Реплика: централизованные системы в Интернете
Помимо системы доменных имён (DNS), которая имеет центральный элемент – корневую доменную зону, в современном Интернете есть и другая крайне важная система с элементами централизации: иерархия удостоверяющих центров, выпускающих SSL-сертификаты. С одной стороны, здесь нет единого корня. Скорее наоборот: корней, встроенных в браузеры, слишком много, это создаёт проблемы в обеспечении безопасности. Тем не менее, наличие удостоверяющего центра означает, что при возникновении каких-то конфликтов сайт, использующий HTTPS, может быть заблокирован (временно) путём отзыва сертификата. Естественно, таким сайтом может оказаться не только сайт какого-нибудь банка, но и тот или иной государственный портал.
Впрочем, на практике механизмы отзыва сертификатов веб-сайтов, к сожалению, не очень-то работают – это отдельная история, связанная с особенностями реализации этих механизмов в распространённых браузерах.
Адрес записки: https://dxdt.ru/2014/11/19/7035/
Похожие записки:
- Статья Cloudflare про ECH/ESNI
- Десятилетие DNSSEC в российских доменах
- Реплика: возможный доступ приложений "Яндекса" к OBD автомобиля
- Смартфон-шпион: восемь лет спустя
- Техническое: разбор реализации ESNI
- Техническое: ESNI, NSS и тестовый сервер TLS 1.3
- Техническое описание TLS: обновление 2022
- Интернет-протокол "дымовой завесы"
- Криптографическая библиотека для Arduino: дополнение для новых IDE
- Обновление описания TLS
- Неверные обобщения "принципа Керкгоффса"
Комментарии читателей блога: 4
1. 19th November 2014, 22:53 // Читатель jno написал:
Да ужжжж… Ни разу не видел сообщения, что чей-то сертификат ревокнули! Протух, не так подписан, не для того домена – полно, а вот отозванный – редкость.
2. 20th November 2014, 00:38 // Читатель Z.T. написал:
https://mxr.mozilla.org/mozilla-central/source/security/nss/lib/ckfw/builtins/certdata.txt#22581
https://en.wikipedia.org/wiki/DigiNotar
https://www.imperialviolet.org/2014/04/19/revchecking.html
https://www.imperialviolet.org/2014/04/29/revocationagain.html
3. 20th November 2014, 11:52 // Читатель Дмитрий Белявский написал:
Если я правильно понимаю, то при внедрении RPKI появится еще одна единая точка отказа. И неочевидно, считать ли DNSSEC той же точкой отказа, что и DNS в целом, или отдельной.
4. 25th November 2014, 23:25 // Читатель jno написал:
Я ж не говорю, что “не бывает” :)
Я не видел в “обычной жизни” – чтобы мне, скажем, браузер сказал, что предъявленный сертификат отозван.