Ресурсы: техническое описание TLS, LaTeX - в картинки (img), криптографическая библиотека Arduino, шифр "Кузнечик" на ассемблере AMD64/AVX и ARM64
Реплика: централизованные системы в Интернете
Помимо системы доменных имён (DNS), которая имеет центральный элемент – корневую доменную зону, в современном Интернете есть и другая крайне важная система с элементами централизации: иерархия удостоверяющих центров, выпускающих SSL-сертификаты. С одной стороны, здесь нет единого корня. Скорее наоборот: корней, встроенных в браузеры, слишком много, это создаёт проблемы в обеспечении безопасности. Тем не менее, наличие удостоверяющего центра означает, что при возникновении каких-то конфликтов сайт, использующий HTTPS, может быть заблокирован (временно) путём отзыва сертификата. Естественно, таким сайтом может оказаться не только сайт какого-нибудь банка, но и тот или иной государственный портал.
Впрочем, на практике механизмы отзыва сертификатов веб-сайтов, к сожалению, не очень-то работают – это отдельная история, связанная с особенностями реализации этих механизмов в распространённых браузерах.
Адрес записки: https://dxdt.ru/2014/11/19/7035/
Похожие записки:
- Различительная способность "обезличенных" данных
- Совпадения тегов ключей DNSSEC и парадокс дней рождения
- Неравенство треугольника в Интернете и anycast
- Техническое: poison-расширение и SCT-метки в Certificate Transparency
- ChatGPT и Volkswagen
- Представления о квантах и радиостанции
- Быстрая факторизация и постквантовые алгоритмы
- Возможное обновление алгоритмов DNSSEC в корне DNS
- TLS 1.3 в Рунете
- Взлом Twitter и влияние на офлайн
- Технические подробности: постквантовая криптосистема X25519Kyber768 в TLS
Комментарии читателей блога: 4
1 <t> // 19th November 2014, 22:53 // Читатель jno написал:
Да ужжжж… Ни разу не видел сообщения, что чей-то сертификат ревокнули! Протух, не так подписан, не для того домена – полно, а вот отозванный – редкость.
2 <t> // 20th November 2014, 00:38 // Читатель Z.T. написал:
https://mxr.mozilla.org/mozilla-central/source/security/nss/lib/ckfw/builtins/certdata.txt#22581
https://en.wikipedia.org/wiki/DigiNotar
https://www.imperialviolet.org/2014/04/19/revchecking.html
https://www.imperialviolet.org/2014/04/29/revocationagain.html
3 <t> // 20th November 2014, 11:52 // Читатель Дмитрий Белявский написал:
Если я правильно понимаю, то при внедрении RPKI появится еще одна единая точка отказа. И неочевидно, считать ли DNSSEC той же точкой отказа, что и DNS в целом, или отдельной.
4 <t> // 25th November 2014, 23:25 // Читатель jno написал:
Я ж не говорю, что “не бывает” :)
Я не видел в “обычной жизни” – чтобы мне, скажем, браузер сказал, что предъявленный сертификат отозван.