Marmot писал(а):
Если использовать внутренний CA, а сертификаты генерить и ставить вручную, то такая атака так просто не пройдет
Пройдет, если клиент тупо заакцептит фейковый сертификат. Джава это, кстате, тоже умеет.
Я как то написал клиента для Веб ДавС под виндами. Ошибки при ссл соединеннии отлавливал и выкидывал опцию - стоп или вперед. Думал даже убрать опцию вперед но решил фиг с ними, пусть имеют опцию. Но ничего с сертификатом я не делал и ошибка вылетала в каждую сессию. В конце концов юзеры зеленели от злости и были вынуждены импортировать сертификаты вручную. Зато секурные аудиторы оченно любили такое поведение, я им сказал что за условный ящик вискаря я могу вообще опцию вперед отрубить нах, но они ответили что это клево но юзеры их сожрут.
WinSCP более мирная Оно просто спрашивает - доверяем этому серту: y/n? Юзверь нажимает "y" и все.
Кстате, оно даже не импортирует серт - просто хранит хэш в конфиге.
Vovchik писал(а):
Извинений мы со Станиславом дождемся али как?
Я же написал "похоже"
Хотя, если CA отловят на реальных фейках, то мало им не покажется, тем более, что теперь все смотрят в СТ логи, те кто реально о безопасности заботится
Не знаю, как там наше правительство насчет этого...
Vovchik писал(а):
Извинений мы со Станиславом дождемся али как?
Я же написал "похоже"
Хотя, если CA отловят на реальных фейках, то мало им не покажется, тем более, что теперь все смотрят в СТ логи, те кто реально о безопасности заботится
Не знаю, как там наше правительство насчет этого...
Антиресно токма какое будет наказание для Летс Енкрипт? Общественное порицание? Акромя чистосердечного извинения - с них взять больше нечего. Коммерческую контору можно засудить, стрясти мелочевку с мелочевки и обанкротить. Ну да вона еквифакс ломанули и вроде они ажно 700 лямов отслюнявили штрафа, в америке попадалово это канкретно.
Вот ежели амерское правительство не препиралось бы по поводу стенкостроительства а занялось бы чем нибудь полезным - то приняли б они закон о лицензировании всех СА и тогда всякие яблоки, гуглы и мекомягкие будут вынуждены повыкидывать всякую шушеру из своих интернет топтунов, вот тогда могет оно и поможет против всяких русских креативных жуликов.
В какчестве заключения.
Сегодня точно узнал, что это за ребята с Лет'с Енкриптом, которым мы отчеты посылаем - это не МинФин, это другие.
И это хорошая новость.
А выяснилось это так - сегодня шухер был - нада было задизейблить их аккаунт - они все проворонили / просрали / прощелкали / профукали / прое...ли