vsb>>Каждая следующая запись включает хеш предыдущей. Удалить из середины или задним числом вставить нельзя.
N>Ну так значит блокчейна как такового нету, сам гугл может сколько угодно писать про свою супер безопасность

Там hash-tree (Merkle tree) как и в blockchain. Так достигается целостность и исключается подделка отдельной записи без подделки всего дерева.

vsb>>Первичный источник это сам регистратор, как я понимаю. Детально я не вникал, но в то, что там очевидных дыр нет — верю на слово.
N>Дыра в том, что гугл подчиняется западным спецслужбам. Даже в случае блокчейна т.к. все логи под контролем самого гугла (нет распределенного леджера как у биткоина к примеру) они могут сделать с информацией что захотят

Нет, этих CT (cert transparency) логов много, они публичные, их может вести кто угодно, как правило это УЦ (CA), выпускающие сертификаты.
Производитель браузера в свою очередь определяет набор CT логов, которым он доверяет (ну и также, что делать с сертификатами, отсутствующими в логах — ведь УЦ может и не присоединиться к этой инициативе).
См. https://certificate.transparency.dev/howctworks/

Вообще эта технология предназначена для оперативного выявления фактов выпуска левого сертификата.
Предполагается, что хозяин домена следит за CT логами (для этого есть т.н. monitors) и, как только в логах появляется левый сертификат для его домена, то обращается в правоохранительные органы.

Как было упомянуто в комментах выше от MITM эта технология напрямую не защищает, однако позволяет быстрее заблокировать недобросовестный УЦ.

P.S. в справке по yandex browser неплохо описано
https://browser.yandex.ru/help/security/policy-ct-log.html
Там же можно найти ссылку на CT логи МинЦифры
https://22.ctlog.digital.gov.ru/2022/ct/v1/get-entries?start=0&end=2
https://23.ctlog.digital.gov.ru/2023/ct/v1/get-entries?start=0&end=2

Также CT логи ведет сам yandex и VK.

Q>>Опасно ли это, не перестанут ли работать существующие?

V>Нет, не перестанут, если сам не отключишь. И нет, установка сертификатов не опасна. Грубо говоря, если браузер не видит для сайта сертификатов из операционки или из внутреннего хранилища, то зайти на него сможешь только по http, но не https. То есть опасно не устанавливать сертификат, а не наоборот.

Следуя вашей логике можно добавлять в trusted authorities любой "левый" сертификат

. Ведь от этого доступ к сайтам не перестанет работать

Относительно того, что будет plain http вместо https — вряд ли, кто-то будет предоставлять online banking через plain http (хотя вот RSDN работает через http

)

V>А пользователи слишком к этому привыкли.

Да пользователя обычно и не сильно спрашивали. Поставляли вместе с ОС или приложением.

V>Но теперь всё, добро пожаловать в новую реальность. Фактически я установил не просто российские сертификаты, а чебурнет.

Однако Вас никто не заставлял это делать. Могли бы настроить исключение только для отдельных сайтов

Здравствуйте, m2user, Вы писали:

M>Там hash-tree (Merkle tree) как и в blockchain. Так достигается целостность и исключается подделка отдельной записи без подделки всего дерева.
Это защищает сам гугл от хака, но никак не всех остальных когда сам гугл (по указу спецслужб) захочет кого то хакнуть т.к. ему ничего не стоит заменить любые записи и хэши в своих собственных данных

M>Нет, этих CT (cert transparency) логов много, они публичные, их может вести кто угодно, как правило это УЦ (CA), выпускающие сертификаты.
M>Производитель браузера в свою очередь определяет набор CT логов, которым он доверяет
Но гугл для своего хрома то ведь наверняка только свои логи и признает, так ведь? Нет ведь раскиданного по всей планете распределенного блокчейна, да и вообще там блокчейна нет, какой то собственный велосипед
Да и я более чем уверен что все способы хакнуть кого надо у них уже встроены и ими давно пользуются, есть законы на западе обязывающие делать бэкдоры или предоставлять ключи по запросу гос органов

Минцифра говно!!!

Здравствуйте, m2user, Вы писали:

M>Следуя вашей логике можно добавлять в trusted authorities любой "левый" сертификат

. Ведь от этого доступ к сайтам не перестанет работать

Давай конкретно, у нас есть не любой сертификат, а нужный для работы Сбербанка и других российских банков. На вопрос зачем он нужен, так для шифрования трафика, чтобы избежать атаки посредника.

Теперь следи за руками:
1) Если ты или кто-то другой не добавляет этот сертификат для браузера, то он лишается возможности шифрованного соединения.
2) А если добавляет, то он начинает сомневаться в сертификате выданного российской Минцифрой.

