Здравствуйте, Pzz, Вы писали:

R>>Открытый ключ можно в записи DNS хранить, как в DKIM делается.

Pzz>Кстати, неплохая идея.

Чем же? Просто твой регистратор домена будет играть роль УЦ, и при желании (например, по просьбе государства) будет выдавать вовсе не те NS, которые ты задал, где уже будут нужные записи.

Здравствуйте, Sharowarsheg, Вы писали:

Pzz>>У меня всегда есть какая-то заметная доля НИОКР. Как мне найти нужную информацию без поиска?

S>Поиском, но не гугла, а собственным поиском соответствующего сайта, в зависимости от того, на какую тему у тебя НИОКР.
S>Более-менее все крупные сайты, включая микрософт, википедию, stack overflow, почти любые специализированные форумы, имеют свой поиск. Раньше, во времена, когда гугля ещё не было, а в альтависте ответом на любой вопрос была виагра, были всякие директории и прочее. Даже оффлайновая документация была, кстати.

Для меня большой интерес представляют отчеты о разных там исследованиях, которые выкладываются на сайтах университетов.

Здравствуйте, rudzuk, Вы писали:

vsb>> R>Открытый ключ можно в записи DNS хранить, как в DKIM делается.

vsb>> Это переносит проблему в DNS, но никак не убирает её. Злоумышленник может точно так же перехватывать и подменять DNS-трафик.

R>Не сможет, если использовать что-то типа DNSSEC.

И мы приходим к тому, что вместо УЦ нужно верить тем, кто подписывает ключи в DNSSEC и что они ничего лишнего не подпишут.

Здравствуйте, ути-пути, Вы писали:

Pzz>>Но если у тебя сайт, защищенный самоподписанным сертификатом, как в PGP, как мне узнать без CA и личного знакомства, что это именно твой сертификат?

УП>А почему это тебя так волнует? Ты же доверяешь абсолютно мутному УЦ, почему бы не доверять всем подряд?

Потому, что CA вряд ли кинет меня на 1000 рублей, а мутный сайт может.

Здравствуйте, ути-пути, Вы писали:

Pzz>>Кстати, неплохая идея.

УП>Чем же? Просто твой регистратор домена будет играть роль УЦ, и при желании (например, по просьбе государства) будет выдавать вовсе не те NS, которые ты задал, где уже будут нужные записи.

Тоже верно. На самом деле, в эту игру может даже IP-провайдер сыграть, перехватывая DNS-запросы.

Здравствуйте, ути-пути, Вы писали:

Pzz>>Но если у тебя сайт, защищенный самоподписанным сертификатом, как в PGP, как мне узнать без CA и личного знакомства, что это именно твой сертификат?

УП>А почему это тебя так волнует? Ты же доверяешь абсолютно мутному УЦ, почему бы не доверять всем подряд?

Я доверяю браузеру. А браузер уже доверяет УЦ. При этом для включения в список доверенных, УЦ должен пройти определённые процедуры, к примеру аудит. Это явно не все подряд.

Здравствуйте, Pzz, Вы писали:

Pzz>Для меня большой интерес представляют отчеты о разных там исследованиях, которые выкладываются на сайтах университетов.

Как по старинке, читаешь все заголовки подряд, да и всё. Заодно много другого интересного можно узнать. Всего 20 лет назад другого способа особо и не было, а результаты были лучше и трава зеленее.

Здравствуйте, ути-пути, Вы писали:

у> vsb>> Это переносит проблему в DNS, но никак не убирает её. Злоумышленник может точно так же перехватывать и подменять DNS-трафик.

у> R>Не сможет, если использовать что-то типа DNSSEC.

у> Тогда вопрос переносится на доверие к регистратору домена

Можно завести свой ns и хостить под кроватью

Здравствуйте, rudzuk, Вы писали:

R>Можно завести свой ns и хостить под кроватью

Да, но регистратор публикует адрес твоего NS, и может выдавать совсем не твой подкроватный, а специальный, с модифицированными записями.

Здравствуйте, ути-пути, Вы писали:

Pzz>>Ну вот я и говорю, нужна какая-то другая модель безопасности. Тиранозащищенная by design.

УП>А другой модели нет и не будет, пока компания добра монопольно принуждает к этому стандарту. 10-15 лет назад https хотя бы был необязательным, а сейчас твой сайт без него никто не увидит. Попробуй тут внедри что-то другое.

Как не увидит? Я что-то пропустил?

Здравствуйте, m11, Вы писали:

m11>Как не увидит? Я что-то пропустил?

Да, пропустил, в анабиозе, наверное. Уже лет 25-30 основной трафик на сайты идет из поисковиков.

Здравствуйте, ути-пути, Вы писали:

m11>>Как не увидит? Я что-то пропустил?

УП>Да, пропустил, в анабиозе, наверное. Уже лет 25-30 основной трафик на сайты идет из поисковиков.

И че без https сайт не показывается в поисковике?

Здравствуйте, m11, Вы писали:

m11>И че без https сайт не показывается в поисковике?

Да, уже лет 5-7 гугл занижает позиции таких сайтов.

Здравствуйте, vsb, Вы писали:

vsb>На мой взгляд будет полный хаос в российском интернет-пространстве и в целом в российских информационных системах. Частично можно нивелировать быстрым баном адресов CRL-серверов и адресов гугла, чтобы хром не обновлялся, но всё равно очень многое поломается.

Никаких хоромов не должно быть в гос учреждениях.

Здравствуйте, Pzz, Вы писали:

Pzz> Интересно, а нельзя ли вообще без CA обойтись? Примерно, как bitcoin обходится без банков.

У bitcoin есть такая же (по смыслу, не по реализации) проблема с сетью доверия, как у сертификатов с СА. Т.е. или ты слепо чему-то доверяешь (majority в случае bitcoin, процедурам и аудиту СА в случае с сертификатами, сети доверия в случае PGP/GPG), или ты будешь вынужден проверять каждый peer вручную (что теоретически возможно, но на практике удел "упоротых красноглазиков").

Здравствуйте, Pzz, Вы писали:
Pzz>Интересно, а нельзя ли вообще без CA обойтись? Примерно, как bitcoin обходится без банков.
Популярных вариантов политик распространения ключей всего два — PKI и PGP.
Вот второй обходится без CA.

Здравствуйте, Sinclair, Вы писали:

Pzz>>Интересно, а нельзя ли вообще без CA обойтись? Примерно, как bitcoin обходится без банков.
S>Популярных вариантов политик распространения ключей всего два — PKI и PGP.
S>Вот второй обходится без CA.

Есть ещё ssh. Trust on first use или как-то так. Жутко меня раздражает, между прочим. Но, видимо, как-то работает.

m11>>И че без https сайт не показывается в поисковике?

УП>Да, уже лет 5-7 гугл занижает позиции таких сайтов.

Хех я в шоке. Сам не пользую ни хром ни гугл а тут выяснилось что допустим файлы .EXE в хроме не открываются если встроены как http на https странице причем нету никакого обьяснения почему. Какие они дегенераты всеже еще и ftp клиент выкинули конечно как "небезопасный".

Кто щас сделает нормальный веб браузер — без js а с нормальным языком, без этих идиотских "безопасностей" тот озолотится. А поделки корпорации на букву г. всеже обречены

Здравствуйте, vsb, Вы писали:

vsb>Представьте, что в этот момент все УЦ, контролируемые западными странами, единовременно отзывают сертификаты с *.ru. Какие последствия этого будут?

А ты crl не ставь и все