newizv.ru — В число интернет-ресурсов, оставшихся без SSL-сертификата оказались кремлевский сайт и сайт ФСБ. В телеграммах пишут, что на очереди Яндекс и Мейлру.
Правильно ли я понял, что кремлин.ру используют сертификат, выданный удостоверяющим центром, который контролируем штатами, отчего браузеры, запросив список отозванных сертификатов из этого УЦ и обнаружив его в списке - отказываются по формальным ограничениям осуществлять шифрованную сессию по протоколу https с кремлином, например?
Т.е. браузер именно не имеет техвозможности шифровать в силу специфики техпроцесса шифрования, а не просто отбрасывает доступный ему и пригодный технически для процесса шифрования сертификат как негодный?
Я так и думал, просто сам процессами такого шифрования не занимался и через это был не совсем уверен, что выбор в браузере доверия сертификату обеспечивает весь функционал протокола https.
Подозревал, что, возможно, обмен ключами как то включает в себя получение чего то еще от УЦ, кроме списка отозваных.
> код, вычищающий из хранилищей системы и браузеров сертификат УЦ, имевшего глупость выдать сертификат *.gov.ru, следует включить непосредственно в дистрибутивы ОС и браузеров и запускать у пользователей по всему миру, а не только у пользователей из РФ.
Не слишком мудреное решение, если по сути надо тупо организовать черный список сайтов, а код осей и браузеров ты можешь менять и доставлять регулярно обновами?
Не проще добавить в код браузера черный список сайтов и все?
>> Не слишком мудреное решение, если по сути надо тупо организовать черный список сайтов, а код осей и браузеров ты можешь менять и доставлять регулярно обновами?
> «Не слишком мудрёный» эквивалентно «простой».
Там в конце знак вопроса.
Поэтому нет, не эквивалентно.
Когда написано "не слишком сложно?" в этом вопросе "не слишком сложно" не эквивалентно "просто".
Или смутило отсутствие частицы "ли"?
> По сути надо организовать и поддерживать не чёрный список сайтов, а пустить по 3.14зде бизнес тех УЦ, которые выдают сертификаты сайтам, чья подлинность, по мнению правительства США, не должна быть достоверно подтверждена. Это как анальное огораживание в ЖЖ, когда назойливого и раздражающего юзера блокируют вместе со всеми его френдами.
Не слишком мудрено, если цель сделать недоступными сайты ?
> Не проще. Есть ещё системное хранилище сертификатов, в котором могут храниться сертификаты этих самых УЦ, и пока их оттуда не вычистить, система и браузеры, которые тоже пользуются системным хранилищам, будет им доверять.
Ты не понял, наверно.
Просто сделать так, чтобы браузер на сайт, имеющий определенную форму имени, заведомо не заходил и все?
И есть там сертификаты какие то или нет - уже неважно.
Почему так то не сделать, если конечный технический результат именно такой - недоступность из браузера сайта с определенным именем?
Зачем заморачиваться с сертификатами, если можно просто по имени блокировать сайт браузером, раз можно менять код браузера?
> С чего ты взял, что цель состоит в том, чтобы сделать сайты недоступными
Но ведь техническая цель в рамках IT именно такая?
Или ты полагаешь это лишь средством/побочным эффектом?
> Это ты не понял.
Возможно, оттого и спрашиваю.
> Если бы правительство США хотело заблокировать сайт правительства РФ, оно бы заблокировало сайт правительства РФ, но вместо этого оно отозвало сертификат для *.gov.ru.
В ходе чтения треда я так и не понял, кстати, - это факт или это утка на основе слухов.
> Не надо фантазировать, какой конечный технический результат.
Позволь, но это еще почему, ты ж тоже фантазируешь некую цель?
Тобой описан способ, в итоге которого становятся в браузере недоступными сайты.
Я интересуюсь, почему не сделать напрямую, если итог один?
Или не один?
> Он, вроде бы, и есть, и даже можно прочитать, что там на нём написано, но доверия этому сайту уже нет
А чем это мешает практически то?
Нет доверия - это формальная оценка с т.з. браузера, которую легко игнорирует его пользователь.
А нет доступа - все, приехали.
> превращает их в ненадёжный источник информации, а ведь на них публикуются законы
А, т.е. результат все же видится не совсем один и тот же.
Организовать просто отсутствие доступа к яндексу, майлу и gov.ru - не проще?
Не пойдет ли все по пизде еще эффективнее ?
Или отсутствие доступа проще обойти, чем такое?
>> Организовать просто отсутствие доступа к яндексу, майлу и gov.ru - не проще?
> Гораздо сложнее. Для этого придётся засветить закладки в сетевом оборудовании, приберегаемые для острой фазы конфликта
На уровне софта, имею в виду, не на уровне железа.
Раз уж есть возможность обновы делать какие вздумается.
Код браузера и ОС дополнить, чтобы тупо не было доступа к яндексу, майлу и gov.ru
> Нет, не проще. Что-то мешающее отламывают гораздо быстрее чем то, что, на первый взгляд, не мешает. Очень быстро появятся патчи, устраняющие такую затычку.
Т.е., правильно понимаю твою мысль, - надежнее создать регулярную проблему на уровне самой технологии(см. данные подсистемы безопасности - сертификаты), чем на уровне функции отдельного модуля (доступ к сайту браузером по имени), т.к. технология пронизывает массу функционала и ее нельзя отменить и заменить, не имея собственных операционок, браузеров и корневых УЦ?
Сейчас, сейчас
Правильно ли я понял, что кремлин.ру используют сертификат, выданный удостоверяющим центром, который контролируем штатами, отчего браузеры, запросив список отозванных сертификатов из этого УЦ и обнаружив его в списке - отказываются по формальным ограничениям осуществлять шифрованную сессию по протоколу https с кремлином, например?