newizv.ru — В число интернет-ресурсов, оставшихся без SSL-сертификата оказались кремлевский сайт и сайт ФСБ. В телеграммах пишут, что на очереди Яндекс и Мейлру.
> В целом да, только ограничения не формальные, а вполне физические - без сертификата невозможно произвести шифрование данных и рашифровку закрытым ключом. Теперь нужен новый сертификат и новый закрытый ключ.
Сертификат физически есть, можно шифровать, подписывать и подтверждать подлинность, но в сертификате выдавшего сертификат сайта удостоверяющего центра (УЦ) указана ссылка на сайт этого УЦ, по которой доступен электронный документ, называемый списком отзыва сертификатов. В этом документе перечислены серийные номера сертификатов, которые более не могут использоваться по различным причинам (отозваны самим УЦ) до истечения срока годности этих сертификатов. Список отзыва сертификатов заверяется усиленной квалифицированной ЭП УЦ. У списков отзыва, как и у сертификатов, также есть срок годности, обычно — неделя, по истечении которого список перевыпускается УЦ с новым сроком.
Браузер, получая в руки сертификат веб-сайта, ищет по своей локальной базе сертификатов доверенных УЦ сертификат УЦ выдавшего сертификат сайта, находит в нём ссылку на список отзыва, затем ищет локальную копию списка отзывов сертификатов этого УЦ, если такого нет, или его срок годности уже истёк, скачивает его с сайта УЦ, затем проверяет правильность ЭП под списком отзыва и ищет в нём серийный номер сертификата сайта. Если находит, то прерывает соединение. И так для каждого защищённого (шифрованного) соединения.
Если проигнорировать все эти ограничения (истечение срока годности сертификата, истечение срока годности списка отзывов, наличие серийного номера сертификата в списке отзывов), то ключом подписи в сертификате пользоваться можно, так что ограничения вполне себе формальные. Однако, необходимо отметить, что в таком случае УЦ больше не отвечает за то, что этот ключ принадлежит администрации сайта, на который зашёл пользователь, поэтому смысла в том, чтобы использовать сертификат с истёкшим сроком годности или отозванный УЦ никакого нет.
> Т.е. браузер именно не имеет техвозможности шифровать в силу специфики техпроцесса шифрования, а не просто отбрасывает доступный ему и пригодный технически для процесса шифрования сертификат как негодный?
Нет, именно отбрасывает сертификат как утративший доверие удостоверяющего центра, который его выдал. Пользоваться сертификатом можно, но смысла в этом никакого нет, потому что если сертификат отозван, или его срок действия истёк, это означает, что удостоверяющий центр, который его выдал, больше не отвечает за то, что открытый ключ в сертификате принадлежит именно этому сайту, имя которого указано в сертификате.
Тот, кто это сделал — идиот. Теперь у Правительства России появился совершенно официальный предлог заставить всех пользователей российских государственных интернет-ресурсов установить в свои браузеры сертификат какого-нибудь удостоверяющего центра, подконтрольного ФСБ, и доверять ему, что позволит ФСБ незаметно для подавляющего большинства пользователей осуществлять перлюстрацию любых его шифрованных соединений. Да, и с банками тоже. Вряд ли кто-нибудь из пользователей будет настраивать себе отдельный профиль для работы с российскими интернет-ресурсами и отдельный профиль для работы со всеми остальными сайтами.
> Хороший ход, интересный. У Яндекса свой собственный сертификат. У МИДа от digicert.com.
У Яндекса промежуточный удостоверяющий центр (УЦ), а не корневой. Иными словами, браузеры не доверяют УЦ Яндекса напрямую. Достаточно польскому Certum Trusted Network CA отозвать сертификат промежуточного УЦ Яндекса, как все сертификаты Яндекса немедленно превратятся в тыквы.
> Интересно, очень большая сложность на другой CA[censored]
Газпром, например, испытывает определённые сложности в вопросе «переехать» от одного поставщика услуг по прокладке трубопровода по дну Балтийского моря к другому. Здесь будет то же самое: крупные УЦ из этого списка откажут, а мелких, если они согласятся, производители браузеров просто выкинут из перечня доверенных и перестанут поставлять их корневые сертификаты со своей продукцией, а те, что уже установлены у пользователей, принудительно удалят. В конце концов, неважно, сколько всего этих УЦ, важно, какие корневые УЦ внесены в перечень доверенных крупными производителями браузеров. А крупных производителей браузеров всего трое: Mozilla, Google и Microsoft.
> Ну так и в итоге-то что? Чем это всё грозит Родине?
Очередным принудительным импортозамещением.
