Comments 19
Когда Google захватит мир, таких проблем не будет.
Разве NIC India после таких действий не должны лишить права добавлять сертификаты в India CCA?
Помнится давно уже хотели отвязать ответственность за сертификат от выдающего CA и привязать ее к домену аналогично DNS(SEC), чтобы это дело децентрализовать.
А то вся система CA дырява настолько. что диву даёшься: любой дурак с сертификатом в Trusted Root может выпустить любой сертификат и ему будут доверять.
Видать кому-то :) это выгодно.
А то вся система CA дырява настолько. что диву даёшься: любой дурак с сертификатом в Trusted Root может выпустить любой сертификат и ему будут доверять.
Видать кому-то :) это выгодно.
Давно хотели, да перехотели?
Ну, воз и ныне там, похоже. en.wikipedia.org/wiki/Web_of_trust
А организации кто будет проверять?
Какие организации?
Обычно, субъектом защиты сертификата является домен (в контексте интернета), аналогично с DNSSEC, где этот же домен защищается от подделки DNS-ответов. Поэтому можно использовать существующую инфраструктуру DNSSEC c древовидным доверием (от корня вниз, который, в принципе, аналогичен PKI, только в DNSSEC корень один) для реализации PKI.
Я даже нашел черновик RFC на эту тему — tools.ietf.org/html/draft-turner-dnssec-centric-pki-00
При подключении TLS там предлагается запрашивать сертификат домена по DNSSEC (он лежит в спецательной записи CERT) и сравнивать его с тем, который нам предоставляют во время handshake. Если они совпадают — всё ништяк.
Обычно, субъектом защиты сертификата является домен (в контексте интернета), аналогично с DNSSEC, где этот же домен защищается от подделки DNS-ответов. Поэтому можно использовать существующую инфраструктуру DNSSEC c древовидным доверием (от корня вниз, который, в принципе, аналогичен PKI, только в DNSSEC корень один) для реализации PKI.
Я даже нашел черновик RFC на эту тему — tools.ietf.org/html/draft-turner-dnssec-centric-pki-00
При подключении TLS там предлагается запрашивать сертификат домена по DNSSEC (он лежит в спецательной записи CERT) и сравнивать его с тем, который нам предоставляют во время handshake. Если они совпадают — всё ништяк.
А что насчет Оперы 12.х?
Ммм… Firefox, люблю его.
А тем временем Windows и Firefox всё ещё доверяют The USERTRUST Network, от имени которого 15.03.2011 было выпущено достаточно большое число сертификатов.
Пример DigiNotar и Comodo Group никого ничему не научил. Спасибо NIC India за еще один пример в мою коллекцию.
Кстати, вот видео с TrustyCon, где Chris Palmer говорит как раз о CA и способах решения проблем: www.youtube.com/watch?v=lkO8SNiDSw0#t=16480
Уверен, что менять систему в корне пока никто не готов. Думаю, дело идет к тому, что гиганты отрасли добьются права иметь свой собственный корневой CA в браузерах. А может быть станут выдавать сертификаты и для других сайтов.
Также этот случай поднимает интересный вопрос. Безопасность браузера сегодня определяется не только качеством кода, его открытостью, оперативностью фиксов. Но и доверием к небольшой группе людей (никому не известных), которые утверждают список корневых CA.
Также этот случай поднимает интересный вопрос. Безопасность браузера сегодня определяется не только качеством кода, его открытостью, оперативностью фиксов. Но и доверием к небольшой группе людей (никому не известных), которые утверждают список корневых CA.
Sign up to leave a comment.
NIC India выдал цифровые сертификаты на домены Google