Robot_NagNews Опубликовано 15 февраля, 2016 · Жалоба Материал: Государственные структуры продолжают готовится к сложным ситуациям, которые могут возникнуть по разным причинам в российском интернет-пространстве. Кроме организации мониторинга сетей и инфраструктуры в рунете, о чём недавно мы узнали, государство планирует навести порядок и в сфере использования SSL-сертификатов. Полный текст Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Artem.bm Опубликовано 15 февраля, 2016 · Жалоба "но и использовать во всех ОС, установленных на компьютерах российских пользователей, протокол SSL с российскими алгоритмами шифрования", — сказал коммерческий директор "Крипто-Про" Юрий Маслов." В глазах и голове одно бабло. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fhunter Опубликовано 15 февраля, 2016 · Жалоба их могут обязать внести изменения в свои программные продукты, в соответствии с российским законодательством.Вот интересно - как?Ну и да - наличие такого центра пугает - теперь можно будет выпускать свой сертификат имени google.com и слушать всё что ищут пользователи. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uk2558 Опубликовано 16 февраля, 2016 · Жалоба сертификат имени google.com и слушать всё Именно! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 16 февраля, 2016 · Жалоба Конкретно с гуглом - не выйдет. Как минимум хром проверяет, чьим именно сертификатом домены гугла прописаны. А если этой затеей получится ГОСТ шифрование в популярные библиотеки и браузеры протолкнуть - то пользы будет больше, чем вреда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kernel1024 Опубликовано 16 февраля, 2016 (изменено) · Жалоба пользы будет больше, чем вреда. +1. Всегда можно добавить новый CA в чёрный список. Изменено 16 февраля, 2016 пользователем kernel1024 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 16 февраля, 2016 · Жалоба HPKP же есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dimas Опубликовано 16 февраля, 2016 · Жалоба А если этой затеей получится ГОСТ шифрование в популярные библиотеки и браузеры протолкнуть - то пользы будет больше, чем вреда. А поддержку кто будет осуществлять? В OpenSSL оно десять лет было, недавно выпилили. В TLS оно уже полгода есть. Сам ГОСТ енжин от авторов коммита тут. Я слабо верю что на госденьги сделают хотя бы что-то подобное ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 16 февраля, 2016 · Жалоба А поддержку кто будет осуществлять? ... Я слабо верю что на госденьги сделают хотя бы что-то подобное ... Вот если кому-то действительно захочется(а не сделать вид) УЦ сделать и ГОСТ шифрование для гос.сайтов - то придется найти тех, кто будет поддерживать. Потому и говорю, что польза будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dimas Опубликовано 16 февраля, 2016 · Жалоба Вот если кому-то действительно захочется(а не сделать вид) УЦ сделать и ГОСТ шифрование для гос.сайтов - то придется найти тех, кто будет поддерживать. Потому и говорю, что польза будет. Да в том то и дело, что они первым делом хотят бабла на УЦ получить, а потом типа делать ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 16 февраля, 2016 · Жалоба Да в том то и дело, что они первым делом хотят бабла на УЦ получить, а потом типа делать ... В данном случае я считаю, что этими деньгами можно рискнуть. Вдруг чего путевое сделают? Хотя бы внезапно выпустят понятную методичку-ликбез для населения по поводу криптографии. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dimas Опубликовано 16 февраля, 2016 · Жалоба В данном случае я считаю, что этими деньгами можно рискнуть. Вдруг чего путевое сделают? Хотя бы внезапно выпустят понятную методичку-ликбез для населения по поводу криптографии. Вот что они попробуют сделать MiM по примеру Казахстана - в это я верю, что сделают что-то полезное - нет ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 16 февраля, 2016 · Жалоба Вот что они попробуют сделать MiM по примеру Казахстана - в это я верю, что сделают что-то полезное - нет ... А у Казахстана получилось? Вроде бы даже у Китая не вышло - соответствующим китайским УЦ разработчики пригрозили за поползновения и те сдулись. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 16 февраля, 2016 · Жалоба Большинство софта на попытки MiM "стучит". Потом скандальчик будет, если официальных сертификаторов на этом поймают, занесут в черные списки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
