День рождения сайта dxdt.ru назначен на 5 января. Сегодня. В нынешнем формате сайт работает уже 11 лет, без перерывов. Одиннадцать лет – это даже лучше, чем 10, потому что, в некоторых математических смыслах число 11 круглее числа 10. Да и вообще, это довольно большой срок для Интернета и, особенно, Веба.

Сейчас WordPress сообщает, что на сайте 2468 записок и 11089 комментариев. За прошлый год частота появления новых записок как-то снизилась. Я попробую это исправить в новом году, но не факт, конечно, что получится.



Комментарии (7) »

Год 2017, новый

Традиционную записку про конец года (2016) в этот раз решил пропустить (но, как видно, не совсем). С наступающим Новым годом!



Комментарии (3) »

Добавил описание основных особенностей новой версии TLS 1.3 к общему описанию TLS, пока что в качестве приложения, без “побайтового разбора”. Спецификация ещё находится в состоянии черновика. Отличия между спецификациями, как я уже упоминал ранее, огромные: единственное, с чем можно сравнить – так это с переходом от SSLv2 к SSLv3/TLS.

Теперь, на мой взгляд, описание TLS у меня весьма полное, подробное. Но, конечно, есть ещё чего добавить. Кроме расширения описания TLS, я всё же планирую добавить раздел с базовыми математическими конструкциями современной криптографии.



Комментарии (4) »

С удостоверяющим центром (УЦ) WoSign приключилась неприятность – из-за нескольких достаточно серьёзных нарушений требований (и, в частности, из-за кривого аудита), сертификатам, выпущенным от корней данного УЦ, перестали доверять браузеры (в одном пакете с WoSign оказался и другой УЦ – StartSSL: последний, как неожиданно выяснилось, был ранее куплен и, фактически, объединён с WoSign). Напомню, что и WoSign, и StartSSL выпускали бесплатные TLS-сертификаты.

Я использовал несколько сертификатов WoSign. В частности, на dxdt.ru серверный сертификат от WoSign служил в качестве входа во вторую ветку валидации для RSA (основной веткой я считаю ветку с ECDSA). То есть, сервер поддерживал обе криптосистемы для аутентификации: и ECDSA, и RSA. Сейчас я удалил RSA-сертификат WoSign и, соответственно, отключил поддержку RSA. Осталась только ECDSA – схема подписи, работающая на эллиптической кривой. Это означает, что устаревшие конфигурации браузеров/операционных систем больше не имеют доступа к сайту. Полагаю, что Windows XP с браузером IE 8 – так или иначе плохой набор для работы с Вебом. Для всех современных браузеров (и ОС) проблем быть не должно (если проблемы есть, то пишите в комментарии, если, конечно, вы как-то читаете этот текст). Стандартный набор для подключения: ECDSA + AES в режиме GCM. На всякий случай, я оставил в заголовках HPKP отпечатки ключей RSA (вдруг, они потребуются в будущем). Кстати, так как внедрение HPKP прошло успешно, попутно увеличил время кэширования отпечатков ключей до 30 суток.

Сертификат WoSign также использовался на сервере tls.dxdt.ru – пришлось заменить его на сертификат от Comodo: я провёл замену некоторое время назад, когда из обсуждения в сообществе Mozilla стало ясно, что WoSign удалят из списка доверенных корней. Ведь не очень правильно держать сайт с техническим описанием TLS под сертификатом, выпущенным проблемным УЦ.

В принципе, ранее выпущенные сертификаты WoSign продолжают поддерживаться, до момента истечения их срока действия. Такое положение вещей служит неплохой иллюстрацией того, насколько сложной и непрямолинейной стала система аутентификации серверов в браузерах. Эта система теперь дополняется всякими хитрыми исключениями: “вот этому корню доверяем, но только до такого-то срока”.

Другой эффект проблем с WoSign: из бесплатных решений теперь только Let’s Encrypt, с их короткоживущими сертификатами и внешними скриптами на сервере. Да, скрипты можно написать собственные, реализовав протокол ACME, но это всё равно не тот вариант, который хотелось бы видеть.



