Представьте, что в этот момент все УЦ, контролируемые западными странами, единовременно отзывают сертификаты с *.ru. Какие последствия этого будут?

Прецедент в миниатюре был. Ряд УЦ отзывали сертификат у сайтов некоторых российских министерств и банков. В том числе letsencrypt.

На мой взгляд будет полный хаос в российском интернет-пространстве и в целом в российских информационных системах. Частично можно нивелировать быстрым баном адресов CRL-серверов и адресов гугла, чтобы хром не обновлялся, но всё равно очень многое поломается.

Поэтому, на мой взгляд критически важно в кратчайшие сроки сделать аналог letsencrypt от компании, с одной стороны про которую можно сказать, что она способна обеспечить нужную защиту для своей инфраструктуры (то бишь которая прошла бы аудит безопасности, стандартный для любого УЦ), с другой стороны которая лояльна российскому правительству. Скажем про яндекс я бы так не сказал. Наверное mail.ru из крупных осталась единственной, хотя могу ошибаться.

Аналог это значит во-первых доступ всем желающим по стандартному протоколу ACME, во-вторых доверенные корни везде, где правительство дотянется (ну всякие яндекс-браузеры это очевидно, но также было бы неплохо обязать Apple и других устанавливать в свои смартфоны), в-третьих все правительственные сервисы должны быть за этими сертификатами, чтобы обычные люди постепенно их ставили. И в-четвёртых, как бы ни хотелось, не применять MITM, то бишь использовать их именно для защиты, а не для слежки и атаки на пользователей. Четвёртый пункт это, конечно, самый фантастичный пункт, но для доверия пользователей он очень желателен.

На мой взгляд про этот аспект мало говорят, точней я вообще не слышал, а ведь это довольно уязвимая точка.

Здравствуйте, vsb, Вы писали:

vsb>Поэтому, на мой взгляд критически важно в кратчайшие сроки сделать аналог letsencrypt от компании, с одной стороны про которую можно сказать, что она способна обеспечить нужную защиту для своей инфраструктуры (то бишь которая прошла бы аудит безопасности, стандартный для любого УЦ), с другой стороны которая лояльна российскому правительству. Скажем про яндекс я бы так не сказал. Наверное mail.ru из крупных осталась единственной, хотя могу ошибаться.

Тут проблема в том, что если рутовый сертификат этого аналога будет устанавливаться только в бровсеры внутри России, то сайты, подписанные этим аналогом, можно будет только из России и открывать. И тут вообще нет никакой разницы, будет ли российская CA раздавать сертификаты автоматически, или за деньги.

А создать CA с мировым признанием, сам понимаешь, международная обстановка не позволяет.

Здравствуйте, Pzz, Вы писали:

vsb>>Поэтому, на мой взгляд критически важно в кратчайшие сроки сделать аналог letsencrypt от компании, с одной стороны про которую можно сказать, что она способна обеспечить нужную защиту для своей инфраструктуры (то бишь которая прошла бы аудит безопасности, стандартный для любого УЦ), с другой стороны которая лояльна российскому правительству. Скажем про яндекс я бы так не сказал. Наверное mail.ru из крупных осталась единственной, хотя могу ошибаться.

Pzz>Тут проблема в том, что если рутовый сертификат этого аналога будет устанавливаться только в бровсеры внутри России, то сайты, подписанные этим аналогом, можно будет только из России и открывать. И тут вообще нет никакой разницы, будет ли российская CA раздавать сертификаты автоматически, или за деньги.

Разница большая. Доступ к серверам LE можно заблокировать на уровне провайдера. Таким образом российский сайт не сможет пройти HTTP валидацию. DNS-валидацию пройти сможет, но это дополнительный геморрой, нужно организовывать прокси и тд. Если рядом есть работающий вариант от mail.ru, часть админов предпочтут его, если у достаточно большого числа пользователей эти корни будут стоять. А если вариант от mail.ru будет платный, то это хороший аргумент в пользу того, чтобы либо таки настраивать VPN и DNS-валидацию, либо вообще хоститься за границей.

