от прослушки он скорее всего не спасает потому что все гос-ва ныли бы как он им мешает
а они не ноют, никто, значит у них всех есть корневые сертификаты для мен-ин-зе-миддл подмены
на ум приходит тока сниферинг вайфай трафика мамкиными хацкерами — нам этом всё чтоле?
Я изъездил эту страну вдоль и поперек, общался с умнейшими людьми и я могу вам ручаться в том, что обработка данных является лишь причудой, мода на которую продержится не более года. (с) Эксперт, авторитет и профессионал из 1957 г.
Здравствуйте, Barbar1an, Вы писали:
B>на ум приходит тока сниферинг вайфай трафика мамкиными хацкерами — нам этом всё чтоле?
Ну хотя бы это! Всё ж лучше, чем если бы каждый школотрон троллил тебя.
SSL нужен, но не в виде "государство нам дало подачку", а собственный секурный протокол с длинными ключами. Я даже готов подождать 5 секунд, пока установится защищённое соединение (по которому уже весь остальной сайт докачается).
Здравствуйте, Barbar1an, Вы писали:
B>от прослушки он скорее всего не спасает потому что все гос-ва ныли бы как он им мешает B>а они не ноют, никто, значит у них всех есть корневые сертификаты для мен-ин-зе-миддл подмены
B>на ум приходит тока сниферинг вайфай трафика мамкиными хацкерами — нам этом всё чтоле?
Если сисадмин выдает ключ от VPN на флешке, то дальше уже пофиг на подмену корневых сертификатов.
Здравствуйте, Barbar1an, Вы писали:
B>на ум приходит тока сниферинг вайфай трафика мамкиными хацкерами — нам этом всё чтоле?
Нечистоплотные провайдеры, вставляющие рекламу.
Сниффинг трафика и извлечение из него паролей и данных карт, в том числе у магистральных провайдеров
Сбор персональной информации кем попало.
B>>от прослушки он скорее всего не спасает потому что все гос-ва ныли бы как он им мешает vsb>Спасает.
Неа. Если бы следили за ситуацией, вы бы давно знали бы, что с момента начала СВО, специальное оборудование у всех провайдеров в РФ начало блокировать вырезать определенные алгоритмы из запросов TLS, тем самым понизив уровень шифрования. Сейчас используются алгоритмы, которые подвержены взлому х) Это проверить может любой, кто может поставить хотя бы apache и настроив ciphers где-нибудь на амазоне, а потом сделав запросы из RU-нета х)))
vsb>Нет.
О да х) Западные спецслужбы да имеют ключи корневых сертификатов и могут делать инъекции. Российские таких ключей не имеют, по этому пока вынуждены понижать уровень шифрования до того, что имеют х)
Здравствуйте, Voxik, Вы писали:
V>Неа. Если бы следили за ситуацией, вы бы давно знали бы, что с момента начала СВО, специальное оборудование у всех провайдеров в РФ начало блокировать вырезать определенные алгоритмы из запросов TLS, тем самым понизив уровень шифрования. Сейчас используются алгоритмы, которые подвержены взлому
Ты бы хоть продемонстрировал свои заявления.
Вот как например не из РФ выглядит гугель:
с мака
$ curl -v https://google.com
* Trying 142.250.191.46:443...
* Connected to google.com (142.250.191.46) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
* CAfile: /etc/ssl/cert.pem
* CApath: none
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-ECDSA-CHACHA20-POLY1305
* ALPN, server accepted to use h2
* Server certificate:
* subject: CN=*.google.com
* start date: Jun 6 08:29:46 2022 GMT
* expire date: Aug 29 08:29:45 2022 GMT
* subjectAltName: host "google.com" matched cert's "google.com"
* issuer: C=US; O=Google Trust Services LLC; CN=GTS CA 1C3
* SSL certificate verify ok.
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x7fdc53811000)
> GET / HTTP/2
> Host: google.com
> user-agent: curl/7.77.0
> accept: */*
>
< HTTP/2 301
< location: https://www.google.com/
< content-type: text/html; charset=UTF-8
< date: Tue, 12 Jul 2022 21:48:28 GMT
< expires: Thu, 11 Aug 2022 21:48:28 GMT
< cache-control: public, max-age=2592000
< server: gws
< content-length: 220
< x-xss-protection: 0
< x-frame-options: SAMEORIGIN
< alt-svc: h3=":443"; ma=2592000,h3-29=":443"; ma=2592000,h3-Q050=":443"; ma=2592000,h3-Q046=":443"; ma=2592000,h3-Q043=":443"; ma=2592000,quic=":443"; ma=2592000; v="46,43"
<
<HTML><HEAD><meta http-equiv="content-type" content="text/html;charset=utf-8">
<TITLE>301 Moved</TITLE></HEAD><BODY>
<H1>301 Moved</H1>
The document has moved
<A HREF="https://www.google.com/">here</A>.
