Robot_NagNews Posted February 15, 2016 · Report post Материал: Государственные структуры продолжают готовится к сложным ситуациям, которые могут возникнуть по разным причинам в российском интернет-пространстве. Кроме организации мониторинга сетей и инфраструктуры в рунете, о чём недавно мы узнали, государство планирует навести порядок и в сфере использования SSL-сертификатов. Полный текст Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Artem.bm Posted February 15, 2016 · Report post "но и использовать во всех ОС, установленных на компьютерах российских пользователей, протокол SSL с российскими алгоритмами шифрования", — сказал коммерческий директор "Крипто-Про" Юрий Маслов." В глазах и голове одно бабло. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fhunter Posted February 15, 2016 · Report post их могут обязать внести изменения в свои программные продукты, в соответствии с российским законодательством.Вот интересно - как?Ну и да - наличие такого центра пугает - теперь можно будет выпускать свой сертификат имени google.com и слушать всё что ищут пользователи. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
uk2558 Posted February 16, 2016 · Report post сертификат имени google.com и слушать всё Именно! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey Gilfanov Posted February 16, 2016 · Report post Конкретно с гуглом - не выйдет. Как минимум хром проверяет, чьим именно сертификатом домены гугла прописаны. А если этой затеей получится ГОСТ шифрование в популярные библиотеки и браузеры протолкнуть - то пользы будет больше, чем вреда. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kernel1024 Posted February 16, 2016 (edited) · Report post пользы будет больше, чем вреда. +1. Всегда можно добавить новый CA в чёрный список. Edited February 16, 2016 by kernel1024 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GateKeeper Posted February 16, 2016 · Report post HPKP же есть. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dimas Posted February 16, 2016 · Report post А если этой затеей получится ГОСТ шифрование в популярные библиотеки и браузеры протолкнуть - то пользы будет больше, чем вреда. А поддержку кто будет осуществлять? В OpenSSL оно десять лет было, недавно выпилили. В TLS оно уже полгода есть. Сам ГОСТ енжин от авторов коммита тут. Я слабо верю что на госденьги сделают хотя бы что-то подобное ... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey Gilfanov Posted February 16, 2016 · Report post А поддержку кто будет осуществлять? ... Я слабо верю что на госденьги сделают хотя бы что-то подобное ... Вот если кому-то действительно захочется(а не сделать вид) УЦ сделать и ГОСТ шифрование для гос.сайтов - то придется найти тех, кто будет поддерживать. Потому и говорю, что польза будет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dimas Posted February 16, 2016 · Report post Вот если кому-то действительно захочется(а не сделать вид) УЦ сделать и ГОСТ шифрование для гос.сайтов - то придется найти тех, кто будет поддерживать. Потому и говорю, что польза будет. Да в том то и дело, что они первым делом хотят бабла на УЦ получить, а потом типа делать ... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey Gilfanov Posted February 16, 2016 · Report post Да в том то и дело, что они первым делом хотят бабла на УЦ получить, а потом типа делать ... В данном случае я считаю, что этими деньгами можно рискнуть. Вдруг чего путевое сделают? Хотя бы внезапно выпустят понятную методичку-ликбез для населения по поводу криптографии. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dimas Posted February 16, 2016 · Report post В данном случае я считаю, что этими деньгами можно рискнуть. Вдруг чего путевое сделают? Хотя бы внезапно выпустят понятную методичку-ликбез для населения по поводу криптографии. Вот что они попробуют сделать MiM по примеру Казахстана - в это я верю, что сделают что-то полезное - нет ... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey Gilfanov Posted February 16, 2016 · Report post Вот что они попробуют сделать MiM по примеру Казахстана - в это я верю, что сделают что-то полезное - нет ... А у Казахстана получилось? Вроде бы даже у Китая не вышло - соответствующим китайским УЦ разработчики пригрозили за поползновения и те сдулись. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nuclearcat Posted February 16, 2016 · Report post Большинство софта на попытки MiM "стучит". Потом скандальчик будет, если официальных сертификаторов на этом поймают, занесут в черные списки. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
