США отозвали SSL-сертификаты у 35 российских порталов

Спасибо.

> Предполагаю тихий, молчаливый и сплочённый саботаж всех, кого в Казахстане попытались привлечь для внедрения единого государственного УЦ за те деньги, которые смогло предложить правительство.

Так его прям внедрили, он какое-то время поработал - пользователь должен был принять сертификат, как доверенный, или идти на хуй. А потом его тихо и молча отключили и стало как раньше.

> Эта контора называется ФСБ.

ФСО, похоже. По крайней мере, она их хостит.

Для работы с гос органами типа egov.kz или налоговой используется.

> Это такие себе тихие гавани для удачно выслужившихся.

Удачно выслужившиеся вполне себе пристраиваются в более денежные места вроде натуральных монополий, а это, наверно, не совсем удачно выслужившиеся.

То есть путь развития, свой браузер, свой поисковик, все государственное живет на этом и никак не пересекается с гуглом и т.д.. Тут правда вопрос в планшетах\телефонах, как основной ИТ платформы обывателя. И на этой платформе все и работает считай на браузере и сертификатах. С учетом развития цифры, тех. же автономных касс в супермаркетах и роботах доставки еды и т.п. в внезапную ковид эпоху дистанционного и автономного. Как бы, сказать че, да мы в линукс и вообще досвидание, не получиться. То есть для начала надо на 150 лямов устройств в год заводик создать, инфраструктуру свою и т.д.

> > выяснилось, что весь этот комплекс будет стоить слишком дорого.

> Так внедрили ж, говорю. Уже. Но потом выключили.

Ну, что-то внедрили. А потом внезапно могло выясниться, что у того, что внедрили, почему-то не хватает мощности для переваривания того объёма трафика, который через эту систему попёр, или емкости хранилищ хватает только на день-два, чего для ведения ОРМ катастрофически не хватает. То есть, могло выясниться, что на этапе проектирования были допущены грубые ошибки в оценках требуемых параметров системы перехвата, и нужно ещё очень много денег, чтобы довести её до ума.

Также могло выясниться, что целевая аудитория, за которой предполагалось следить путём перехвата трафика, HTTPS не пользуется, вместо этого шифрует свой трафик чем-то ещё. Или ещё тупее — пускает поверх HTTPS ещё один HTTPS, но уже со своей криптографией и с неизвестными шифрами.

> Тут правда вопрос в планшетах\телефонах, как основной ИТ платформы обывателя.

На этом наполеоновские планы цифровизации российской экономики, собственно, и закончились.

> То есть для начала надо на 150 лямов устройств в год заводик создать, инфраструктуру свою и т.д.

Во-во. А заводик-то забугорные буржуи не продадут, потому что на любом заводе можно выпускать продукцию двойного назначения. А если продадут, так купленное оборудование местные сгноят в лучших традициях довоенного вредительства и саботажа, по причине отсутствия квалифицированного персонала для его монтажа, пуска, наладки и обслуживания.

> Это ты щас гадаешь вообще не понять, зачем.

Так интересно же.

> Говорю же - выясню, вопрос задам, если можно будет, то поделюсь.

ОК жду с нетерпением :)

> В новости про "свой" УЦ написано
Я очень далёк от этой темы, не слежу совсем. Но вроде пару раз даже некие учения успешно провели в России по стабильности и функционированию внутреннего интернета при отключении сервисов и служб западом. И отрапортавли что все готово. Согласно прессе.

> Я очень далёк от этой темы, не слежу совсем. Но вроде пару раз даже некие учения успешно провели в России по стабильности и функционированию внутреннего интернета при отключении сервисов и служб западом. И отрапортавли что все готово. Согласно прессе.

Это про другое немножко. Удостоверяющий центр - это контора, которая авторизована выпускать сертификаты, которыми шифруют траффик. Технически, сертификат можно сгенерить на большинстве железок, но он не будет доверенным - это будет т.н. самоподписанный (self-signed) сертификат - шифровать им можно, но его подлинность не удостоверена. А УЦ выпускают именно удостоверенные сертификаты, отвечая своей репутацией и согласно законодательству. Фактически, эдакий ключник с репутацией.

А про работу инфраструктурных сервисов - это про другое.

"Вы не понимаете! Это другое!"))
Учения были про организацию работы сегмента Интернет, при блокировке магистральных трансграничных переходов (эмулирующих блокировку корневых серверов DNS-зон ru и еже с ними, со стороны США). Но там, насколько я знаю, "все не так однозначно" получилось. Полагаю, не хватило нормативной базы, чтобы всех участников рынка привести к "общему знаменателю". "Отчитались" большие провайдеры у которых есть свои точки обмена трафиком.

О том и речь и они могут быть отдельными от провайдеров (которые определены законом "о связи") юрлицами. А дальше - "все сложно"!)

Сложно и дорого, но "не невозможно". Технически возможно все, главное иметь волю к победе.)

> Сложно и дорого, но "не невозможно". Технически возможно все, главное иметь волю к победе.)

Как ты запретишь иностранной компании что-то, если у тебя дети живут и работают там, где эта компания вопросы решает?

> Ну и момент истины настанет, когда эта функциональность окажется встроена и в каждый браузер и даже в ядра операционных систем.

Ждём ебилдов!!!

> Будет умора, если с обновлениями для каждой из общеупотребительных ОС будет регулярно устанавливаться малюсенькая программка, методично удаляющая из системы всю цепочку доверия сертификатов, начиная с сертификата УЦ, выдавшего сертификат kremlin.gov.ru и вплоть до входящего в него сертификата корневого УЦ. Ну и момент истины настанет, когда эта функциональность окажется встроена и в каждый браузер и даже в ядра операционных систем. Это стратегия будет называться «Троянский конь или доставка санкций внутрь периметра противника его же собственными силами».

