на главнуюВсе эхи RU.CRYPT
войти ?

вранье?

От Victor Sudakov (2:5005/49) к Alexey Vissarionov

В ответ на Заголовок предыдущего сообщения в треде (Имя Автора)


Dear Alexey,

02 Dec 14 21:01, you wrote to me:
AV>>> Никак оно не обеспечивается... любой УЦ по запросу "органов"
AV>>> выпустит левый сертификат для любого домена. В полном
AV>>> соответствии с законом, ага.
VS>> *Любой* УЦ может и не прогнется под органы. Кто-то, может быть,
VS>> предпочтет закрыться, как Лавабит. но беда всей системы доверия
VS>> в WWW

AV> Почему только WWW?

Потому что мы сейчас HTTPS обсуждаем.

Скажем X.509 сертификат своего почтового корреспондента я теоретически могу сверить по телефону или при личной встрече, а в случае WWW вынужден полагаться только на честное слово УЦ.

VS>> в том, что достаточно прогнуться только *одному* УЦ из сотни
VS>> установленных в наших браузерах. Т.е. вся система не более
VS>> заслуживает доверия, чем ее самое слабое звено.

AV> Именно так. Более того, _все_ УЦ в отдельно взятой стране
AV> "сотрудничают" с "органами" означенной страны.

Все - слишком сильное слово. Достаточно, если сотрудничать будет ровно один. Причем предпочтительный механизм сотрудничества, как я понял - это делегирование полномочий некоторому промежуточному УЦ.

Идея certificate pinning не на пустом месте появилась, очевидно.

VS>> Вот в Firefox в качестве доверенного, среди прочих, установлен
VS>> сертификат какого-то Чунгва Телеком. Кто эти люди? Почему я им
VS>> должен доверять?

AV> А зачем ты им доверяешь? Неужели только потому, что разработчики
AV> фраерфокса зачем-то засунули их сертификат в cert8.db?

Лично я как раз не доверяю. Но много ли людей хотя бы раз вообще заглядывали в дефолтовый список доверенных сертификатов?

AV>>> В этом отношении самоподписанные сертификаты оказываются даже
AV>>> надежнее: если сертификат сервера внезапно поменялся (без
AV>>> предварительного уведомления всех пользователей посредством,
AV>>> например, подписанного эмыла) - значит, что-то тут нечисто...
VS>> А еще есть проекты по публикации SSL сертификтов прямо в DNS
VS>> (разумеется в защищенном DNSSEC) тогда все централизованные УЦ
VS>> становятся просто не нужны.

AV> В случае DNSSEC идея хороша, но:
AV> 1. отсутствуют кошерные реализации оного;

Серверные в наличии, у меня например зона sibptus.ru подписана. Клиентские тоже вроде есть, даже винда поддерживает.

AV> 2. сохраняется проблема первого подключения.

Ну это проблема фундаментальная, любая цепочка доверия должна неизбежно в кого-то упираться.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20110223-b20110223
* Origin: Ulthar (2:5005/49)

Ответы на это письмо:

From: Username
Заголовок следующего сообщения в треде может быть длинным и его придется перенести на новую строку

From: Username
Или коротким

FGHI-url этого письма: area://RU.CRYPT?msgid=2:5005/49+547e886f