#1
|
|||
|
|||
Дно пробито (Upd)
Vitaly Zaitsev написал(а) к All в Dec 15 22:54:50 по местному времени:
Здpавствуй, All! >---=== Начало вставки Clipboard ===--- Власти Казахстана внесли изменение в закон <О связи>, в соответствии с которым 1 января 2016 года провайдеры будут подменять НTTPS-соединения с применением специального корневого сертификата. Пользователи будут обязаны загрузить и установить "национальный сертификат безопасности", который будет использован для трансляции защищённого трафика к зарубежным сайтам. При помощи данного сертификата спецслужбы Казахстана смогут полностью контролировать весь НTTPS-трафик. Подробности реализации не сообщаются, но судя по всему весь НTTPS-трафик будет подменяться на транзитном прозрачном прокси на стороне магистральных операторов связи с отдачей клиенту трафика, заверенного "национальным сертификат безопасности". При установке SSL-соединения реальный SSL-сертификат целевого сайта будет подменяться сгенерированным на лету новым сертификатом, который будет помечен браузером как достоверный, так как подставной сертификат связан цепочкой доверия с "национальным сертификатом безопасности", добавленным в хранилище корневых сертификатов клиента. Источник: http://www.opennet.ru/opennews/art.shtml?num=43442 >---=== Конец вставки Clipboard ===--- Протестируют в Казахстане, а через год увидим всё это уже в России. * Originally in pushkin.local * Crossposted in ru.internet С уважением, Vitaly (zvitaly@easycoding.org) --- Nothing is safe. Noone is safe. |
#2
|
|||
|
|||
Re: Дно пробито (Upd)
ALexey Fedorinov написал(а) к Vitaly Zaitsev в Dec 15 00:50:14 по местному времени:
Здpавствуй, Vitaly! Среда 02 Декабря 2015 22:54, ты писал(а) All, в сообщении по ссылке area://ru.internet?msgid=2:5020/2140.2555+565f30cc: VZ> Подробности реализации не сообщаются, но судя по всему весь VZ> НTTPS-трафик будет подменяться на транзитном прозрачном прокси на VZ> стороне магистральных операторов связи с отдачей клиенту трафика, VZ> заверенного "национальным сертификат безопасности". При установке VZ> SSL-соединения реальный SSL-сертификат целевого сайта будет VZ> подменяться сгенерированным на лету новым сертификатом, который будет VZ> помечен браузером как достоверный, так как подставной сертификат VZ> связан цепочкой доверия с "национальным сертификатом безопасности", VZ> добавленным в хранилище корневых сертификатов клиента. Казахов не так много. В основном Армяне. Русские тоже там йе, но хтож им такой интернет даст по ви-фи. С уважением - ALexey --- -Пиши, старик, пиши! Мы тебя не покинем. |
#3
|
|||
|
|||
Дно пробито (Upd)
Andrey Lappo написал(а) к Vitaly Zaitsev в Dec 15 23:40:22 по местному времени:
Нello, Vitaly! > Власти Казахстана (...) смогут полностью контролировать весь НTTPS-трафик. А ведь это даже не Россия, которая на актуальной "Freedom on the Net 2015" (https://freedomhouse.org/report/free...edom-net-2015) обогнала Казахстан в рейтинге ограничения свобод в Сети. --- Regards, Andrey Lappo mailto:2:5020/2141.44@fidonet --- wfido |
#4
|
|||
|
|||
Re: Дно пробито (Upd)
Vitaly Zaitsev написал(а) к Andrey Lappo в Dec 15 03:23:32 по местному времени:
Здpавствуй, Andrey! Среда 02 Декабря 2015 23:40, ты писал(а) мне: AL> А ведь это даже не Россия Решили сначала протестировать на Казахстане. Боятся, что резьбу может сорвать. С уважением, Vitaly (zvitaly@easycoding.org) --- Nothing is safe. Noone is safe. |
#5
|
|||
|
|||
Дно пробито (Upd)
Alexey Vissarionov написал(а) к Vitaly Zaitsev в Dec 15 11:00:00 по местному времени:
Доброго времени суток, Vitaly! 02 Dec 2015 22:54:50, ты -> All: VZ> Власти Казахстана внесли изменение в закон "О связи", в соответствии VZ> с которым 1 января 2016 года провайдеры будут подменять VZ> НTTPS-соединения с применением специального корневого сертификата. Гы. VZ> Пользователи будут обязаны загрузить и установить "национальный VZ> сертификат безопасности", который будет использован для трансляции VZ> защищённого трафика к зарубежным сайтам. Гы-гы. VZ> При помощи данного сертификата спецслужбы Казахстана смогут полностью VZ> контролировать весь НTTPS-трафик. Гы-гы-гы. VZ> Подробности реализации не сообщаются, но судя по всему весь VZ> НTTPS-трафик будет подменяться на транзитном прозрачном прокси на VZ> стороне магистральных операторов связи с отдачей клиенту трафика, VZ> заверенного "национальным сертификат безопасности". При установке VZ> SSL-соединения реальный SSL-сертификат целевого сайта будет VZ> подменяться сгенерированным на лету новым сертификатом, который будет VZ> помечен браузером как достоверный, так как подставной сертификат VZ> связан цепочкой доверия с "национальным сертификатом безопасности", VZ> добавленным в хранилище корневых сертификатов клиента. Вот интересно: я единственный, кто понимает принципиальную нежизнеспособность такого решения? VZ> Протестируют в Казахстане, а через год увидим всё это уже в России. Ну, попилят еще немного денег... первый раз, что ли? -- Alexey V. Vissarionov aka Gremlin from Kremlin gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii ... Кликайте, и вам откликнется! --- /bin/vi |
