Перейти к содержимому
Калькуляторы

Государство планирует навести порядок с SSL-сертификатами

Материал:

Государственные структуры продолжают готовится к сложным ситуациям, которые могут возникнуть по разным причинам в российском интернет-пространстве. Кроме организации мониторинга сетей и инфраструктуры в рунете, о чём недавно мы узнали, государство планирует навести порядок и в сфере использования SSL-сертификатов.

 

Полный текст

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

"но и использовать во всех ОС, установленных на компьютерах российских пользователей, протокол SSL с российскими алгоритмами шифрования", — сказал коммерческий директор "Крипто-Про" Юрий Маслов."

 

В глазах и голове одно бабло.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

их могут обязать внести изменения в свои программные продукты, в соответствии с российским законодательством.
Вот интересно - как?

Ну и да - наличие такого центра пугает - теперь можно будет выпускать свой сертификат имени google.com и слушать всё что ищут пользователи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

сертификат имени google.com и слушать всё

Именно!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Конкретно с гуглом - не выйдет. Как минимум хром проверяет, чьим именно сертификатом домены гугла прописаны.

 

А если этой затеей получится ГОСТ шифрование в популярные библиотеки и браузеры протолкнуть - то пользы будет больше, чем вреда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

пользы будет больше, чем вреда.

+1. Всегда можно добавить новый CA в чёрный список.

Изменено пользователем kernel1024

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А если этой затеей получится ГОСТ шифрование в популярные библиотеки и браузеры протолкнуть - то пользы будет больше, чем вреда.

 

А поддержку кто будет осуществлять? В OpenSSL оно десять лет было, недавно выпилили.

В TLS оно уже полгода есть.

Сам ГОСТ енжин от авторов коммита тут.

 

Я слабо верю что на госденьги сделают хотя бы что-то подобное ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А поддержку кто будет осуществлять?

...

Я слабо верю что на госденьги сделают хотя бы что-то подобное ...

Вот если кому-то действительно захочется(а не сделать вид) УЦ сделать и ГОСТ шифрование для гос.сайтов - то придется найти тех, кто будет поддерживать. Потому и говорю, что польза будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот если кому-то действительно захочется(а не сделать вид) УЦ сделать и ГОСТ шифрование для гос.сайтов - то придется найти тех, кто будет поддерживать. Потому и говорю, что польза будет.

 

Да в том то и дело, что они первым делом хотят бабла на УЦ получить, а потом типа делать ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да в том то и дело, что они первым делом хотят бабла на УЦ получить, а потом типа делать ...

В данном случае я считаю, что этими деньгами можно рискнуть. Вдруг чего путевое сделают? Хотя бы внезапно выпустят понятную методичку-ликбез для населения по поводу криптографии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В данном случае я считаю, что этими деньгами можно рискнуть. Вдруг чего путевое сделают? Хотя бы внезапно выпустят понятную методичку-ликбез для населения по поводу криптографии.

 

Вот что они попробуют сделать MiM по примеру Казахстана - в это я верю, что сделают что-то полезное - нет ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот что они попробуют сделать MiM по примеру Казахстана - в это я верю, что сделают что-то полезное - нет ...

А у Казахстана получилось? Вроде бы даже у Китая не вышло - соответствующим китайским УЦ разработчики пригрозили за поползновения и те сдулись.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Большинство софта на попытки MiM "стучит". Потом скандальчик будет, если официальных сертификаторов на этом поймают, занесут в черные списки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну наши (Казахстан) чет пыжатся, но пока не вижу результатов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А у Казахстана получилось? Вроде бы даже у Китая не вышло - соответствующим китайским УЦ разработчики пригрозили за поползновения и те сдулись.

 

Это надо у местных спрашивать, вроде как к 1 января 16 всем надо было установить национальный сертификат. Разве откатили?

 

Большинство софта на попытки MiM "стучит". Потом скандальчик будет, если официальных сертификаторов на этом поймают, занесут в черные списки.

 

AFAIK только если корневого сертификата нет в системе ... Хром еще проверяет гугловые сертификаты после того, как их пытались подделывать .... кто еще?

Изменено пользователем dimas

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот, собственно, подробности недавнего случая:

On Friday, March 20th, we became aware of unauthorized digital certificates for several Google domains. The certificates were issued by an intermediate certificate authority apparently held by a company called MCS Holdings. This intermediate certificate was issued by CNNIC.

....

As a result of a joint investigation of the events surrounding this incident by Google and CNNIC, we have decided that the CNNIC Root and EV CAs will no longer be recognized in Google products.

...

от Гугла

от мозиллы

 

Здоровенное обсуждение в списке рассылки Мозилла.

Еще одно, где обсуждают, на каких условиях УЦ дать второй шанс.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дык, все динамически, Public-Key-Pins, report-uri

https://www.veracode.com/blog/2014/03/guidelines-for-setting-security-headers

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Еще одно, где обсуждают, на каких условиях УЦ дать второй шанс.

 

Ну неужели непонятно, что если будут делать чебурашку, то всем будет пофиг, как будут относиться сертификатам чебурашко-УЦ снаружи страны?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну неужели непонятно, что если будут делать чебурашку, то всем будет пофиг, как будут относиться сертификатам чебурашко-УЦ снаружи страны?

Чебурашка делается проще. Без возни с сертификатами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Чебурашка делается проще. Без возни с сертификатами.

 

C https трафиком то? А если поснифать хочется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

C https трафиком то? А если поснифать хочется?

Из того, что оно чебурашка следует, что https запретить по умолчанию можно. А разрешать, если уж очень-очень надо - тем сайтам, которые сами данные отдают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В заголовке больше всего понравилось слово "порядок". Типа, сейчас беспорядок с бардаком. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Затея правильная, и странно что мы до сих пор без УЦ.

Объясню почему: мы одна из немногих стран планеты у которой есть собственная крипта.

Не иметь при этом такой мелочи как УЦ просто смешно.

 

 

А поддержку кто будет осуществлять?

Те же кто и сейчас: криптопро, инфотекс и кто то там ещё прячется.

 

В данном случае я считаю, что этими деньгами можно рискнуть. Вдруг чего путевое сделают? Хотя бы внезапно выпустят понятную методичку-ликбез для населения по поводу криптографии.

Риска особо нет, нужно просто дать деньги кому то из вышеозначенных исполнителей и они более-менее сделают.

Криптопро уже выпустило кучу методичек, инфотекс по своим продуктам тоже, хотя последнее отдельная история, судя по отзывам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ага. Самое время свои алгоритмы проталкивать. Спецслужбы вероятного противника что-то у себя с гражданской криптой мутят и испортитить ее пытаются. Оттянуть по этому поводу одеяло на себя - самое то. Пускай параноики с обеих сторон радуются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.