Tor в законе.

Nov. 8th, 2014 10:02 am
vitus_wagner: My photo 2005 (Default)
[personal profile] vitus_wagner
Забавно. Американские удостоверяющие центры стали выдавать сертификаты для сайтов в домене .onion.

Понятно, что фейсбук это такой кит, что если он себе захотел сертификат, то кто угодно прогнется.

Но вообще идея мне кажется какой-то внутренне противоречивой. С одной стороны анонимная сеть и скрытые сайты. С другой - удостоверяющие центры, которые по своей природе организации тесно аффилированные с властями.
Tags:
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2014-11-08 12:07 pm (UTC)
From: [identity profile] beldmit.livejournal.com
Так на то оно и доверие корневым CA, чтобы это проверяли не Вы.

Date: 2014-11-08 12:16 pm (UTC)
From: [identity profile] inkelyad.livejournal.com
Я верю, что корневой СА проверил, что он на Google Inc сертификат выписывает. А как проверить, что это 'тот самый' гугл? Понимание 'тот самый' - оно может быть несколько разным у меня и СА. Для СA - это что на документе о регистрации фирмы нужные буквы стоят. А для меня - это то, что я нужный мне сервис получить могу. Что не совсем одно и то же.

Date: 2014-11-08 12:20 pm (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
А вот это и есть главная засада всей X.509 инфраструктуры доверия.
Впрочем pgp-шная сеть доверия в этом плане не сильно лучше.

Date: 2014-11-08 01:19 pm (UTC)
From: [identity profile] beldmit.livejournal.com
А это уже Google будет проверять. И отжимать домены. А вообще есть проект Certificate Transparency, который частично в эту сторону.

Date: 2014-11-08 01:58 pm (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
У кого у кого отжимать домены?

Date: 2014-11-08 02:22 pm (UTC)
From: [identity profile] beldmit.livejournal.com
У тех, кто использует имена, похожие-до-степени-смешения-с.

Date: 2014-11-08 02:32 pm (UTC)
From: [identity profile] inkelyad.livejournal.com
Осталось только как-то понять, что это 'тот самый гугл, что мне нужен' домен отжал, а не наоборот.

Date: 2014-11-08 02:36 pm (UTC)
From: [identity profile] beldmit.livejournal.com
У Вас есть доменное имя в URL и инфа в сертификате. Больше Вам никто не даст.

Date: 2014-11-08 02:44 pm (UTC)
From: [identity profile] inkelyad.livejournal.com
Вот про что я выше и говорил. Из сертификата и имени понять, что 'это именно те люди, что мне нужны и они делают именно то, что мне нужно' нельзя. Получается, что сам сертификат и TLS ничего тут не аутентифицируют.

Но они нужны для другого. Он обеспечивает повторяемость. В n-ый раз я связывался с тем же сервисом (да и то с оговорками), что в первый. А если он раз за разом делают, что обещано 'тем самым гуглом' - то значит это 'тот самый гугл' и есть.

Date: 2014-11-08 03:23 pm (UTC)
From: [identity profile] beldmit.livejournal.com
Ну вот в случае со взломом DigiNotar там подсовывали фальшивый gmail.

Сертификат с сайтом подтверждают, что они подходят друг к другу и должно быть проверено (хотя уровень проверки разный), что компания, подавшая на сертификат, имеет право на ресурс.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

vitus_wagner: My photo 2005 (Default)
vitus_wagner
My Website

June 2025

S M T W T F S
1 234567
891011121314
15161718192021
22232425262728
2930     

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Jun. 2nd, 2025 03:25 pm
Powered by Dreamwidth Studios