The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Google вводит в Chrome обязательное логирование для SSL-серт..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от opennews (??), 28-Фев-18, 09:46 
Браузер Chrome будет требовать (https://groups.google.com/a/chromium.org/forum/#!topic/ct-po...) для всех публичных сертификатов, созданных после 30 апреля 2018 года, включения журналирования как минимум в два журнала Certificate Transparency (https://www.certificate-transparency.org/). Это означает, что с этой даты все сертификаты, которые не будут логироваться в Certificate Transparency будут автоматически отвергнуты браузером, с отображением соответствующей ошибки.


В настоящее время все удостоверяющие центры, зарегистрированные в CCADB (http://ccadb.org/) (Common CA Database), получили уведомление о предстоящих изменениях и готовятся к применению Certificate Transparency. Для предприятий, на которых используются собственные внутренние сертификаты, предоставлена опция, позволяющая отключить обязательную проверку в Certificate Transparency через задание централизованных правил (https://support.google.com/chrome/a/answer/187202), привязанных к учётным записям пользователей.

Certificate Transparency базируется на идее ведения независимого публичного лога всех выданных сертификатов, не позволяющего удостоверяющему центру сгенерировать сертификат без отражения в этом логе. Владельцам сертификатов и пользователям публичный лог даёт возможность  проводить независимый аудит всех изменений и действий удостоверяющих центров, что позволит сразу отслеживать любые попытки скрытого создания поддельных записей.  


Для  защиты от искажения данных задним числом при хранении в логе Certificate Transparency применяется древовидная структура  "Дерево Меркла (https://ru.wikipedia.org/wiki/TTH)" (Merkle Tree), в которой каждая ветка верифицирует все нижележащие ветки и узлы, благодаря совместному (древовидному) хешированию. Имея конечный хэш пользователь может удостовериться в корректности всей истории операций, а также в корректности прошлых состояний БД (корневой проверочный хэш нового состояния базы вычисляется с учётом прошлого состояния).

URL: https://groups.google.com/a/chromium.org/forum/#!topic/ct-po...
Новость: https://www.opennet.ru/opennews/art.shtml?num=48159

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Google вводит в Chrome обязательное логирование для SSL-серт..."  –2 +/
Сообщение от Аноним (-), 28-Фев-18, 09:46 
И все самодельные серты от домашнего уц тоже надо будет туда отправлять?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +29 +/
Сообщение от Аноним (-), 28-Фев-18, 09:59 
Нет, надо удалить Chrome.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +3 +/
Сообщение от Майнер (?), 28-Фев-18, 10:02 
И установить Firefox на предприятия с Active Directory и стюардессами!
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +1 +/
Сообщение от Майнер (?), 28-Фев-18, 10:06 
https://wiki.mozilla.org/Deployment:Deploying_Firefox
https://www.mozilla.org/en-US/firefox/organizations/
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

18. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от Anonymoustus (ok), 28-Фев-18, 11:07 
Да-да, и с навечно отключённым жабоскриптом.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

90. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от Пдшз (?), 01-Мрт-18, 22:42 
Вы сами-то по ссылке ходили? Сходите.
Никаких работающих тулзов для централизованой настройки мозилл нет. Те, что были — были так себе, но это не важно, потому что они много лет не актуальны.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

56. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от rvs2016 (ok), 28-Фев-18, 16:02 
> Нет, надо удалить Chrome.

Не поможет. Это даст лишь временную передышку, ибо шизофрения в этой теме - заразна: остальные браузеры тоже будут создавать преграды для доступа к сайтам.

Вообще, вижу, наступает эра заката эпохи World Wide Web...!

В конце 90-х появилось и начало разрастаться новое информационное пространство - WWW - а совсем по простому - Интернет, хотя Интернет - это не WWW, но для непрограммистов и для разных маркетолухов это - одно и то же. Тогда был энтузиазм и понеслась разработка сайтов, т.к. это была новое пространство, информацию из которого мог черпать кто угодно.