Вопрос, что тебе важнее, теоретическое прослушивание Минцифрой, о чём тут же раструбят на весь интернет если заметят, или безопасность доступа к деньгам посредством браузера?

А теперь зайди в уже заботливо установленные по умолчанию сертификаты в операционке или браузере, которым ты почему-то доверяешь. Их там просто дофига и принадлежат они непонятным конторкам.

Нет, реально зайди рука лицо.

В андроиде в настройках введи в поиске "сертификаты", тоже самое в настройках в файерфоксе и так далее. Кто все эти люди?

Начнём их пробивать

eMudhra Inc, eMudhra Technologies Limited

eMudhra является крупнейшим органом по сертификации в Индии с долей рынка 37,9%.

О, ну Индии мы доверяем.

Amazon

Конечно куда уж немытой России иметь свои сертификаты, причём потому, что им отказались выдавать иностранные конторки вроде емудхры и амазона. Зато частная конторка магазин под именем амазон право имеет.

China Financial Certification Authority

CFCA Относится к Центру финансового сертификации Китая, который также является национальным органом авторитетной сертификации безопасности, обслуживающих финансовые предприятия, такие как внутренний банкинг, страхование, ценные бумаги.

Китайцам я тоже "доверяю". Прям "доверяю" "доверяю". Китаец друг и товарищь однако.

GoDaddy.com, Inc

Это же наш любимый гоудядя, который не раз кидал россиян.

Google Trust Services LLC

Куда уж без гугла.

Guangdong Certificate Authority Co Ltd

Не, ну гуанг-донг это сразу +100500 к доверию.

Hongkong Post

Гонконгская почта?

Почта Гонконга, как признанный центр сертификации, предлагает различные типы цифровых сертификатов и сопутствующие услуги для обеспечения личной и организационной электронной безопасности, обеспечивая безопасные и надежные онлайн-транзакции в сфере банковских, финансовых, коммерческих, образовательных и государственных услуг.

Так это же не российская минцифра, "доверяю".

Полно трешака

Там полно всякого трешака, которому почему-то я должен доверять, но не российскому правительству и российским банкам. То есть лучше мы пусть будем заходить в российский банк по небезопасному соединению, чем доверять российскому сертификату.

Ключевая ошибка

Вообще блокировка российских денежных систем это ключевая ошибка иностранцев. Да они сейчас в кровавом угаре всё забанили, но сертификаты нужны прежде всего в банках, а не в том же rsdn где и так все сообщения открыты. Это не говоря о том, что какой-нибудь вконтакте и так могут читать посторонние не стесняясь.

Кому не нужна защита от атаки посредника для захода в банковские системы через браузер могут и дальше ничего себе не устанавливать, а доверять гонконгской почте, емудхре и прочей ерунде.

Новая реальность

А вообще я участвовал во многих срачах по сертификатам и прочим анальным системам, когда пользователями управляют с помощью программного обеспечения. Но тогда была теоретическая возможность, что в один прекрасный день вас забанят. Да, именно вас забанят в российской банковской системе, а не просто банк. В некотором смысле забанят ваш сайт просто не выдав сертификат. А могут и доменное имя отобрать в конкретной зоне, просто потому что.

И сейчас всё это стало новой реальностью. Хорошо быть позитивным, а мы в домике, а мы ушли в ещё не забаненный мировым правительством в лице США российский банк. Ля ля ля, как здорово быть умным. Ну так умничество заканчивается, маски срываются. Не хочешь, не ставь сертификат, бойся, что тебя взломает российское правительство, которое может получить доступ к критическим системам вроде российского банка и без сертификата.

Радикальные меры

Когда яблоко забанило 2GIS я хотел предложить самозабаниться вконтакте. Но не успел об этом написать, как яблоко пошло на опережение и забанило вконтакте. К сожалению сейчас говорят, что яблоко сдало назад и разбанило вконтакте. К сожалению продажи смартфонов Apple пока упали лишь в 3.5 раза исходя из данных регистрации в сети, то есть более достоверных, чем мониторинг покупок.

А людям в России в конце концов придётся осознать, что раз сертификатов минцифры нет по умолчанию в зарубежном браузере, то им придётся установить их самостоятельно. Хотя по идее они могли бы там быть. Кстати, вспомнилось как в Firefox удалили поисковик яндекс, а я ведь поставил обратно после этого вредительского обновления.

Не хотят продавать программы в России, так восторжествует свободное ПО и торренты. А ведь мы уже двигались в глобализованному миру. Никто даже не задумывался, что в доверенных сертификатах в браузере по умолчанию установлены трешовые сертификаты. Спокойно покупали софт в пожизненную аренду и по подписке.

