Реплика: централизованные системы в Интернете
Помимо системы доменных имён (DNS), которая имеет центральный элемент – корневую доменную зону, в современном Интернете есть и другая крайне важная система с элементами централизации: иерархия удостоверяющих центров, выпускающих SSL-сертификаты. С одной стороны, здесь нет единого корня. Скорее наоборот: корней, встроенных в браузеры, слишком много, это создаёт проблемы в обеспечении безопасности. Тем не менее, наличие удостоверяющего центра означает, что при возникновении каких-то конфликтов сайт, использующий HTTPS, может быть заблокирован (временно) путём отзыва сертификата. Естественно, таким сайтом может оказаться не только сайт какого-нибудь банка, но и тот или иной государственный портал.
Впрочем, на практике механизмы отзыва сертификатов веб-сайтов, к сожалению, не очень-то работают – это отдельная история, связанная с особенностями реализации этих механизмов в распространённых браузерах.
Адрес записки: https://dxdt.ru/2014/11/19/7035/
Похожие записки:
- Боты и dxdt.ru
- Капитолийские ноутбуки
- Реплика: атака посредника в TLS и проблема доверия сертификатам
- Постквантовые криптосистемы в Google Chrome (Kyber768)
- Ретроспектива заметок: ключ по фотографии
- Кибератаки, самоуправляемые автомобили и бот в смартфоне
- Автоматизация ИИ-агентов и атаки
- Техническое: опция, отклоняющая TLS-соединение в Nginx
- TLS и подмена сертификата на jabber.ru
- Техническое описание TLS: обновление 2022
- Открытые "исходники" и "бинарный" код с точки зрения ИБ
Кратко этот сайт характеризуется так: здесь можно узнать про технологический прогресс, Интернет, математику, криптографию, авиацию, компьютеры, авиационные компьютеры, вооружения, роботов, вооружение роботов, армии мира, астрономию, космические исследования. И иногда о чём-то ещё (
Комментарии читателей блога: 4
1 <t> // 19th November 2014, 22:53 // Читатель jno написал:
Да ужжжж… Ни разу не видел сообщения, что чей-то сертификат ревокнули! Протух, не так подписан, не для того домена – полно, а вот отозванный – редкость.
2 <t> // 20th November 2014, 00:38 // Читатель Z.T. написал:
https://mxr.mozilla.org/mozilla-central/source/security/nss/lib/ckfw/builtins/certdata.txt#22581
https://en.wikipedia.org/wiki/DigiNotar
https://www.imperialviolet.org/2014/04/19/revchecking.html
https://www.imperialviolet.org/2014/04/29/revocationagain.html
3 <t> // 20th November 2014, 11:52 // Читатель Дмитрий Белявский написал:
Если я правильно понимаю, то при внедрении RPKI появится еще одна единая точка отказа. И неочевидно, считать ли DNSSEC той же точкой отказа, что и DNS в целом, или отдельной.
4 <t> // 25th November 2014, 23:25 // Читатель jno написал:
Я ж не говорю, что “не бывает” :)
Я не видел в “обычной жизни” – чтобы мне, скажем, браузер сказал, что предъявленный сертификат отозван.