forum.opennet.ru - "Уязвимость в удостоверяющем центре SSL.com, позволявшая получить сертификат для чужого домена" (45)

"Уязвимость в удостоверяющем центре SSL.com, позволявшая получить сертификат для чужого домена"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в удостоверяющем центре SSL.com, позволявшая получить сертификат для чужого домена"	+/–
Сообщение от opennews (??), 22-Апр-25, 09:43
В удостоверяющем центре SSL.com... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=63116
Ответить \| Правка \| Cообщить модератору

Оглавление

Выпилил из списка доверенных, спасибо , Аноним (1), 09:43 , 22-Апр-25, (1) +5

Вот даже интересно - выкинут их из централизованно обновляющихся списков CA или , User (??), 09:47 , 22-Апр-25, (3) +5

Нет, конечно Как будто в первый раз Был уже Trustwave, который не стесняясь вы, C (?), 10:25 , 22-Апр-25, (10) +11

Ну, start com с diginotar ажно обанкротились, anssi французский выпилили до устр, User (??), 10:45 , 22-Апр-25, (12) +2

В списке Был в списке, пока я его вручную не удалил В юрисдикциях, где есть зако, Аноним (1), 11:16 , 22-Апр-25, (14) –3

Ну вот можешь MCS holdings поискать, ага Оу Верующий в то, что где-то государс, User (??), 12:02 , 22-Апр-25, (19) +5

Конечно же, везде имеет Но где-то через коррупцию как она есть А где-то в доба, Аноним (1), 12:48 , 22-Апр-25, (25) –2

В наше время не надо ни коррупции ни институционализации - достаточно просто, User (??), 13:32 , 22-Апр-25, (34) +4

Китай - это действительно другое В количественном плане, разумеется, не в качес, Аноним (1), 16:49 , 22-Апр-25, (42) –1

Вот, видите как просто И не надо коррупцию с законами приплетать , User (??), 18:20 , 22-Апр-25, (49) +1

Ага, ага Называется лоббизм А ещё есть такая форма институционализованной ко, YetAnotherOnanym (ok), 15:34 , 22-Апр-25, (37) +2

Это всё так, но даже без официального государственного контроля есть огромный ст, С (?), 12:25 , 22-Апр-25, (22)

Я уже сказал справедливость роли не имеет Коммерческие бизнесы - это участник , Аноним (1), 13:00 , 22-Апр-25, (26) –2

Скрыто модератором, Аноним (36), 14:53 , 22-Апр-25, (36)

Скрыто модератором, Аноним (1), 16:51 , 22-Апр-25, (43)

Жёсткие некоррупционные правила существуют так же, как и справедливость , YetAnotherOnanym (ok), 15:49 , 22-Апр-25, (40)

https www linux org ru forum admin 15104732 cid 15113619https www linux org , Аноним (47), 17:13 , 22-Апр-25, (47)

Вялотекущий набег политботов на опеннет продолжается , YetAnotherOnanym (ok), 15:38 , 22-Апр-25, (38) +1

Тем временем смузихлёбы выпилили из KDE ненужный апплет настройки https bugs , Аноним (1), 10:09 , 22-Апр-25, (7)

Что-то сплошная деградация пошла в кедах, кого они там набрали в команду , Аноним (15), 11:21 , 22-Апр-25, (15)

Наверное яваскриптёров , Анон1110м (?), 11:49 , 22-Апр-25, (18)

Ну так QML-обработчики событий как раз на нём и пишутся , Аноним (1), 13:12 , 22-Апр-25, (29) –1

И больше ни на чём обработчик QML написать нельзя , YetAnotherOnanym (ok), 15:41 , 22-Апр-25, (39)

In what apps The reason we removed this was because the settings were generally, Аноним (33), 13:18 , 22-Апр-25, (33)

Сами кедовские приложения использовали как минимум Им ведь надо как-то виджеты , Аноним (1), 16:58 , 22-Апр-25, (45)

Насколько же нужно быть душнилой в шапочке из фольги, чтобы заниматься выпиливан, Шарп (ok), 13:03 , 22-Апр-25, (28)

Горжусь тем , Аноним (1), 13:13 , 22-Апр-25, (30) +2
Ты уже добавил себе национальный сертификат , Аноним (32), 13:17 , 22-Апр-25, (32)

Да, Шарп (ok), 21:45 , 22-Апр-25, (50)

Эх, не успел получить сертификат для гугла и яндекса , Аноним (2), 09:46 , 22-Апр-25, (2) +1

Ваши ТСПУ не осилят расшифровку TLS на потоке , Аноним (1), 09:53 , 22-Апр-25, (5) –1

Чудеса перевода , Аноним (1), 09:48 , 22-Апр-25, (4)