V>Вопрос, что тебе важнее, теоретическое прослушивание Минцифрой, о чём тут же раструбят на весь интернет если заметят, или безопасность доступа к деньгам посредством браузера?

Во-первых, ни один банк вам online banking (да и просто доступ на свой сайт вряд ли) через незащищенный plain http не предоставит (это я ещё в своем предыдущем ответе сказал).
Во-вторых для установления безопасного соединения вовсе не обязательно добавлять сертификат УЦ МинЦифры в trusted authorities, достаточно добавить сертификат конкретного сайта (подписанный сертификатом УЦ МинЦифры) в исключения.

В комментах выше (вот тут http://rsdn.org/forum/life/8383083.1) я писал, что добавил сертификат в исключения для конкретного сайта (lk.vodokanal.spb.ru).
Также сделаю для сбербанка и прочих, где будет использован УЦ МинЦифры (пока список таких сайтов не выглядит большим, а дальше посмотрим).

V>А теперь зайди в уже заботливо установленные по умолчанию сертификаты в операционке или браузере, которым ты почему-то доверяешь. Их там просто дофига и принадлежат они непонятным конторкам.
V>Нет, реально зайди рука лицо.

V>В андроиде в настройках введи в поиске "сертификаты", тоже самое в настройках в файерфоксе и так далее. Кто все эти люди?

Это УЦ (удостоверяющие центры), список которых составлен производителем браузера или ОС.
Если вы устанавливаете браузер, то так или иначе вынуждены доверять его разработчикам.
А вот если добавили сертификат сами, то берете определенные риски на себя.

Из вашего ответа топикстартер может сделать ошибочные выводы, что
1) установка любого (не обязательно МинЦифры) сертификата только повысит безопасность (снизит шансы на использование plаin http и т.п.)
2) установка сертификата МинЦифры никак не может повлиять на работу с зарубежными сайтами

V> Не хочешь, не ставь сертификат, бойся, что тебя взломает российское правительство, которое может получить доступ к критическим системам вроде российского банка и без сертификата.

Так за российские банки и прочие гос.услуги я и не опасаюсь, добавлю исключение, как написал выше. А вот добавлять в trusted authorities пока точно не буду.
Ведь в случае недобросовестности УЦ это позволит осуществить MITM атаку при соединении с произвольным сайтом.

Также в комментариях выше (http://rsdn.org/forum/life/8382861.1) уже предлагали вполне рабочее решение с отдельным профилем или отдельным браузером чисто для работы с сайтами использующими УЦ МинЦифры.

Самоподписанные сертификаты

Здравствуйте, m2user, Вы писали:

M>В комментах выше (вот тут http://rsdn.org/forum/life/8383083.1) я писал, что добавил сертификат в исключения для конкретного сайта (lk.vodokanal.spb.ru).
M>Также сделаю для сбербанка и прочих, где будет использован УЦ МинЦифры (пока список таких сайтов не выглядит большим, а дальше посмотрим).

Это старая темы про самоподписанные сертификаты. Я, кстати, это и говорил, зачем вам буржуйские ненадёжные конторки, которые внедрили свои корневые сертификаты в операционки и браузеры, а теперь доят людей по чём зря. И как со мной спорили, что это ненадёжно.

Ненадёжность

Поскольку самозаверенный сертификат не заверяется удостоверяющим центром, в соответствии с п. 3.3 RFC 2459, такой сертификат невозможно отозвать.

Теоретически, это позволяет осуществить атаку посредника, при которой злоумышленник может перехватить сертификат узла-инициатора шифрованного соединения и вместо него отправить узлу назначения свой поддельный, с помощью которого передаваемые данные можно будет дешифровать.

Дискредитация центров сертификации

Вообще говоря с моей точки зрения здесь стоит говорить о дискредитации центров сертификации как идеи. Зачем давать кому-то возможность банить сайты, да ещё и сдирать с тех самых сайтов деньги.

Я скажу даже более, если сайт не подписан, да можно сделать исключение. Но правильнее было бы вообще не давать всяким левым корневым сертификатам по умолчанию прописываться в операционке или браузере.

Иными словами пользователь должен для каждого сайта по https получать предупреждение, такой то центр сертификации или самоподписанный сертификат предлагают вам подключиться, принимаете? А не так как сейчас, Минцифры якобы зло, а куча каких-то левых сертификатов иностранных конторок добро.

Проблема ведь не только в самом программном обеспечении у которого куча настроек включая скрытые, типа about:config. Проблема в том, что людям в браузере по умолчанию включили корневые сертификаты и не спросили у пользователей доверяют ли они им.

