HTTPS в контексте информационного суверенитета
От: vsb Казахстан  
Дата: 11.06.22 23:13
Оценка: +1 :)
Представьте, что в этот момент все УЦ, контролируемые западными странами, единовременно отзывают сертификаты с *.ru. Какие последствия этого будут?

Прецедент в миниатюре был. Ряд УЦ отзывали сертификат у сайтов некоторых российских министерств и банков. В том числе letsencrypt.

На мой взгляд будет полный хаос в российском интернет-пространстве и в целом в российских информационных системах. Частично можно нивелировать быстрым баном адресов CRL-серверов и адресов гугла, чтобы хром не обновлялся, но всё равно очень многое поломается.

Поэтому, на мой взгляд критически важно в кратчайшие сроки сделать аналог letsencrypt от компании, с одной стороны про которую можно сказать, что она способна обеспечить нужную защиту для своей инфраструктуры (то бишь которая прошла бы аудит безопасности, стандартный для любого УЦ), с другой стороны которая лояльна российскому правительству. Скажем про яндекс я бы так не сказал. Наверное mail.ru из крупных осталась единственной, хотя могу ошибаться.

Аналог это значит во-первых доступ всем желающим по стандартному протоколу ACME, во-вторых доверенные корни везде, где правительство дотянется (ну всякие яндекс-браузеры это очевидно, но также было бы неплохо обязать Apple и других устанавливать в свои смартфоны), в-третьих все правительственные сервисы должны быть за этими сертификатами, чтобы обычные люди постепенно их ставили. И в-четвёртых, как бы ни хотелось, не применять MITM, то бишь использовать их именно для защиты, а не для слежки и атаки на пользователей. Четвёртый пункт это, конечно, самый фантастичный пункт, но для доверия пользователей он очень желателен.

На мой взгляд про этот аспект мало говорят, точней я вообще не слышал, а ведь это довольно уязвимая точка.
 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.