Мало кто знает, но в Казахстане есть требование — все .kz домены должны указывать на серверы, физически размещённые в Казахстане. Конечно это требование выполняют не все. Далеко ходить не надо — yandex.kz -> 77.88.55.55 -> Moscow. Но это пример того, как может быть сделано в России. А доступ к зарубежным доменам будет ограничен естественным образом: запрещённые платежи и тд.

Кстати в Казахстане были попытки сделать свой CA. Делали заявку в мозиллу. Но там послали. Наверное и в гугл заявку делали, просто в мозилле процессы публичные. Такое ощущение, что в Казахстане про это задумались раньше. Не очень понимаю, зачем это Казахстану, про цифровой суверенитет Казахстана говорить в некоторой степени забавно, при всём уважении к местному IT, но сам факт.

Pzz> создать CA с мировым признанием, сам понимаешь, международная обстановка не позволяет.

Ну так должна быть платёжная система МИР по всем дружественным странам,
должен бесплатно распространяться браузер российской разработки для просмотра контента
по российским стандартам ЯРГТ (язык разметки гипертекстов) и ППКС (протокол передачи компьютерных сообщений).

Тогда любые дружественные страны смогут открывать в российских браузерах российские магазины приложений
и покупать там сертификаты с оплатой через МИР.

Здравствуйте, Эйнсток Файр, Вы писали:

Pzz>> создать CA с мировым признанием, сам понимаешь, международная обстановка не позволяет.

ЭФ>Ну так должна быть платёжная система МИР по всем дружественным странам,
ЭФ>должен бесплатно распространяться браузер российской разработки для просмотра контента
ЭФ>по российским стандартам ЯРГТ (язык разметки гипертекстов) и ППКС (протокол передачи компьютерных сообщений).

Стандарты w3c настолько безумны, что если завести в России национальный эквиавалент w3c, боюсь, совокупной мощности российских психиатрических лечебниц не хватит, чтобы разгрести последствия.

Здравствуйте, vsb, Вы писали:

vsb>Кстати в Казахстане были попытки сделать свой CA. Делали заявку в мозиллу. Но там послали. Наверное и в гугл заявку делали, просто в мозилле процессы публичные. Такое ощущение, что в Казахстане про это задумались раньше. Не очень понимаю, зачем это Казахстану, про цифровой суверенитет Казахстана говорить в некоторой степени забавно, при всём уважении к местному IT, но сам факт.

Ну, например, я не знаю, как с этим обстоит в Казахстане, но если местный CA тихо и молча выпускает сертификат, какой скажут, по просьбе местного КГБ, то это дает возможность КГБ незаметно для пользователя "прослушивать" любой HTTPS трафик.

Раньше я думал, что в Цывилизации такое невозможно. Но сейчас уже не уверен.

Наверное, для веба нужна какая-то другая модель безопасности. Не подвластная местным тиранам.

Pzz> Раньше я думал, что в Цывилизации такое невозможно. Но сейчас уже не уверен.

Ага, засомневался! Слава Сноудену!

Здравствуйте, vsb, Вы писали:

vsb>Представьте, что в этот момент все УЦ, контролируемые западными странами, единовременно отзывают сертификаты с *.ru. Какие последствия этого будут?

и https://www.google.ru ?
Ну пусть попробуют, в последние месяцы стало понятно что выключать Россию это примерно как серпом по яйцам (собственным)

Здравствуйте, Pzz, Вы писали:

Pzz>Ну, например, я не знаю, как с этим обстоит в Казахстане, но если местный CA тихо и молча выпускает сертификат, какой скажут, по просьбе местного КГБ, то это дает возможность КГБ незаметно для пользователя "прослушивать" любой HTTPS трафик.

А американские компании по просьбе АНБ так не могут. Ой, так ведь им даже говорить о таких случаях запрещено, под угрозой Гуантанамо.

