США отозвали SSL-сертификаты у 35 российских порталов

я твой сертификат труба щатал

Хороший ход, интересный. У Яндекса свой собственный сертификат. У МИДа от digicert.com.

> Об этом американский IT-бизнесмен Майкл Талан сообщил в интервью украинскому пропагандисту Дмитрию Гордону.

Российские профессианалы, сопровождающие эти сайты, видимо, пока не в курсе.

> На самом деле большая. Надо объявить тендер, обосновать его, найти деньги в бюджете, подписанном в 2018 году на 2020 год, ... выиграть этот тендер, заключить договор...


Ну если проблема только в этом, то тут у нас все в порядке.

Неясно, как именно это реализовано. Кремлин ру вообще говорит что нттпс у него не сконфигурено, а не то, что сертификат недоверенный. Скорее хак тогда на хостинге, или принудительное отключение хостером нттпс переадресации на веб сервере для этого конкретного сайта.

> Скорее всего отключили переадресацию, после отзыва сертификата. Иначе все желающие в кремль получали бы сообщение о недоверенном сертификате
Хе хе. У кремлина по url to ip хостер The Federal Guard Service of the Russian Federation. То есть сами и отключили, если не хак.

Я недопонимающий конкретно в этой сертификации.

Правильно ли я понял, что кремлин.ру используют сертификат, выданный удостоверяющим центром, который контролируем штатами, отчего браузеры, запросив список отозванных сертификатов из этого УЦ и обнаружив его в списке - отказываются по формальным ограничениям осуществлять шифрованную сессию по протоколу https с кремлином, например?

> Правильно ли я понял, что кремлин.ру используют сертификат, выданный удостоверяющим центром, который контролируем штатами, отчего браузеры, запросив список отозванных сертификатов из этого УЦ и обнаружив его в списке - отказываются по формальным ограничениям осуществлять шифрованную сессию по протоколу https с кремлином, например?

В целом да, только ограничения не формальные, а вполне физические - без сертификата невозможно произвести шифрование данных и рашифровку закрытым ключом. Теперь нужен новый сертификат и новый закрытый ключ.

> А был?

Поскольку там есть это[censored] , то обязан был быть. А если не было, то это - ебаное днище, даже почище того, что сертификат отозвали по указке из Белого дома. В такое ебаное днище даже я, представитель Русофобского Кубла на Вотте отказываюсь верить.

> Какой коммерческой конторы сертификат?

Без понятия.

> Теперь нужен новый сертификат и новый закрытый ключ.

и новый удостоверяющий центр, который с 2016 года обещают создать.

Если начать набирать адрес что в гугле, что яндексе как[censored] , то в кэше подсказок будет список популярных когда то доступных адресов кремлина именно с нттрс.

Здесь немного полнее интервью
[censored]

Причин наличия отсутствия сертификатa может быть сильно больше, чем мифическая "блокировка" самым Белым домом. Начиная со взлома и компрометации.
а так - не "Наказание", а "нассали в тапки".

Может. Хотя сразу у 35 - вряд ли.

Перефразирую: в новости отсутствуют какие-либо технические подробности и данная новость наличествует только в одном источнике (а также мнение "эксперта" про коммерческие Яндекс и Mail.ru), что заставляет меня лично сомневаться в ее достоверности.

> сомневаться в ее достоверности
В этом есть резоны, да.
.
Проверь как в статье ниже советуют в разных браузерах открыть[censored]

[censored]

4 года назад.
[censored]

> В целом да, только ограничения не формальные, а вполне физические - без сертификата невозможно произвести шифрование данных и рашифровку закрытым ключом. Теперь нужен новый сертификат и новый закрытый ключ.

Сертификат физически есть, можно шифровать, подписывать и подтверждать подлинность, но в сертификате выдавшего сертификат сайта удостоверяющего центра (УЦ) указана ссылка на сайт этого УЦ, по которой доступен электронный документ, называемый списком отзыва сертификатов. В этом документе перечислены серийные номера сертификатов, которые более не могут использоваться по различным причинам (отозваны самим УЦ) до истечения срока годности этих сертификатов. Список отзыва сертификатов заверяется усиленной квалифицированной ЭП УЦ. У списков отзыва, как и у сертификатов, также есть срок годности, обычно — неделя, по истечении которого список перевыпускается УЦ с новым сроком.

