Ресурсы: техническое описание TLS, LaTeX - в картинки (img), криптографическая библиотека Arduino, шифр "Кузнечик" на ассемблере AMD64/AVX и ARM64
Скандал с корнями CNNIC
Китайский удостоверяющий центр CNNIC, признаваемый всеми основными браузерами, поучаствовал своими ключами в выпуске промежуточного сертификата, который использовался в прозрачно перехватывающем трафик SSL-прокси. Об этом, конечно, стало быстро известно в Google (потому что браузер Chrome устроен достаточно добротно). Объяснения от CNNIC сводятся к тому, что, дескать, это всё была тестовая среда, а сертификаты утекли наружу случайно. Итог пока такой: корень CNNIC таки изымают из продуктов Google:
“As a result of a joint investigation of the events surrounding this incident by Google and CNNIC, we have decided that the CNNIC Root and EV CAs will no longer be recognized in Google products.” (В результате совместного расследования событий, связанных с данным инцидентом, мы приняли решение что CNNIC Root и EV УЦ больше не признаются продуктами Google.)
Это весьма резкое решение, но, собственно, такого варианта следовало ожидать. Mozilla пока думает, но в том же самом направлении. А для повторного включения корней CNNIC в браузеры планируют потребовать от УЦ поддержки Certificate Transparency.
В CNNNIC уже ответили, в том ключе, что шаг Google – неприемлем, требуют задуматься о правах пользователей.
Ссылка по теме: перехват HTTPS.
Update, 04/04/15: Mozilla подключилась – сертификаты, впущенные от корней CNNIC после 1 апреля 2015, не признаются. Таким образом, CNNIC, как коммерческий УЦ, теряет всякий смысл. Интересно, как прореагируют в Китае?
Адрес записки: https://dxdt.ru/2015/04/02/7343/
Похожие записки:
- AI 2027 и банализация ИИ-прогнозирования
- Техническое: ключи DNSSEC и их теги
- Десятилетие DNSSEC в российских доменах
- Реплика: катастрофа Boeing 787-8 Dreamliner
- Дирижабли в 2008 году
- Утечки данных YubiKey/Infineon
- Реплика: знание секретных ключей и криптографические операции
- Централизованные мессенджеры и многообразие мест хранения сообщений
- Детерминированный вариант ECDSA
- Постквантовые криптосистемы в Великобритании
- Экспериментальный сервер TLS 1.3: замена сертификатов
Комментарии читателей блога: 2
1 <t> // 3rd April 2015, 01:14 // Читатель Jno написал:
Право быть прослушанным?
2 <t> // 3rd April 2015, 22:50 // Читатель Z.T. написал:
https://blog.mozilla.org/security/2015/04/02/distrusting-new-cnnic-certificates/