newizv.ru — В число интернет-ресурсов, оставшихся без SSL-сертификата оказались кремлевский сайт и сайт ФСБ. В телеграммах пишут, что на очереди Яндекс и Мейлру.
> В Казахстане пробовали, кстати - не взлетело. Не знаю, почему, надо местных спросить.
Предполагаю тихий, молчаливый и сплочённый саботаж всех, кого в Казахстане попытались привлечь для внедрения единого государственного УЦ за те деньги, которые смогло предложить правительство.
> Предполагаю тихий, молчаливый и сплочённый саботаж всех, кого в Казахстане попытались привлечь для внедрения единого государственного УЦ за те деньги, которые смогло предложить правительство.
Так его прям внедрили, он какое-то время поработал - пользователь должен был принять сертификат, как доверенный, или идти на хуй. А потом его тихо и молча отключили и стало как раньше.
Это контора не называется ФСБ. Вокруг ФСБ есть 100500 контор, в которых всё руководство - "бывшие", но сами эти конторы "ФСБ" не называются. Это такие себе тихие гавани для удачно выслужившихся.
> Так его прям внедрили, он какое-то время поработал - пользователь должен был принять сертификат, как доверенный, или идти на хуй. А потом его тихо и молча отключили и стало как раньше.
Ну, не знаю. Может, для обслуживания самой системы перехвата квалифицированных желающих найти не удалось, или выяснилось, что весь этот комплекс будет стоить слишком дорого.
То есть путь развития, свой браузер, свой поисковик, все государственное живет на этом и никак не пересекается с гуглом и т.д.. Тут правда вопрос в планшетах\телефонах, как основной ИТ платформы обывателя. И на этой платформе все и работает считай на браузере и сертификатах. С учетом развития цифры, тех. же автономных касс в супермаркетах и роботах доставки еды и т.п. в внезапную ковид эпоху дистанционного и автономного. Как бы, сказать че, да мы в линукс и вообще досвидание, не получиться. То есть для начала надо на 150 лямов устройств в год заводик создать, инфраструктуру свою и т.д.
> > выяснилось, что весь этот комплекс будет стоить слишком дорого.
> Так внедрили ж, говорю. Уже. Но потом выключили.
Ну, что-то внедрили. А потом внезапно могло выясниться, что у того, что внедрили, почему-то не хватает мощности для переваривания того объёма трафика, который через эту систему попёр, или емкости хранилищ хватает только на день-два, чего для ведения ОРМ катастрофически не хватает. То есть, могло выясниться, что на этапе проектирования были допущены грубые ошибки в оценках требуемых параметров системы перехвата, и нужно ещё очень много денег, чтобы довести её до ума.
Также могло выясниться, что целевая аудитория, за которой предполагалось следить путём перехвата трафика, HTTPS не пользуется, вместо этого шифрует свой трафик чем-то ещё. Или ещё тупее — пускает поверх HTTPS ещё один HTTPS, но уже со своей криптографией и с неизвестными шифрами.
Это ты щас гадаешь вообще не понять, зачем. Тут не линкедин, особо ты этими гаданиями никого не заинтересуешь. Говорю же - выясню, вопрос задам, если можно будет, то поделюсь.
> Тут правда вопрос в планшетах\телефонах, как основной ИТ платформы обывателя.
На этом наполеоновские планы цифровизации российской экономики, собственно, и закончились.
> То есть для начала надо на 150 лямов устройств в год заводик создать, инфраструктуру свою и т.д.
Во-во. А заводик-то забугорные буржуи не продадут, потому что на любом заводе можно выпускать продукцию двойного назначения. А если продадут, так купленное оборудование местные сгноят в лучших традициях довоенного вредительства и саботажа, по причине отсутствия квалифицированного персонала для его монтажа, пуска, наладки и обслуживания.
В новости про "свой" УЦ написано, что "будет обсуждаться на рабочей группе", а не "планируется к реализации". Все это было в рамках концепции "суверенного" интернета. Сейчас, как я понимаю, денег на реализацию этой концепции сильно меньше стало.
