как вас расшифровывают (пример России)

[juan_gandhi]

https://quip.com/N07UAXChSjRR

Comments

[svk (from livejournal.com)]

man in the middle, где man - ваш провайдер о чём собственно браузер и предупреждает
т.е. если раньше провайдер просто передавал поток, то сейчас он его читает

не web приложениям это не грозит

p.s.
"Но делать нечего, устанавливаем сертификат на компьютер, в хранилище “доверенных корневых сертификатов”" - совсем не обязательно, в ie можно просто игнорировать предупреждение %)) - влияет только на визуальность (что является предупредительной мерой)

[sassa-nf.livejournal.com]

а толку? все равно ведь соединение будет шифровано ФСБшным ключом

[svk (from livejournal.com)]

конечно

[sergey_cheban]

Достаточным доказательством возможности существования Северной Кореи является сама Северная Корея, и другие доказательства этого тезиса излишни и избыточны. При таком раскладе даже спутниковая тарелка не поможет, потому что придёт Товарищ Сержант и прикажет развернуть её на правильный спутник. И фиг откажешься.
Но параллельно с попытками превратить РФ в Северную Корею есть и попытки превратить её в Южную Корею. И тут уж кто первый успеет.

[juan-gandhi.livejournal.com]

Так ведь ни то, ни то не выйдет. Корейцы - особый народ. Они все считают друг друга родственниками. В России же прямо противоположное явление. Человек человеку быдло.

[sergey_cheban]

Это уже детали, принципиально дело не меняющие. Я про то, что в России параллельно развиваются несколько конкурирующих процессов, и "закручивание гаек" - только один из них.

[dluciv.livejournal.com]

В Питере некоторые провайдеры года два назад уже баловались перешифровкой: http://dours.livejournal.com/109171.html (и вообще http://dours.livejournal.com/tag/man-in-the-middle). Так что не факт, что именно это — кровавая гэбня.

Но в Казахстане корневой сертификат или уже, или скоро будет государственный. Так что скорее всего и в России кончится тем же. А ещё через пару лет почешут репу и для всеобщего блага запретят вложенное шифрование, как нецелесообразное.



Родина слышит, Родина знает,
Сертификат TLS подменяет.

[sab123.livejournal.com]

Следующий очевидный шаг - сделать Яндекс Единственным Правильным Браузером, и положить в него ФСБшный сертификак как корневой. И больше никто ничего спрашивать не будет. Ну и, кстати, перехватив соединения с источниками остальных браузеров, запросто можно установить ФСБшный сертификат в корневые при обновлении.

[dluciv.livejournal.com]

И тогда на вес золота станут люди, у которых будут настоящие старые браузеры, позволяющие скачать настоящие новые браузеры %).

Я думаю, что слишком сложно. А если я свой браузер даже не напишу, а соберу?.. В Казахстане вроде в системное хранилище собираются ставить, это проще и радикальнее.

[yatur.livejournal.com]

Вся эта криптография как-то слишком заумна для обычного человека. Сообщение должно быть четкое и понятное - мол, сертификат поддельный, считайте, что все, что вы пишете уходит на стол товарищу майору.

У меня не далее как вчера случай был: присылает чел е-мейл. Мол, не может зарегистрировать сертификат в системе. Система пишет, что ошибка. Он уже и заголовок в файле поменял с "----BEGIN RSA CERTIFICATE REQUEST----" на "----BEGIN RSA CERTIFICATE----", а система, свинья, все равно пишет, что ошибка. Ну, вы поняли...

Чего нашей системе только не подсовывали в качестве "сертификата". И приватные ключи, и публичные ключи и, вот, как сейчас, запросы на сертификат. И каждый раз полная незамутенность - а чаво это оно на наш файл ругается, исправьте пожалуйста.

[dennisgorelik]

> Мол, не может зарегистрировать сертификат в системе.

Зачем он хочет зарегистрировать сертификат в системе?

[yatur.livejournal.com]

Надо. Проблема в том, что люди не знают толком, что такое сертификат. Для них вся эта дребедень - одинаковый двоичный мусор.

[dluciv.livejournal.com]

А как у чела вообще оказался CSR, которые ему, в общем-то, не нужен?..

Нет, это не криминал само по себе, я понимаю. Но вообще если ему дали случайно не тот файл, то м.б. ему и закрытый ключ слили?..

[yatur.livejournal.com]

> А как у чела вообще оказался CSR

Не знаю. Думаю, те, кто посылал, тоже плохо представляли, что это все за мусор.