Здравствуйте, vsb, Вы писали:

vsb>Представьте, что в этот момент все УЦ, контролируемые западными странами, единовременно отзывают сертификаты с *.ru.

Так уже.

vsb>Прецедент в миниатюре был. Ряд УЦ отзывали сертификат у сайтов некоторых российских министерств и банков. В том числе letsencrypt.

In response to the evolving geopolitical situation in Ukraine, effective March 10, 2022, at 8:00 p.m. MST (March 11, 3:00 a.m. UTC), DigiCert is pausing issuance and reissuance of all certificate types affiliated with Russia and Belarus. This includes suspending issuance and reissuance of certificates to TLDs related to Russia and Belarus, including .ru, .su, .by, .рф, and others, as well as to organizations with addresses in Russia or Belarus. Additionally, DigiCert will not accept payments in rubles at this time.

vsb>На мой взгляд будет полный хаос в российском интернет-пространстве

Как видишь, не угадал.

vsb>Поэтому, на мой взгляд критически важно в кратчайшие сроки сделать аналог letsencrypt от компании, с одной стороны про которую можно сказать, что она способна обеспечить нужную защиту для своей инфраструктуры (то бишь которая прошла бы аудит безопасности, стандартный для любого УЦ), с другой стороны которая лояльна российскому правительству. Скажем про яндекс я бы так не сказал. Наверное mail.ru из крупных осталась единственной, хотя могу ошибаться.

Так уже. https://www.gosuslugi.ru/tls

Здравствуйте, ути-пути, Вы писали:

Pzz>>Ну, например, я не знаю, как с этим обстоит в Казахстане, но если местный CA тихо и молча выпускает сертификат, какой скажут, по просьбе местного КГБ, то это дает возможность КГБ незаметно для пользователя "прослушивать" любой HTTPS трафик.

УП>А американские компании по просьбе АНБ так не могут. Ой, так ведь им даже говорить о таких случаях запрещено, под угрозой Гуантанамо.

Ну вот я и говорю, нужна какая-то другая модель безопасности. Тиранозащищенная by design.

Здравствуйте, Pzz, Вы писали:

Pzz> Ну, например, я не знаю, как с этим обстоит в Казахстане, но если местный CA тихо и молча выпускает сертификат, какой скажут, по просьбе местного КГБ, то это дает возможность КГБ незаметно для пользователя "прослушивать" любой HTTPS трафик.

С местным (если мы говорим про РФ) СА пытаются сделать Certificate Transparency. Работы там конечно еще конь не валялся, но радует то, что местный СА от подобных инициатив сразу не "окуклился" (по государственному обыкновению), а ведет какое-никакое сотрудничество. Т.е. может и получится что-то "съедобное".

Здравствуйте, Pzz, Вы писали:

Pzz>Ну вот я и говорю, нужна какая-то другая модель безопасности. Тиранозащищенная by design.

А другой модели нет и не будет, пока компания добра монопольно принуждает к этому стандарту. 10-15 лет назад https хотя бы был необязательным, а сейчас твой сайт без него никто не увидит. Попробуй тут внедри что-то другое.

Здравствуйте, ути-пути, Вы писали:

Pzz>>Ну вот я и говорю, нужна какая-то другая модель безопасности. Тиранозащищенная by design.

УП>А другой модели нет и не будет, пока компания добра монопольно принуждает к этому стандарту. 10-15 лет назад https хотя бы был необязательным, а сейчас твой сайт без него никто не увидит. Попробуй тут внедри что-то другое.

В самом по себе https ничего плохого нет (ну, кроме обоснованных сомнений, что повсеместно внедряемый в качестве безальтернативного шифра AES-GCM внедряется туда неспроста). Но вот централизованная раздача сертификатов сотней непонятно кем контролируемых CA вызывает вопросы.