> > Это ты щас гадаешь вообще не понять, зачем. > > Так интересно же.
Интересны там технические подробности, как внедряли, на чём. А ты уже гадаешь про административные вещи больше, а там вообще всё, что угодно, может быть. Вплоть до причин, которые никто никогда никому не расскажет, но они есть.
> В новости про "свой" УЦ написано
Я очень далёк от этой темы, не слежу совсем. Но вроде пару раз даже некие учения успешно провели в России по стабильности и функционированию внутреннего интернета при отключении сервисов и служб западом. И отрапортавли что все готово. Согласно прессе.
> Интересны там технические подробности, как внедряли, на чём. А ты уже гадаешь про административные вещи больше, а там вообще всё, что угодно, может быть. Вплоть до причин, которые никто никогда никому не расскажет, но они есть.
> Я очень далёк от этой темы, не слежу совсем. Но вроде пару раз даже некие учения успешно провели в России по стабильности и функционированию внутреннего интернета при отключении сервисов и служб западом. И отрапортавли что все готово. Согласно прессе.
Это про другое немножко. Удостоверяющий центр - это контора, которая авторизована выпускать сертификаты, которыми шифруют траффик. Технически, сертификат можно сгенерить на большинстве железок, но он не будет доверенным - это будет т.н. самоподписанный (self-signed) сертификат - шифровать им можно, но его подлинность не удостоверена. А УЦ выпускают именно удостоверенные сертификаты, отвечая своей репутацией и согласно законодательству. Фактически, эдакий ключник с репутацией.
А про работу инфраструктурных сервисов - это про другое.
"Вы не понимаете! Это другое!"))
Учения были про организацию работы сегмента Интернет, при блокировке магистральных трансграничных переходов (эмулирующих блокировку корневых серверов DNS-зон ru и еже с ними, со стороны США). Но там, насколько я знаю, "все не так однозначно" получилось. Полагаю, не хватило нормативной базы, чтобы всех участников рынка привести к "общему знаменателю". "Отчитались" большие провайдеры у которых есть свои точки обмена трафиком.
> О том и речь и они могут быть отдельными от провайдеров (которые определены законом "о связи") юрлицами. А дальше - "все сложно"!)
Вообще, я думаю, нереализуемо это, на данный момент. Своим-то еще как-то можно приказать - да и то. А как ты некрософту или шеврону прикажешь отказаться от собственной магистральной физики, по которой они fv где-нить в Мюнхене забирают?
> Его жизнь станет ещё более прозрачной, причём совершенно официально.
А вот это да. Как недавно смеялись над Казахстаном, где сказали - расшифровать https-трафик, и всем настоятельно предлагали добавить в сертификаты доверенных корневых центров сертификации их сертификат. А тут будет добровольно и с песнями.
> Вопрос в используемых браузерах, а браузеры — это не Линукс.
Браузеры используют список сертификатов из ОС, обновления сертификатов приходят вместе с обновлениями ОС. И у микрософта и у линухов/юнихов. И там и там можно вручную поставить корневой сертификат CA. Вот если мне ни с кем память не изменяет.
> Как недавно смеялись над Казахстаном, где сказали - расшифровать https-трафик, и всем настоятельно предлагали добавить в сертификаты доверенных корневых центров сертификации их сертификат.
Лично я не смеялся, я с ужасом ждал, когда такое произойдёт и у нас, в России. Что касается Казахстана, то там, вроде, сдали назад через неделю.
> А тут будет добровольно и с песнями.
Если сертификат промежуточного УЦ Яндекса отзовут, то да, добровольно, с песнями и плясками.
> > Вопрос в используемых браузерах, а браузеры — это не Линукс.
> Браузеры используют список сертификатов из ОС, …
Firefox, например, может использовать свою базу данных сертификатов, может — общесистемную.
> … обновления сертификатов приходят вместе с обновлениями ОС.
Приходят, да.
> И у микрософта и у линухов/юнихов.