Ничо сложного, кстати, CDN запросто такое зарешает. Умора будет, если родное правительство, ввиду такой подставы, начнет выпускать методические рекомендации по установке обновлений строго через VPN.

> > Будет умора, если с обновлениями для каждой из общеупотребительных ОС будет регулярно устанавливаться малюсенькая программка, методично удаляющая из системы всю цепочку доверия сертификатов, начиная с сертификата УЦ, выдавшего сертификат kremlin.gov.ru и вплоть до входящего в него сертификата корневого УЦ.

> Ничо сложного, кстати, CDN запросто такое зарешает. Умора будет, если родное правительство, ввиду такой подставы, начнет выпускать методические рекомендации по установке обновлений строго через VPN.

На всякий случай уточню. Я имел в виду, что эту маленькую программку для каждой ОС и для каждого браузера правительство США обяжет написать каждого производителя соответствующего ПО и включить её в дистрибутив, после чего через что ни обновляйся, хоть через CDN, хоть через VPN — результат будет строго один и тот же: сайт kremlin.gov.ru будет доступен по HTTPS строго до первого обновления браузера/ОС, а через несколько таких итераций зарубежные УЦ резко поумнеют, и просто перестанут отвечать на запросы на выпуск сертификатов с CN=*.gov.ru.

Ну. И? Где противоречие ты увидел?

Ну ты ж понимаешь, как CDN работает?

> Ну ты ж понимаешь, как CDN работает?

Неа, просвети.

> > Ну ты ж понимаешь, как CDN работает?
>
> Неа, просвети.

Там цимес в том, что контент подвозят к наиболее близкому (географически) для потребителя ЦОДу, чтобы за пиринг дорого не платить. Соответственно, когда у тебя ведроид лезет обновляться - он обновляется не с далёких пиндосских или японских хранилок, а с близких русских или украинских. Соответственно, апдейт для сегмента ru там лежит в кэше и выгружается махом, а с японского надо год тянуть. Но! Если ты не хочешь, чтобы у тебя апдейт шел с нашего регионального узла, ты можешь вывалиться куда-нить через впн - предварительно, конечно, настроив приложуху.

> А теперь у меня вопрос.

А-а-а, вон ты как хотел. Я подумал строго наоборот: чтобы жители РФ не могли на свой этот кремлин.ру зайти, а остальные могли.

> Не слишком мудреное решение, …

«Не слишком мудрёный» эквивалентно «простой».

> … если по сути надо тупо организовать черный список сайтов, а код осей и браузеров ты можешь менять и доставлять регулярно обновами?

По сути надо организовать и поддерживать не чёрный список сайтов, а пустить по 3.14зде бизнес тех УЦ, которые выдают сертификаты сайтам, чья подлинность, по мнению правительства США, не должна быть достоверно подтверждена. Это как анальное огораживание в ЖЖ, когда назойливого и раздражающего юзера блокируют вместе со всеми его френдами.

> Не проще добавить в код браузера черный список сайтов и все?

Не проще. Есть ещё системное хранилище сертификатов, в котором могут храниться сертификаты этих самых УЦ, и пока их оттуда не вычистить, система и браузеры, которые тоже пользуются системным хранилищам, будет им доверять. Чтобы вычистить сертификаты ещё и из этого хранилища, надо выполнить код с уровнем доступа системы. Браузеры такого уровня доступа не имеют и принципиально иметь его не должны.

> Или смутило отсутствие частицы "ли"?

Совершенно верно. Без «ли» понять что ты имел в виду, несколько затруднительно.

> Не слишком мудрено, если цель сделать недоступными сайты ?

С чего ты взял, что цель состоит в том, чтобы сделать сайты недоступными?

> Ты не понял, наверно.

Это ты не понял.

> Просто сделать так, чтобы браузер на сайт, имеющий определенную форму имени, заведомо не заходил и все?

Если бы правительство США хотело заблокировать сайт правительства РФ, оно бы заблокировало сайт правительства РФ, но вместо этого оно отозвало сертификат для *.gov.ru.

> Почему так то не сделать, если конечный технический результат именно такой - недоступность из браузера сайта с определенным именем?

Не надо фантазировать, какой конечный технический результат. Отзывом сертификата невозможно сделать сайт недоступным, но можно эффективно превратить его в тыкву. Он, вроде бы, и есть, и даже можно прочитать, что там на нём написано, но доверия этому сайту уже нет. И при этом не надо светить закладки в магистральных маршрутизаторах, блокируя трафик этих сайтов.

> Зачем заморачиваться с сертификатами, если можно просто по имени блокировать сайт браузером, раз можно менять код браузера?

Это простой и дешёвый способ демонстрации силы и возможностей. Не надо блокировать доступ к правительственным сайтам, если отзыв сертификата для *.gov.ru превращает их в ненадёжный источник информации, а ведь на них публикуются законы. Следующая угроза — отзыв сертификата промежуточного УЦ Яндекса. Такой отзыв пустит по 3.14зде весь его бизнес. То же самое касается и отзыва сертификата для mail.ru. После чего владельцам этих компаний ставят простой ультиматум: хотите вести бизнес и дальше, делайте что хотите, но, например, уберите Путина с поста президента РФ, он мешает вести бизнес нам и, скажем, мешает нашим стратегическим партнёрам в Европе сожрать Беларусь. Нам наплевать, что вы там будет делать, у вас есть деньги и влияние, используйте его, если хотите работать и дальше.