Здравствуйте, Pzz, Вы писали:

Pzz>В самом по себе https ничего плохого нет (ну, кроме обоснованных сомнений, что повсеместно внедряемый в качестве безальтернативного шифра AES-GCM внедряется туда неспроста). Но вот централизованная раздача сертификатов сотней непонятно кем контролируемых CA вызывает вопросы.

Плохо то, что его навязывают, тем самым отдавая монополию на действия с твоим трафиком "доверенным" УЦ, что создает иллюзию безопасности. Вот с нешифрованным никаких иллюзий нет, и ты сам решаешь, нужно ли тебе шифрование, какое, и к кому за ним обращаться. Заодно заставляет переосмыслить мифические риски от товарища майора: в большинстве случаев тебе надо не скрыть что-то от него, а угодить ему, защищая от третьих лиц ПД, которые он и так знает.

Здравствуйте, ути-пути, Вы писали:

УП>А другой модели нет и не будет, пока компания добра монопольно принуждает к этому стандарту. 10-15 лет назад https хотя бы был необязательным, а сейчас твой сайт без него никто не увидит.

Я сейчас читаю RSDN без https. Вроде нормально.

Здравствуйте, Ночной Смотрящий, Вы писали:

vsb>>Представьте, что в этот момент все УЦ, контролируемые западными странами, единовременно отзывают сертификаты с *.ru.

НС>Так уже.

vsb>>Прецедент в миниатюре был. Ряд УЦ отзывали сертификат у сайтов некоторых российских министерств и банков. В том числе letsencrypt.

НС>

НС>In response to the evolving geopolitical situation in Ukraine, effective March 10, 2022, at 8:00 p.m. MST (March 11, 3:00 a.m. UTC), DigiCert is pausing issuance and reissuance of all certificate types affiliated with Russia and Belarus. This includes suspending issuance and reissuance of certificates to TLDs related to Russia and Belarus, including .ru, .su, .by, .рф, and others, as well as to organizations with addresses in Russia or Belarus. Additionally, DigiCert will not accept payments in rubles at this time.     

vsb>>На мой взгляд будет полный хаос в российском интернет-пространстве

НС>Как видишь, не угадал.

Ты пишешь про то, что они прекратили выдавать. А я пишу про отзыв. Сертификат от digicert обычно действует год и обновляют его нормальные люди загодя, за месяц или около того. Это разные вещи.

vsb>>Поэтому, на мой взгляд критически важно в кратчайшие сроки сделать аналог letsencrypt от компании, с одной стороны про которую можно сказать, что она способна обеспечить нужную защиту для своей инфраструктуры (то бишь которая прошла бы аудит безопасности, стандартный для любого УЦ), с другой стороны которая лояльна российскому правительству. Скажем про яндекс я бы так не сказал. Наверное mail.ru из крупных осталась единственной, хотя могу ошибаться.

НС>Так уже. https://www.gosuslugi.ru/tls

Разве там есть acme?

Здравствуйте, Anton Batenev, Вы писали:

AB>С местным (если мы говорим про РФ) СА пытаются сделать Certificate Transparency. Работы там конечно еще конь не валялся, но радует то, что местный СА от подобных инициатив сразу не "окуклился" (по государственному обыкновению), а ведет какое-никакое сотрудничество. Т.е. может и получится что-то "съедобное".

Это всего лишь способ общественного контроля за тем, что CA не мухлюют.

Интересно, а нельзя ли вообще без CA обойтись? Примерно, как bitcoin обходится без банков.

Здравствуйте, Sharowarsheg, Вы писали:

S>Я сейчас читаю RSDN без https. Вроде нормально.

И что? В гугле он уже пропал, теперь по запросам вылезает SO или дурацкие блоги, а если специально по нему искать, тебе дадут https версию.

Здравствуйте, Pzz, Вы писали:

Pzz>Интересно, а нельзя ли вообще без CA обойтись? Примерно, как bitcoin обходится без банков.

Можно, только если с CA бьются кагебешники с црушниками, за то, кто кого переборет, то против системы без CA будут бороться вообще все, точно также, как и с криптовалютами.