Линукс — это не операционная система, это ядро. Операционная сисетма, вернее, класс таких систем называется GNU/Linux.
> И там и там можно вручную поставить корневой сертификат CA. Вот если мне ни с кем память не изменяет.
Будет умора, если с обновлениями для каждой из общеупотребительных ОС будет регулярно устанавливаться малюсенькая программка, методично удаляющая из системы всю цепочку доверия сертификатов, начиная с сертификата УЦ, выдавшего сертификат kremlin.gov.ru и вплоть до входящего в него сертификата корневого УЦ. Ну и момент истины настанет, когда эта функциональность окажется встроена и в каждый браузер и даже в ядра операционных систем. Это стратегия будет называться «Троянский конь или доставка санкций внутрь периметра противника его же собственными силами».
> Будет умора, если с обновлениями для каждой из общеупотребительных ОС будет регулярно устанавливаться малюсенькая программка, методично удаляющая из системы всю цепочку доверия сертификатов, начиная с сертификата УЦ, выдавшего сертификат kremlin.gov.ru и вплоть до входящего в него сертификата корневого УЦ. Ну и момент истины настанет, когда эта функциональность окажется встроена и в каждый браузер и даже в ядра операционных систем. Это стратегия будет называться «Троянский конь или доставка санкций внутрь периметра противника его же собственными силами».
Ничо сложного, кстати, CDN запросто такое зарешает. Умора будет, если родное правительство, ввиду такой подставы, начнет выпускать методические рекомендации по установке обновлений строго через VPN.
> Прошу простить мою неосведомлённость, а что это такое?
Это мем с одного окололинуксового форума, означающий ожидания инструкция по сборке какого-либо нового программного обеспечения. Дистрибутив, в котором эти инструкции описываются в текстовом виде в файлах *.ebuild, позволяет всё нужное программное обеспечение собирать из исходных текстов локально, и при этом очень гибко настраивать сборку этого программного обеспечения.
В данном случае это была шутка на тему того, что хочется уже наконец посмотреть на то, как оно работать должно. Примерно как в той шутке про вирус под линупс, который работает под строго определёнными версиями ядра ОС и требует для сборки строго определённый компилятор, потому запустить его могут только профессионалы.
> > Будет умора, если с обновлениями для каждой из общеупотребительных ОС будет регулярно устанавливаться малюсенькая программка, методично удаляющая из системы всю цепочку доверия сертификатов, начиная с сертификата УЦ, выдавшего сертификат kremlin.gov.ru и вплоть до входящего в него сертификата корневого УЦ.
> Ничо сложного, кстати, CDN запросто такое зарешает. Умора будет, если родное правительство, ввиду такой подставы, начнет выпускать методические рекомендации по установке обновлений строго через VPN.
На всякий случай уточню. Я имел в виду, что эту маленькую программку для каждой ОС и для каждого браузера правительство США обяжет написать каждого производителя соответствующего ПО и включить её в дистрибутив, после чего через что ни обновляйся, хоть через CDN, хоть через VPN — результат будет строго один и тот же: сайт kremlin.gov.ru будет доступен по HTTPS строго до первого обновления браузера/ОС, а через несколько таких итераций зарубежные УЦ резко поумнеют, и просто перестанут отвечать на запросы на выпуск сертификатов с CN=*.gov.ru.
> Дистрибутив, в котором эти инструкции описываются в текстовом виде в файлах *.ebuild, позволяет всё нужное программное обеспечение собирать из исходных текстов локально, и при этом очень гибко настраивать сборку этого программного обеспечения.
Ага, понЯл. Ну, с виндой такой трюк явно не прокатит. Её исходников в открытом доступе-то нет.
> Ага, понЯл. Ну, с виндой такой трюк явно не прокатит. Её исходников в открытом доступе-то нет.
