» »

Rusija bo izdajala svoje certifikate TLS

Rusija bo izdajala svoje certifikate TLS

Slo-Tech - Ker zaradi zahodnih sankcij ruske spletne strani ne morejo dobiti novih certifikatov oziroma obnavljati starih po izteku - nekateri izdajatelji so jim celo preklicali še veljavne certifikate -, je Rusija ustanovila centralnega overitelja (CA), ki bo stranem izdajal lastne certifikate. Ministrstvo za digitalni razvoj ponuja brezplačno domačo alternativo za potekle certifikate, ki jo lahko lastniki ruskih domen po zaprosilu dobijo v petih dneh, so zapisali na uradnem portalu.

To je sicer res, vendar pa to še vedno ni rešitev, dokler ti certifikati niso v verigi zaupanja, zato bodo brskalniki še vedno prikazovali opozorila. Rusija zato svoje državljane poziva, naj v brskalnike ročno dodajo novega overitelja, ali pa naj presedlajo na lokalna brskalnika Yandex ali Atom, ki jih podpirata že tovarniško. Ni pričakovati, da bi Chrome, Firefox in Edge te certifikate kaj kmalu dodali med zaupanja vredne. Nekatere spletne strani so nove certifikate že začele uporabljati, denimo Sberbank, VTB in ruska centralna banka.

Ruska rešitev je problematična, saj vključuje ročno dodajanje korenskih certifikatov med zaupanja vredne, kar je slaba praksa. Celoten sistem temelji na verigi zaupanja, ki ga takšne rešitve spodkopavajo, teoretično pa bi lahko s tem izvajali tudi napade MITM. Izjemno problematično bi bilo, če bi na primer v Rusiji bila obvezna namestitev teh korenskih certifikatov.

26 komentarjev

xxxul ::

Ruska rešitev je problematična, saj vključuje ročno dodajanje korenskih certifikatov med zaupanja vredne, kar je slaba praksa.

a majo sploh kako alternativo?

Lonsarg ::

Smo leta 2022 pa se še vedno zanašamo na neke centralizirane rešitve, namesto da bi certifikate lastnik spletnih strani sam "pinal" na določen DNS preko blockchain rešitev in bi odrezali te root ponudnike.

tiborrr ::

Ni pričakovati, da bi Chrome, Firefox in Edge te certifikate kaj kmalu dodali med zaupanja vredne.

Po čem pisec novice sklepa to? Sploh recimo glede Firefoxa?
Don't test the captain's validity or his vulnerability!

djabi ::

Pametna poteza. Nekateri na Zahodu so že pokopali Rusijo in njene prebivalce, zdaj pa izgleda, da so/bodo počasi našli rešitve za te probleme. Kitajski plačni sistemi, lastni certifikati ...
Najpomembnejše je, da jim ne bo primanjkovalo hrane.

Evropa pa lahko grize svoje rogljičke.

Uporabnik ::

Pisec ne, lahko pa se vpršaš od kje je kakšen browser financiran, pa ti bo vse jasno.
If You Don\'t Stand for Something, You\'ll Fall for Anything

stara mama ::

Bo pa Rusija naredla svoj browser, in bo problem rešen.
Pol bojo pa obstajali trije interneti: USA/EU, Ruski in Kitajski. Med seboj 95% blokirani in skregani ko prepotentne najstnice. (mogoče ruski in kitajski še najmanj)

Zgodovina sprememb…

damirj79 ::

Sej certifikati niso samo na browserje vezani..

filip007 ::

Saj že imajo svoj brskalnik, samo je itak vezan na Chrome pogon, drugače so to Yandex storitve.
Palačinka z Ajvarjem in stopljenim sirom v mikrovalovki.

sirotka ::

djabi je izjavil:

Pametna poteza. Nekateri na Zahodu so že pokopali Rusijo in njene prebivalce, zdaj pa izgleda, da so/bodo počasi našli rešitve za te probleme. Kitajski plačni sistemi, lastni certifikati ...
Najpomembnejše je, da jim ne bo primanjkovalo hrane.

Evropa pa lahko grize svoje rogljičke.


Ugani kaj uporablja CIPS za komunikacijo izven kitajske? Lastni certifikati so bolj kot ne smešni. Hrane ne bo primanjkovalo niti nam.

Unchancy ::

xxxul je izjavil:

Ruska rešitev je problematična, saj vključuje ročno dodajanje korenskih certifikatov med zaupanja vredne, kar je slaba praksa.

a majo sploh kako alternativo?

Itak. Spokajo iz Ukrajine.
Škoda časa za ta režimski forum.
Pobrišite post, iz bunkerja vas že kličejo.
Adijo mod Rdeči Kmeri.

djabi ::

sirotka je izjavil:

Ugani kaj uporablja CIPS za komunikacijo izven kitajske? Lastni certifikati so bolj kot ne smešni.