> Чем это всё грозит пользователю?
Его жизнь станет ещё более прозрачной, причём совершенно официально.
> Можно ли сделать свои корневые сертификаты?
Сколько угодно, это не проблема. Проблема добиться того, чтобы этому корневому сертификату доверяли все пользователи большой тройки интернет-браузеров: Mozilla Firefox, Google Chrome и Microsoft Edge.
> Надо ли ждать китайскую Harmony OS с бекджеком и браузером или …
Нафига? Заменить американские руки, нежно пожимающие потную шею российской буржуазии китайскими?
> … обойдёмся Линуксом?
Вопрос в используемых браузерах, а браузеры — это не Линукс.
> Чисто технически остаться без сертификата невозможно. У него может закончится срок действия, его можно "отозвать" (т. е. объявить недействительным), но он никуда не денется.
А нафиг он нужен, если он недействительный? Использовать его для аутентификации сайта уже невозможно. Если сертификат протух, его можно использовать только для расшифровки зашифрованных этим сертификатом электронных документов и проверять под ними подпись, и то, если они были зашифрованы и подписаны в течение срока действия этого протухшего сертификата.
> И тут уже пользователь решает, доверять или нет. Простейший поиск в гугле выдает около полутысячи удостоверяющих центров в РФ.
В пршлом году случилась эпопея с тихим и незаметным отжатием квартир. Некоторые из аккредитованных удостоверяющих центров выдавали подставным лицам действительные сертификаты на имена реально существующих граждан, а потом эти подставные лица, пользуясь этими действительными сертификатами и парными им закрытыми ключами, изначально находившимися в их распоряжении, электронно оформляли договора продажи квартир этих ничего не подозревавших граждан. Фирмы так же угоняли. После этого особого доверия к российским УЦ лично у меня, например, уже нет.
Когда у человека внезапно угоняют квартиру или фирму, это да, проблема человека.
> Так-то дай дураку стеклянный дилдо, он и его разобьет и руки порежет.
В последнее время дураки пошли хитрые и умелые, они наловчились резать руки обломками стеклянных хуёв не себе, а совершенно непричастным гражданам.
> В Казахстане пробовали, кстати - не взлетело. Не знаю, почему, надо местных спросить.
Предполагаю тихий, молчаливый и сплочённый саботаж всех, кого в Казахстане попытались привлечь для внедрения единого государственного УЦ за те деньги, которые смогло предложить правительство.
> Так его прям внедрили, он какое-то время поработал - пользователь должен был принять сертификат, как доверенный, или идти на хуй. А потом его тихо и молча отключили и стало как раньше.
Ну, не знаю. Может, для обслуживания самой системы перехвата квалифицированных желающих найти не удалось, или выяснилось, что весь этот комплекс будет стоить слишком дорого.
> > выяснилось, что весь этот комплекс будет стоить слишком дорого.
> Так внедрили ж, говорю. Уже. Но потом выключили.
Ну, что-то внедрили. А потом внезапно могло выясниться, что у того, что внедрили, почему-то не хватает мощности для переваривания того объёма трафика, который через эту систему попёр, или емкости хранилищ хватает только на день-два, чего для ведения ОРМ катастрофически не хватает. То есть, могло выясниться, что на этапе проектирования были допущены грубые ошибки в оценках требуемых параметров системы перехвата, и нужно ещё очень много денег, чтобы довести её до ума.
Также могло выясниться, что целевая аудитория, за которой предполагалось следить путём перехвата трафика, HTTPS не пользуется, вместо этого шифрует свой трафик чем-то ещё. Или ещё тупее — пускает поверх HTTPS ещё один HTTPS, но уже со своей криптографией и с неизвестными шифрами.
> Тут правда вопрос в планшетах\телефонах, как основной ИТ платформы обывателя.
На этом наполеоновские планы цифровизации российской экономики, собственно, и закончились.
> То есть для начала надо на 150 лямов устройств в год заводик создать, инфраструктуру свою и т.д.
Во-во. А заводик-то забугорные буржуи не продадут, потому что на любом заводе можно выпускать продукцию двойного назначения. А если продадут, так купленное оборудование местные сгноят в лучших традициях довоенного вредительства и саботажа, по причине отсутствия квалифицированного персонала для его монтажа, пуска, наладки и обслуживания.
> Интересны там технические подробности, как внедряли, на чём. А ты уже гадаешь про административные вещи больше, а там вообще всё, что угодно, может быть. Вплоть до причин, которые никто никогда никому не расскажет, но они есть.