Браузер, получая в руки сертификат веб-сайта, ищет по своей локальной базе сертификатов доверенных УЦ сертификат УЦ выдавшего сертификат сайта, находит в нём ссылку на список отзыва, затем ищет локальную копию списка отзывов сертификатов этого УЦ, если такого нет, или его срок годности уже истёк, скачивает его с сайта УЦ, затем проверяет правильность ЭП под списком отзыва и ищет в нём серийный номер сертификата сайта. Если находит, то прерывает соединение. И так для каждого защищённого (шифрованного) соединения.

Если проигнорировать все эти ограничения (истечение срока годности сертификата, истечение срока годности списка отзывов, наличие серийного номера сертификата в списке отзывов), то ключом подписи в сертификате пользоваться можно, так что ограничения вполне себе формальные. Однако, необходимо отметить, что в таком случае УЦ больше не отвечает за то, что этот ключ принадлежит администрации сайта, на который зашёл пользователь, поэтому смысла в том, чтобы использовать сертификат с истёкшим сроком годности или отозванный УЦ никакого нет.

Тот, кто это сделал — идиот. Теперь у Правительства России появился совершенно официальный предлог заставить всех пользователей российских государственных интернет-ресурсов установить в свои браузеры сертификат какого-нибудь удостоверяющего центра, подконтрольного ФСБ, и доверять ему, что позволит ФСБ незаметно для подавляющего большинства пользователей осуществлять перлюстрацию любых его шифрованных соединений. Да, и с банками тоже. Вряд ли кто-нибудь из пользователей будет настраивать себе отдельный профиль для работы с российскими интернет-ресурсами и отдельный профиль для работы со всеми остальными сайтами.

> Интересно, очень большая сложность на другой CA[censored]

Газпром, например, испытывает определённые сложности в вопросе «переехать» от одного поставщика услуг по прокладке трубопровода по дну Балтийского моря к другому. Здесь будет то же самое: крупные УЦ из этого списка откажут, а мелких, если они согласятся, производители браузеров просто выкинут из перечня доверенных и перестанут поставлять их корневые сертификаты со своей продукцией, а те, что уже установлены у пользователей, принудительно удалят. В конце концов, неважно, сколько всего этих УЦ, важно, какие корневые УЦ внесены в перечень доверенных крупными производителями браузеров. А крупных производителей браузеров всего трое: Mozilla, Google и Microsoft.

> Почему ты до сих пор не в правительстве?

Три кольца москвичей в оцеплении мешают!!!

Название kremlin не русское, по нашему надо kreml или лучше уже кириллицей. Что за низкопоклонство??

> обойдёмся Линуксом?

Если наше правительство читает Вотт и это сделает - то только ты будешь в этом виноват!!!
И, разумеется, будешь техподдержкой всех пользователей!!!

> Ну так и в итоге-то что? Чем это всё грозит Родине?

Очередным принудительным импортозамещением.

> Чем это всё грозит пользователю?

Его жизнь станет ещё более прозрачной, причём совершенно официально.

> Можно ли сделать свои корневые сертификаты?

Сколько угодно, это не проблема. Проблема добиться того, чтобы этому корневому сертификату доверяли все пользователи большой тройки интернет-браузеров: Mozilla Firefox, Google Chrome и Microsoft Edge.

> Надо ли ждать китайскую Harmony OS с бекджеком и браузером или …

Нафига? Заменить американские руки, нежно пожимающие потную шею российской буржуазии китайскими?

> … обойдёмся Линуксом?

Вопрос в используемых браузерах, а браузеры — это не Линукс.

Это проблема сертификата или людей? Так-то дай дураку стеклянный дилдо, он и его разобьет и руки порежет.

> Это проблема сертификата или людей?

Когда у человека внезапно угоняют квартиру или фирму, это да, проблема человека.

> Так-то дай дураку стеклянный дилдо, он и его разобьет и руки порежет.

В последнее время дураки пошли хитрые и умелые, они наловчились резать руки обломками стеклянных хуёв не себе, а совершенно непричастным гражданам.