Теперь же начинают создавать такие браузеры, которые будут блокировать доступ к сайтам и постепенно вся эта повсеместно протянутая паутина уйдёт в небытие так же, как в него в своё время отправились разные там FIDO, USENET'ы, Gopher'ы и всякие прочие подобные системы, которые когда-то были популярными, а потом перестали быть интересными большинству. Хотя может быть их время опять придёт как раз в связи с тем, что WWW будет отмирать из-за шизофренических браузеров. :-)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

66. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +1 +/
Сообщение от гы (?), 28-Фев-18, 17:51 
Ничего не изменится. Сложности для разработчиков сайтов только прибавилось чуток...
Большинство и не юзало ваши фидонеты никогда. А меньшинство продолжает юзать что-то подобное на тор.
Когда большинство освоило пк на уровне "выйти в интернет" им уже надо было конкрентно открыть соц сеть и вот тот видеосервис и еще пару простых готовых для юзера сайтов.
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

2. "Google вводит в Chrome обязательное логирование для SSL-серт..."  –11 +/
Сообщение от Аноним (-), 28-Фев-18, 09:47 
Привет letsencrypt? Во всех смыслах.

Гугл - чудаки.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +8 +/
Сообщение от Аноним (-), 28-Фев-18, 11:15 
Let's Encrypt изначально логи Certificate Transparency поддерживает.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

33. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +3 +/
Сообщение от Аноним (-), 28-Фев-18, 12:49 
> Привет letsencrypt? Во всех смыслах.
> Гугл - чудаки.

Гугл один из главных спонсоров вышеупомянутого letsencrypt-а


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

53. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +4 +/
Сообщение от Аноним (-), 28-Фев-18, 15:12 
> Привет letsencrypt? Во всех смыслах.
> Гугл - чудаки.

иксперты опеннета тут как тут

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

57. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от rvs2016 (ok), 28-Фев-18, 16:03 
> Гугл - чудаки.

Не то слово! Но более важная проблема в том, что они такие не одни. За ними последуют и остальные! И тогда наступит полный каюк! Беспрепятственного доступа к информации в WWW больше не будет!

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

60. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +7 +/
Сообщение от Anonim 2.0email (?), 28-Фев-18, 16:35 
И грядет конец света! Истинно говоря я Вам !!!
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

67. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от гы (?), 28-Фев-18, 17:53 
>> Гугл - чудаки.
> Не то слово! Но более важная проблема в том, что они такие
> не одни. За ними последуют и остальные! И тогда наступит полный
> каюк! Беспрепятственного доступа к информации в WWW больше не будет!

Если кто-то сможет самолично удалять сертификаты из списка, то это будет контроль за распространением инфы, а если не сможет (хотя бы восприпятствовать занесению твоего сертификата в список), то ничего не изменится.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

3. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +1 +/
Сообщение от Аноним (-), 28-Фев-18, 09:52 
А доступ к CT? По Https? :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Google вводит в Chrome обязательное логирование для SSL-серт..."  –1 +/
Сообщение от Аноним (-), 28-Фев-18, 09:55 
IP клиента/анонима при заходе на HTTPS/1.0-1.1 и HTTP/2.0 сайты тоже будет записывать?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +1 +/
Сообщение от Аноним (-), 28-Фев-18, 12:38 
>IP клиента

Записывает любой вебсервер.
>анонима

Анонимность в интернете это миф.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

47. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +1 +/
Сообщение от Аноним (-), 28-Фев-18, 14:10 
> Анонимность в интернете это миф.

Ну давай, деанонимизируй меня.


Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

77. "Google вводит в Chrome обязательное логирование для SSL-серт..."  –1 +/
Сообщение от Аноним (-), 28-Фев-18, 22:49 
Ща Мишаня придёт и деонанирует нас всех.
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

5. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +1 +/
Сообщение от Аноним (-), 28-Фев-18, 09:58 
надо же, полный абзац вместо бузворда "блокчейн"
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от Аноним (-), 28-Фев-18, 10:06 
Я считаю, что hashmap - это блокчейн. Сатоси Накамото - гений.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

14. "Google вводит в Chrome обязательное логирование для SSL-серт..."  –1 +/
Сообщение от тоже Анонимemail (ok), 28-Фев-18, 11:01 
Вы можете считать, что угодно, но в абзаце, насколько я вижу, описан именно блокчейн.
Только не линейный, а древовидный.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

17. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от Аноним (-), 28-Фев-18, 11:05 
В mercurial тоже описан блокчейн, не линейный, а древовидный. Или нет?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

42. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от DFgertert (?), 28-Фев-18, 13:20 
Сэр, почитайте про блокчейн, в нем ничего суперинновационного нет, технологии старые. Так что писать везде про блокчейн слегка глупо.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

89. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от _ (??), 01-Мрт-18, 19:36 
>Сэр, почитайте про блокчейн, в нем ничего суперинновационного нет, технологии старые.

