как вас расшифровывают (пример России)

[juan_gandhi]

https://quip.com/N07UAXChSjRR

Comments

[svk (from livejournal.com)]

man in the middle, где man - ваш провайдер о чём собственно браузер и предупреждает
т.е. если раньше провайдер просто передавал поток, то сейчас он его читает

не web приложениям это не грозит

p.s.
"Но делать нечего, устанавливаем сертификат на компьютер, в хранилище “доверенных корневых сертификатов”" - совсем не обязательно, в ie можно просто игнорировать предупреждение %)) - влияет только на визуальность (что является предупредительной мерой)

[sergey_cheban]

Достаточным доказательством возможности существования Северной Кореи является сама Северная Корея, и другие доказательства этого тезиса излишни и избыточны. При таком раскладе даже спутниковая тарелка не поможет, потому что придёт Товарищ Сержант и прикажет развернуть её на правильный спутник. И фиг откажешься.
Но параллельно с попытками превратить РФ в Северную Корею есть и попытки превратить её в Южную Корею. И тут уж кто первый успеет.

[dluciv.livejournal.com]

В Питере некоторые провайдеры года два назад уже баловались перешифровкой: http://dours.livejournal.com/109171.html (и вообще http://dours.livejournal.com/tag/man-in-the-middle). Так что не факт, что именно это — кровавая гэбня.

Но в Казахстане корневой сертификат или уже, или скоро будет государственный. Так что скорее всего и в России кончится тем же. А ещё через пару лет почешут репу и для всеобщего блага запретят вложенное шифрование, как нецелесообразное.



Родина слышит, Родина знает,
Сертификат TLS подменяет.

[yatur.livejournal.com]

Вся эта криптография как-то слишком заумна для обычного человека. Сообщение должно быть четкое и понятное - мол, сертификат поддельный, считайте, что все, что вы пишете уходит на стол товарищу майору.

У меня не далее как вчера случай был: присылает чел е-мейл. Мол, не может зарегистрировать сертификат в системе. Система пишет, что ошибка. Он уже и заголовок в файле поменял с "----BEGIN RSA CERTIFICATE REQUEST----" на "----BEGIN RSA CERTIFICATE----", а система, свинья, все равно пишет, что ошибка. Ну, вы поняли...

Чего нашей системе только не подсовывали в качестве "сертификата". И приватные ключи, и публичные ключи и, вот, как сейчас, запросы на сертификат. И каждый раз полная незамутенность - а чаво это оно на наш файл ругается, исправьте пожалуйста.

[snowps.livejournal.com]

Это всего лишь говорит о том, что https - это весьма условно секьюрный протокол, нормальные защищённые продукты нужно писать на базе самописных протоколов, хэндшейк которых нельзя эмулировать. :)

[jahr2.livejournal.com]

Странная какая-то статья. Чего этот человек хочет после установки какого-то левого сертификата в качестве доверенного? После этого шага понятно уже,что шифрования нет и куда-то там лазить и в чем-то удостоверяться дополнительно уже смысла нет. Надо было впн ставить, хотя бы в виде Fri-gate, и не было бы никаких проблем.

А так-то в России провайдеры уже давно балуются MITM и подменой сертификатов: требования по блокировкам выполнять нужно, а если заблокирован какой-то урл с https, то единственной альтернативой подмене сертификата будет блокировка всего сайта целиком. Мой провайдер начал подмену сертификатов использовать года два назад, если память не изменяет, я сначала онемел от такой наглости, но потом забил, сам я впн использую, исключений безопасности не добавляю на автомате не читая сообщений, а остальным все равно не смогу доходчиво объяснить, почему проблема серьезна, так что остается дождаться, пока роскомпозор заблокирует наконец что типа блога Тиньков-банка или чего-то подобного, и сообразительные кардеры толпой побегут устраиваться на работу в разные интернет-провайдеры, может, большой скандал без лишних слов проиллюстрирует суть проблемы.)

[pigmeich.livejournal.com]

А у меня нет!

[zyxman.livejournal.com]

Никакая система защиты не спасет, когда пользователь сам, добровольно позволяет доступ к своему компьютеру.

[dluciv.livejournal.com]

Тут ещё вот какое дело. Конечно когда тебе подсовывают какое-нибудь очевидное дерьмо вместо сертификата, то это не очень хорошо. Но это хотя бы заметить легко.

Но если у пользователя в России, например, сертификат в порядке, это ещё не значит, что аналогичная кровавая гэбня с другой стороны океана не скомпрометировала, например, GeoTrust, и не расшифровывает все данные там, выдавая свои палёные сертификаты за настоящие. И как докажешь, что этого не происходит?..

В общем как-то эфемерно это всё. Ещё сеть доверия туда-сюда, да и она тоже компрометируется, благодаря уже бардачности своей...