Смотрите не статью на theregister com, а первоисточник https bugzilla mozilla, Аноним (6), 10:03 , 22-Апр-25, (6) +1
Ответ от представителя SSL com говорит, что те 10 сертификатов выданы корректно , Аноним (11), 10:36 , 22-Апр-25, (11)

Так они и признаются После историй с комодо, про которые все оперативно забыли , Аноним (15), 10:56 , 22-Апр-25, (13)

Что то, что другое - DV сертификаты Не хуже он только для тех кто слепо доверяе, нах. (?), 12:26 , 22-Апр-25, (23) +1

Это не важно Если вам нужна безопасность - то малейшее нарушение фирмой требуем, Аноним (1), 11:30 , 22-Апр-25, (16)

Важно, что эффект нужный можно достигнуть так Весь смысл PKI-экосистемы да и п, Аноним (1), 11:30 , 22-Апр-25, (17) –1
Нет строгого механизма по реализации отбраковки Конкретный юзер может быть скол, Аноним (36), 12:29 , 22-Апр-25, (24)

Всё так Им нужна коррупция, когда wannabe-CA им заносят и становятся настоящими, Аноним (1), 13:02 , 22-Апр-25, (27)

Было бы здорово ещё узнать имя исследователя, и о том, как в SSL com его отблаго, freehck (ok), 10:24 , 22-Апр-25, (9) +3
Надеюсь, что не вызовом в суд , Аноним (1), 13:15 , 22-Апр-25, (31)
алё, ну где там сертификейт трансперенс , Аноним (41), 15:52 , 22-Апр-25, (41) +1

Sorry, your search results have been truncated It is not currently possible to s, CitadelCore (?), 22:54 , 22-Апр-25, (51)

https crt sh q aliyun com exclude expired group none, Аноним (41), 00:02 , 23-Апр-25, (52)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 22-Апр-25, 09:43 +5 +/–

Выпилил из списка доверенных, спасибо.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #7, #28

2. Сообщение от Аноним (2), 22-Апр-25, 09:46 +1 +/–

Эх, не успел получить сертификат для гугла и яндекса :(

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5

3. Сообщение от User (??), 22-Апр-25, 09:47 +5 +/–

Вот даже интересно - выкинут их из централизованно обновляющихся списков CA или нет? Прям отличная проверка системы получится :).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #10

4. Сообщение от Аноним (1), 22-Апр-25, 09:48 +/–

>And since learning of that flaw, SSL.com has revoked 11 wrongly issued certificates – one of them for Alibaba.
>Предположительно, в выявленных случаях отсутствуют признаки вредоносной активности и из 11 пока отозван только один сертификат, полученный исследователем для сайта aliyun.com.
Чудеса перевода.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #11

5. Сообщение от Аноним (1), 22-Апр-25, 09:53 –1 +/–

Ваши "ТСПУ" не осилят расшифровку TLS на потоке.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

6. Сообщение от Аноним (6), 22-Апр-25, 10:03 +1 +/–

Смотрите не статью на theregister.com, а первоисточник: https://bugzilla.mozilla.org/show_bug.cgi?id=1961406#c6
там только в одном сертификате из списка стоит статус "Revoked", у остальных "Not Revoked" и примечание "list of all affected certificates (the original reported certificate and the 10 additional identified certificates)".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

7. Сообщение от Аноним (1), 22-Апр-25, 10:09 +/–

Тем временем смузихлёбы выпилили из KDE ненужный апплет настройки: https://bugs.kde.org/show_bug.cgi?id=482585
> Nate Graham 2024-03-07 17:23:07 UTC
> Indeed, and at the moment this is intentional. We may end up making a new one at some point in the future, but no guarantees.
Не на Kirigami написано, поэтому - ффтопку! https://github.com/KDE/kdelibs/blob/KDE/4.14/kio/kssl/ksslin... И вообще, негоже всякому быдлу грязными руками в кого надо список сертификатов лезть! А смузихлёбов всё устраивает, им вообще это не нужно, поэтому на своём навязываемом project policy kirigami этот апплет переписывать они не будут. Поэтому - "no guarantees".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #15, #33

9. Сообщение от freehck (ok), 22-Апр-25, 10:24 +3 +/–

Было бы здорово ещё узнать имя исследователя, и о том, как в SSL.com его отблагодарили за то, что он помог им в устранении такой дырени.

Ответить | Правка | Наверх | Cообщить модератору

10. Сообщение от C (?), 22-Апр-25, 10:25 +11 +/–

Нет, конечно. Как будто в первый раз.
Был уже Trustwave, который не стесняясь выдавал сертификат для mitm за копейку, и ничего. Извинились, сказали, что больше не будут, все им поверили на слово.
Это же проверенные центры сертификации, а не простой васян, им можно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #12

11. Сообщение от Аноним (11), 22-Апр-25, 10:36 +/–

Ответ от представителя SSL.com говорит, что те 10 сертификатов выданы корректно и не являются мошенничеством
https://bugzilla.mozilla.org/show_bug.cgi?id=1961406#c7
"Historical evidence shows that, with the exception of one certificate (https://crt.sh/?id=16452546552), SSL.com did issue previous certificates using compliant DCV evidence during the initial issuance of the certificates which point to non-fraudulent mis-issuances."