Школоте ещё не объясняли что всё новое делается из старого и хорошо знакомого? :)

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

91. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +1 +/
Сообщение от Anonymoustus (ok), 01-Мрт-18, 22:57 
> Школоте ещё не объясняли что всё новое делается из старого и хорошо
> знакомого? :)

Зачем открывать школоте страшные тайны бытия? Этак школота перестанет покупать каждый год новый смартфон и компьютер и машину раз в три года, голосовать за уточек и ходить в церковь.

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

45. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +1 +/
Сообщение от Crazy Alex (ok), 28-Фев-18, 13:29 
Блокчейн без блоков?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

49. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от тоже Анонимemail (ok), 28-Фев-18, 14:31 
Если частью каждой записи является хэш предыдущей записи, то эта запись - блок блокчейна.
Я не прав?
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

58. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от Аноним (-), 28-Фев-18, 16:17 
Нет, просто запись содержит часть предыдущей записи.
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

62. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от тоже Анонимemail (ok), 28-Фев-18, 16:52 
О учитель! Я, позднорожденный, безрассуден и глуп.
Укажи же мне это критичное отличие, которого мои старые и слабые глаза не могут увидеть.
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

63. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от Crazy Alex (ok), 28-Фев-18, 17:00 
Разве что в очень вырожденном виде. По-хорошему блокчейн подразумевает именно группировку записей в блоки с фиксированным максимальным размером и генерацию этих блоков с более-менее постоянной скоростью независимо от наличия в них содержимого. Я не готов внятно объяснять, что это даёт, но если невнятно - то так обеспечивается хоть как-то предсказуемый таймстампинг и куча разных дополнительных валидаций начиная с банальной защиты от спама.
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

64. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от тоже Анонимemail (ok), 28-Фев-18, 17:17 
Я так понимаю, что записи в обсуждаемом дереве как раз должны вписываться в фиксированный размер. Там же конкретные поля ограниченной длины. Записи в логе по заранее известному поводу...
А вот зачем блокчейну генерить пустые блоки, если в него и так поток будет идти постоянно - имхо, спорный вопрос.
Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

79. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от Crazy Alex (ok), 01-Мрт-18, 00:05 
Фиксированный размер - имеется в виду фиксированный максимальный размер блока. Пустые блоки надо плодить, когда потока нет, разумеется. Если есть - то их, конечно, не будет.
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

6. "Google вводит в Chrome обязательное логирование для SSL-серт..."  –4 +/
Сообщение от Майнер (?), 28-Фев-18, 09:59 
> древовидная структура "Дерево Меркла" (Merkle Tree)

так и пишите подобно смарт-контрактам

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +2 +/
Сообщение от Ан (??), 28-Фев-18, 10:06 
тогда уже блокчейну. Смарт контракт это о другом.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

28. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +1 +/
Сообщение от Аноним (-), 28-Фев-18, 12:39 
Торент файлы использовали эту структуру задолго до.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

55. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +2 +/
Сообщение от Аноним (-), 28-Фев-18, 15:38 
>> древовидная структура "Дерево Меркла" (Merkle Tree)
> так и пишите подобно смарт-контрактам

иксперты опеннета, золотая коллекция

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

12. "Google вводит в Chrome обязательное логирование для SSL-серт..."  –4 +/
Сообщение от Аноним (-), 28-Фев-18, 10:12 
я хоть и ярый фанатик гугла, но даже я чутка возмущен
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +11 +/
Сообщение от Аноним (-), 28-Фев-18, 12:41 
> я хоть и ярый фанатик гугла, но даже я чутка возмущен

Чем? Тем что китайские удостоверяющие центы не смогут продавать на черном рынке валидные сертификаты ко всему интернету?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

70. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от нах (?), 28-Фев-18, 19:11 
и некитайские на белом тоже не смогут - потому что мало поклониться в ноженьки владельцам списков trusted ca (напоминаю, одно из условий там, к примеру - пройти аудит п-сами, неспособными собственный сайт настроить), так теперь еще и надо дополнительно кланяться владельцам списков сертификатов. А гугл хочет - принимает твои сертификаты в свой список, а хочет - шлет тебя нах.

