forum.opennet.ru

Составление сообщения

Исходное сообщение

"Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."
Отправлено Аноним, 29-Июн-20 22:51

Для расшифровки ранее записанного трафика не достсаточно знать не то что сертификат (мы его и так честно всем подряд выдаём, открытый ключ же) но и закрытый ключ. сессионный трафик с клиентом не им шифруется. для организаторов растпрстранителей информации есть требованиия выдавать сессионные ключи. этот трафик расшифровывается из записи. Замем пишется (ну пока не очень и пишется то) остальное, неведомо.
если украть закрытый ключ у вас, то открытый уже и так есть, и тут можно не ходя ни в какие ЦА сесть посередине и расшифровывать пролетающий трафик перешифровывая его снова.(это не тоже самое что из записей по яровой)
если закрытого ключа нет, то теоретически можно заставить ЦА выписать новый сертификат на ваши имена, но современные браузеры не берут сертификаты от публичных ЦА без подписи от СТ сервиса. Соотв или вы им не сможете воспользоваться или перед использованием его придется спалить в ЦТ. если регулярно пулить ЦТ то вы заметите что вдруг ктото выписал сертификат на ваше имя. если это были не вы, то есть повод начать бегать и кричать.
Фигня в том что если у нас время жизни сертификата не органичено, то чтобы вам вдруг узнать что есть валидные сертификаты на ваше имя вам надо опросить ВСЕ СТ за весь период (ззарегаться достачтоно в одном из довольно не малого списка публичных ЦТ, чтобы подпись была принята браузером). на данный момент врядли быстрее тройки месяцев вы управитесь, и время выборки будет только увеличиваться.. это немного долго. есть агрегаторы типа https://crt.sh/ делающие это, но во первых они опрашивают не все ЦТ, во вторых временами склеиваются, иногда на долго.. иногда совсем склеиваются, а иногда показываая данные месячной давности..
Возможно тут и кроется причина зачем 1 год.. на надо опрашивать ЦТ за данные о сертификатах за все время, можно начать с 2020. сейчас многие ЦТ делают новое хранилище на каждый год. соотв текщуие сертификаты надо поискать в 2-х местах в 2020 и 2021. а всякие 2019(они уже кочнились) и 2025(они больше 1 года и браузер их не примет) не надо. (у цт дата - это год окончания действия сертификта)
Но большенство ничего не проверяет и никогда не узнает, что в прошлом году был выписан лишний сертификатик.. :)

Исходное сообщение
"Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..." Отправлено Аноним, 29-Июн-20 22:51
Для расшифровки ранее записанного трафика не достсаточно знать не то что сертификат (мы его и так честно всем подряд выдаём, открытый ключ же) но и закрытый ключ. сессионный трафик с клиентом не им шифруется. для организаторов растпрстранителей информации есть требованиия выдавать сессионные ключи. этот трафик расшифровывается из записи. Замем пишется (ну пока не очень и пишется то) остальное, неведомо. если украть закрытый ключ у вас, то открытый уже и так есть, и тут можно не ходя ни в какие ЦА сесть посередине и расшифровывать пролетающий трафик перешифровывая его снова.(это не тоже самое что из записей по яровой) если закрытого ключа нет, то теоретически можно заставить ЦА выписать новый сертификат на ваши имена, но современные браузеры не берут сертификаты от публичных ЦА без подписи от СТ сервиса. Соотв или вы им не сможете воспользоваться или перед использованием его придется спалить в ЦТ. если регулярно пулить ЦТ то вы заметите что вдруг ктото выписал сертификат на ваше имя. если это были не вы, то есть повод начать бегать и кричать. Фигня в том что если у нас время жизни сертификата не органичено, то чтобы вам вдруг узнать что есть валидные сертификаты на ваше имя вам надо опросить ВСЕ СТ за весь период (ззарегаться достачтоно в одном из довольно не малого списка публичных ЦТ, чтобы подпись была принята браузером). на данный момент врядли быстрее тройки месяцев вы управитесь, и время выборки будет только увеличиваться.. это немного долго. есть агрегаторы типа https://crt.sh/ делающие это, но во первых они опрашивают не все ЦТ, во вторых временами склеиваются, иногда на долго.. иногда совсем склеиваются, а иногда показываая данные месячной давности.. Возможно тут и кроется причина зачем 1 год.. на надо опрашивать ЦТ за данные о сертификатах за все время, можно начать с 2020. сейчас многие ЦТ делают новое хранилище на каждый год. соотв текщуие сертификаты надо поискать в 2-х местах в 2020 и 2021. а всякие 2019(они уже кочнились) и 2025(они больше 1 года и браузер их не примет) не надо. (у цт дата - это год окончания действия сертификта) Но большенство ничего не проверяет и никогда не узнает, что в прошлом году был выписан лишний сертификатик.. :)

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Для расшифровки ранее записанного трафика не достсаточно знать не то что сертификат > (мы его и так честно всем подряд выдаём, открытый ключ же) > но и закрытый ключ. сессионный трафик с клиентом не им шифруется. > для организаторов растпрстранителей информации есть требованиия выдавать сессионные > ключи. этот трафик расшифровывается из записи. Замем пишется (ну пока не > очень и пишется то) остальное, неведомо. > если украть закрытый ключ у вас, то открытый уже и так есть, > и тут можно не ходя ни в какие ЦА сесть посередине > и расшифровывать пролетающий трафик перешифровывая его снова.(это не тоже самое что > из записей по яровой) > если закрытого ключа нет, то теоретически можно заставить ЦА выписать новый сертификат > на ваши имена, но современные браузеры не берут сертификаты от публичных > ЦА без подписи от СТ сервиса. Соотв или вы им не > сможете воспользоваться или перед использованием его придется спалить в ЦТ. > если регулярно пулить ЦТ то вы заметите что вдруг ктото выписал > сертификат на ваше имя. если это были не вы, то есть > повод начать бегать и кричать. > Фигня в том что если у нас время жизни сертификата не органичено, > то чтобы вам вдруг узнать что есть валидные сертификаты на ваше > имя вам надо опросить ВСЕ СТ за весь период (ззарегаться достачтоно > в одном из довольно не малого списка публичных ЦТ, чтобы подпись > была принята браузером). на данный момент врядли быстрее тройки месяцев вы > управитесь, и время выборки будет только увеличиваться.. это немного долго. есть > агрегаторы типа https://crt.sh/ делающие это, но во первых они опрашивают не > все ЦТ, во вторых временами склеиваются, иногда на долго.. иногда совсем > склеиваются, а иногда показываая данные месячной давности.. > Возможно тут и кроется причина зачем 1 год.. на надо опрашивать ЦТ > за данные о сертификатах за все время, можно начать с 2020. > сейчас многие ЦТ делают новое хранилище на каждый год. соотв текщуие > сертификаты надо поискать в 2-х местах в 2020 и 2021. а > всякие 2019(они уже кочнились) и 2025(они больше 1 года и браузер > их не примет) не надо. (у цт дата - это год > окончания действия сертификта) > Но большенство ничего не проверяет и никогда не узнает, что в прошлом > году был выписан лишний сертификатик.. :)
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру