vitus_wagner: My photo 2005 (Default)
vitus_wagner ([personal profile] vitus_wagner) wrote2016-01-07 06:43 pm
  • Add Memory
  • Share This Entry
Entry tags:

И еще про LetsEncrypt

http://www.csoonline.com/article/3019991/security/malvertising-campaign-used-a-free-certificate-from-lets-encrypt.html

Тут вот разгорается некоторый скандал по поводу отказа Lets Encrypt отзывать сертификат у сайта, который распространяет malware.

Здесь я абсолютно согласен с Lets Encrypt - владельцы сертификата контролируют данный вебсайт? Контролируют. Значит сертификат им выдан абсолютно правильно.

А то для добрых или злых целей они используют этот сайт - это не дело удостоверяющего центра.
Threaded | Flat

[identity profile] slobin.livejournal.com 2016-01-07 04:22 pm (UTC)(link)
Гм. Насколько я понимаю либеральную логику:

1) Соблюдать права человека обязано государство, частные лица нарушить права человека не могут по определению.
2) Государства должно быть как можно меньше.

Ну, с учётом американских (ладно, мировых) реалий, есть ещё псевдогосударственные образования типа всяких IETF. Так что всё нормально, это тоталитарные монстры не могут решать своих противников гражданства и паспортов, а маленькая частная фирма выдаёт удостоверения тому, кому захочет. И, разумеется, должно быть как можно меньше тоталитарных монстров и как можно больше маленьких частных фирм.

... Государство - это ня! ...

[identity profile] karpion.livejournal.com 2016-01-07 04:47 pm (UTC)(link)
Мне всегда казалось, что распространение malware - это дело отдела "К". Если в договоре клиента с Lets Encrypt нет пункта "нельзя распространять malware" - то отзывать сертификат незаконно.

[identity profile] beldmit.livejournal.com 2016-01-07 04:59 pm (UTC)(link)
Читаем документ: (https://cabforum.org/wp-content/uploads/Baseline_Requirements_V1_3_1.pdf)

Acknowledgment and Acceptance: An acknowledgment and acceptance that the CA is entitled to revoke the certificate immediately if the Applicant were to violate the terms of the Subscriber or Terms of Use Agreement or if the CA discovers that the Certificate is being used to enable criminal activities such as phishing attacks, fraud, or the distribution of malware.

Читаем про статус этого документа: (https://cabforum.org/about-the-baseline-requirements/)

The Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates describe a subset of the requirements that a certification authority must meet in order to issue digital certificates for SSL/TLS servers to be publicly trusted by browsers.

Делаем вывод: Let's Encrypt нарушают принятые на себя обязательства. Точнее, подставляют лавку, которая их кросс-сертификат подписала.

Ты лучше про это почитай

[identity profile] beldmit.livejournal.com 2016-01-07 05:13 pm (UTC)(link)
http://www.mitls.org/pages/attacks/SLOTH
Threaded | Flat