#6
|
|||
|
|||
Дно пробито (Upd)
Andrey Lappo написал(а) к Alexey Vissarionov в Dec 15 13:36:54 по местному времени:
Нello, Alexey! >> реальный SSL-сертификат целевого сайта будет подменяться сгенерированным на лету новым сертификатом, который будет помечен браузером как достоверный, так как подставной сертификат связан цепочкой доверия с "национальным сертификатом безопасности", добавленным в хранилище корневых сертификатов клиента. > я единственный, кто понимает принципиальную нежизнеспособность такого решения? В смысле, что отслеживаться будет большинство пользователей Сети, кроме тех, кто хочет сохранить приватность (деятельность которых, как раз, и интересует надзирателей)? --- Regards, Andrey Lappo mailto:2:5020/2141.44@fidonet --- wfido |
#7
|
|||
|
|||
Дно пробито (Upd)
Alexey Vissarionov написал(а) к Andrey Lappo в Dec 15 18:18:18 по местному времени:
Доброго времени суток, Andrey! 03 Dec 2015 13:36:54, ты -> мне: >>> реальный SSL-сертификат целевого сайта будет подменяться >>> сгенерированным на лету новым сертификатом, который будет помечен >>> браузером как достоверный, так как подставной сертификат связан >>> цепочкой доверия с "национальным сертификатом безопасности", >>> добавленным в хранилище корневых сертификатов клиента. >> я единственный, кто понимает принципиальную нежизнеспособность >> такого решения? AL> В смысле, что отслеживаться будет большинство пользователей Сети, AL> кроме тех, кто хочет сохранить приватность (деятельность которых, AL> как раз, и интересует надзирателей)? Нет - решение нежизнеспособно просто потому, что подразумевает выполнение каких-то действий пользователем. Анекдот про вируса-импотента вспоминается. Да и отслеживаться, как и везде, будет лишь малая часть всего трафика. -- Alexey V. Vissarionov aka Gremlin from Kremlin gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii ... Отпуск - это когда утром суббота, днем воскресенье, а вечером пятница --- /bin/vi |
#8
|
|||
|
|||
Дно пробито (Upd)
Andrey Lappo написал(а) к Alexey Vissarionov в Dec 15 19:38:19 по местному времени:
Нello, Alexey! >> В смысле, что отслеживаться будет большинство пользователей Сети, кроме тех, кто хочет сохранить приватность (деятельность которых, как раз, и интересует надзирателей)? > Нет - решение нежизнеспособно просто потому, что подразумевает выполнение каких-то действий пользователем. Анекдот про вируса-импотента вспоминается. > Да и отслеживаться, как и везде, будет лишь малая часть всего трафика. Все правильно - потому что трафика будет мало из-за того, что прочие его генераторы тупо не импортируют сертификат и останутся без веба. --- Regards, Andrey Lappo mailto:2:5020/2141.44@fidonet --- wfido |
#9
|
|||
|
|||
Re: Дно пробито (Upd)
Vitaly Zaitsev написал(а) к Alexey Vissarionov в Dec 15 21:47:14 по местному времени:
Здpавствуй, Alexey! Четверг 03 Декабря 2015 11:00, ты писал(а) мне: AV> Вот интересно: я единственный, кто понимает принципиальную AV> нежизнеспособность такого решения? Нет конечно. Провайдера быстро задолбает объяснять очередному нубу как устанавливать сертификат. К тому же, на куче сервисов из preload-листа Firefox и Chromium, MITM невозможен в принципе, т.к. явно указано какой сертификат должен получить браузер для конкретного сайта. С уважением, Vitaly (zvitaly@easycoding.org) --- Nothing is safe. Noone is safe. |
#10
|
|||
|
|||
Re: Дно пробито (Upd)
Valentin Davydov написал(а) к Alexey Vissarionov в Dec 15 20:59:17 по местному времени:
From: Valentin Davydov <sp@m.davydov.spb.su> > From: Alexey Vissarionov <Alexey.Vissarionov@f545.n5020.z2.fidonet.org> > Date: Thu, 03 Dec 2015 18:18:18 +0300 > > >>> реальный SSL-сертификат целевого сайта будет подменяться > >>> сгенерированным на лету новым сертификатом, который будет помечен > >>> браузером как достоверный, так как подставной сертификат связан > >>> цепочкой доверия с "национальным сертификатом безопасности", > >>> добавленным в хранилище корневых сертификатов клиента. > >> я единственный, кто понимает принципиальную нежизнеспособность > >> такого решения? > AL> В смысле, что отслеживаться будет большинство пользователей Сети, > AL> кроме тех, кто хочет сохранить приватность (деятельность которых, > AL> как раз, и интересует надзирателей)? > >Нет - решение нежизнеспособно просто потому, что подразумевает выполнение >каких-то действий пользователем. Однако ради подключения к интернету пользователи весьма серьёзные действия выполняют. Например, звонят по телефону, полдня сидят дома в ожидании мастера, а потом ещё и, смею сказать, деньги регулярно платят. >Анекдот про вируса-импотента вспоминается. А мне вспоминается другой анекдот. Про сисадмина, который считал себя властелином сети, пока не пришёл электрик. Вал. Дав. --- ifmail v.2.15dev5.4 |