man in the middle, где man - ваш провайдер о чём собственно браузер и предупреждает т.е. если раньше провайдер просто передавал поток, то сейчас он его читает
не web приложениям это не грозит
p.s. "Но делать нечего, устанавливаем сертификат на компьютер, в хранилище “доверенных корневых сертификатов”" - совсем не обязательно, в ie можно просто игнорировать предупреждение %)) - влияет только на визуальность (что является предупредительной мерой)
Достаточным доказательством возможности существования Северной Кореи является сама Северная Корея, и другие доказательства этого тезиса излишни и избыточны. При таком раскладе даже спутниковая тарелка не поможет, потому что придёт Товарищ Сержант и прикажет развернуть её на правильный спутник. И фиг откажешься. Но параллельно с попытками превратить РФ в Северную Корею есть и попытки превратить её в Южную Корею. И тут уж кто первый успеет.
В Питере некоторые провайдеры года два назад уже баловались перешифровкой: http://dours.livejournal.com/109171.html (и вообще http://dours.livejournal.com/tag/man-in-the-middle). Так что не факт, что именно это — кровавая гэбня.
Но в Казахстане корневой сертификат или уже, или скоро будет государственный. Так что скорее всего и в России кончится тем же. А ещё через пару лет почешут репу и для всеобщего блага запретят вложенное шифрование, как нецелесообразное.
Родина слышит, Родина знает, Сертификат TLS подменяет.
Вся эта криптография как-то слишком заумна для обычного человека. Сообщение должно быть четкое и понятное - мол, сертификат поддельный, считайте, что все, что вы пишете уходит на стол товарищу майору.
У меня не далее как вчера случай был: присылает чел е-мейл. Мол, не может зарегистрировать сертификат в системе. Система пишет, что ошибка. Он уже и заголовок в файле поменял с "----BEGIN RSA CERTIFICATE REQUEST----" на "----BEGIN RSA CERTIFICATE----", а система, свинья, все равно пишет, что ошибка. Ну, вы поняли...
Чего нашей системе только не подсовывали в качестве "сертификата". И приватные ключи, и публичные ключи и, вот, как сейчас, запросы на сертификат. И каждый раз полная незамутенность - а чаво это оно на наш файл ругается, исправьте пожалуйста.
Это всего лишь говорит о том, что https - это весьма условно секьюрный протокол, нормальные защищённые продукты нужно писать на базе самописных протоколов, хэндшейк которых нельзя эмулировать. :)
Странная какая-то статья. Чего этот человек хочет после установки какого-то левого сертификата в качестве доверенного? После этого шага понятно уже,что шифрования нет и куда-то там лазить и в чем-то удостоверяться дополнительно уже смысла нет. Надо было впн ставить, хотя бы в виде Fri-gate, и не было бы никаких проблем.
А так-то в России провайдеры уже давно балуются MITM и подменой сертификатов: требования по блокировкам выполнять нужно, а если заблокирован какой-то урл с https, то единственной альтернативой подмене сертификата будет блокировка всего сайта целиком. Мой провайдер начал подмену сертификатов использовать года два назад, если память не изменяет, я сначала онемел от такой наглости, но потом забил, сам я впн использую, исключений безопасности не добавляю на автомате не читая сообщений, а остальным все равно не смогу доходчиво объяснить, почему проблема серьезна, так что остается дождаться, пока роскомпозор заблокирует наконец что типа блога Тиньков-банка или чего-то подобного, и сообразительные кардеры толпой побегут устраиваться на работу в разные интернет-провайдеры, может, большой скандал без лишних слов проиллюстрирует суть проблемы.)
Тут ещё вот какое дело. Конечно когда тебе подсовывают какое-нибудь очевидное дерьмо вместо сертификата, то это не очень хорошо. Но это хотя бы заметить легко.
Но если у пользователя в России, например, сертификат в порядке, это ещё не значит, что аналогичная кровавая гэбня с другой стороны океана не скомпрометировала, например, GeoTrust, и не расшифровывает все данные там, выдавая свои палёные сертификаты за настоящие. И как докажешь, что этого не происходит?..
В общем как-то эфемерно это всё. Ещё сеть доверия туда-сюда, да и она тоже компрометируется, благодаря уже бардачности своей...
![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png)
juan_gandhi) wrote2016-08-26 09:14 am
no subject
т.е. если раньше провайдер просто передавал поток, то сейчас он его читает
не web приложениям это не грозит
p.s.
"Но делать нечего, устанавливаем сертификат на компьютер, в хранилище “доверенных корневых сертификатов”" - совсем не обязательно, в ie можно просто игнорировать предупреждение %)) - влияет только на визуальность (что является предупредительной мерой)
(no subject)
(no subject)
no subject
Но параллельно с попытками превратить РФ в Северную Корею есть и попытки превратить её в Южную Корею. И тут уж кто первый успеет.
(no subject)
(no subject)
(no subject)
no subject
Но в Казахстане корневой сертификат или уже, или скоро будет государственный. Так что скорее всего и в России кончится тем же. А ещё через пару лет почешут репу и для всеобщего блага запретят вложенное шифрование, как нецелесообразное.
Родина слышит, Родина знает,
Сертификат TLS подменяет.
(no subject)
(no subject)
no subject
У меня не далее как вчера случай был: присылает чел е-мейл. Мол, не может зарегистрировать сертификат в системе. Система пишет, что ошибка. Он уже и заголовок в файле поменял с "----BEGIN RSA CERTIFICATE REQUEST----" на "----BEGIN RSA CERTIFICATE----", а система, свинья, все равно пишет, что ошибка. Ну, вы поняли...
Чего нашей системе только не подсовывали в качестве "сертификата". И приватные ключи, и публичные ключи и, вот, как сейчас, запросы на сертификат. И каждый раз полная незамутенность - а чаво это оно на наш файл ругается, исправьте пожалуйста.
(no subject)
(no subject)
(no subject)
(no subject)
(no subject)
(no subject)
(no subject)
no subject
(no subject)
(no subject)
(no subject)
(no subject)
(no subject)
(no subject)
(no subject)
(no subject)
(no subject)
(no subject)
(no subject)
(no subject)
(no subject)
(no subject)
(no subject)
(no subject)
(no subject)
(no subject)
(no subject)
(no subject)
(no subject)
(no subject)
no subject
А так-то в России провайдеры уже давно балуются MITM и подменой сертификатов: требования по блокировкам выполнять нужно, а если заблокирован какой-то урл с https, то единственной альтернативой подмене сертификата будет блокировка всего сайта целиком. Мой провайдер начал подмену сертификатов использовать года два назад, если память не изменяет, я сначала онемел от такой наглости, но потом забил, сам я впн использую, исключений безопасности не добавляю на автомате не читая сообщений, а остальным все равно не смогу доходчиво объяснить, почему проблема серьезна, так что остается дождаться, пока роскомпозор заблокирует наконец что типа блога Тиньков-банка или чего-то подобного, и сообразительные кардеры толпой побегут устраиваться на работу в разные интернет-провайдеры, может, большой скандал без лишних слов проиллюстрирует суть проблемы.)
(no subject)
(no subject)
(no subject)
(no subject)
(no subject)
no subject
no subject
no subject
Но если у пользователя в России, например, сертификат в порядке, это ещё не значит, что аналогичная кровавая гэбня с другой стороны океана не скомпрометировала, например, GeoTrust, и не расшифровывает все данные там, выдавая свои палёные сертификаты за настоящие. И как докажешь, что этого не происходит?..
В общем как-то эфемерно это всё. Ещё сеть доверия туда-сюда, да и она тоже компрометируется, благодаря уже бардачности своей...