Ну, разумеется же, для того чтоб каждый юзер мог убедиться...стоп-стоп-стоп...какой юзер, чего юзер и как именно он будет убеждаться? Убеждаться будет гугл, и второй (афиллированный с ними же) владелец чудо-списка.

there should be only ONE.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

74. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от Аноним (-), 28-Фев-18, 20:41 
> there should be only ONE.

СAN be only one
Если ты конечно не фанат гугла и не выражаешь сугубо свое личное мнение.
Hold fast!

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

84. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от КО (?), 01-Мрт-18, 10:19 
В том то и дело, что фраза
>как минимум в два

сразу приводит идею к изначальной ситуации.

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

13. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +2 +/
Сообщение от ойой (?), 28-Фев-18, 10:42 
Я правильно понял, что новость касается только удостоверяющих центров, которые выпускают сертификаты, и они сами будут информировать CT о выпусках?
Т.е. конечного владельца сертификата это мало должно волновать?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +2 +/
Сообщение от тоже Анонимemail (ok), 28-Фев-18, 11:04 
Да, пока все идет, как задумано.
Задумано, что теперь для подделки сертификата нужно будет не один ключ (для подписывания), а два (еще и для публикации в логе).
Но, поскольку и то, и другое все СА автоматизируют в единое автоматическое действие (не руками же им ковыряться), то, как и раньше, достаточно будет одной взломанной учетки.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

34. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +1 +/
Сообщение от Аноним (-), 28-Фев-18, 12:49 
Публичный лог нужен не для блокировки выпуска сертификата (от имени другуго CA, не имея  его приватного ключа, который обычно находится на hsm, это все равно сделать невозможно). Он сделан, чтобы кто угодно мог (включая владельца домена) взять и проверить, на какой домен когда, в каком количестве и кем были выпущены сертификаты.

Теперь как раз можно не гадать, выпускает ли какой-то CA втихаря дубли сертов для твоего сайта, а удосоверисться, что такого не происходит или поймать злодея за руку.

что раньше мог делать только гугл, теперь доступно всем.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

38. "Google вводит в Chrome обязательное логирование для SSL-серт..."  –1 +/
Сообщение от Аноним (-), 28-Фев-18, 13:07 
> Теперь как раз можно не гадать, выпускает ли какой-то CA втихаря дубли
> сертов для твоего сайта, а удосоверисться, что такого не происходит

Что не как не помешает тому СА что выдал ваш сертификат, распространять его побайтовые копии копии среди третьих лиц.
Само наличие СА, ака третьей стороны, которой все должны доверять по умолчанию, является профанацией  понятия безопасность.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

50. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +2 +/
Сообщение от Аноним (-), 28-Фев-18, 15:03 
Побайтовые копии даже сейчас никто не может распространять. Приватный ключ сертификата генериуется вами локально, а в ЦС на подпись передаётся только публичная часть.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

68. "Google вводит в Chrome обязательное логирование для SSL-серт..."  –1 +/
Сообщение от Тузя (ok), 28-Фев-18, 18:14 
А какое отношение инфраструктура PKI имеет к понятию безопасность?

Когда незнакомый человек тебе представился, что его зовут Вася Пупкин, он родился 12 февраля 1982 года и он прописан по адресу ул. Ленина, дом 10, кв. 15, то если ты ему не веришь, то требуешь паспорт. Если не веришь в подлинность паспорта проверяешь его паспорт на знаки защиты. Если думаешь, что это старый, якобы, утерянный, а потом перевыданный паспорт с измененными данными в ЗАГСе, направляешь запрос на проверку в МВД.
При этом вне зависимости от подлинности паспорта, сам Вася или кто-то третий всё равно может тебя избить и ограбить.
Я к тому, что речь об удостоверении и доверии, а не о безопасности.