</BODY></HTML>
* Connection #0 to host google.com left intact
с винды
>curl -v "https://google.com"
* Trying 142.250.191.46:443...
* Connected to google.com (142.250.191.46) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN, server accepted to use h2
* Server certificate:
* subject: CN=*.google.com
* start date: Jun 6 08:29:46 2022 GMT
* expire date: Aug 29 08:29:45 2022 GMT
* issuer: C=US; O=Google Trust Services LLC; CN=GTS CA 1C3
* SSL certificate verify ok
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x22c4427a4b0)
> GET / HTTP/2
> Host: google.com
> user-agent: curl/7.70.0
> accept: */*
>
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* old SSL session ID is stale, removing
* Connection state changed (MAX_CONCURRENT_STREAMS == 100)!
< HTTP/2 301
< location: https://www.google.com/
< content-type: text/html; charset=UTF-8
< date: Tue, 12 Jul 2022 21:55:08 GMT
< expires: Thu, 11 Aug 2022 21:55:08 GMT
< cache-control: public, max-age=2592000
< server: gws
< content-length: 220
< x-xss-protection: 0
< x-frame-options: SAMEORIGIN
< alt-svc: h3=":443"; ma=2592000,h3-29=":443"; ma=2592000,h3-Q050=":443"; ma=2592000,h3-Q046=":443"; ma=2592000,h3-Q043=":443"; ma=2592000,quic=":443"; ma=2592000; v="46,43"
<
<HTML><HEAD><meta http-equiv="content-type" content="text/html;charset=utf-8">
<TITLE>301 Moved</TITLE></HEAD><BODY>
<H1>301 Moved</H1>
The document has moved
<A HREF="https://www.google.com/">here</A>.
</BODY></HTML>
* Connection #0 to host google.com left intact
V> Это проверить может любой, кто может поставить хотя бы apache и настроив ciphers где-нибудь на амазоне, а потом сделав запросы из RU-нета х)))
Ну так покажи что у тебя курл про гугель говорит.
Здравствуйте, Voxik, Вы писали:
B>>>от прослушки он скорее всего не спасает потому что все гос-ва ныли бы как он им мешает vsb>>Спасает.
V>Неа. Если бы следили за ситуацией, вы бы давно знали бы, что с момента начала СВО, специальное оборудование у всех провайдеров в РФ начало блокировать вырезать определенные алгоритмы из запросов TLS, тем самым понизив уровень шифрования. Сейчас используются алгоритмы, которые подвержены взлому х) Это проверить может любой, кто может поставить хотя бы apache и настроив ciphers где-нибудь на амазоне, а потом сделав запросы из RU-нета х)))
Фантазии. Браузеры не используют алгоритмы, которые подвержены взлому.
vsb>>Нет.
V>О да х)
Очередные фантазии.
> Западные спецслужбы да имеют ключи корневых сертификатов
Ключи корневых сертификатов лежат в криптомашинах и их никто иметь не может.
> и могут делать инъекции.
Единственное гипотетически верное высказывание. Теоретически они могут прийти и попросить выписать для них сертификат.
Практически такое действие будет быстро разоблачено — любой, кого ломают таким образом, без каких-либо спецсредств может вытащить поддельный сертификат пару раз щёлкнув по замочку. После этого провайдер банкротится и теряет много десятков миллионов долларов инвестиций.
И это всё было справедливо лет 5 назад. С тех пор изобрели certificate transparency log, и описанное действо стало практически невероятным. И хром и сафари проверяют, что сертификат был опубликован в CT. То бишь тебе ещё надо убедить гугла сделать специальный апдейт для жертвы, который отключит конкретно для него эту проверку. Ну если ты Саддам Хусейн, я бы не стал зарекаться. Но есть же яндекс-браузер специально для таких случаев, когда за тобой охотятся все спецслужбы США.
Здравствуйте, vsb, Вы писали:
vsb>Единственное гипотетически верное высказывание. Теоретически они могут прийти и попросить выписать для них сертификат.
а зачем выписывать новый? почему они не могут попросить дать им копии всех уже выписанных?
Я изъездил эту страну вдоль и поперек, общался с умнейшими людьми и я могу вам ручаться в том, что обработка данных является лишь причудой, мода на которую продержится не более года. (с) Эксперт, авторитет и профессионал из 1957 г.
Здравствуйте, Barbar1an, Вы писали:
vsb>>Единственное гипотетически верное высказывание. Теоретически они могут прийти и попросить выписать для них сертификат.
B>а зачем выписывать новый? почему они не могут попросить дать им копии всех уже выписанных?
Ключ хранится на твоём сервере и его пределов не покидает. У УЦ есть только публичный ключ, который и так всем известен.