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #13, #16

12. Сообщение от User (??), 22-Апр-25, 10:45 +2 +/–

> Нет, конечно. Как будто в первый раз.
> Был уже Trustwave, который не стесняясь выдавал сертификат для mitm за копейку,
> и ничего. Извинились, сказали, что больше не будут, все им поверили
> на слово.
> Это же проверенные центры сертификации, а не простой васян, им можно.
Ну, start.com с diginotar ажно обанкротились, anssi французский выпилили до устранения нарушений, потом вернули, китайцев вот еще каких-то окологосударственных выкинули из жужла с мурзилой помнится...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #14

13. Сообщение от Аноним (15), 22-Апр-25, 10:56 +/–

Так они и признаются. После историй с комодо, про которые все оперативно забыли (а часть и вовсе осталась незамеченными), воспринимать этот бизнес всерьёз невозможно. Тупо гребут бабло с "доверчивых", letsencrypt ничем не хуже.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #23

14. Сообщение от Аноним (1), 22-Апр-25, 11:16 –3 +/–

>China Financial Certification Authority
В списке.
>CNIC
Был в списке, пока я его вручную не удалил.

В юрисдикциях, где есть законы вроде https://en.wikipedia.org/wiki/National_Intelligence_Law_of_t... и/или где государство имеет прямой контроль за операционной деятельностью "частного" бизнеса через парткомитеты ил инфе вормы коррупции, вообще все организации должны автоматически считаться недостойными доверия. Не просто по какому-то формальному критерию, а потому что государство на то и государство, что оно может энфорсить свою волю порабощённому скоту на оккупированной им территории.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #19, #22, #38

15. Сообщение от Аноним (15), 22-Апр-25, 11:21 +/–

Что-то сплошная деградация пошла в кедах, кого они там набрали в команду?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #18

16. Сообщение от Аноним (1), 22-Апр-25, 11:30 +/–

Это не важно. Если вам нужна безопасность - то малейшее нарушение фирмой требуемых свойств, неважно, по её ли вине, или не по её - это просто сигнал на отбраковку. Справедливости не существует в принципе, поэтому абсолютно не важно, что это несправедливо. Будем честны, те кто бизнесы организуют - они там не за справедливостью, а за баблом, поэтому такая grim trigger-политика также и этически обоснована.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #17, #24

17. Сообщение от Аноним (1), 22-Апр-25, 11:30 –1 +/–

Важно, что эффект нужный можно достигнуть так. Весь смысл PKI-экосистемы (да и предпринимательства в целом) в том, что это как игра в казино. Ты ставишь бабло - а дальше как шарик приземлится. Прогресс достигается эволюцией, а эволюция - это отбраковка неприспособленных. Запомните: полезные вещи фундаментально редки. Потому что не-редкие сигналы негэнтропии не несут. А негэнтропия - это неравновесность, а неравновесность - это фундамент всех происходящих во Вселенной процессов. Закон Старжона ("90% всего - говно") это просто другая форма констатаци этого свойства реальности. Как это относится к сертификатам? А просто.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

18. Сообщение от Анон1110м (?), 22-Апр-25, 11:49 +/–

Наверное яваскриптёров.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #29

19. Сообщение от User (??), 22-Апр-25, 12:02 +5 +/–

>>China Financial Certification Authority
> В списке.
>>CNIC
> Был в списке, пока я его вручную не удалил.
Ну вот можешь MCS holdings поискать, ага.

> В юрисдикциях, где есть законы вроде https://en.wikipedia.org/wiki/National_Intelligence_Law_of_t...
> и/или где государство имеет прямой контроль за операционной деятельностью "частного" бизнеса
> через парткомитеты ил инфе вормы коррупции, вообще все организации должны автоматически
> считаться недостойными доверия. Не просто по какому-то формальному критерию, а потому
> что государство на то и государство, что оно может энфорсить свою
> волю порабощённому скоту на оккупированной им территории.
Оу. Верующий в то, что где-то государство не имеет контроля за операционной деятельностью бизнеса? Доброе пожаловать в реальный мир, Нео - последние 15 лет были тяжелыми для этих убеждений...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #25