Исходники NT4, W2000 и и даже вроде XP предоставляли Микрософт России в нулевых в рамках сертификации для проектов бывшего Средмаша, это не секрет, было в прессе. Но с учётом, как ставятся на неё цифроподписанные MS патчи и сервиспаки без исходников, это почти ничего не даёт для ни для старых версий, ни тем более для W10. К середине нулевых все завяло ещё даже до Vista.
> Исходники NT4, W2000 и и даже вроде XP предоставляли Микрософт России в нулевых в рамках сертификации для проектов бывшего Средмаша, это не секрет, было в прессе.
Было, да, помню. Но сейчас пользоваться этими версиями винды для доступа в интернет совершенно невозможно. На них просто не запустятся современные браузеры, а сами они не заработают на современном железе — дров нет. Тогда уж лучше какой-нибудь *бунту, или вообще ведроид.
> Но с учётом, как ставятся на неё цифроподписанные MS патчи и сервиспаки без исходников, это почти ничего не даёт для ни для старых версий, ни тем более для W10. К середине нулевых все завяло ещё даже до Vista.
> > Ну ты ж понимаешь, как CDN работает? > > Неа, просвети.
Там цимес в том, что контент подвозят к наиболее близкому (географически) для потребителя ЦОДу, чтобы за пиринг дорого не платить. Соответственно, когда у тебя ведроид лезет обновляться - он обновляется не с далёких пиндосских или японских хранилок, а с близких русских или украинских. Соответственно, апдейт для сегмента ru там лежит в кэше и выгружается махом, а с японского надо год тянуть. Но! Если ты не хочешь, чтобы у тебя апдейт шел с нашего регионального узла, ты можешь вывалиться куда-нить через впн - предварительно, конечно, настроив приложуху.
> Там цимес в том, что контент подвозят к наиболее близкому (географически) для потребителя ЦОДу, чтобы за пиринг дорого не платить. Соответственно, когда у тебя ведроид лезет обновляться - он обновляется не с далёких пиндосских или японских хранилок, а с близких русских или украинских. Соответственно, апдейт для сегмента ru там лежит в кэше и выгружается махом, а с японского надо год тянуть.
Примерно так я себе работу CDN и представлял.
> Но! Если ты не хочешь, чтобы у тебя апдейт шел с нашего регионального узла, ты можешь вывалиться куда-нить через впн - предварительно, конечно, настроив приложуху.
А теперь у меня вопрос. Согласно моему предложению, код, вычищающий из хранилищей системы и браузеров сертификат УЦ, имевшего глупость выдать сертификат *.gov.ru, следует включить непосредственно в дистрибутивы ОС и браузеров и запускать у пользователей по всему миру, а не только у пользователей из РФ. В таком случае каким образом обновление по VPN из CDN для США позволит избежать запуска этого кода, если он будет включён и в дистрибутив для американских пользователей?
> код, вычищающий из хранилищей системы и браузеров сертификат УЦ, имевшего глупость выдать сертификат *.gov.ru, следует включить непосредственно в дистрибутивы ОС и браузеров и запускать у пользователей по всему миру, а не только у пользователей из РФ.
Не слишком мудреное решение, если по сути надо тупо организовать черный список сайтов, а код осей и браузеров ты можешь менять и доставлять регулярно обновами?
Не проще добавить в код браузера черный список сайтов и все?
«Не слишком мудрёный» эквивалентно «простой».
> … если по сути надо тупо организовать черный список сайтов, а код осей и браузеров ты можешь менять и доставлять регулярно обновами?
По сути надо организовать и поддерживать не чёрный список сайтов, а пустить по 3.14зде бизнес тех УЦ, которые выдают сертификаты сайтам, чья подлинность, по мнению правительства США, не должна быть достоверно подтверждена. Это как анальное огораживание в ЖЖ, когда назойливого и раздражающего юзера блокируют вместе со всеми его френдами.
> Не проще добавить в код браузера черный список сайтов и все?
