И еще про LetsEncrypt

[vitus_wagner]

http://www.csoonline.com/article/3019991/security/malvertising-campaign-used-a-free-certificate-from-lets-encrypt.html

Тут вот разгорается некоторый скандал по поводу отказа Lets Encrypt отзывать сертификат у сайта, который распространяет malware.

Здесь я абсолютно согласен с Lets Encrypt - владельцы сертификата контролируют данный вебсайт? Контролируют. Значит сертификат им выдан абсолютно правильно.

А то для добрых или злых целей они используют этот сайт - это не дело удостоверяющего центра.

Comments

[slobin.livejournal.com]

Гм. Насколько я понимаю либеральную логику:

1) Соблюдать права человека обязано государство, частные лица нарушить права человека не могут по определению.
2) Государства должно быть как можно меньше.

Ну, с учётом американских (ладно, мировых) реалий, есть ещё псевдогосударственные образования типа всяких IETF. Так что всё нормально, это тоталитарные монстры не могут решать своих противников гражданства и паспортов, а маленькая частная фирма выдаёт удостоверения тому, кому захочет. И, разумеется, должно быть как можно меньше тоталитарных монстров и как можно больше маленьких частных фирм.

... Государство - это ня! ...

[nicka-startcev.livejournal.com]

я платёжная система. мне ваша рожа почему-то не понравилась (например, про вас говорят, что вы поддерживаете секту пыщ-пыщ, или вас назначили обвиняемым по статье гыщфыщмыщ). имею ли я право присвоить все ваши денежки и отказать вам в обслуживании? ага, и вам и всем вашим контрагентам. их денежки тоже мне.

[anonim-legion.livejournal.com]

А то Сбербанк этим не занимался в 91 и 98 годах

[nathoo.livejournal.com]

Сбербанк - это, как раз, государство. Неинтересно даже.

[amarao-san.livejournal.com]

В смысле, перестать принимать биткоины от меня? Да всегда пожалуйста.

А вот невыполненные обязательства - это уже плохо (например, сказать "мне не нравится ваша морда забирайте ваши деньги и валите" - это одно, а "мне не нравится ваша морда и деньги не отдам" - это совсем другое).

[nicka-startcev.livejournal.com]

мне не нравится твоя морда, Асад. твои денежки в моём банке переходят в зрительный зал! все денежки, переводимые твоим дружкам, будут переведены в зрительный зал!

какие еще обязательства, когда ты назначен мировым злом и террористом, а против мирового зла любые методы допустимы!

[amarao-san.livejournal.com]

Ты про современную банковскую систему? Там всё потеряно уже давно. Вероятность блокировки перевода растёт как логарифм от суммы. Платёж на 50 евро - почти вероятно, что да. На 1000 - уже есть риски. 10 - и тебя попросят обосновать кому и зачем. Хочешь отправить 10 лямов - и из тебя всю душу вынут (и не дадут сделать перевод). Что там в мире с 10 ярдами одной транзакцией - даже думать не хочу. Возможно, надо писать объяснительную кровью лично Главному по Налогам и Террористам.

Надо сказать, люди, придумавшие кэш, сделали чертовски надёжную штуку, по сравнению с банковской системой.

[belest]

> 1) Соблюдать права человека обязано государство, частные лица нарушить права человека не могут по определению.

Права человека просто есть. И их нарушать низ-зя. Никому.
Государство нужно, что бы за соблюдением прав человека следить и бить по рукам, ежели что.
А частные лица нарушить права человека могут запросто.
Открываешь бизнес (любой, даже самый мелкий) и заявляешь, что мусульмане, язычники, негры, китайцы, чеченцы и беременные гомосексуалисты у тебя работать не будут. Все, нарушил.

> 2) Государства должно быть как можно меньше.

Это не либеральная, а либертарианская логика. Есть некоторая разница.

[vitus_wagner]

То есть либеральная логика заключается в том, что если человек делает что-то полезное, его нужно обложить запретами со всех сторон, а если он только проедает пособия, то его права тронуть не сметь.

[belest]

Либералы бывают не только левыми, но и правыми.

[karpion.livejournal.com]

Мне всегда казалось, что распространение malware - это дело отдела "К". Если в договоре клиента с Lets Encrypt нет пункта "нельзя распространять malware" - то отзывать сертификат незаконно.

[dmitrmax.livejournal.com]

Казалось бы, причем тут отдел К в чужой юрисдикции?

[beldmit.livejournal.com]

Читаем документ: (https://cabforum.org/wp-content/uploads/Baseline_Requirements_V1_3_1.pdf)

Acknowledgment and Acceptance: An acknowledgment and acceptance that the CA is entitled to revoke the certificate immediately if the Applicant were to violate the terms of the Subscriber or Terms of Use Agreement or if the CA discovers that the Certificate is being used to enable criminal activities such as phishing attacks, fraud, or the distribution of malware.

Читаем про статус этого документа: (https://cabforum.org/about-the-baseline-requirements/)

The Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates describe a subset of the requirements that a certification authority must meet in order to issue digital certificates for SSL/TLS servers to be publicly trusted by browsers.

Делаем вывод: Let's Encrypt нарушают принятые на себя обязательства. Точнее, подставляют лавку, которая их кросс-сертификат подписала.

[vitus_wagner]

Вообще похоже что браузерная олигополия становится куда большим злом, чем все государственные цензуры вместе взятые.

[vladimir sumarov (from livejournal.com)]

Я не очень знаком с применением слова entitled в таком контексте. Оно может иметь значение не просто давать возможность к чему либо но и обязывать это делать?

"is being used to enable criminal activities" можно ли считать что выданный сертификат делает возможным распространение malware?

[beldmit.livejournal.com]

Google translate указывает на значение "уполномочен". Но да, MUST/SHALL в этом месте не написано.

Ты лучше про это почитай

[beldmit.livejournal.com]

http://www.mitls.org/pages/attacks/SLOTH