Книги: "Создание сайтов" - "Доменные войны". Защита информации: техническое описание TLS. Ресурсы: LaTeX - DNSSEC: проверка, внедрение
Инициатива Certificate Transparency
Одна из основных проблем современной инфраструктуры SSL-сертификатов в том, что удостоверяющие центры (УЦ) могут выпускать сертификаты, нарушающие принципы построения цепочки доверия в клиентском программном обеспечении. Самый распространённый пример таких сертификатов – сертификаты, выпущенные для того или иного домена без разрешения администратора этого домена.
Бороться с таким положением дел можно, кроме прочего, с помощью построения дополнительной открытой системы аудита сертификатов, назависимой от УЦ и доступной для использования каждому, кто заинтересован в дополнительной проверке полученных с сервера сертификатов. При поддержке Google развивается как раз такая система: Certificate Transparency (CT). Основные задачи, которые могут быть решены при помощи CT: затруднить выпуск SSL-сертификатов для домена, невидимый администратору этого домена; позволить администратору домена узнать, какие сертификаты для его домена были выпущены; оградить клиентское программное обеспечение от доверенного использования неправомерно выпущенных сертификатов. Решается всё при помощи ведения лога, содержащего описания сертификатов. Подробности есть на сайте.
()
Похожие записки:
- Сложности стеганографии
- Занимательные каналы утечки
- Подделка сигнала GPS (GPS-спуфинг)
- Сертификаты WoSign и dxdt.ru с ECC
- Техническое: ротация корневого ключа DNSSEC
- Симметричные блочные шифры на примере ГОСТ Р 34.12-2015 "Магма"
- Техническое: типовые настройки DH и возможные закладки
- Смартфоны с разнообразными датчиками и скрытая передача данных
- Антивирусы и "подмена" сертификатов в браузерах
- Интернет вещей: шифр "Магма" (ГОСТ Р 34.12-2015) для Arduino
- Библиотека шифрования для Arduino (ГОСТ Р 34.12-2015)
- Квантовый компьютер и криптоанализ симметричных шифров
- Самоуправляемые автомобили: "злоупотребление" протоколами
- Прикладная криптография для Arduino: шифр Speck, сравнение с шифром "Магма"
- Шифрование в "индустриальных" протоколах и анализ трафика
- TLS 1.3 на подходе
- Смартфон, скрытно прослушивающий разговоры
Кратко этот сайт характеризуется так: здесь можно узнать про технологический прогресс, Интернет, математику, авиацию, компьютеры, авиационные компьютеры, вооружения, роботов, вооружение роботов, армии мира, астрономию, космические исследования. И иногда о чём-то ещё (
Комментарии читателей блога: 3
1. 3rd August 2013, 23:51 // Читатель jno написал:
> оградить клиентское программное обеспечение от доверенного
> использования неправомерно выпущенных сертификатов
чё-то я не вкурил этот пункт…
2. 5th August 2013, 09:15 // Александр Венедюхин ответил:
Там вот о чём речь: браузер сможет выяснить, что полученный с сервера сертификат был выпущен без ведома администратора домена, и, соответственно, не будет доверять этому сертификату.
3. 8th August 2013, 18:56 // Читатель jno написал:
это-то – понятно.
неясно с реализацией.
блин, почему нельзя просто подписывать ЭЦП владельца домена нужные сертификаты?
да и вообще, идея ЦА нынче выглядит криво – раздают всё подряд кому ни попадя…
сертификат должен выпускать сам владелец.
и подписывать его.
остальное – форма нотариата.
а нотариусы *за* клиента договора не составляют!