> м.б. ему и закрытый ключ слили

И такое бывало-с. Это не сверхсекретные ключи, но тем не менее. Глядючи на эти танцы, я в какой-то момент тупо добавил опцию "сгенерировать ключ". Мы, конечно, тогда знаем их закрытый ключ, но тех, кто не в состоянии сгенерировать ничего самостоятельно, это обычно мало волнует.

[snowps.livejournal.com]

Это всего лишь говорит о том, что https - это весьма условно секьюрный протокол, нормальные защищённые продукты нужно писать на базе самописных протоколов, хэндшейк которых нельзя эмулировать. :)

[juan-gandhi.livejournal.com]

Самописные обычно дырявы.

[snowps.livejournal.com]

Ну так кто будет дыры-то искать, если протокол закрыт и не является распространённым? Много ли народа протокол Скайпа сломало и там Вотсаппа или Вайбера? Ту уж либо сдюжил и написал сам, либо не сдюжил и взял то, что другие написали. :)

[jahr2.livejournal.com]

Ну, скорее, нужно использовать протоколы без участия третьей доверенной стороны типа центра выдачи сертификатов.) А при соблюдении этого условия пусть уже эмулируют хендшейк сколько угодно.)

[yatur.livejournal.com]

> Защищённые продукты нужно писать на базе самописных протоколов

Судя по смайлику, это все-таки шутка. Я надеюсь.

> хэндшейк которых нельзя эмулировать. :)

Родина прикажет - сами все заэмулируете как миленькие.

[jahr2.livejournal.com]

Странная какая-то статья. Чего этот человек хочет после установки какого-то левого сертификата в качестве доверенного? После этого шага понятно уже,что шифрования нет и куда-то там лазить и в чем-то удостоверяться дополнительно уже смысла нет. Надо было впн ставить, хотя бы в виде Fri-gate, и не было бы никаких проблем.

А так-то в России провайдеры уже давно балуются MITM и подменой сертификатов: требования по блокировкам выполнять нужно, а если заблокирован какой-то урл с https, то единственной альтернативой подмене сертификата будет блокировка всего сайта целиком. Мой провайдер начал подмену сертификатов использовать года два назад, если память не изменяет, я сначала онемел от такой наглости, но потом забил, сам я впн использую, исключений безопасности не добавляю на автомате не читая сообщений, а остальным все равно не смогу доходчиво объяснить, почему проблема серьезна, так что остается дождаться, пока роскомпозор заблокирует наконец что типа блога Тиньков-банка или чего-то подобного, и сообразительные кардеры толпой побегут устраиваться на работу в разные интернет-провайдеры, может, большой скандал без лишних слов проиллюстрирует суть проблемы.)

[sassa-nf.livejournal.com]

у впн точно та же уязвимость: либо ставите сертификат, либо нет доступа.

[snowps.livejournal.com]

Это часто практикуется в случаях, когда, к примеру, нужно принудительно показывать рекламу потребителям бесплатного траффика. В Москве в метро пару лет назад сделали быстрый интернет с бесплатным вайфаем, для которого нужна ренистрация с привязкой логина к номеру мобильного телефона. Условно говоря, эта регистрация существенной безопасности не обеспечивает (поскольку с рук без проблем можно купить симку "на выговор" без регистрации у оператора, и работать с ней, пока её не заблокируют), однако при работе с инетом через этот вход все DNS запросы проходят через фейковый сервер, который выдаёт другие адреса (прокси), левые сертификаты и позволяет интегрировать в сторонний контент рекламные материалы, - и ничего, большинство это не слишком заботит.

[pigmeich.livejournal.com]

А у меня нет!

[zyxman.livejournal.com]

Никакая система защиты не спасет, когда пользователь сам, добровольно позволяет доступ к своему компьютеру.

[dluciv.livejournal.com]

Тут ещё вот какое дело. Конечно когда тебе подсовывают какое-нибудь очевидное дерьмо вместо сертификата, то это не очень хорошо. Но это хотя бы заметить легко.

Но если у пользователя в России, например, сертификат в порядке, это ещё не значит, что аналогичная кровавая гэбня с другой стороны океана не скомпрометировала, например, GeoTrust, и не расшифровывает все данные там, выдавая свои палёные сертификаты за настоящие. И как докажешь, что этого не происходит?..

В общем как-то эфемерно это всё. Ещё сеть доверия туда-сюда, да и она тоже компрометируется, благодаря уже бардачности своей...