С сертификатами примерно также. Юр. лицо приобрело домен. Юр. лицо покупает сертификат, доказывающий и показывающий клиенту право пользования доменным именем (DV) или доменом в привязке к юр лицу (OV), или доменом в привязке к юр. лицу, удостоверяя, что юр. лицо существует и ведёт реальную деятельность в соответствии с регистрационными документами (EV). Каждый сертификат - это страховой полис, согласно которому удостоверяющий центр выплачивает сумму денег в случае компрометации. Как и любой страховой полис он выдаётся на ограниченный срок и трактуется бизнесом юр. лица как обычная страховка (принимается к НУ и разносится с разбивкой подневно на РБП).

Причём тут вообще безопасность-то?! Вы еще скажите, что вас там ОСАГО или КАСКО защищает от аварии.

> Что не как не помешает тому СА что выдал ваш сертификат, распространять его побайтовые копии копии среди третьих лиц.

Их ожидают выплаты по страховкам.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

76. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от Аноним (-), 28-Фев-18, 21:36 
> не отличает туалетную бумагу "страховай полис" от криптографических гарантий
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

80. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от Crazy Alex (ok), 01-Мрт-18, 00:14 
В большинстве случаев (в интернете) вообще наплевать, какое там лицо или совсем даже морда. А важно:
1) чтобы ты в следующий раз общался с тем же лицом
2) чтобы, придя по ссылке, о которой где-то в доверенном источнике узнал, ты попал именно туда, а не к левому дяде
3) чтобы ваш обмен данными не подменил левый хрен.

Причём всё это не на уровне "шпионских игр", а вполне себе обычных задач - пообщаться со знакомыми, купить что-то в интернет-магазине и оплатить покупку, оставить резюме у потенциального работодателя и так далее.

Вот PKI/TLS всё это отлично обеспечивает.

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

73. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +3 +/
Сообщение от нах (?), 28-Фев-18, 19:23 
> Что не как не помешает тому СА что выдал ваш сертификат, распространять
> его побайтовые копии копии среди третьих лиц.

вы бы это... хоть википедию бы почитали, что-ли.

Побайтовая копия и так выдается каждому юзеру, посетившему твой сайт. Но вместе с ней выдается кое-что еще, и CA в этом никак не участвует.

> Само наличие СА, ака третьей стороны, которой все должны доверять по умолчанию,
> является профанацией  понятия безопасность.

профанацией являются попытки делать выводы, не разбираясь в предмете.
CA не отвечает за безопасность твоего соединения. CA только подтверждает тот факт, что сертификат, предъявленный той стороной, подлинный, и выдан более-менее тому человеку, которому на момент выдачи принадлежал сайт. А не тов.майор посередке сам себе его выдал специально ради тебя.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

71. "Google вводит в Chrome обязательное логирование для SSL-серт..."  –2 +/
Сообщение от нах (?), 28-Фев-18, 19:13 
> Т.е. конечного владельца сертификата это мало должно волновать?

да, он просто получит письмо щастья примерно такого содержания:
бла-бла-бла, despite our best efforts твой сертификат продлению не подлежит, а через пол-года и вовсе автоматически превратится в тыкву, вместе с CA его выдавшим, экипаж желает тебе приятного полета.

И идет подключать троянский скрипт для letsencrypt. Совершенно случайно именно в этот момент научившийся wildcard.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

19. "Google вводит в Chrome обязательное логирование для SSL-серт..."  –4 +/
Сообщение от Анонимemail (19), 28-Фев-18, 11:14 
Вроде только к сертификатам привыкли. Буквально пару лет назад у юзверей-сайтошлепов были вопросы. Так снова все переделывают костыльно, так ещё и централизованно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +1 +/
Сообщение от Аноним (-), 28-Фев-18, 13:00 
Все быстро, решительно сочуствуем туповатым юзверям-сайтошлепам.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

37. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +2 +/
Сообщение от Аноним (-), 28-Фев-18, 13:05 
Расслабься, больно не будет. Даже ничего не почувствуешь.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +5 +/
Сообщение от поледанныхотсутств (?), 28-Фев-18, 11:18 
Даёшь все сертификаты в публичный децентрализованный блокчейн!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от Аноним (-), 28-Фев-18, 12:44 
> Даёшь все сертификаты в публичный децентрализованный блокчейн!

Намного лучшее решение, чем "Давайте дадим левым Васям полное право удостоверять ваш сайт и барыжыть воздухом, т.е. кучкой байт по конским ценам. Почему конткретно вот тем Васям а не вот этим? Вам знать не нужно."