viver Опубликовано 16 февраля, 2016 · Жалоба Ну наши (Казахстан) чет пыжатся, но пока не вижу результатов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dimas Опубликовано 16 февраля, 2016 (изменено) · Жалоба А у Казахстана получилось? Вроде бы даже у Китая не вышло - соответствующим китайским УЦ разработчики пригрозили за поползновения и те сдулись. Это надо у местных спрашивать, вроде как к 1 января 16 всем надо было установить национальный сертификат. Разве откатили? Большинство софта на попытки MiM "стучит". Потом скандальчик будет, если официальных сертификаторов на этом поймают, занесут в черные списки. AFAIK только если корневого сертификата нет в системе ... Хром еще проверяет гугловые сертификаты после того, как их пытались подделывать .... кто еще? Изменено 16 февраля, 2016 пользователем dimas Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 16 февраля, 2016 · Жалоба Вот, собственно, подробности недавнего случая: On Friday, March 20th, we became aware of unauthorized digital certificates for several Google domains. The certificates were issued by an intermediate certificate authority apparently held by a company called MCS Holdings. This intermediate certificate was issued by CNNIC. .... As a result of a joint investigation of the events surrounding this incident by Google and CNNIC, we have decided that the CNNIC Root and EV CAs will no longer be recognized in Google products. ... от Гугла от мозиллы Здоровенное обсуждение в списке рассылки Мозилла. Еще одно, где обсуждают, на каких условиях УЦ дать второй шанс. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 16 февраля, 2016 · Жалоба Дык, все динамически, Public-Key-Pins, report-uri https://www.veracode.com/blog/2014/03/guidelines-for-setting-security-headers Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dimas Опубликовано 16 февраля, 2016 · Жалоба Еще одно, где обсуждают, на каких условиях УЦ дать второй шанс. Ну неужели непонятно, что если будут делать чебурашку, то всем будет пофиг, как будут относиться сертификатам чебурашко-УЦ снаружи страны? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 16 февраля, 2016 · Жалоба Ну неужели непонятно, что если будут делать чебурашку, то всем будет пофиг, как будут относиться сертификатам чебурашко-УЦ снаружи страны? Чебурашка делается проще. Без возни с сертификатами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dimas Опубликовано 16 февраля, 2016 · Жалоба Чебурашка делается проще. Без возни с сертификатами. C https трафиком то? А если поснифать хочется? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 16 февраля, 2016 · Жалоба C https трафиком то? А если поснифать хочется? Из того, что оно чебурашка следует, что https запретить по умолчанию можно. А разрешать, если уж очень-очень надо - тем сайтам, которые сами данные отдают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vop Опубликовано 16 февраля, 2016 · Жалоба В заголовке больше всего понравилось слово "порядок". Типа, сейчас беспорядок с бардаком. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 16 февраля, 2016 · Жалоба Затея правильная, и странно что мы до сих пор без УЦ. Объясню почему: мы одна из немногих стран планеты у которой есть собственная крипта. Не иметь при этом такой мелочи как УЦ просто смешно. А поддержку кто будет осуществлять? Те же кто и сейчас: криптопро, инфотекс и кто то там ещё прячется. В данном случае я считаю, что этими деньгами можно рискнуть. Вдруг чего путевое сделают? Хотя бы внезапно выпустят понятную методичку-ликбез для населения по поводу криптографии. Риска особо нет, нужно просто дать деньги кому то из вышеозначенных исполнителей и они более-менее сделают. Криптопро уже выпустило кучу методичек, инфотекс по своим продуктам тоже, хотя последнее отдельная история, судя по отзывам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 16 февраля, 2016 · Жалоба Ага. Самое время свои алгоритмы проталкивать. Спецслужбы вероятного противника что-то у себя с гражданской криптой мутят и испортитить ее пытаются. Оттянуть по этому поводу одеяло на себя - самое то. Пускай параноики с обеих сторон радуются. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...