Tor в законе.

[vitus_wagner]

Забавно. Американские удостоверяющие центры стали выдавать сертификаты для сайтов в домене .onion.

Понятно, что фейсбук это такой кит, что если он себе захотел сертификат, то кто угодно прогнется.

Но вообще идея мне кажется какой-то внутренне противоречивой. С одной стороны анонимная сеть и скрытые сайты. С другой - удостоверяющие центры, которые по своей природе организации тесно аффилированные с властями.

Comments

[wizzard]

М-ммм, ну это задачи разные ведь. Фейсбук большой, ему защищать сервис в общем-то не надо, а клиенты маленькие, их в этом случае Тор и покрывает.

Кроме того, это очень хорошо в смысле увеличения процента легального трафика в Торе, и вообще crypto awareness.

[vitus_wagner]

На мой взгляд, базовый принцип Crypto Awareness - не доверять никаким digicert-ам и verisign-ам.

А подобные приколы только УМЕНЬШАЮТ базовое понимание того что такое TLS и от чего она защищает, равно как и что такое Tor и кого и от чего защищает он.

Впрочем, поскольку хозяина SilkRoad 2.0 уже того, может быть этого как раз и добиваются.

[beldmit.livejournal.com]

Базовое понимание - что TLS это шифрование. Что TLS прежде всего аутентификация, проговаривается очень-очень редко.

[inkelyad.livejournal.com]

Возможно из за того, что в основной своей части оно эту функцию выполняет плохо. Скажем, проверить то, что 'Google Inc' из сертификата - это 'тот самый гугл', я не могу без довольно значительных усилий.

[beldmit.livejournal.com]

Так на то оно и доверие корневым CA, чтобы это проверяли не Вы.

[inkelyad.livejournal.com]

Я верю, что корневой СА проверил, что он на Google Inc сертификат выписывает. А как проверить, что это 'тот самый' гугл? Понимание 'тот самый' - оно может быть несколько разным у меня и СА. Для СA - это что на документе о регистрации фирмы нужные буквы стоят. А для меня - это то, что я нужный мне сервис получить могу. Что не совсем одно и то же.

[vitus_wagner]

А вот это и есть главная засада всей X.509 инфраструктуры доверия.
Впрочем pgp-шная сеть доверия в этом плане не сильно лучше.

[beldmit.livejournal.com]

А это уже Google будет проверять. И отжимать домены. А вообще есть проект Certificate Transparency, который частично в эту сторону.

[vitus_wagner]

У кого у кого отжимать домены?

[beldmit.livejournal.com]

У тех, кто использует имена, похожие-до-степени-смешения-с.

[inkelyad.livejournal.com]

Осталось только как-то понять, что это 'тот самый гугл, что мне нужен' домен отжал, а не наоборот.

[beldmit.livejournal.com]

У Вас есть доменное имя в URL и инфа в сертификате. Больше Вам никто не даст.

[inkelyad.livejournal.com]

Вот про что я выше и говорил. Из сертификата и имени понять, что 'это именно те люди, что мне нужны и они делают именно то, что мне нужно' нельзя. Получается, что сам сертификат и TLS ничего тут не аутентифицируют.

Но они нужны для другого. Он обеспечивает повторяемость. В n-ый раз я связывался с тем же сервисом (да и то с оговорками), что в первый. А если он раз за разом делают, что обещано 'тем самым гуглом' - то значит это 'тот самый гугл' и есть.

[beldmit.livejournal.com]

Ну вот в случае со взломом DigiNotar там подсовывали фальшивый gmail.

Сертификат с сайтом подтверждают, что они подходят друг к другу и должно быть проверено (хотя уровень проверки разный), что компания, подавшая на сертификат, имеет право на ресурс.

[vitus_wagner]

При этом отсутствует базовое понимание что шифрование без аутентификации ни от чего не защищает.

[beldmit.livejournal.com]

Да. Я в своих материалах про это пытаюсь говорить, но вообще этот момент пропускается как очевидный - браузер привел на сайт, значит все ок.