Дно пробито (Upd)

Vitaly Zaitsev написал(а) к All в Dec 15 22:54:50 по местному времени:

Здpавствуй, All!

>---=== Начало вставки Clipboard ===---
Власти Казахстана внесли изменение в закон <О связи>, в соответствии с которым
1 января 2016 года провайдеры будут подменять НTTPS-соединения с применением
специального корневого сертификата. Пользователи будут обязаны загрузить и
установить "национальный сертификат безопасности", который будет использован для трансляции защищённого трафика к зарубежным сайтам. При помощи данного сертификата спецслужбы Казахстана смогут полностью контролировать весь НTTPS-трафик.

Подробности реализации не сообщаются, но судя по всему весь НTTPS-трафик будет
подменяться на транзитном прозрачном прокси на стороне магистральных операторов
связи с отдачей клиенту трафика, заверенного "национальным сертификат
безопасности". При установке SSL-соединения реальный SSL-сертификат целевого
сайта будет подменяться сгенерированным на лету новым сертификатом, который
будет помечен браузером как достоверный, так как подставной сертификат связан цепочкой доверия с "национальным сертификатом безопасности", добавленным в хранилище корневых сертификатов клиента.

Источник: http://www.opennet.ru/opennews/art.shtml?num=43442
>---=== Конец вставки Clipboard ===---

Протестируют в Казахстане, а через год увидим всё это уже в России.

* Originally in pushkin.local
* Crossposted in ru.internet

С уважением, Vitaly (zvitaly@easycoding.org)
--- Nothing is safe. Noone is safe.

ALexey Fedorinov написал(а) к Vitaly Zaitsev в Dec 15 00:50:14 по местному времени:

Здpавствуй, Vitaly!

Среда 02 Декабря 2015 22:54, ты писал(а) All, в сообщении по ссылке area://ru.internet?msgid=2:5020/2140.2555+565f30cc:

VZ> Подробности реализации не сообщаются, но судя по всему весь
VZ> НTTPS-трафик будет подменяться на транзитном прозрачном прокси на
VZ> стороне магистральных операторов связи с отдачей клиенту трафика,
VZ> заверенного "национальным сертификат безопасности". При установке
VZ> SSL-соединения реальный SSL-сертификат целевого сайта будет
VZ> подменяться сгенерированным на лету новым сертификатом, который будет
VZ> помечен браузером как достоверный, так как подставной сертификат
VZ> связан цепочкой доверия с "национальным сертификатом безопасности",
VZ> добавленным в хранилище корневых сертификатов клиента.

Казахов не так много. В основном Армяне. Русские тоже там йе, но хтож им такой интернет даст по ви-фи.


С уважением - ALexey
--- -Пиши, старик, пиши! Мы тебя не покинем.

Andrey Lappo написал(а) к Vitaly Zaitsev в Dec 15 23:40:22 по местному времени:

Нello, Vitaly!

> Власти Казахстана (...) смогут полностью контролировать весь НTTPS-трафик.

А ведь это даже не Россия, которая на актуальной "Freedom on the Net 2015" (https://freedomhouse.org/report/free...edom-net-2015) обогнала Казахстан в рейтинге ограничения свобод в Сети.

---
Regards,
Andrey Lappo
mailto:2:5020/2141.44@fidonet
--- wfido

Vitaly Zaitsev написал(а) к Andrey Lappo в Dec 15 03:23:32 по местному времени:

Здpавствуй, Andrey!

Среда 02 Декабря 2015 23:40, ты писал(а) мне:

AL> А ведь это даже не Россия

Решили сначала протестировать на Казахстане. Боятся, что резьбу может сорвать.

С уважением, Vitaly (zvitaly@easycoding.org)
--- Nothing is safe. Noone is safe.

Alexey Vissarionov написал(а) к Vitaly Zaitsev в Dec 15 11:00:00 по местному времени:

Доброго времени суток, Vitaly!
02 Dec 2015 22:54:50, ты -> All:

VZ> Власти Казахстана внесли изменение в закон "О связи", в соответствии
VZ> с которым 1 января 2016 года провайдеры будут подменять
VZ> НTTPS-соединения с применением специального корневого сертификата.

Гы.

VZ> Пользователи будут обязаны загрузить и установить "национальный
VZ> сертификат безопасности", который будет использован для трансляции
VZ> защищённого трафика к зарубежным сайтам.

Гы-гы.

VZ> При помощи данного сертификата спецслужбы Казахстана смогут полностью
VZ> контролировать весь НTTPS-трафик.

Гы-гы-гы.

VZ> Подробности реализации не сообщаются, но судя по всему весь
VZ> НTTPS-трафик будет подменяться на транзитном прозрачном прокси на
VZ> стороне магистральных операторов связи с отдачей клиенту трафика,
VZ> заверенного "национальным сертификат безопасности". При установке
VZ> SSL-соединения реальный SSL-сертификат целевого сайта будет
VZ> подменяться сгенерированным на лету новым сертификатом, который будет
VZ> помечен браузером как достоверный, так как подставной сертификат
VZ> связан цепочкой доверия с "национальным сертификатом безопасности",
VZ> добавленным в хранилище корневых сертификатов клиента.