22. Сообщение от С (?), 22-Апр-25, 12:25 +/–

>В юрисдикциях, где есть законы вроде https://en.wikipedia.org/wiki/National_Intelligence_Law_of_t... и/или где государство имеет прямой контроль за операционной деятельностью "частного" бизнеса через парткомитеты ил инфе вормы коррупции, вообще все организации должны автоматически считаться недостойными доверия.
Это всё так, но даже без официального государственного контроля есть огромный стимул выдавальщику сертификатов поработать "налево" за хорошие деньги и хорошие условия (в том числе и от государства).
Есть структуры, которые too big to fail, тот же letsencrypt или globalsign. Никто не мешает им направо и налево выписывать левые сертификаты, и если это вскроется - максимум их пожурят, а они в ответ пообещают никогда так больше не делать. Потому-что удалить весь LE из браузера нельзя, весь интернет отвалится. Верить же в честность CA (и не только) в наше время могут только идеалисты.
Идея root CA родилась тогда, когда компьютерный мир был теснее, однороднее и проще.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #26, #47

23. Сообщение от нах. (?), 22-Апр-25, 12:26 +1 +/–

Что то, что другое - DV сертификаты. Не хуже он только для тех кто слепо доверяет васянскому автоскачивающемуся с другого ваянского стора самообновляющемуся скрипту или его подобиям.
А кто с таким связываться не хочет и бережет свои ключи от лишних корявых скриптов - может за три копейки получить годовой dv при минимальных трудозатратах.
Но над этим работают, чтоб тоже не смогли.
А еще, внезапно, бывают ev сертификаты. Безобразие, конечно, что до сих пор бывают. К счастью, над этим тоже умные ребята поработали, и лопоухому юзверю совершенно никак не видно - тут очередной вон "email для подтверждения" был использован, или все же - предъявлены документы, что домен реально принадлежит тем кому написано и человек, пришедший за сертификатом - имеет на это права.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

24. Сообщение от Аноним (36), 22-Апр-25, 12:29 +/–

Нет строгого механизма по реализации отбраковки. Конкретный юзер может быть сколь угодно строгим, и удалять по первому чиху, но остальные редко чешутся и волнуются. Большинство не понимает да и не должно понимать это всё.
Строгий юзер в меньшинстве. Авторы браузеров сами являются бизнесами, и им trigger-политика не нужна.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #27

25. Сообщение от Аноним (1), 22-Апр-25, 12:48 –2 +/–

>Оу. Верующий в то, что где-то государство не имеет контроля за операционной деятельностью бизнеса? Доброе пожаловать в реальный мир, Нео - последние 15 лет были тяжелыми для этих убеждений...
Конечно же, везде имеет. Но где-то через коррупцию как она есть. А где-то в добавок через коррупцию институционализованную. Любая институционализация ставит крест на возможности "а может быть они хорошие, а мы их почём зря грязью поливаем!"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #34, #37

26. Сообщение от Аноним (1), 22-Апр-25, 13:00 –2 +/–

Я уже сказал: справедливость роли не имеет. Коммерческие бизнесы - это участник азартной игры. Азартная игра - фундаментально несправедлива, как и реальность. Всегда будут победители и проигравшие. Если ты вступил в игру, максимум на что ты можешь рассчитывать - это на то, что кости будут сбалансированы, карты - не краплёные, а рулетка - не модифицирована. Это не гарантировано, это ты сам должен это обеспечивать, а не на милость крупье рассчитывать. Поэтому нужны жёсткие некоррупционные правила как вписывания в список, так и выписывания из него:
1. единственный случай компрометации - выписывание из списка
2. нахождения под юрисдикцией с институционализированной коррупцией и обязательным предательством, а равно с любыми другими законами, делающими невозможным соблюдение правил - выписывание из списка
3. принадлежность олигархам или государству - вон из списка
4. несоблюдение хоть одного из технических требований последней версии - вон из списка.
А основание для вписывание: публично проверяемое соответствие всем требованиям, которые в принципе можно проверить публично. И проверяемое приватно соответствие остальным требованиям с публичной демонстрацией но с последующим закрытием, если это требуют бизнес-интересы. Аудиторы проверяют не сами соответствия требованиям, а что после закрытия прозрачности в скрытой от всеобщего обозрения части всё делается в принципе абсолютно точно так же как и когда она была открыта, только на реальных данных, людях и организациях.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #36, #40

27. Сообщение от Аноним (1), 22-Апр-25, 13:02 +/–

Всё так. Им нужна коррупция, когда wannabe-CA им заносят и становятся настоящими CA.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

28. Сообщение от Шарп (ok), 22-Апр-25, 13:03 +/–

>Выпилил из списка доверенных
Насколько же нужно быть душнилой в шапочке из фольги, чтобы заниматься выпиливанием сертификатов.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #30, #32

29. Сообщение от Аноним (1), 22-Апр-25, 13:12 –1 +/–

Ну так QML-обработчики событий как раз на нём и пишутся...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #39

30. Сообщение от Аноним (1), 22-Апр-25, 13:13 +2 +/–

Горжусь тем.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

31. Сообщение от Аноним (1), 22-Апр-25, 13:15 +/–

>Участник 'freehck' запретил публикацию ответов для ника 'Аноним'.
Надеюсь, что не вызовом в суд.

