выбирают между своей репутацией и бизнесом и желанием
>> каких-то додиков подстелиться под очередного товарищмайора.
> Эм. Вы хоть за терминами следите - это про "юрисдикции". :)
В юрисдикциях есть законы. Ну и вы изучаете их и соответствуете им. Или валите работать в более дружественную к ведению бизнеса юрисдикцию, если законы в данной совсем не дают вести бизнес. Или, если все варианты исчерпаны - закрываете лавочку. Обязать CA подделать сертификат - нет таких законов. Практически нигде. По поводу чего все это блеяние выглядит как-то странно и криво.
> всё по-другому) с развитой сетевой инфраструктурой будет наличествовать настойчивое желание
> этого самого государства контролировать потоки информации.
А у бизнеса должно наличествовать желание вести бизнес и зарабатывать бабки. Разумеется не нарушая закон. Но в эту формулу удобство государств вообще не входит. В нормальных юрисдикциях достаточно чисто формально соответствовать законам. Законов которые бы требовали от CA заниматься подделкой сертификатов и хакингом протокола - лично я не встречал. Да, бизнес иногда может нуждаться в том чтобы покинуть наиболее неудобную для ведения своего бизнеса юрисдикцию, применить какие-то воркэраунды, лоббировать свои интересы у политиков, чтобы законы исправили с учетом проблем их деятельности, etc. Ну или если совсем никак не получается - прикрывать лавочку.
> Потому что, как ни странно, это реально необходимо для выживания данного государства.
Сильно сомнительно что хацкинг SSL - это именно то что "необходимо для выживания данного государства". Весьма высосанный из пальца тезис.
> То, что при этом бывают перегибы разной степени тяжести - другой разговор...
А еще бывают желания на елку влезть и попу не ободрать. При том - без консультации с своей юридической службой на предмет возможных проблем и прочего.
> Так вот, CA при первой возможности обяжут (законодательно, или в приватной беседе
> с CEO, не суть)
Нет, это как раз очень большая разница. Атмосфера для ведения бизнеса должна быть оформлена по законам, а не по понятиям. Только когда есть четкие правила, можно осмысленно вести бизнес. А приватные беседы с CEO, "звонок кого надо" и прочая - это дичайший совок. Это ставит крест на нормальном ведении бизнеса. И я не вижу какие законы обязывают CA заниматься подделкой сертификатов.
> Будь они просто CA - да, менее влиятельным странам было бы их сложнее.
Будь они просто CA - их законодательно было бы сложно обязать что либо делать. А то что они совмещать полезли, без оценки последствий и рисков - кто им доктор? Могли бы подстраховаться, вытряхнув потенциально конфликтные операции в разные бизнес-сущности (дочек, филиалов, или кого там еще, чтобы закон не нарушался и докопаться формально было не к чему, более точно это должны сказать юристы, они за это бабки получают).
В общем, назвался телохранителем - изволь отбить вон тех 20 гопов. А если клиент таки пострадал - вон из профессии. А то что "это не честно, я 1 а их 20" - называясь телохранителем ты знал на что шел. Называясь CA - аналогично.
> чтобы были порасплывчатей, тогда привлечь будет легче. Никакие юристы не спасут.
Это у вас просто понимание применения законов очень испорчено совком, где оперируют не законами, а понятиями. В цивилизованных юрисдикциях (в которых и крутятся основные бабки) подобное как правило не практикуется.
Насчет заблочат сайты - да бред. Вон tor с черти-какими сертификатами и самоподписанные сертификаты - летают себе, никто не блочит. А прессовать тех кто честно ведет бизнес и налоги платит - вообще маразм.
> Перечислите список нормальных стран, пожалуйста. Разумеется, в которых Интернет
> достаточно распространён.
Нормальной страной для ведения бизнеса является любая страна, законы которой не запрещают вести некий вид деятельности и не создают проблем. В большинстве стран европы, сша, канаде и прочих нет никаких законов требующих от CA подделывать сертификаты и хакать протокол.
И вообще, "содействие" путем выполнения откровенно мошеннических махинаций (подделка сертификатов) - весьма сомнительная хрень, со всех точек зрения. А с точки зрения тех кто барыжит доверием - это просто хана их бизнесу.
>> Вы купите ключи от замка который сдали в переплавку?
> Пострадают все - вот это точно.
Не, вот извините. Если все CA начнут нагло хакать протокол и выписывать левые сертификаты кому попало - вот тогда пострадают все. Потому что какие ж они trusted authority при таком подходе? Они аферисты и жулики, т.к. заявили одно а делают другое.
И я как-то не имею оснований верить CA который готов расписаться за всю окромную бюрократическую машину лишь на том основании что ему зад подпалило. Это пахнет мошенничеством за версту.
> Большого брата говорю не понаслышке. И не только применительно к РФ.
Тогда покажите законы которые обязывают CA заниматься подделкой сертификатов.
>> сложно отобрать без скандала и на законных основаниях 20% рынка.
> Наивно. Очень наивно. CA такой ещё и виноватым окажется.
Какой-то очень совковый стиль мышления.
> "Юкос" тот же вспомните - отняли, как нефиг делать. Или "Евросеть"...
Во первых - обе конторки довольно мутные, у них скорее всего своих скелетов по шкафам - было, достаточно для того чтобы при цивилизованном подходе распихать по тюрьмам всех руководителей. При том - за дело. Во вторых - я же просил про цивилизованные страны и цивилизованные методы ведения бизнеса. Как жулики посильнее замочили жуликов послабее - мне не интересно. Это не относится к цивилизованным формам ведения бизнеса. В цивилизованных странах с развитой культурой ведения бизнеса такой трындец не практикуется.
> разного уровня конторы, а управа нашлась и на первых.
Как бы у нормального бизнеса в цивилизованной стране юридический отдел - это не куча декоративных болванчиков, но и инструмент для борьбы с подобными проблемами и предсказания возможных проблем при ведении бизнеса. А если 20 гопов таки ушатали телохранителя - ну ой, хана его карьере, по любому. Никакие оправдания не помогут. Вот и тут так же. Не справился - вон с рынка.