Comments 27
Спасибо за ссылку, уже 2 реальных сайта знаю... из 4,7к ;) А это реальный ГИС, т.е. народ туда ходит вынужден ходить, или какая-нибудь тестовая версия?
Инструкция доставляет - они перевыложили архив с сертификатом у себя и идентифицируют его только по значению аттрибута OU. Так что да, мой самопальный сертификат тоже должен соответствует требованиям для доступа к этой ГИС ;)
в марта у ВТБ этот серт был
ну и вроде не только у него
потом они получили у GlobalSign
Russian Trusted звучит почти как мем Russian Reversal.
It was Russian Trusted to death.
Куда интереснее ответ на другой вопрос: у кого хранится закрытый ключ «национального» сертификата?
И как хранится. Воображение немедленно рисует картинку о том, как оно должно быть (youtube), но наше министерство, в отличии от IANA, свои Signing Ceremony вроде как никому не показывает.
Очень много аббревиатур, можно хотя бы часть расшифровать (нуц, нпа и прочие абырвалги)?
Все расшифровки есть в статье...
Всё же наткнувшись при чтении по диагонали например на "НПА" сканировать весь предыдущий текст в обратную сторону в поисках последовательности из трёх слов, начинающихся с букв Н-П-А затруднительно.
Если готовы приложить усилий для причёсывания текст к большей простоте чтения, то можно воспользоваться следующими трюками:
Вводить аббревиатуры рядом с последним полным написанием её расшифровки: будут приняты нормативно-правовые акты (НПА)
Воспользоваться мощью HTML и писать аббревиатуры как
<abbr title="нормативно-правовой акт">НПА</abbr>. Увы, это доступно как я понимаю, только если писать статью в старом редакторе, который пытаются замести под ковёр.
Про Казахстан я задумался, когда пару лет назад купил на Ali телефон от Lenovo. Русифицирован, причём аккуратно, все работает. Смутил только текст, когда на основном экране отпускаешь верхнюю шторку, там есть мелким бледным шрифтом "Желi бақылануы мумкін" - гугл переводит как 'Сеть можно контролировать'
В общем то это все конечно дичь, то, что происходит. Отельной вишенкой на торте то, что эти сертификаты предустановленны (и работают без сообщения о отсутствии доверенного сертификата) только на браузерах от Яндекс и Atom, который ни один адекватный чел себе сам конечно не поставит, но госработкники люди подневольные, им выбирать не приходится. Т.ч. на уровне госкомпаний если вопросы к сертификатам и будут (а также к последствиям), то и решать их будут примерно по такой же кривой схеме, как эти сертификаты создавались.
Вообще, мне кажется, как-то так сертификаты и должны быть устроены: USA Trusted, Europe Trusted, Russia Trusted, China trusted, etc.
Независимый удостоверяющий центр - утопия, на этой планете нет территории "вне политики". Так что пусть будет много разных и будет явно видно, какой политической силой они контролируются.
Но пространство имен X.500, которое используется в сертификатах, это напрямую не позволяет, а существующее положение нынешних хозяев ЦА, похоже, устраивает — они так больше бабла получают. Так что надежд на реализацию этого, кажущегося мне разумным, устройства цепочки доверия не питаю.
Решению этой проблемы с другого конца посвящен CAA: администратор домена сам решает, какому УЦ доверять.
Relying Applications MUST NOT use CAA records as part of certificate validation.
(RFC 6844, «DNS Certification Authority Authorization (CAA) Resource Record»)
Администратор всего лишь просит не выпускать сертификаты для зоны те ЦА, которые не перечислены в записях CAA. Ничто (кроме порицания) не мешает ЦА выпустить сертификат, а клиенту — доверять этому сертификату, если он вообще доверяет ЦА.
То есть, принцип доверия «всё или ничего» сохраняется и при использовании CAA.
А я хочу, чтобы область доверия к ЦА была ограничена определенной зоной DNS
Нынешняя инфраструктура DNS и PKI этого AFAIK не позволяет.
Вы не готовы доверять УЦ, но готовы доверять держателю DNS-сервера. Вопрос вкуса. ЕМНИП сертификат последнего УЦ, замеченного в самовольной выдаче сертификатов, был выпнут из хранилищ всех ОС и криптобиблиотек. Ловили ли кого-то на игнорировании CAA после этого не припомню... но да, все держится лишь на доверии.
Вы не готовы доверять УЦ, но готовы доверять держателю DNS-сервера.
Я готов доверять владельцу зоны DNS исключительно в удостоверении того факта, что сервер, к которому я подключаюсь, действительно имеет имя из этой зоны. Потому что все это находится в одной и той же области полномочий и ответственности — владельца этой зоны DNS.
был выпнут из хранилищ всех ОС и криптобиблиотек.
Кстати, причин доверять создателям ОС и крипто библиотек у меня ровно столько же, как и доверять владельцам УЦ. Хотя бы потому, что каждый из производителей ОС/библиотек УЦ находится в юрисдикции того или иного государства, а потому так или иначе вынужден ему подчиняться, но при этом обладает фактическими полномочиями, выходящими за пределы этой юрисдикции, так что этими полномочиями вполне можно злоупотреблять.
DNS в этом плане лучше тем, что
- область полномочий ограничена зоной,
- делегирование полномочий для зоны прописано явно и легко может быть проверено,
- источник полномочий является централизованным и вполне может быть в результате межгосударственных договоренностей поставлен под контроль не одного государства, а международной организации, за деятельностью которой каждое государство может следить (и, как правило, обладает для этого необходимыми ресурсами) и на которую может влиять.
Так что это не совсем вопрос вкуса — есть и более рациональные мотивы.
Кстати, причин доверять создателям ОС и крипто библиотек у меня ровно столько же, как и доверять владельцам УЦ. Хотя бы потому, что каждый из производителей ОС/библиотек УЦ находится в юрисдикции того или иного государства, а потому так или иначе вынужден ему подчиняться, но при этом обладает фактическими полномочиями, выходящими за пределы этой юрисдикции, так что этими полномочиями вполне можно злоупотреблять.
а создателям компиляторов и инфраструктуры (особенно - виртуализации)?
пфф мы сами себе УЦ
openssl genrsa 2048 > ca-key.pem
Суверенный, сувенирный, самопровозглашенный