Ответить | Правка | Наверх | Cообщить модератору

32. Сообщение от Аноним (32), 22-Апр-25, 13:17 +/–

Ты уже добавил себе национальный сертификат?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #50

33. Сообщение от Аноним (33), 22-Апр-25, 13:18 +/–

In what apps? The reason we removed this was because the settings were generally not respected by most 3rd-party apps.
---
У браузеров свои cert stores, больше особо никто не пользовал. Кто очень хочет, может ручками поправить ksslcalist.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #45

34. Сообщение от User (??), 22-Апр-25, 13:32 +4 +/–

>>Оу. Верующий в то, что где-то государство не имеет контроля за операционной деятельностью бизнеса? Доброе пожаловать в реальный мир, Нео - последние 15 лет были тяжелыми для этих убеждений...
> Конечно же, везде имеет. Но где-то через коррупцию как она есть. А
> где-то в добавок через коррупцию институционализованную. Любая институционализация ставит
> крест на возможности "а может быть они хорошие, а мы их
> почём зря грязью поливаем!"
В наше время не надо ни "коррупции" ни "институционализации" - достаточно просто сказать: "Вы не понимаете, ЭТО ДРУГОЕ!" - и вот уже священное право частной собственности не такое священное, права и свободы личности (не) относится к вполне определенным личностям (Достаточно в какую-нибудь базу на Кубе отвезти - и нету ни "свободы", ни "прав", да и "личности" может уже и не оказаться) - и главное - всем всё окнорм.
Но Китай, РАЗУМЕЕТСЯ - "Это другое!"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #42

36. Сообщение от Аноним (36), 22-Апр-25, 14:53 Скрыто ботом-модератором +/–

Только для предлагаемой системы нужна некая самоуправляемая структура, та самая администрация казино, которая соблюдает свои принципы, и не зависит ни от кого. Чтобы список вести беспристрастно. В теории раньше так и предполагалось, только негласно.
Но сейчас это невозможно, так как, во-первых, владельцы браузеров сами - зависимые от коммерции и властей структуры, а во-вторых - даже при наличии неких идейных CA-администраторов, они вылетят при первой попытке выгнать letsencrypt. Их структуру просто начнут игнорировать, так как она всем ломает работу, и сделают новую структуру, которая лояльнее к CA и интересам властей с бизнесом.
А юзеры только хлопать от счастья будут, ведь наконец заработали их любимые сайты, которые поломали ранее какие-то тупые гики.
Решить этот вопрос можно, гипотетически, объяснив большей части юзеров важность trust в экосистеме - чтобы сами требовали гнать подставившихся CA. Лет 20 назад так и было. Сейчас же массовый юзер, в среднем, и читает-то с трудом, какие уж объяснения про сертификаты вообще.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #43

37. Сообщение от YetAnotherOnanym (ok), 22-Апр-25, 15:34 +2 +/–

> через коррупцию институционализованную.
Ага, ага. Называется "лоббизм". А ещё есть такая форма институционализованной коррупции - турне с публичными лекциями для отставных политиков и издание мемуаров. Или просто назначение на высокие посты человека, ещё вчера заседавшего в правлениях и советах директоров корпораций и имеющего неплохой портфель акций, которые он, конечно же, отдаёт в "слепой траст" стороннему управляющему.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

38. Сообщение от YetAnotherOnanym (ok), 22-Апр-25, 15:38 +1 +/–

> National_Intelligence_Law_of_the_People's_Republic_of_China
Вялотекущий набег политботов на опеннет продолжается.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

39. Сообщение от YetAnotherOnanym (ok), 22-Апр-25, 15:41 +/–

И больше ни на чём обработчик QML написать нельзя?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

40. Сообщение от YetAnotherOnanym (ok), 22-Апр-25, 15:49 +/–

"Жёсткие некоррупционные правила" существуют так же, как и справедливость.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

41. Сообщение от Аноним (41), 22-Апр-25, 15:52 +1 +/–

алё, ну где там сертификейт трансперенс?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51

42. Сообщение от Аноним (1), 22-Апр-25, 16:49 –1 +/–

Китай - это действительно другое. В количественном плане, разумеется, не в качественном.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #49

43. Сообщение от Аноним (1), 22-Апр-25, 16:51 +/–

Как бы можно вообще просто TLS отменить. И подвести это под климатобесие.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

45. Сообщение от Аноним (1), 22-Апр-25, 16:58 +/–

Сами кедовские приложения использовали как минимум. Им ведь надо как-то виджеты и прочие свистоперделки из инета качать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

47. Сообщение от Аноним (47), 22-Апр-25, 17:13 +/–

https://www.linux.org.ru/forum/admin/15104732?cid=15113619
https://www.linux.org.ru/forum/admin/15104732?cid=15113671