Вот интересно: я единственный, кто понимает принципиальную нежизнеспособность такого решения?

VZ> Протестируют в Казахстане, а через год увидим всё это уже в России.

Ну, попилят еще немного денег... первый раз, что ли?


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Кликайте, и вам откликнется!
--- /bin/vi

Andrey Lappo написал(а) к Alexey Vissarionov в Dec 15 13:36:54 по местному времени:

Нello, Alexey!

>> реальный SSL-сертификат целевого сайта будет подменяться сгенерированным на
лету новым сертификатом, который будет помечен браузером как достоверный, так как подставной сертификат связан цепочкой доверия с "национальным сертификатом безопасности", добавленным в хранилище корневых сертификатов клиента.
> я единственный, кто понимает принципиальную нежизнеспособность такого решения?

В смысле, что отслеживаться будет большинство пользователей Сети, кроме тех, кто хочет сохранить приватность (деятельность которых, как раз, и интересует надзирателей)?

---
Regards,
Andrey Lappo
mailto:2:5020/2141.44@fidonet
--- wfido

Alexey Vissarionov написал(а) к Andrey Lappo в Dec 15 18:18:18 по местному времени:

Доброго времени суток, Andrey!
03 Dec 2015 13:36:54, ты -> мне:

>>> реальный SSL-сертификат целевого сайта будет подменяться
>>> сгенерированным на лету новым сертификатом, который будет помечен
>>> браузером как достоверный, так как подставной сертификат связан
>>> цепочкой доверия с "национальным сертификатом безопасности",
>>> добавленным в хранилище корневых сертификатов клиента.
>> я единственный, кто понимает принципиальную нежизнеспособность
>> такого решения?
AL> В смысле, что отслеживаться будет большинство пользователей Сети,
AL> кроме тех, кто хочет сохранить приватность (деятельность которых,
AL> как раз, и интересует надзирателей)?

Нет - решение нежизнеспособно просто потому, что подразумевает выполнение каких-то действий пользователем. Анекдот про вируса-импотента вспоминается.

Да и отслеживаться, как и везде, будет лишь малая часть всего трафика.


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Отпуск - это когда утром суббота, днем воскресенье, а вечером пятница
--- /bin/vi

Andrey Lappo написал(а) к Alexey Vissarionov в Dec 15 19:38:19 по местному времени:

Нello, Alexey!

>> В смысле, что отслеживаться будет большинство пользователей Сети, кроме тех, кто хочет сохранить приватность (деятельность которых, как раз, и интересует надзирателей)?
> Нет - решение нежизнеспособно просто потому, что подразумевает выполнение каких-то действий пользователем. Анекдот про вируса-импотента вспоминается.
> Да и отслеживаться, как и везде, будет лишь малая часть всего трафика.

Все правильно - потому что трафика будет мало из-за того, что прочие его генераторы тупо не импортируют сертификат и останутся без веба.

---
Regards,
Andrey Lappo
mailto:2:5020/2141.44@fidonet
--- wfido

Vitaly Zaitsev написал(а) к Alexey Vissarionov в Dec 15 21:47:14 по местному времени:

Здpавствуй, Alexey!

Четверг 03 Декабря 2015 11:00, ты писал(а) мне:

AV> Вот интересно: я единственный, кто понимает принципиальную
AV> нежизнеспособность такого решения?

Нет конечно. Провайдера быстро задолбает объяснять очередному нубу как
устанавливать сертификат. К тому же, на куче сервисов из preload-листа Firefox и Chromium, MITM невозможен в принципе, т.к. явно указано какой сертификат должен получить браузер для конкретного сайта.

С уважением, Vitaly (zvitaly@easycoding.org)
--- Nothing is safe. Noone is safe.

Valentin Davydov написал(а) к Alexey Vissarionov в Dec 15 20:59:17 по местному времени:

From: Valentin Davydov <sp@m.davydov.spb.su>

> From: Alexey Vissarionov <Alexey.Vissarionov@f545.n5020.z2.fidonet.org>
> Date: Thu, 03 Dec 2015 18:18:18 +0300
>
> >>> реальный SSL-сертификат целевого сайта будет подменяться
> >>> сгенерированным на лету новым сертификатом, который будет помечен
> >>> браузером как достоверный, так как подставной сертификат связан
> >>> цепочкой доверия с "национальным сертификатом безопасности",
> >>> добавленным в хранилище корневых сертификатов клиента.
> >> я единственный, кто понимает принципиальную нежизнеспособность
> >> такого решения?
> AL> В смысле, что отслеживаться будет большинство пользователей Сети,
> AL> кроме тех, кто хочет сохранить приватность (деятельность которых,
> AL> как раз, и интересует надзирателей)?
>
>Нет - решение нежизнеспособно просто потому, что подразумевает выполнение
>каких-то действий пользователем.

Однако ради подключения к интернету пользователи весьма серьёзные действия
выполняют. Например, звонят по телефону, полдня сидят дома в ожидании
мастера, а потом ещё и, смею сказать, деньги регулярно платят.

>Анекдот про вируса-импотента вспоминается.

А мне вспоминается другой анекдот. Про сисадмина, который считал себя
властелином сети, пока не пришёл электрик.

Вал. Дав.

--- ifmail v.2.15dev5.4