> Как недавно смеялись над Казахстаном, где сказали - расшифровать https-трафик, и всем настоятельно предлагали добавить в сертификаты доверенных корневых центров сертификации их сертификат.
Лично я не смеялся, я с ужасом ждал, когда такое произойдёт и у нас, в России. Что касается Казахстана, то там, вроде, сдали назад через неделю.
> А тут будет добровольно и с песнями.
Если сертификат промежуточного УЦ Яндекса отзовут, то да, добровольно, с песнями и плясками.
> > Вопрос в используемых браузерах, а браузеры — это не Линукс.
> Браузеры используют список сертификатов из ОС, …
Firefox, например, может использовать свою базу данных сертификатов, может — общесистемную.
> … обновления сертификатов приходят вместе с обновлениями ОС.
Приходят, да.
> И у микрософта и у линухов/юнихов.
Линукс — это не операционная система, это ядро. Операционная сисетма, вернее, класс таких систем называется GNU/Linux.
> И там и там можно вручную поставить корневой сертификат CA. Вот если мне ни с кем память не изменяет.
Будет умора, если с обновлениями для каждой из общеупотребительных ОС будет регулярно устанавливаться малюсенькая программка, методично удаляющая из системы всю цепочку доверия сертификатов, начиная с сертификата УЦ, выдавшего сертификат kremlin.gov.ru и вплоть до входящего в него сертификата корневого УЦ. Ну и момент истины настанет, когда эта функциональность окажется встроена и в каждый браузер и даже в ядра операционных систем. Это стратегия будет называться «Троянский конь или доставка санкций внутрь периметра противника его же собственными силами».
> > Будет умора, если с обновлениями для каждой из общеупотребительных ОС будет регулярно устанавливаться малюсенькая программка, методично удаляющая из системы всю цепочку доверия сертификатов, начиная с сертификата УЦ, выдавшего сертификат kremlin.gov.ru и вплоть до входящего в него сертификата корневого УЦ.
> Ничо сложного, кстати, CDN запросто такое зарешает. Умора будет, если родное правительство, ввиду такой подставы, начнет выпускать методические рекомендации по установке обновлений строго через VPN.
На всякий случай уточню. Я имел в виду, что эту маленькую программку для каждой ОС и для каждого браузера правительство США обяжет написать каждого производителя соответствующего ПО и включить её в дистрибутив, после чего через что ни обновляйся, хоть через CDN, хоть через VPN — результат будет строго один и тот же: сайт kremlin.gov.ru будет доступен по HTTPS строго до первого обновления браузера/ОС, а через несколько таких итераций зарубежные УЦ резко поумнеют, и просто перестанут отвечать на запросы на выпуск сертификатов с CN=*.gov.ru.
> Дистрибутив, в котором эти инструкции описываются в текстовом виде в файлах *.ebuild, позволяет всё нужное программное обеспечение собирать из исходных текстов локально, и при этом очень гибко настраивать сборку этого программного обеспечения.
Ага, понЯл. Ну, с виндой такой трюк явно не прокатит. Её исходников в открытом доступе-то нет.
> Исходники NT4, W2000 и и даже вроде XP предоставляли Микрософт России в нулевых в рамках сертификации для проектов бывшего Средмаша, это не секрет, было в прессе.
Было, да, помню. Но сейчас пользоваться этими версиями винды для доступа в интернет совершенно невозможно. На них просто не запустятся современные браузеры, а сами они не заработают на современном железе — дров нет. Тогда уж лучше какой-нибудь *бунту, или вообще ведроид.
> Но с учётом, как ставятся на неё цифроподписанные MS патчи и сервиспаки без исходников, это почти ничего не даёт для ни для старых версий, ни тем более для W10. К середине нулевых все завяло ещё даже до Vista.
> Там цимес в том, что контент подвозят к наиболее близкому (географически) для потребителя ЦОДу, чтобы за пиринг дорого не платить. Соответственно, когда у тебя ведроид лезет обновляться - он обновляется не с далёких пиндосских или японских хранилок, а с близких русских или украинских. Соответственно, апдейт для сегмента ru там лежит в кэше и выгружается махом, а с японского надо год тянуть.
Примерно так я себе работу CDN и представлял.
> Но! Если ты не хочешь, чтобы у тебя апдейт шел с нашего регионального узла, ты можешь вывалиться куда-нить через впн - предварительно, конечно, настроив приложуху.
А теперь у меня вопрос. Согласно моему предложению, код, вычищающий из хранилищей системы и браузеров сертификат УЦ, имевшего глупость выдать сертификат *.gov.ru, следует включить непосредственно в дистрибутивы ОС и браузеров и запускать у пользователей по всему миру, а не только у пользователей из РФ. В таком случае каким образом обновление по VPN из CDN для США позволит избежать запуска этого кода, если он будет включён и в дистрибутив для американских пользователей?