Ja, ampak tisto je že most med Kitajsko in Zahodom. Rusija pa bo znotraj kitajskega sistema, kar pomeni, da je samo odjemalec in nič več. Vse ostalo bodo urejali pri Kitajcih, tudi pri denarnih transakcijah s tujino.

sirotka je izjavil:

Hrane ne bo primanjkovalo niti nam.


Upajmo. ;)

Unchancy je izjavil:

Itak. Spokajo iz Ukrajine.


Ne glede na žrtve, ruski voditelji ne bodo popustili. Razen, če se zgodi nova (rdeča) revolucija.
Spomnim se pripovedovanja moje pokojne babice o prihodu Sovjetov v Prekmurje. Nemci so jih streljali kot škorce a oni so samo prihajali in prihajali. Res pa je, da je bila takratna Sovjetska vojska sestavljena iz več pripadnikov različnih narodnosti ...

HotBurek ::

Ruska rešitev je problematična, saj vključuje ročno dodajanje korenskih certifikatov med zaupanja vredne, kar je slaba praksa.

Ne, ravno ta primer kaže, da je takšna praksa dobra. Da se uporabnik sam odloči, komu bo zaupal in komu ne. Ter, da ima znanje, kako to narediti.
Ročno dodajanje certifikatov ni nič novega. A nismo mi imelo to v začetku uvedbe sigen/sigov, ko smo root-e ročno dodajal? Ja dobro, če ne zaupaš našim domačim, pač nisi dodal.

Celoten sistem temelji na verigi zaupanja, ki ga takšne rešitve spodkopavajo, teoretično pa bi lahko s tem izvajali tudi napade MITM.

Ta "veriga zaupanja" ni nič drugega, kot nek centralni komite, ki požegna ali pa ne določene certe. Takšne rešitve spodkopavajo centralni komite, in ponujajo decentralizacijo.
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

HotBurek ::

Ima kdo primer websajta, pa da je dosegljiv iz slovenije, ki že uporablja njihov root cert?
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

AgiZ ::

Root CAji, ki jih brskalniki podpirajo morajo biti varni.
Ko se ugotovi kaka zloraba, se jih mora umakniti/onemogočiti.

To se je že zgodilo s kitajskim izdajateljem certifikatov v 2015 (ki je bil vdelan v Firefox, Chrome,...), ki je izdal intermediate certifikat za Egipčansko podjetje. To podjetje je potem izdajalo fake certifikate za Googlove domene. To pomeni da bi s temi fake certifikati lahko dekriptirali promet do teh domen (MITM, v tem primeru Googlovih). Ta kitajski root CA je bil takoj odstranjen iz brskalnikov.

Ročno dodajanje certifikatov je zelo slaba rešitev za 99% populacije. Tak sistem dodajanja se zelo enostavno zlorabi, da lahko nepooblaščeni berejo vsebino komunikacije.

Ruska rešitev, da vlada izda root CA, ki ga uporabnik doda v brskalnik pomeni ravno to nevarnost: s tem brskalnikom je lahko vsaka obiskana spletna stran/spletna komunikacija prestrežena in prebrana (po domače, kot da ni HTTPS, ampak samo HTTP), pa uporabnik tega še vedel ne bo, ker mu bo brskalnik stalno prikazoval, da je stran varna (ključavnica ob strani, nobenih opozoril).

poweroff ::

Kot prvo, tako "rešitev" ima tudi slovenska državna uprava in jo nedolgo tega celo promovirala kot edino zveličavno. Podobno je bilo z NLB certifikati - resda par let nazaj.

Kot drugo, ja zaupati državnemu brskalniku in državnemu CA-ju je seveda totalen fail. Sploh, ker bo vlogo izdajatelja prevzel kar FSB.

Kot tretje - seveda, obeta se nam balkanizacija interneta. Je pa res, da se Rusi težko zaprejo v svoj mehurček. Konec koncev bodo iz "našega" interneta rabili downloadat software in razne ne-politične (tehnične) informacije.

Tisti, ki fantazirate o certifikatih v blockchainu, me pa zanima kako bi to tehnično izvedli. Zanima me tako postopek ustvarjanja certifikata, preverjanja in preklica.
sudo poweroff

Kumkvat_7725 ::

poweroff je izjavil:


Kot drugo, ja zaupati državnemu brskalniku in državnemu CA-ju je seveda totalen fail. Sploh, ker bo vlogo izdajatelja prevzel kar FSB.


Ne seri. Dobro veš, da CIA owna top CA priamide, ima pod nadzorom vsak tebi dosegljiv del Tor omrežja itd.

Kumkvat_7725 ::

BTW, zanimivo te je gladit, kako podajaš praktićno uradne izjave globalistov o tem "kurčevem FSB", v sosedni temi pa slavni "lovci na medvede" b panično bežijo v gozdove, na neobljudene otoke, naftne ploščadi ipd, praktično brez vsega, le s prastarim 2G GSM telefonom.