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

49. Сообщение от User (??), 22-Апр-25, 18:20 +1 +/–

> Китай - это действительно другое. В количественном плане, разумеется, не в качественном.
Вот, видите как просто? И не надо "коррупцию" с "законами" приплетать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

50. Сообщение от Шарп (ok), 22-Апр-25, 21:45 +/–

Да

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

51. Сообщение от CitadelCore (?), 22-Апр-25, 22:54 +/–

Sorry, your search results have been truncated.
It is not currently possible to sort and paginate large result sets efficiently, so only a random subset is shown below.
Please retry your search with expired certificates excluded.
https://crt.sh/?q=.aliyun.com&group=none

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #52

52. Сообщение от Аноним (41), 23-Апр-25, 00:02 +/–

https://crt.sh/?q=.aliyun.com&exclude=expired&group=none

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (1), 22-Апр-25, 09:43	+5 +/–
Выпилил из списка доверенных, спасибо.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #3, #7, #28

2. Сообщение от Аноним (2), 22-Апр-25, 09:46	+1 +/–
Эх, не успел получить сертификат для гугла и яндекса :(
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #5

3. Сообщение от User (??), 22-Апр-25, 09:47	+5 +/–
Вот даже интересно - выкинут их из централизованно обновляющихся списков CA или нет? Прям отличная проверка системы получится :).
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #10

4. Сообщение от Аноним (1), 22-Апр-25, 09:48	+/–
>And since learning of that flaw, SSL.com has revoked 11 wrongly issued certificates – one of them for Alibaba. >Предположительно, в выявленных случаях отсутствуют признаки вредоносной активности и из 11 пока отозван только один сертификат, полученный исследователем для сайта aliyun.com. Чудеса перевода.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #6, #11

5. Сообщение от Аноним (1), 22-Апр-25, 09:53	–1 +/–
Ваши "ТСПУ" не осилят расшифровку TLS на потоке.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2

6. Сообщение от Аноним (6), 22-Апр-25, 10:03	+1 +/–
Смотрите не статью на theregister.com, а первоисточник: https://bugzilla.mozilla.org/show_bug.cgi?id=1961406#c6 там только в одном сертификате из списка стоит статус "Revoked", у остальных "Not Revoked" и примечание "list of all affected certificates (the original reported certificate and the 10 additional identified certificates)".
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4

7. Сообщение от Аноним (1), 22-Апр-25, 10:09	+/–
Тем временем смузихлёбы выпилили из KDE ненужный апплет настройки: https://bugs.kde.org/show_bug.cgi?id=482585 > Nate Graham 2024-03-07 17:23:07 UTC > Indeed, and at the moment this is intentional. We may end up making a new one at some point in the future, but no guarantees. Не на Kirigami написано, поэтому - ффтопку! https://github.com/KDE/kdelibs/blob/KDE/4.14/kio/kssl/ksslin... И вообще, негоже всякому быдлу грязными руками в кого надо список сертификатов лезть! А смузихлёбов всё устраивает, им вообще это не нужно, поэтому на своём навязываемом project policy kirigami этот апплет переписывать они не будут. Поэтому - "no guarantees".
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #15, #33

9. Сообщение от freehck (ok), 22-Апр-25, 10:24	+3 +/–
Было бы здорово ещё узнать имя исследователя, и о том, как в SSL.com его отблагодарили за то, что он помог им в устранении такой дырени.
Ответить \| Правка \| Наверх \| Cообщить модератору

10. Сообщение от C (?), 22-Апр-25, 10:25	+11 +/–
Нет, конечно. Как будто в первый раз. Был уже Trustwave, который не стесняясь выдавал сертификат для mitm за копейку, и ничего. Извинились, сказали, что больше не будут, все им поверили на слово. Это же проверенные центры сертификации, а не простой васян, им можно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3 Ответы: #12

11. Сообщение от Аноним (11), 22-Апр-25, 10:36	+/–
Ответ от представителя SSL.com говорит, что те 10 сертификатов выданы корректно и не являются мошенничеством https://bugzilla.mozilla.org/show_bug.cgi?id=1961406#c7 "Historical evidence shows that, with the exception of one certificate (https://crt.sh/?id=16452546552), SSL.com did issue previous certificates using compliant DCV evidence during the initial issuance of the certificates which point to non-fraudulent mis-issuances."
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4 Ответы: #13, #16

12. Сообщение от User (??), 22-Апр-25, 10:45	+2 +/–
> Нет, конечно. Как будто в первый раз. > Был уже Trustwave, который не стесняясь выдавал сертификат для mitm за копейку, > и ничего. Извинились, сказали, что больше не будут, все им поверили > на слово. > Это же проверенные центры сертификации, а не простой васян, им можно. Ну, start.com с diginotar ажно обанкротились, anssi французский выпилили до устранения нарушений, потом вернули, китайцев вот еще каких-то окологосударственных выкинули из жужла с мурзилой помнится...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10 Ответы: #14