«Не слишком мудрёный» эквивалентно «простой».
> … если по сути надо тупо организовать черный список сайтов, а код осей и браузеров ты можешь менять и доставлять регулярно обновами?
По сути надо организовать и поддерживать не чёрный список сайтов, а пустить по 3.14зде бизнес тех УЦ, которые выдают сертификаты сайтам, чья подлинность, по мнению правительства США, не должна быть достоверно подтверждена. Это как анальное огораживание в ЖЖ, когда назойливого и раздражающего юзера блокируют вместе со всеми его френдами.
> Не проще добавить в код браузера черный список сайтов и все?
Не проще. Есть ещё системное хранилище сертификатов, в котором могут храниться сертификаты этих самых УЦ, и пока их оттуда не вычистить, система и браузеры, которые тоже пользуются системным хранилищам, будет им доверять. Чтобы вычистить сертификаты ещё и из этого хранилища, надо выполнить код с уровнем доступа системы. Браузеры такого уровня доступа не имеют и принципиально иметь его не должны.
Совершенно верно. Без «ли» понять что ты имел в виду, несколько затруднительно.
> Не слишком мудрено, если цель сделать недоступными сайты ?
С чего ты взял, что цель состоит в том, чтобы сделать сайты недоступными?
> Ты не понял, наверно.
Это ты не понял.
> Просто сделать так, чтобы браузер на сайт, имеющий определенную форму имени, заведомо не заходил и все?
Если бы правительство США хотело заблокировать сайт правительства РФ, оно бы заблокировало сайт правительства РФ, но вместо этого оно отозвало сертификат для *.gov.ru.
> Почему так то не сделать, если конечный технический результат именно такой - недоступность из браузера сайта с определенным именем?
Не надо фантазировать, какой конечный технический результат. Отзывом сертификата невозможно сделать сайт недоступным, но можно эффективно превратить его в тыкву. Он, вроде бы, и есть, и даже можно прочитать, что там на нём написано, но доверия этому сайту уже нет. И при этом не надо светить закладки в магистральных маршрутизаторах, блокируя трафик этих сайтов.
> Зачем заморачиваться с сертификатами, если можно просто по имени блокировать сайт браузером, раз можно менять код браузера?
Это простой и дешёвый способ демонстрации силы и возможностей. Не надо блокировать доступ к правительственным сайтам, если отзыв сертификата для *.gov.ru превращает их в ненадёжный источник информации, а ведь на них публикуются законы. Следующая угроза — отзыв сертификата промежуточного УЦ Яндекса. Такой отзыв пустит по 3.14зде весь его бизнес. То же самое касается и отзыва сертификата для mail.ru. После чего владельцам этих компаний ставят простой ультиматум: хотите вести бизнес и дальше, делайте что хотите, но, например, уберите Путина с поста президента РФ, он мешает вести бизнес нам и, скажем, мешает нашим стратегическим партнёрам в Европе сожрать Беларусь. Нам наплевать, что вы там будет делать, у вас есть деньги и влияние, используйте его, если хотите работать и дальше.
> > С чего ты взял, что цель состоит в том, чтобы сделать сайты недоступными
> Но ведь техническая цель в рамках IT именно такая?
Нету никакой «технической цели», есть только технические средства достижения политических и бизнес-целей.
> Или ты полагаешь это лишь средством/побочным эффектом?
Ясен пень, отзыв сертификата — это средство показать, кто хозяин.
> > Не надо фантазировать, какой конечный технический результат.
> Позволь, но это еще почему, ты ж тоже фантазируешь некую цель?
Я ничего не фантазирую, я предлагаю средства, применяя которые, можно навсегда отвадить доверенные удостоверяющие центры выдавать сертификаты тому, на кого укажет пальцем правительство США.
> > Он, вроде бы, и есть, и даже можно прочитать, что там на нём написано, но доверия этому сайту уже нет
> А чем это мешает практически то?
Практически закон опубликован, а юридически его можно легко послать нахер и не соблюдать, потому что мало ли, может, это и не сайт правительства России вовсе.
> Нет доверия - это формальная оценка с т.з. браузера, которую легко игнорирует его пользователь.
Формальная? Если, например, пользователь, заходя на сайт интернет-банка, проигнорировал предупреждение браузера об отсутствии доверия к открытому им сайту — он зашёл на сайт мошенников, у него только что с3,14здили реквизиты доступа и сейчас с3.14здят все деньги.