Zakaj le ?
Ker je v "demokraciji" že zdavnaj VSE pod nadzorom. Vsi javnosti dosegljiv VPN-i,, vsi večji portali po vseh članicah ipd.

Hecno je videti vse tehnične portale, sploh v južni in vhodni EU, ki se naravnost trudijo ne uporabljati enkripcijo.
Vedo,, da imajo tajne službe "licence to kill" - kdor ni pod nadzorom, bo "odpravljen", tako ali drugače.

-vx- ::

Kumkvat_7725 je izjavil:

poweroff je izjavil:


Kot drugo, ja zaupati državnemu brskalniku in državnemu CA-ju je seveda totalen fail. Sploh, ker bo vlogo izdajatelja prevzel kar FSB.


Ne seri. Dobro veš, da CIA owna top CA priamide, ima pod nadzorom vsak tebi dosegljiv del Tor omrežja itd.


Ta izjava je skregana z logiko CAjev. Ne gre za paramido ampak trapez. Vsakdo na vrhu ima veliko moc, je pa zelo malo verjetno, da bi to pokrivala ena agencija.

To napako, je probala CIA popraviti z Let's Encrypt, in po pricakovanju ji je vecina idiotov nasedla.
Ukrajina: freedom's just another word for nothing left to lose.

Zgodovina sprememb…

  • spremenilo: -vx- ()

Poldi112 ::

-vx- je izjavil:

To napako, je probala CIA popraviti z Let's Encrypt, in po pricakovanju ji je vecina idiotov nasedla.


Link, ter kaj točno naj bi s tem dosegli?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

LightBit ::

DigiNotar @ Wikipedia
Raje vidim da me nategnejo zastonj, kot da plačam da me nategnejo.
Tega jaz niti ne bi štel kot produkt.

Zgodovina sprememb…

  • spremenil: LightBit ()

-vx- ::

LightBit je izjavil:

DigiNotar @ Wikipedia
Raje vidim da me nategnejo zastonj, kot da plačam da me nategnejo.
Tega jaz niti ne bi štel kot produkt.


Ce vzames certifikat pri takem kot je diginotar, je seveda verjetnost, da te bojo nategnili precej vecja. Cesa ne razumes?

Mimogrede "poslovni odnos" je pravni termin, ki potegne za sabo precej zakonodaje, od moznosti tozb naprej. Samo omenim.
Ukrajina: freedom's just another word for nothing left to lose.

Zgodovina sprememb…

  • spremenilo: -vx- ()

LightBit ::

To se povsod lahko zgodi. Tožba je pa precej slaba tolažba.
Če ti je varnost res pomembna, se ne smeš zanašati na CA.

-vx- ::

LightBit je izjavil:

To se povsod lahko zgodi. Tožba je pa precej slaba tolažba.
Če ti je varnost res pomembna, se ne smeš zanašati na CA.

Slaba tolazba a dobra vzpodbuda za CA, da ga ne serje.

Sicer se lahko zanasas na CA ampak svoj. Ergo, lets encrypt sucks.
Ukrajina: freedom's just another word for nothing left to lose.

Zgodovina sprememb…

  • spremenilo: -vx- ()

LightBit ::

Saj ni treba da ga CA namerno serje. Dovolj je da se nekdo infiltrira.
Let's Encrypt je še vedno precej boljši kot Ruski CA.

BigWhale ::

Mal se dejte umirit s hipotezami zarot.

Afo ::

Celoten sistem temelji na verigi zaupanja, ki ga takšne rešitve spodkopavajo, teoretično pa bi lahko s tem izvajali tudi napade MITM. 


Strani so trenutno brez certifikatov. To je nevarno. Ne pa rocno vnasanje.

Zahodni svet ima cudovito CA verigo ki je najbolj oh in sploh da ti pride... razen ce si fizicna oseba/podjetje v 2022 v Rusiji. Potem te bomo ven vrgli in ni sans da prezivis. Pa so hitro nasli edino in najbolj smiselno resitev da sploh lahko prezivijo. Zdaj je pa to "potencialno nevarno" in narobe. Give me a f.... break.
Bolje biti mlad in neumen, kot samo neumen!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Rusija bo izdajala svoje certifikate TLS

Oddelek: Novice / Omrežja / internet
266700 (3410) Afo
»

Država: Kakšna zasebnost in varnost na internetih, samo plačajte že davke!!! (strani: 1 2 3 4 5 )

Oddelek: Novice / NWO
20180635 (54830) MrStein
»

Nekaj gnilega je v deželi certifikatski

Oddelek: Novice / Ostala programska oprema
84443 (3155) Lipicnik
»

Uporabnikom za veljavnost certifikatov ni mar

Oddelek: Novice / Varnost
324883 (3524) BlueRunner

Več podobnih tem