Проведём опыты

Проведём опыт #1.
1) Зашёл в сертификаты Android на смартфоне Samsung и поотключал все 130+ имеющихся корневых сертификатов.
2) Далее пытаюсь зайти на https://rsdn.org с помощью браузера Samsung.
3) Не заходит, говорит включи сертификаты Symantic, то есть DigiCert Inc.
4) Включил, зашло.
5) Выключил, не зашло.
6) Добавил исключение, сказало, что не безопасно, зашло.

Далее опыт #2.
1) Меняю браузер на Firefox.
2) Сразу заходит, очевидно сертификаты записаны в самом браузере.

Следующий опыт #3
1) Меняю браузер на Chrome.
2) Тоже самое, что и в браузере Samsung, или включай сертификаты, или заходи с исключением, но это якобы не безопасно.

Какие можно сделать выводы?

Ну вот смотри, то как у тебя добавлены самоподписанные сертификаты это по мнению многих "икспертов" небезопасно. Почему, да потому что центр сертификации не может отозвать сертификат. Плюс вначале канал не защищён со всеми вытекающими.

С другой стороны никто теперь не может заставить доверять тебя тому, кому ты не доверяешь. Я вот не знаю теперь возвращать ли эти 130+ сертификатов или так оставить. Там ведь предусмотрительно сделано выключение, а не удаление, а вот Минцифры именно удаляются.

Всё что не делается к "лучшему"

Начнём хотя бы с того, что я уже очень и очень давно сижу в интернете через антизапрет vpn. Вот она возможная атака посредника, а не только оборудование ФСБ у интернет провайдеров.

Само правительство со своим роскомпозором вынудило меня рисковать. Но можем ли мы тогда доверять вообще хоть кому-нибудь, кроме себя. Ричард Столлман говорит, что нет, не можем.

Другое дело я могу перенастроить всё, что захочу, если буду знать, что нужно получить, а огромное количество людей даже не подозревают о таких вещах. Добавить сертификаты Минцифры в исключения конкретных сайтов и забить на 130+ глобально включённых корневых сертификатов тоже не выглядит правильным решением.

Здравствуйте, vsb, Вы писали:

vsb>Публичный журнал использует технологии блокчейна и менять его не получится.

Кто может в этот блокчейн писать? Я — могу? Или только западные спецслужбы?

Здравствуйте, velkin, Вы писали:

V>А пользователи слишком к этому привыкли. Но теперь всё, добро пожаловать в новую реальность. Фактически я установил не просто российские сертификаты, а чебурнет.

А чебурнет точно опаснее добронета?

V>Это старая темы про самоподписанные сертификаты. Я, кстати, это и говорил, зачем вам буржуйские ненадёжные конторки, которые внедрили свои корневые сертификаты в операционки и браузеры, а теперь доят людей по чём зря. И как со мной спорили, что это ненадёжно.

Это не самоподписанные сертификаты — сертификаты сервера vodokanal.spb.ru подписан сертификатом "Russian Trusted Sub CA", а тот в свою очередь сертификатом "Russian Trusted Root CA".
Web-браузер эту цепочку проверить не может, т.к. указанные сертификаты в trusted authorities я не добавлял.
Если проверку не сделать, то да, уровень безопасности будет как у self-signed.
Однако проверку можно (и даже нужно) провести вручную, например так:

wget -P ./trusted/ https://gu-st.ru/content/Other/doc/russian_trusted_sub_ca.cer 
wget -P ./trusted/ https://gu-st.ru/content/Other/doc/russian_trusted_root_ca.cer
openssl rehash ./trusted/
openssl verify -CApath ./trusted/ ./vodokanal.spb.ru.cer

где vodokanal.spb.ru.cer это экспорт сертификата из web-браузера в PEM формате.

V>Ну вот смотри, то как у тебя добавлены самоподписанные сертификаты это по мнению многих "икспертов" небезопасно. Почему, да потому что центр сертификации не может отозвать сертификат. Плюс вначале канал не защищён со всеми вытекающими.

ну в принципе да, self-signed применим только в случае, если верификацию сертификата можно произвести другим независимым способом.
Например, если удаленный сервер принадлежит Вам, и вы сами настроили этот сертификат, или в корпоративной сети (хотя там как правило поднят свой УЦ). В этом случае посредник в виде УЦ не нужен.

	От:	GarryIV
	Дата:	14.10.22 22:30
	Оценка:

	От:	Nnova
	Дата:	14.10.22 23:20
	Оценка:

	От:	vsb
	Дата:	14.10.22 23:25
	Оценка:

	От:	Nnova
	Дата:	14.10.22 23:38
	Оценка:

	От:	m2user
	Дата:	15.10.22 03:08
	Оценка:	3 (1)

От:	velkin	https://kisa.biz
Дата:	15.10.22 10:46
Оценка:

	От:	ути-пути
	Дата:	15.10.22 18:15
	Оценка: