вранье?

От Alexey Vissarionov (2:5020/545) к Victor Sudakov

В ответ на Заголовок предыдущего сообщения в треде (Имя Автора)

Доброго времени суток, Victor!

03 Dec 2014 09:13:46, ты -> мне:

 AV>>>> Никак оно не обеспечивается... любой УЦ по запросу "органов"

 AV>>>> выпустит левый сертификат для любого домена. В полном

 AV>>>> соответствии с законом, ага.

 VS>>> *Любой* УЦ может и не прогнется под органы. Кто-то, может быть,

 VS>>> предпочтет закрыться, как Лавабит. но беда всей системы доверия

 VS>>> в WWW

 AV>> Почему только WWW?

 VS> Потому что мы сейчас HTTPS обсуждаем. Скажем X.509 сертификат своего

 VS> почтового корреспондента я теоретически могу сверить по телефону или

 VS> при личной встрече,

А смысл? Для почты (и прочих сообщений) уместнее использовать GPG - то есть, пофигу, откуда и как пришло сообщение, если оно снабжено кошерной подписью.

 VS> а в случае WWW вынужден полагаться только на честное слово УЦ.

Или на сохраненный сертификат.

 VS>>> Вот в Firefox в качестве доверенного, среди прочих, установлен

 VS>>> сертификат какого-то Чунгва Телеком. Кто эти люди? Почему я им

 VS>>> должен доверять?

 AV>> А зачем ты им доверяешь? Неужели только потому, что разработчики

 AV>> фраерфокса зачем-то засунули их сертификат в cert8.db?

 VS> Лично я как раз не доверяю. Но много ли людей хотя бы раз вообще

 VS> заглядывали в дефолтовый список доверенных сертификатов?

Если кто-то не заглядывает - их не жалко.

С другой стороны, лично я не использую ни одного уеб-сервиса, компрометация сертификата которого не будет замечена мной И сможет нанести хоть какой-то заметный ущерб.

 AV>>>> В этом отношении самоподписанные сертификаты оказываются даже

 AV>>>> надежнее: если сертификат сервера внезапно поменялся (без

 AV>>>> предварительного уведомления всех пользователей посредством,

 AV>>>> например, подписанного эмыла) - значит, что-то тут нечисто...

 VS>>> А еще есть проекты по публикации SSL сертификтов прямо в DNS

 VS>>> (разумеется в защищенном DNSSEC) тогда все централизованные УЦ

 VS>>> становятся просто не нужны.

 AV>> В случае DNSSEC идея хороша, но:

 AV>> 1. отсутствуют кошерные реализации оного;

 VS> Серверные в наличии, у меня например зона sibptus.ru подписана.

 VS> Клиентские тоже вроде есть, даже винда поддерживает.

Реализации есть. Кошерных реализаций нет (или я про них не знаю).

 AV>> 2. сохраняется проблема первого подключения.

 VS> Ну это проблема фундаментальная, любая цепочка доверия должна

 VS> неизбежно в кого-то упираться.

В общем случае - совсем не обязательно. Достаточно, чтобы информация из существенного количества источников была взаимно непротиворечивой.

Пример: то, что говорят школьные учителя естественных и точных наук, складывается в единую непротиворечивую картину, а то, что врет поп, ей противоречит.

--

Alexey V. Vissarionov aka Gremlin from Kremlin

gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-cmlxxvii-mmxlviii

... Только дурак нуждается в порядке - гений господствует над хаосом

--- /bin/vi

 * Origin: http://openwall.com/Owl/ru (2:5020/545)

Ответы на это письмо:

From: Username
Заголовок следующего сообщения в треде может быть длинным и его придется перенести на новую строку

From: Username
Или коротким