Отзыв сертификата правительственных сайтов — это только цветочки, демонстрация. Следующий на очереди — Яндекс с его Яндекс.Деньгами и Mail.Ru, а потом и банки. И тут внезапно оказывается, что режим самоизоляции уже соблюдать никак невозможно. Ни еду с доставкой заказать, ни за квартиру заплатить, ни зарплату за удалённую работу получить. А за окном, между прочим, пандемия. И вот все граждане лично попрутся в офисы и в банки, массово заражая друг друга, после чего наступит коллапс здравоохранения, который, в свою очередь, вызовет коллапс уже всего остального.
> Организовать просто отсутствие доступа к яндексу, майлу и gov.ru - не проще?
Гораздо сложнее. Для этого придётся засветить закладки в сетевом оборудовании, приберегаемые для острой фазы конфликта: для отключения сетей передачи данных противника в момент начала вооружённой интервенции, как это было в Ираке. Это как мощная оплеуха, после неё ошеломлённого противника следует обязательно добить, иначе он быстро оправится.
> Не пойдет ли все по пизде еще эффективнее ?
Пойдёт, но не долго, потому что сетевое оборудование с засвеченными закладками будет быстро заменено китайским хуавеем, зухелем и так далее. Да хоть отказоустойчивыми кластерами офисных компьютеров, забитых под завязку сетевыми платами.
> Надысь энтузиасты выкатили такой виндос[censored]
А смысл в нём, если из него выпилили Windows Update? Исправления безопасности всё равно надо как-то ставить, а тут придётся вручную составлять план их установки. Это для очень сильных духом. Домашнему пользователю будет проще переползти на какой-нибудь debian-based дистрибутив GNU/Linux.
> Код браузера и ОС дополнить, чтобы тупо не было доступа к яндексу, майлу и gov.ru
> Не проще так сделать, как считаешь?
Нет, не проще. Что-то мешающее отламывают гораздо быстрее чем то, что, на первый взгляд, не мешает. Очень быстро появятся патчи, устраняющие такую затычку.
> Т.е., правильно понимаю твою мысль, - надежнее создать регулярную проблему на уровне самой технологии(см. данные подсистемы безопасности - сертификаты), чем на уровне функции отдельного модуля (доступ к сайту браузером по имени), т.к. технология пронизывает массу функционала и ее нельзя отменить и заменить, не имея собственных операционок, браузеров и корневых УЦ?
Да. Более того, это решение не столько технологическое, сколько организационное. «Хотите выдать сертификат русскому правительству? Не будем вам в этом препятствовать. Но если выдадите, мы добьёмся фактического лишения вас статуса уполномоченного удостоверяющего центра, после чего другие ваши клиенты, сертификаты которых из-за этого превратятся в тыквы, заклюют вас исками».
Сейчас, сейчас
Сертификат физически есть, можно шифровать, подписывать и подтверждать подлинность, но в сертификате выдавшего сертификат сайта удостоверяющего центра (УЦ) указана ссылка на сайт этого УЦ, по которой доступен электронный документ, называемый списком отзыва сертификатов. В этом документе перечислены серийные номера сертификатов, которые более не могут использоваться по различным причинам (отозваны самим УЦ) до истечения срока годности этих сертификатов. Список отзыва сертификатов заверяется усиленной квалифицированной ЭП УЦ. У списков отзыва, как и у сертификатов, также есть срок годности, обычно — неделя, по истечении которого список перевыпускается УЦ с новым сроком.
Браузер, получая в руки сертификат веб-сайта, ищет по своей локальной базе сертификатов доверенных УЦ сертификат УЦ выдавшего сертификат сайта, находит в нём ссылку на список отзыва, затем ищет локальную копию списка отзывов сертификатов этого УЦ, если такого нет, или его срок годности уже истёк, скачивает его с сайта УЦ, затем проверяет правильность ЭП под списком отзыва и ищет в нём серийный номер сертификата сайта. Если находит, то прерывает соединение. И так для каждого защищённого (шифрованного) соединения.
Если проигнорировать все эти ограничения (истечение срока годности сертификата, истечение срока годности списка отзывов, наличие серийного номера сертификата в списке отзывов), то ключом подписи в сертификате пользоваться можно, так что ограничения вполне себе формальные. Однако, необходимо отметить, что в таком случае УЦ больше не отвечает за то, что этот ключ принадлежит администрации сайта, на который зашёл пользователь, поэтому смысла в том, чтобы использовать сертификат с истёкшим сроком годности или отозванный УЦ никакого нет.