Комментарии (6) »

Подборка заметок на dxdt.ru о системах стратегической противоракетной обороны:

(Да, похоже, что я так до сих пор и не опубликовал часть вторую от “ПРО: как быть в теме”.)



Комментировать »


Комментировать »


Комментировать »

Лирическое отступление.

Как Винсент и ожидал, входная дверь в доме Объекта оказалась проблемой. Замок, естественно, поддерживал беспроводной доступ LoRa. Из-за типичной ошибки в настройках приоритета имён узлов с ним легко удалось установить двухстороннее соединение снаружи дома, используя преимущество в мощности сигнала. Однако замок отказался отпирать дверь в ответ на авариный сигнал-оверрайд, подписанный действующим ключом муниципальной противопожарной службы. (Пожарные ключи не менялись уже в течение года, за это время только ленивый не скачал себе несколько копий сигнала из эфира, провернув ложный вызов пожарной машины. Из-за повторного использования параметров, пара подписанных сигналов позволяла вычислить ключ примерно за неделю. Винсент обменялся записями с Робом, так что на вычисления потребовалось лишь семнадцать часов.) Тем не менее, замок сигнал игнорировал. Не реагировал он и на инженерные пароли. Всё это говорило о том, что используется нестандартная прошивка. Винсент не планировал сильно наследить в логах, – особых сомнений, что человек, заморочившийся с перепрошивкой замка, так или иначе анализирует логи доступа, не было, – поэтому брутфос, не дававший в такой конфигурации никакой гарантии получения доступа, отменялся.

Ситуацию спасла тщательность, с которой они традиционно готовили очередное предприятие. Две недели назад Винсент незаметно подменил упаковку фильтров для робота-пылесоса, вычислив момент, когда её доставили к дому Объекта. Интерфейсный чип в первом из фильтров был заменён на специально подготовленный Робом. Судя по площади дома и числу проживающих, пылесос уже должен был скушать пилюлю, автоматически поменяв фильтр. Действительно, старый фильтр лежал в мусорном баке неподалёку от дома – о чём сам и сигнализировал в эфир. По какой-то неясной, но явно очень древней, причине, состав мусора вообще никак не шифровался: прочитать перечень подлежащих вывозу выброшенных вещей мог всякий, а не обязательно мусорщик (Винсент знал, что анализ мусора – это древняя традиция, всегда приносившая полезнейшие находки; только раньше в мусоре приходилось копаться руками, а теперь всё разбиралось дистанционно).

Радиоволны с трудом пробивались наружу из корпуса робота-пылесоса: чип, установленный в фильтр, отвечал, хоть и очень слабым сигналом. Пара минут – и электронные мозги пылесоса, слишком доверившиеся “аутентичности” фильтра, получили инъекцию кода, исполняемого теперь с наивысшим приоритетом. Доступ во внутреннюю сеть дома был получен. Но больше ничего ломать не потребовалось. Пылесос, под управлением Винсента, подъехал к двери и, оказавшись в непосредственной близости, передал запрос на “переход в другое помещение”. Видимо, нестандартная прошивка была предназначена для межкомнатных замков: засовы щёлкнули и дверь отъехала в сторону.

– Никогда не доверяй пылесосам, – пробормотал Винсент, – особенно, если это пылесос-инсайдер.

Это я к тому, что у меня давно есть аккаунт в Facebook.com (требуется регистрация), где я иногда публикую разные наблюдения и записки, которые не совсем подходят для dxdt.ru. Фрагмент, приведённый выше, как раз оттуда. Основная часть моих записей там открыта, в режиме Friends only я пишу только совсем уж специальные сообщения (хотя, уровень доступа Public, в данном случае означает, что для просмотра всё равно необходим аккаунт в Facebook), поэтому – подписывайтесь, если это вам интересно.



Комментарии (1) »

Обновил список избранных записок.



Комментировать »
Навигация по запискам: Раньше »