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

51. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +5 +/
Сообщение от Michael Shigorinemail (ok), 28-Фев-18, 15:05 
> "Почему конткретно вот тем Васям а не вот этим? Вам знать не нужно."

Вместо xkcd: https://bugzilla.mozilla.org/show_bug.cgi?id=647959 :]

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

59. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от Kuromi (ok), 28-Фев-18, 16:35 
"Отличная шутка" (с) Петросян
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

69. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +1 +/
Сообщение от Stop (?), 28-Фев-18, 19:00 
Первый раз вижу Мишу без минусов.
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

23. "Google вводит в Chrome обязательное логирование для SSL-серт..."  –1 +/
Сообщение от Аноним (-), 28-Фев-18, 12:16 
Когда уже эту сертификацию сделают простой до немогу
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +1 +/
Сообщение от Аноним (-), 28-Фев-18, 12:45 
> Когда уже эту сертификацию сделают простой до немогу


dnf install letsencrypt
letsencrypt --text --email vasia@pupkin.com \
--domains www.example.com,example.com,foo.example.com \
--agree-tos --renew-by-default --manual certonly

Куда уж проще.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

39. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от Аноним (-), 28-Фев-18, 13:07 
> dnf install letsencrypt

Неужто в федорке до сих пор letsencrypt, а не certbot?

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

41. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от Аноним (-), 28-Фев-18, 13:14 
>> dnf install letsencrypt
> Неужто в федорке до сих пор letsencrypt, а не certbot?


dnf provides letsencrypt

certbot-0.21.1-1.fc27.noarch


Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

25. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от Аноним (-), 28-Фев-18, 12:37 
кстати блокчейн это похоже как раз для этого отлично подойдет, а вот для денег он совсем не катит, но его туда впихивают вовсю
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от X4asd (ok), 28-Фев-18, 12:50 
а потом когда логирующих серверов тоже образуется челая куча -- они придумают ещё один серер с цифровой подписью который будет проверять что логирующие серверы тоже не накосячили?

то есть -- не проще ли тогда было бы -- наоборот -- удалить все CA-центры кроме например одного.

вместо придумывания очередной контролирующей сущности?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +2 +/
Сообщение от Аноним (-), 28-Фев-18, 13:10 
> то есть -- не проще ли тогда было бы -- наоборот --
> удалить все CA-центры кроме например одного.

Удалить все CA-центры ДО одного.
Поправил.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

43. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +2 +/
Сообщение от Аноним (-), 28-Фев-18, 13:21 
ЦА не нужны! Нужно как в ssh, если что-то поменялось при подключении сразу сообщать пользователю(и рвать подключение, хотя это надо сделать опциональным)!..Короче Certificate Патруль встроить по дефолку во все браузеры! Но ты попробуй это до миллионов домохозяик донести?
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

93. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от Гентушник (ok), 02-Мрт-18, 00:31 
Как узнать что подключение к сайту валидное при первом заходе на сайт?
А после смены сертификата владельцем?
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

72. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от нах (?), 28-Фев-18, 19:15 
> то есть -- не проще ли тогда было бы -- наоборот --
> удалить все CA-центры кроме например одного.

принадлежащего гуглю. Именно над этим и работаем.

> вместо придумывания очередной контролирующей сущности?

это временная подпорка.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

44. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от Аноним (-), 28-Фев-18, 13:22 
Очередной велосипед по захвату власти над сертификатами.

Как по мне возможность самому подключать несколько источников получения сертификатов(некое подобие репозитория публичных сертификатов) лучше чем один контролирующий узел.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

86. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от Аноним (-), 01-Мрт-18, 11:51 
> Очередной велосипед по захвату власти над сертификатами.
> Как по мне возможность самому подключать несколько источников получения сертификатов(некое
> подобие репозитория публичных сертификатов) лучше чем один контролирующий узел.