Не проще. Есть ещё системное хранилище сертификатов, в котором могут храниться сертификаты этих самых УЦ, и пока их оттуда не вычистить, система и браузеры, которые тоже пользуются системным хранилищам, будет им доверять. Чтобы вычистить сертификаты ещё и из этого хранилища, надо выполнить код с уровнем доступа системы. Браузеры такого уровня доступа не имеют и принципиально иметь его не должны.
>> Не слишком мудреное решение, если по сути надо тупо организовать черный список сайтов, а код осей и браузеров ты можешь менять и доставлять регулярно обновами?
> «Не слишком мудрёный» эквивалентно «простой».
Там в конце знак вопроса.
Поэтому нет, не эквивалентно.
Когда написано "не слишком сложно?" в этом вопросе "не слишком сложно" не эквивалентно "просто".
Или смутило отсутствие частицы "ли"?
> По сути надо организовать и поддерживать не чёрный список сайтов, а пустить по 3.14зде бизнес тех УЦ, которые выдают сертификаты сайтам, чья подлинность, по мнению правительства США, не должна быть достоверно подтверждена. Это как анальное огораживание в ЖЖ, когда назойливого и раздражающего юзера блокируют вместе со всеми его френдами.
Не слишком мудрено, если цель сделать недоступными сайты ?
> Не проще. Есть ещё системное хранилище сертификатов, в котором могут храниться сертификаты этих самых УЦ, и пока их оттуда не вычистить, система и браузеры, которые тоже пользуются системным хранилищам, будет им доверять.
Ты не понял, наверно.
Просто сделать так, чтобы браузер на сайт, имеющий определенную форму имени, заведомо не заходил и все?
И есть там сертификаты какие то или нет - уже неважно.
Почему так то не сделать, если конечный технический результат именно такой - недоступность из браузера сайта с определенным именем?
Зачем заморачиваться с сертификатами, если можно просто по имени блокировать сайт браузером, раз можно менять код браузера?
Совершенно верно. Без «ли» понять что ты имел в виду, несколько затруднительно.
> Не слишком мудрено, если цель сделать недоступными сайты ?
С чего ты взял, что цель состоит в том, чтобы сделать сайты недоступными?
> Ты не понял, наверно.
Это ты не понял.
> Просто сделать так, чтобы браузер на сайт, имеющий определенную форму имени, заведомо не заходил и все?
Если бы правительство США хотело заблокировать сайт правительства РФ, оно бы заблокировало сайт правительства РФ, но вместо этого оно отозвало сертификат для *.gov.ru.
> Почему так то не сделать, если конечный технический результат именно такой - недоступность из браузера сайта с определенным именем?
Не надо фантазировать, какой конечный технический результат. Отзывом сертификата невозможно сделать сайт недоступным, но можно эффективно превратить его в тыкву. Он, вроде бы, и есть, и даже можно прочитать, что там на нём написано, но доверия этому сайту уже нет. И при этом не надо светить закладки в магистральных маршрутизаторах, блокируя трафик этих сайтов.
> Зачем заморачиваться с сертификатами, если можно просто по имени блокировать сайт браузером, раз можно менять код браузера?
Это простой и дешёвый способ демонстрации силы и возможностей. Не надо блокировать доступ к правительственным сайтам, если отзыв сертификата для *.gov.ru превращает их в ненадёжный источник информации, а ведь на них публикуются законы. Следующая угроза — отзыв сертификата промежуточного УЦ Яндекса. Такой отзыв пустит по 3.14зде весь его бизнес. То же самое касается и отзыва сертификата для mail.ru. После чего владельцам этих компаний ставят простой ультиматум: хотите вести бизнес и дальше, делайте что хотите, но, например, уберите Путина с поста президента РФ, он мешает вести бизнес нам и, скажем, мешает нашим стратегическим партнёрам в Европе сожрать Беларусь. Нам наплевать, что вы там будет делать, у вас есть деньги и влияние, используйте его, если хотите работать и дальше.
Сейчас, сейчас
Предполагаю тихий, молчаливый и сплочённый саботаж всех, кого в Казахстане попытались привлечь для внедрения единого государственного УЦ за те деньги, которые смогло предложить правительство.