moder
Администратор
Команда форума
На форуме сайта pgpru.com обсуждали ситуацию с подменой ssl-сертификатов провайдерами. Некоторые интересные ответы публикую здесь.
-----
Чекисты сейчас с вожделением ждут, как отреагирует стадо на такое наглое вторжение. Если проглотят, то подменять сертификаты будут вообще на всё, кроме возможно белого списка для электронных платежей. Чтобы ходить на интернет-ресурсы по SSL будет "рекомендовано" установить в браузер сертификат УЦ от ркн. Далее подмену можно сделать для всех видов трафика, а не только HTTPS – почта, мессенджеры и т.д. Ведь педофилы и террористы могут по email совращать детей и готовить взрывы. Без установки государственного сертификата SSL ресурсы станут недоступны. Так будет решена проблема с львиной долей шифрованного трафика. Потом можно вплотную взяться за VPN и Tor.
-----
Любители активизма могут поставить себе плагин "HTTPS everywhere", не пользоваться тором и в самом плагине поставить опцию "SSL observatory". Вся активность по вашим https-соединениям будет отсылаться в EFF. Возможна анонимная отсылка через тор, но не очень понятно — не нарушит ли это чистоту эксперимента. Организация EFF собирает статистику по нарушению использования SSL-сертификатов по всему миру, можно и как-то особо сорганизовать на выявление злоупотреблений российскими властями в рунете. С фактами нарушения на руках они могут организовать кампанию по давлению на IT-организации, способствующие выдаче злонамеренных сертификатов, потребовать внесения изменения в ведущие браузеры и т.д. Может ещё и пресловутый госдеп с санкциями и гуманитарными бомбардировками подключат.
Всё может закончиться чучхенетом со своими духовными браузерами, но зато может кому-то будет легче от осознания сопричастности к страданиям всего мирного хомячкового населения, а не только любителей гитхабов.
-----
Достаточно скомпрометировать из сертификатов УЦ, установленных в браузере. Тогда им можно подписывать сертификат любого сайта и пользователь ничего не заметит. Если учесть что доверенных УЦ десятки, а также возможность делегирования подписи дочерним УЦ, подкуп и сговор с одним из них не выглядит сложным. Для такой прожорливой конторы, как фсб, это копейки. Имеется в виду целевые атаки на определённые сайты, и возможно что в сорм они уже доступны. Расшифровывать трафик ко всем сайтам существенно дороже, хотя принципиальных ограничений нет. Но понятное дело, что если скомпромерированные УЦ существуют, то они держатся в секрете. Поэтому провайдеры до них не допущены и пытаются тупо подменить УЦ, что не может остаться незамеченным.
Возможно что гебня стоит перед диллемой. С одной строны, хочется взвалить расходы на расшифровку всего трафика на провайдеров, а через них в конечном счёте на пользователей. И расходы это заметные, т.к. требуют нового оборудования в виде всяких криптоакселераторов. С другой стороны, не может доверить провайдерам свои грязные секреты. При этом всё-равно полной прозрачности и скрытности не получится, т.к. использование единственного (скомпрометированного) УЦ для всех сайтов будет выглядеть подозрительно, а для нестандартных УЦ и самоподписанных сертификатов это вообще может не работать. Так что, если шабаш будет продолжаться дальше, то следующие шаги – заявления о необходимости единого государственного УЦ, который должен быть установлен в системе, если пользователь хочет получить доступ к ресурсу по SSL.
-----
Почитать обсуждение можно здесь.
-----
Чекисты сейчас с вожделением ждут, как отреагирует стадо на такое наглое вторжение. Если проглотят, то подменять сертификаты будут вообще на всё, кроме возможно белого списка для электронных платежей. Чтобы ходить на интернет-ресурсы по SSL будет "рекомендовано" установить в браузер сертификат УЦ от ркн. Далее подмену можно сделать для всех видов трафика, а не только HTTPS – почта, мессенджеры и т.д. Ведь педофилы и террористы могут по email совращать детей и готовить взрывы. Без установки государственного сертификата SSL ресурсы станут недоступны. Так будет решена проблема с львиной долей шифрованного трафика. Потом можно вплотную взяться за VPN и Tor.
-----
Любители активизма могут поставить себе плагин "HTTPS everywhere", не пользоваться тором и в самом плагине поставить опцию "SSL observatory". Вся активность по вашим https-соединениям будет отсылаться в EFF. Возможна анонимная отсылка через тор, но не очень понятно — не нарушит ли это чистоту эксперимента. Организация EFF собирает статистику по нарушению использования SSL-сертификатов по всему миру, можно и как-то особо сорганизовать на выявление злоупотреблений российскими властями в рунете. С фактами нарушения на руках они могут организовать кампанию по давлению на IT-организации, способствующие выдаче злонамеренных сертификатов, потребовать внесения изменения в ведущие браузеры и т.д. Может ещё и пресловутый госдеп с санкциями и гуманитарными бомбардировками подключат.
Всё может закончиться чучхенетом со своими духовными браузерами, но зато может кому-то будет легче от осознания сопричастности к страданиям всего мирного хомячкового населения, а не только любителей гитхабов.
-----
Достаточно скомпрометировать из сертификатов УЦ, установленных в браузере. Тогда им можно подписывать сертификат любого сайта и пользователь ничего не заметит. Если учесть что доверенных УЦ десятки, а также возможность делегирования подписи дочерним УЦ, подкуп и сговор с одним из них не выглядит сложным. Для такой прожорливой конторы, как фсб, это копейки. Имеется в виду целевые атаки на определённые сайты, и возможно что в сорм они уже доступны. Расшифровывать трафик ко всем сайтам существенно дороже, хотя принципиальных ограничений нет. Но понятное дело, что если скомпромерированные УЦ существуют, то они держатся в секрете. Поэтому провайдеры до них не допущены и пытаются тупо подменить УЦ, что не может остаться незамеченным.
Возможно что гебня стоит перед диллемой. С одной строны, хочется взвалить расходы на расшифровку всего трафика на провайдеров, а через них в конечном счёте на пользователей. И расходы это заметные, т.к. требуют нового оборудования в виде всяких криптоакселераторов. С другой стороны, не может доверить провайдерам свои грязные секреты. При этом всё-равно полной прозрачности и скрытности не получится, т.к. использование единственного (скомпрометированного) УЦ для всех сайтов будет выглядеть подозрительно, а для нестандартных УЦ и самоподписанных сертификатов это вообще может не работать. Так что, если шабаш будет продолжаться дальше, то следующие шаги – заявления о необходимости единого государственного УЦ, который должен быть установлен в системе, если пользователь хочет получить доступ к ресурсу по SSL.
-----
Почитать обсуждение можно здесь.
