Здравствуйте, Pzz, Вы писали:
R>>Открытый ключ можно в записи DNS хранить, как в DKIM делается.
Pzz>Кстати, неплохая идея.
Чем же? Просто твой регистратор домена будет играть роль УЦ, и при желании (например, по просьбе государства) будет выдавать вовсе не те NS, которые ты задал, где уже будут нужные записи.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Re[12]: HTTPS в контексте информационного суверенитета
Здравствуйте, Sharowarsheg, Вы писали:
Pzz>>У меня всегда есть какая-то заметная доля НИОКР. Как мне найти нужную информацию без поиска?
S>Поиском, но не гугла, а собственным поиском соответствующего сайта, в зависимости от того, на какую тему у тебя НИОКР. S>Более-менее все крупные сайты, включая микрософт, википедию, stack overflow, почти любые специализированные форумы, имеют свой поиск. Раньше, во времена, когда гугля ещё не было, а в альтависте ответом на любой вопрос была виагра, были всякие директории и прочее. Даже оффлайновая документация была, кстати.
Для меня большой интерес представляют отчеты о разных там исследованиях, которые выкладываются на сайтах университетов.
Re[10]: HTTPS в контексте информационного суверенитета
Здравствуйте, rudzuk, Вы писали:
vsb>> R>Открытый ключ можно в записи DNS хранить, как в DKIM делается.
vsb>> Это переносит проблему в DNS, но никак не убирает её. Злоумышленник может точно так же перехватывать и подменять DNS-трафик.
R>Не сможет, если использовать что-то типа DNSSEC.
И мы приходим к тому, что вместо УЦ нужно верить тем, кто подписывает ключи в DNSSEC и что они ничего лишнего не подпишут.
Re[11]: HTTPS в контексте информационного суверенитета
Здравствуйте, ути-пути, Вы писали:
Pzz>>Но если у тебя сайт, защищенный самоподписанным сертификатом, как в PGP, как мне узнать без CA и личного знакомства, что это именно твой сертификат?
УП>А почему это тебя так волнует? Ты же доверяешь абсолютно мутному УЦ, почему бы не доверять всем подряд?
Потому, что CA вряд ли кинет меня на 1000 рублей, а мутный сайт может.
Re[10]: HTTPS в контексте информационного суверенитета
Здравствуйте, ути-пути, Вы писали:
Pzz>>Кстати, неплохая идея.
УП>Чем же? Просто твой регистратор домена будет играть роль УЦ, и при желании (например, по просьбе государства) будет выдавать вовсе не те NS, которые ты задал, где уже будут нужные записи.
Тоже верно. На самом деле, в эту игру может даже IP-провайдер сыграть, перехватывая DNS-запросы.
Re[11]: HTTPS в контексте информационного суверенитета
Здравствуйте, ути-пути, Вы писали:
Pzz>>Но если у тебя сайт, защищенный самоподписанным сертификатом, как в PGP, как мне узнать без CA и личного знакомства, что это именно твой сертификат?
УП>А почему это тебя так волнует? Ты же доверяешь абсолютно мутному УЦ, почему бы не доверять всем подряд?
Я доверяю браузеру. А браузер уже доверяет УЦ. При этом для включения в список доверенных, УЦ должен пройти определённые процедуры, к примеру аудит. Это явно не все подряд.
Re[13]: HTTPS в контексте информационного суверенитета
Здравствуйте, Pzz, Вы писали:
Pzz>Для меня большой интерес представляют отчеты о разных там исследованиях, которые выкладываются на сайтах университетов.
Как по старинке, читаешь все заголовки подряд, да и всё. Заодно много другого интересного можно узнать. Всего 20 лет назад другого способа особо и не было, а результаты были лучше и трава зеленее.
Re[11]: HTTPS в контексте информационного суверенитета
Здравствуйте, ути-пути, Вы писали:
у> vsb>> Это переносит проблему в DNS, но никак не убирает её. Злоумышленник может точно так же перехватывать и подменять DNS-трафик.
у> R>Не сможет, если использовать что-то типа DNSSEC.
у> Тогда вопрос переносится на доверие к регистратору домена
Здравствуйте, ути-пути, Вы писали:
Pzz>>Ну вот я и говорю, нужна какая-то другая модель безопасности. Тиранозащищенная by design.
УП>А другой модели нет и не будет, пока компания добра монопольно принуждает к этому стандарту. 10-15 лет назад https хотя бы был необязательным, а сейчас твой сайт без него никто не увидит. Попробуй тут внедри что-то другое.
Как не увидит? Я что-то пропустил?
Re[8]: HTTPS в контексте информационного суверенитета
Здравствуйте, ути-пути, Вы писали:
m11>>Как не увидит? Я что-то пропустил?
УП>Да, пропустил, в анабиозе, наверное. Уже лет 25-30 основной трафик на сайты идет из поисковиков.
И че без https сайт не показывается в поисковике?
Re[10]: HTTPS в контексте информационного суверенитета
Здравствуйте, vsb, Вы писали:
vsb>На мой взгляд будет полный хаос в российском интернет-пространстве и в целом в российских информационных системах. Частично можно нивелировать быстрым баном адресов CRL-серверов и адресов гугла, чтобы хром не обновлялся, но всё равно очень многое поломается.
Никаких хоромов не должно быть в гос учреждениях.
Re[6]: HTTPS в контексте информационного суверенитета
Здравствуйте, Pzz, Вы писали:
Pzz> Интересно, а нельзя ли вообще без CA обойтись? Примерно, как bitcoin обходится без банков.
У bitcoin есть такая же (по смыслу, не по реализации) проблема с сетью доверия, как у сертификатов с СА. Т.е. или ты слепо чему-то доверяешь (majority в случае bitcoin, процедурам и аудиту СА в случае с сертификатами, сети доверия в случае PGP/GPG), или ты будешь вынужден проверять каждый peer вручную (что теоретически возможно, но на практике удел "упоротых красноглазиков").
Re[6]: HTTPS в контексте информационного суверенитета
Здравствуйте, Pzz, Вы писали: Pzz>Интересно, а нельзя ли вообще без CA обойтись? Примерно, как bitcoin обходится без банков.
Популярных вариантов политик распространения ключей всего два — PKI и PGP.
Вот второй обходится без CA.
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
Re[7]: HTTPS в контексте информационного суверенитета
Здравствуйте, Sinclair, Вы писали:
Pzz>>Интересно, а нельзя ли вообще без CA обойтись? Примерно, как bitcoin обходится без банков. S>Популярных вариантов политик распространения ключей всего два — PKI и PGP. S>Вот второй обходится без CA.
Есть ещё ssh. Trust on first use или как-то так. Жутко меня раздражает, между прочим. Но, видимо, как-то работает.
Re[11]: HTTPS в контексте информационного суверенитета
m11>>И че без https сайт не показывается в поисковике?
УП>Да, уже лет 5-7 гугл занижает позиции таких сайтов.
Хех я в шоке. Сам не пользую ни хром ни гугл а тут выяснилось что допустим файлы .EXE в хроме не открываются если встроены как http на https странице причем нету никакого обьяснения почему. Какие они дегенераты всеже еще и ftp клиент выкинули конечно как "небезопасный".
Кто щас сделает нормальный веб браузер — без js а с нормальным языком, без этих идиотских "безопасностей" тот озолотится. А поделки корпорации на букву г. всеже обречены
Re: HTTPS в контексте информационного суверенитета
Здравствуйте, vsb, Вы писали:
vsb>Представьте, что в этот момент все УЦ, контролируемые западными странами, единовременно отзывают сертификаты с *.ru. Какие последствия этого будут?