13. Сообщение от Аноним (15), 22-Апр-25, 10:56	+/–
Так они и признаются. После историй с комодо, про которые все оперативно забыли (а часть и вовсе осталась незамеченными), воспринимать этот бизнес всерьёз невозможно. Тупо гребут бабло с "доверчивых", letsencrypt ничем не хуже.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11 Ответы: #23

14. Сообщение от Аноним (1), 22-Апр-25, 11:16	–3 +/–
>China Financial Certification Authority В списке. >CNIC Был в списке, пока я его вручную не удалил. В юрисдикциях, где есть законы вроде https://en.wikipedia.org/wiki/National_Intelligence_Law_of_t... и/или где государство имеет прямой контроль за операционной деятельностью "частного" бизнеса через парткомитеты ил инфе вормы коррупции, вообще все организации должны автоматически считаться недостойными доверия. Не просто по какому-то формальному критерию, а потому что государство на то и государство, что оно может энфорсить свою волю порабощённому скоту на оккупированной им территории.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #19, #22, #38

15. Сообщение от Аноним (15), 22-Апр-25, 11:21	+/–
Что-то сплошная деградация пошла в кедах, кого они там набрали в команду?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #18

16. Сообщение от Аноним (1), 22-Апр-25, 11:30	+/–
Это не важно. Если вам нужна безопасность - то малейшее нарушение фирмой требуемых свойств, неважно, по её ли вине, или не по её - это просто сигнал на отбраковку. Справедливости не существует в принципе, поэтому абсолютно не важно, что это несправедливо. Будем честны, те кто бизнесы организуют - они там не за справедливостью, а за баблом, поэтому такая grim trigger-политика также и этически обоснована.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11 Ответы: #17, #24

17. Сообщение от Аноним (1), 22-Апр-25, 11:30	–1 +/–
Важно, что эффект нужный можно достигнуть так. Весь смысл PKI-экосистемы (да и предпринимательства в целом) в том, что это как игра в казино. Ты ставишь бабло - а дальше как шарик приземлится. Прогресс достигается эволюцией, а эволюция - это отбраковка неприспособленных. Запомните: полезные вещи фундаментально редки. Потому что не-редкие сигналы негэнтропии не несут. А негэнтропия - это неравновесность, а неравновесность - это фундамент всех происходящих во Вселенной процессов. Закон Старжона ("90% всего - говно") это просто другая форма констатаци этого свойства реальности. Как это относится к сертификатам? А просто.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16

18. Сообщение от Анон1110м (?), 22-Апр-25, 11:49	+/–
Наверное яваскриптёров.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15 Ответы: #29

19. Сообщение от User (??), 22-Апр-25, 12:02	+5 +/–
>>China Financial Certification Authority > В списке. >>CNIC > Был в списке, пока я его вручную не удалил. Ну вот можешь MCS holdings поискать, ага. > В юрисдикциях, где есть законы вроде https://en.wikipedia.org/wiki/National_Intelligence_Law_of_t... > и/или где государство имеет прямой контроль за операционной деятельностью "частного" бизнеса > через парткомитеты ил инфе вормы коррупции, вообще все организации должны автоматически > считаться недостойными доверия. Не просто по какому-то формальному критерию, а потому > что государство на то и государство, что оно может энфорсить свою > волю порабощённому скоту на оккупированной им территории. Оу. Верующий в то, что где-то государство не имеет контроля за операционной деятельностью бизнеса? Доброе пожаловать в реальный мир, Нео - последние 15 лет были тяжелыми для этих убеждений...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14 Ответы: #25

22. Сообщение от С (?), 22-Апр-25, 12:25	+/–
>В юрисдикциях, где есть законы вроде https://en.wikipedia.org/wiki/National_Intelligence_Law_of_t... и/или где государство имеет прямой контроль за операционной деятельностью "частного" бизнеса через парткомитеты ил инфе вормы коррупции, вообще все организации должны автоматически считаться недостойными доверия. Это всё так, но даже без официального государственного контроля есть огромный стимул выдавальщику сертификатов поработать "налево" за хорошие деньги и хорошие условия (в том числе и от государства). Есть структуры, которые too big to fail, тот же letsencrypt или globalsign. Никто не мешает им направо и налево выписывать левые сертификаты, и если это вскроется - максимум их пожурят, а они в ответ пообещают никогда так больше не делать. Потому-что удалить весь LE из браузера нельзя, весь интернет отвалится. Верить же в честность CA (и не только) в наше время могут только идеалисты. Идея root CA родилась тогда, когда компьютерный мир был теснее, однороднее и проще.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14 Ответы: #26, #47