viver Posted February 16, 2016 · Report post Ну наши (Казахстан) чет пыжатся, но пока не вижу результатов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dimas Posted February 16, 2016 (edited) · Report post А у Казахстана получилось? Вроде бы даже у Китая не вышло - соответствующим китайским УЦ разработчики пригрозили за поползновения и те сдулись. Это надо у местных спрашивать, вроде как к 1 января 16 всем надо было установить национальный сертификат. Разве откатили? Большинство софта на попытки MiM "стучит". Потом скандальчик будет, если официальных сертификаторов на этом поймают, занесут в черные списки. AFAIK только если корневого сертификата нет в системе ... Хром еще проверяет гугловые сертификаты после того, как их пытались подделывать .... кто еще? Edited February 16, 2016 by dimas Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey Gilfanov Posted February 16, 2016 · Report post Вот, собственно, подробности недавнего случая: On Friday, March 20th, we became aware of unauthorized digital certificates for several Google domains. The certificates were issued by an intermediate certificate authority apparently held by a company called MCS Holdings. This intermediate certificate was issued by CNNIC. .... As a result of a joint investigation of the events surrounding this incident by Google and CNNIC, we have decided that the CNNIC Root and EV CAs will no longer be recognized in Google products. ... от Гугла от мозиллы Здоровенное обсуждение в списке рассылки Мозилла. Еще одно, где обсуждают, на каких условиях УЦ дать второй шанс. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nuclearcat Posted February 16, 2016 · Report post Дык, все динамически, Public-Key-Pins, report-uri https://www.veracode.com/blog/2014/03/guidelines-for-setting-security-headers Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dimas Posted February 16, 2016 · Report post Еще одно, где обсуждают, на каких условиях УЦ дать второй шанс. Ну неужели непонятно, что если будут делать чебурашку, то всем будет пофиг, как будут относиться сертификатам чебурашко-УЦ снаружи страны? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey Gilfanov Posted February 16, 2016 · Report post Ну неужели непонятно, что если будут делать чебурашку, то всем будет пофиг, как будут относиться сертификатам чебурашко-УЦ снаружи страны? Чебурашка делается проще. Без возни с сертификатами. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dimas Posted February 16, 2016 · Report post Чебурашка делается проще. Без возни с сертификатами. C https трафиком то? А если поснифать хочется? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey Gilfanov Posted February 16, 2016 · Report post C https трафиком то? А если поснифать хочется? Из того, что оно чебурашка следует, что https запретить по умолчанию можно. А разрешать, если уж очень-очень надо - тем сайтам, которые сами данные отдают. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vop Posted February 16, 2016 · Report post В заголовке больше всего понравилось слово "порядок". Типа, сейчас беспорядок с бардаком. :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted February 16, 2016 · Report post Затея правильная, и странно что мы до сих пор без УЦ. Объясню почему: мы одна из немногих стран планеты у которой есть собственная крипта. Не иметь при этом такой мелочи как УЦ просто смешно. А поддержку кто будет осуществлять? Те же кто и сейчас: криптопро, инфотекс и кто то там ещё прячется. В данном случае я считаю, что этими деньгами можно рискнуть. Вдруг чего путевое сделают? Хотя бы внезапно выпустят понятную методичку-ликбез для населения по поводу криптографии. Риска особо нет, нужно просто дать деньги кому то из вышеозначенных исполнителей и они более-менее сделают. Криптопро уже выпустило кучу методичек, инфотекс по своим продуктам тоже, хотя последнее отдельная история, судя по отзывам. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey Gilfanov Posted February 16, 2016 · Report post Ага. Самое время свои алгоритмы проталкивать. Спецслужбы вероятного противника что-то у себя с гражданской криптой мутят и испортитить ее пытаются. Оттянуть по этому поводу одеяло на себя - самое то. Пускай параноики с обеих сторон радуются. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...