Реплика: централизованные системы в Интернете

Помимо системы доменных имён (DNS), которая имеет центральный элемент – корневую доменную зону, в современном Интернете есть и другая крайне важная система с элементами централизации: иерархия удостоверяющих центров, выпускающих SSL-сертификаты. С одной стороны, здесь нет единого корня. Скорее наоборот: корней, встроенных в браузеры, слишком много, это создаёт проблемы в обеспечении безопасности. Тем не менее, наличие удостоверяющего центра означает, что при возникновении каких-то конфликтов сайт, использующий HTTPS, может быть заблокирован (временно) путём отзыва сертификата. Естественно, таким сайтом может оказаться не только сайт какого-нибудь банка, но и тот или иной государственный портал.

Впрочем, на практике механизмы отзыва сертификатов веб-сайтов, к сожалению, не очень-то работают – это отдельная история, связанная с особенностями реализации этих механизмов в распространённых браузерах.

Адрес записки: https://dxdt.ru/2014/11/19/7035/

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 4

  • 1. 19th November 2014, 22:53 // Читатель jno написал:

    Да ужжжж… Ни разу не видел сообщения, что чей-то сертификат ревокнули! Протух, не так подписан, не для того домена – полно, а вот отозванный – редкость.

  • 2. 20th November 2014, 00:38 // Читатель Z.T. написал:

    https://mxr.mozilla.org/mozilla-central/source/security/nss/lib/ckfw/builtins/certdata.txt#22581

    https://en.wikipedia.org/wiki/DigiNotar

    https://www.imperialviolet.org/2014/04/19/revchecking.html

    https://www.imperialviolet.org/2014/04/29/revocationagain.html

  • 3. 20th November 2014, 11:52 // Читатель Дмитрий Белявский написал:

    Если я правильно понимаю, то при внедрении RPKI появится еще одна единая точка отказа. И неочевидно, считать ли DNSSEC той же точкой отказа, что и DNS в целом, или отдельной.

  • 4. 25th November 2014, 23:25 // Читатель jno написал:

    Я ж не говорю, что “не бывает” :)
    Я не видел в “обычной жизни” – чтобы мне, скажем, браузер сказал, что предъявленный сертификат отозван.