23. Сообщение от нах. (?), 22-Апр-25, 12:26	+1 +/–
Что то, что другое - DV сертификаты. Не хуже он только для тех кто слепо доверяет васянскому автоскачивающемуся с другого ваянского стора самообновляющемуся скрипту или его подобиям. А кто с таким связываться не хочет и бережет свои ключи от лишних корявых скриптов - может за три копейки получить годовой dv при минимальных трудозатратах. Но над этим работают, чтоб тоже не смогли. А еще, внезапно, бывают ev сертификаты. Безобразие, конечно, что до сих пор бывают. К счастью, над этим тоже умные ребята поработали, и лопоухому юзверю совершенно никак не видно - тут очередной вон "email для подтверждения" был использован, или все же - предъявлены документы, что домен реально принадлежит тем кому написано и человек, пришедший за сертификатом - имеет на это права.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13

24. Сообщение от Аноним (36), 22-Апр-25, 12:29	+/–
Нет строгого механизма по реализации отбраковки. Конкретный юзер может быть сколь угодно строгим, и удалять по первому чиху, но остальные редко чешутся и волнуются. Большинство не понимает да и не должно понимать это всё. Строгий юзер в меньшинстве. Авторы браузеров сами являются бизнесами, и им trigger-политика не нужна.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16 Ответы: #27

25. Сообщение от Аноним (1), 22-Апр-25, 12:48	–2 +/–
>Оу. Верующий в то, что где-то государство не имеет контроля за операционной деятельностью бизнеса? Доброе пожаловать в реальный мир, Нео - последние 15 лет были тяжелыми для этих убеждений... Конечно же, везде имеет. Но где-то через коррупцию как она есть. А где-то в добавок через коррупцию институционализованную. Любая институционализация ставит крест на возможности "а может быть они хорошие, а мы их почём зря грязью поливаем!"
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #19 Ответы: #34, #37

26. Сообщение от Аноним (1), 22-Апр-25, 13:00	–2 +/–
Я уже сказал: справедливость роли не имеет. Коммерческие бизнесы - это участник азартной игры. Азартная игра - фундаментально несправедлива, как и реальность. Всегда будут победители и проигравшие. Если ты вступил в игру, максимум на что ты можешь рассчитывать - это на то, что кости будут сбалансированы, карты - не краплёные, а рулетка - не модифицирована. Это не гарантировано, это ты сам должен это обеспечивать, а не на милость крупье рассчитывать. Поэтому нужны жёсткие некоррупционные правила как вписывания в список, так и выписывания из него: 1. единственный случай компрометации - выписывание из списка 2. нахождения под юрисдикцией с институционализированной коррупцией и обязательным предательством, а равно с любыми другими законами, делающими невозможным соблюдение правил - выписывание из списка 3. принадлежность олигархам или государству - вон из списка 4. несоблюдение хоть одного из технических требований последней версии - вон из списка. А основание для вписывание: публично проверяемое соответствие всем требованиям, которые в принципе можно проверить публично. И проверяемое приватно соответствие остальным требованиям с публичной демонстрацией но с последующим закрытием, если это требуют бизнес-интересы. Аудиторы проверяют не сами соответствия требованиям, а что после закрытия прозрачности в скрытой от всеобщего обозрения части всё делается в принципе абсолютно точно так же как и когда она была открыта, только на реальных данных, людях и организациях.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #22 Ответы: #36, #40

27. Сообщение от Аноним (1), 22-Апр-25, 13:02	+/–
Всё так. Им нужна коррупция, когда wannabe-CA им заносят и становятся настоящими CA.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #24

28. Сообщение от Шарп (ok), 22-Апр-25, 13:03	+/–
>Выпилил из списка доверенных Насколько же нужно быть душнилой в шапочке из фольги, чтобы заниматься выпиливанием сертификатов.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #30, #32

29. Сообщение от Аноним (1), 22-Апр-25, 13:12	–1 +/–
Ну так QML-обработчики событий как раз на нём и пишутся...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18 Ответы: #39

30. Сообщение от Аноним (1), 22-Апр-25, 13:13	+2 +/–
Горжусь тем.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #28

31. Сообщение от Аноним (1), 22-Апр-25, 13:15	+/–
>Участник 'freehck' запретил публикацию ответов для ника 'Аноним'. Надеюсь, что не вызовом в суд.
Ответить \| Правка \| Наверх \| Cообщить модератору

32. Сообщение от Аноним (32), 22-Апр-25, 13:17	+/–
Ты уже добавил себе национальный сертификат?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #28 Ответы: #50

33. Сообщение от Аноним (33), 22-Апр-25, 13:18	+/–
In what apps? The reason we removed this was because the settings were generally not respected by most 3rd-party apps. --- У браузеров свои cert stores, больше особо никто не пользовал. Кто очень хочет, может ручками поправить ksslcalist.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #45