newizv.ru В число интернет-ресурсов, оставшихся без SSL-сертификата оказались кремлевский сайт и сайт ФСБ. В телеграммах пишут, что на очереди Яндекс и Мейлру.
Лично моё мнение из подвала такое: разработку и поддержку этих самых сайтов выиграла контора, с ребенком уважаемого человека во главе. Поскольку имитация деятельности и лояльность руководству, в таких конторах, ценится куда выше, чем профессионализм - вполне возможна ситуация, что банально проебали момент, когда надо было продлевать сертификат.
Ну а пиндосик воспользовался моментом - себя миру показать.
> Предполагаю тихий, молчаливый и сплочённый саботаж всех, кого в Казахстане попытались привлечь для внедрения единого государственного УЦ за те деньги, которые смогло предложить правительство.
Так его прям внедрили, он какое-то время поработал - пользователь должен был принять сертификат, как доверенный, или идти на хуй. А потом его тихо и молча отключили и стало как раньше.
Это контора не называется ФСБ. Вокруг ФСБ есть 100500 контор, в которых всё руководство - "бывшие", но сами эти конторы "ФСБ" не называются. Это такие себе тихие гавани для удачно выслужившихся.
Это ты щас гадаешь вообще не понять, зачем. Тут не линкедин, особо ты этими гаданиями никого не заинтересуешь. Говорю же - выясню, вопрос задам, если можно будет, то поделюсь.
> > Это ты щас гадаешь вообще не понять, зачем. > > Так интересно же.
Интересны там технические подробности, как внедряли, на чём. А ты уже гадаешь про административные вещи больше, а там вообще всё, что угодно, может быть. Вплоть до причин, которые никто никогда никому не расскажет, но они есть.
> Я очень далёк от этой темы, не слежу совсем. Но вроде пару раз даже некие учения успешно провели в России по стабильности и функционированию внутреннего интернета при отключении сервисов и служб западом. И отрапортавли что все готово. Согласно прессе.
Это про другое немножко. Удостоверяющий центр - это контора, которая авторизована выпускать сертификаты, которыми шифруют траффик. Технически, сертификат можно сгенерить на большинстве железок, но он не будет доверенным - это будет т.н. самоподписанный (self-signed) сертификат - шифровать им можно, но его подлинность не удостоверена. А УЦ выпускают именно удостоверенные сертификаты, отвечая своей репутацией и согласно законодательству. Фактически, эдакий ключник с репутацией.
А про работу инфраструктурных сервисов - это про другое.
> О том и речь и они могут быть отдельными от провайдеров (которые определены законом "о связи") юрлицами. А дальше - "все сложно"!)
Вообще, я думаю, нереализуемо это, на данный момент. Своим-то еще как-то можно приказать - да и то. А как ты некрософту или шеврону прикажешь отказаться от собственной магистральной физики, по которой они fv где-нить в Мюнхене забирают?
> Будет умора, если с обновлениями для каждой из общеупотребительных ОС будет регулярно устанавливаться малюсенькая программка, методично удаляющая из системы всю цепочку доверия сертификатов, начиная с сертификата УЦ, выдавшего сертификат kremlin.gov.ru и вплоть до входящего в него сертификата корневого УЦ. Ну и момент истины настанет, когда эта функциональность окажется встроена и в каждый браузер и даже в ядра операционных систем. Это стратегия будет называться «Троянский конь или доставка санкций внутрь периметра противника его же собственными силами».
Ничо сложного, кстати, CDN запросто такое зарешает. Умора будет, если родное правительство, ввиду такой подставы, начнет выпускать методические рекомендации по установке обновлений строго через VPN.
> > Ну ты ж понимаешь, как CDN работает? > > Неа, просвети.
Там цимес в том, что контент подвозят к наиболее близкому (географически) для потребителя ЦОДу, чтобы за пиринг дорого не платить. Соответственно, когда у тебя ведроид лезет обновляться - он обновляется не с далёких пиндосских или японских хранилок, а с близких русских или украинских. Соответственно, апдейт для сегмента ru там лежит в кэше и выгружается махом, а с японского надо год тянуть. Но! Если ты не хочешь, чтобы у тебя апдейт шел с нашего регионального узла, ты можешь вывалиться куда-нить через впн - предварительно, конечно, настроив приложуху.
не фашист »