Этак Вам каждое утро придется заходить в гости к товарищам обслуживающих все Вами подключенные источники, и с пристрастием спрашивать не приснилось ли этим товарищам, что нибудь нехорошее этой ночью.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

87. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от Аноним (-), 01-Мрт-18, 17:21 
Ну так по крайней мере источник не один.
Сейчас остается надеяться, что разработчикам браузера чего не приснилось
при выпуске новой версии браузера.
Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

46. "Google вводит в Chrome обязательное логирование для SSL-серт..."  –2 +/
Сообщение от никто (??), 28-Фев-18, 13:42 
слудующий шаг отказ от СА :-)

Когда каждый сможет туда запихнуть свой самоподписанный церт и тем самым поддтвердить что верить ему можно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

48. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от хрю (?), 28-Фев-18, 14:28 
Усё пытаются и пытаются плохую концепция са подпорками подпереть.
ню-ню - бох в помощь.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

65. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от Crazy Alex (ok), 28-Фев-18, 17:20 
Частенько в итоге получаются вполне рабочие штуки. TCP/IP тот же вспомнить - там костылей - Эйфелеву башню построить хватит.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

83. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от Майнер (?), 01-Мрт-18, 07:10 
Просто роутеры не умеют в SCTP...
Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

75. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +1 +/
Сообщение от Аноним (-), 28-Фев-18, 21:33 
>Это означает, что с этой даты все сертификаты, которые не будут логироваться в Certificate Transparency, будут автоматически отвергнуты браузером, с отображением соответствующей ошибки.

И это правильно.

Надеюсь можно будет внести "УЦ" в исключения.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

82. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +1 +/
Сообщение от Аноним (-), 01-Мрт-18, 01:41 
Мы конечно рады за компнию Гугль, что они в своём собственнном ЦА выписали себе 8123 сертификатов в домене *.google.com (по информации из того самого CT, по состоянию на сейчас), включая всякие там принтсерверы в разных городах мира, но обычно компании не занимаются эксгебиционизмом и все это выписывается во внутреннем ЦА организации, не светя во внешний мир, и какого хрена теперь надо будет скакать с бубном и отрывать еще и эту проверку, чтобы в браузере попасть в корпоративный портал или на интерфейс IPMI или КВМ, совершенно не понятно.

И уж точно всю эту простыню имен, которые из интернета не доступны, светить всем подряд во внешних списках вовсе не обязательно (даже если сходить купить суб ЦА за 100500 денег, чтобы внешний СТ принял в свои списки наши имена, да там кроме денег еще и требований выше крыши, оно нам надо?).

И как они себе представляют вообще все вот это для внутрикорпоративных систем.. доступа к интернету нет и не предвидится, за ненадобностью. Ни у сервера ни у клиента. все ? не сметь ? гугль запретил ? ну ладно, в винде через политику вроде отрезается.. а с планшета ? А нельзя ли наоборот, кому это вдруг надо, пускай себе включат. Сделайте крыжик в настройках. А остальных не трогате. А то как 2 президента, часовые пояса туда, часовые пояса сюда, админы всей страны при деле... толку все одно - 0.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

85. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от Аноним (-), 01-Мрт-18, 11:45 
Слово print  в хостнейме в случае гугла, скорее, говорит о том, что это часть сервиса google cloud print, а не принт-сервер.
Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

92. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от Аноним (-), 01-Мрт-18, 23:58 
А хто их знаеть...

printserver.msk.corp.google.com для примера.

Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

97. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от Anonim (??), 18-Мрт-19, 23:26 
Кстати, по прошествии года.. сертификаты выданные корпоративным ЦА естественно не попадают ни в какой СТ, но при этом никакой гугло хром на них не жалуется..
Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

95. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от 1 (??), 05-Мрт-18, 16:47 
Хотите сказать, что одного президента вам вполне хватает? Второй не нужен?
Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

96. "Google вводит в Chrome обязательное логирование для SSL-серт..."  +/
Сообщение от Аноним (-), 03-Май-18, 13:52 

созданные после 30 апреля 2018 года, включались как минимум в два общедоступных журнала Certificate Transparency. Это означает, что с этой даты все сертификаты, которые не будут логироваться в Certificate Transparency, будут автоматически отвергнуты браузером, с отображением соответствующей ошибки.


и ? третье мая 2018. Свежий гуглохром (линукс). Сходил выписал себе на своем ЦА сертификат. чтото браузер не него не ругается.. Ни в какие CT сертификат естественно попасть не сможет никак, CA то свой, они не примут наш сертификат. (правил централизованных естественно тоже никто не настраивал)

Valid from: Thu, 03 May 2018 10:12:42 GMT
Valid until: Sat, 02 May 2020 10:12:42 GMT

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру