Certificate Transparency — перспективная технология, новый «сравнительно честный» способ отьема или новый виток «государство vs корпорации»?

Question

[CityCat4]

Прочитал про Certificate Transparency (СТ). Много думал...

Было множество инициатив, направленных против мошенников, но большниство из них кончались пшиком. CD-диски, которые по идее должны были стать непреодолимым барьером на пути пиратов так подстегнули пиратство, что оно заржало :) SPF и DKIM, призванные защищить мир от спама...ну, можеть быть от какой-то части и защищают, но по-моему первыми, кто освоил SPF - это спамеры.

Мне здесь видится несколько проблем:

- СA начнут брать отдельные деньги за СТ
- Спамеры начнут подымать сервера логов для сбора информации из сертификатов, которые очень часто содержат почтовые адреса
- Это усложнит работу корпоративных CA, что по замыслу гугла и общеизвестных СА должно привести к тому, что люди перестанут развертывать свои СА и начнут массово покупать их сертификаты
- Это должно усложнить работу госконтор, которые сниффят SSL на уровне государства, как например история с Казахстаном - я не помню, чем там кончилось дело, но анонс был

Comments

[sim3x]

Что из документации тебя навело на подобные ассоциации?

[Владимир]

Смешались в кучу кони люди...
DKIM никогда не позиционировался как защита от спама,
SPF - в первую очередь защита от спуфа (рассылка от вашего домена не вами) - отлично работает

[CityCat4]

sim3x: PKI существует, как сферическая корова в вакууме или все же им кто-то пользуется? Если кто-то пользуется, значит зависит он не только от документации. Гладко было на бумаге...
Что навело?
- Я не верю в "добрую волю" крупного бизнеса. Цитаты классиков приводить не буду, многие еще учили марксизм-ленинизм :) Как только гугл сотоварищи начинают продавливать нечто, будь то андроид или технологии - значит они либо хотят брать за это деньги либо (если бесплатно) предложат поделиться информацией, а не поделишься - в лучшем случае пальцем будут показывать.
- Технология открыта. Значит спамеру ничего не помешает поднять свой сервер логов. Я правильно понял, что лог будет отдаваться всем подряд? А в сертификате есть как минимум почтовый адрес
- Хром уже начал банить сайты, где в сертификате нет CТ. Да, сейчас это обходится простым решением, также как когда-то ключ от MS Office был 111-111111112 :) Через некоторое время это простое решение перестанет действовать, что здорово осложнит работу корпоративных CA, где пользуются хромом
- https все сильнее начинает мешать государству. Где-то оно идет на "добровольную" установку госсертификата, где-то - на "добровольную" сдачу ключей. Почему-то именно сейчас гугл решил энфорсить CT. "Вы тут заставляете госсертификаты ставить - а мы вам покажем, что это поддельный сертификат, пусть все знают"

К сожалению, любая технология, придуманная со сколь угодно высокими целями, непременно в руках мошенников становится ... тем чем становится.

[sim3x]

CityCat4: те просто домыслы и конспирология, не основанные на технической части

[CityCat4]

sim3x: OMG, Вы всерьез считаете, что техническая часть чего-бы-то-ни-было существует отдельно от окружающего его мира? Абстрактная технология в вакууме никому не нужна. Если за нее впрягся гугл - значит он рассчитывает с этого что-то поиметь. Я пытаюсь понять - что?

[sim3x]

CityCat4: ок. Зачем вы впряглись очернять гугл?

[CityCat4]

sim3x: А Вы его сотрудник? :) Мне не нравится идея о том, что я должен с кем-то поделиться данными корпоративных сертификатов - там вообще-то имя, фамилия, мыло и наименование отдела есть. И идея о том, что придется обьяснять про создание некоего файлика, отключающего требование CТ - не нравится не меньше - вот сейчас она работает, а завтра перестанет. И идея "всем перейти на FF" не нравится тоже.

[sim3x]

CityCat4: ок
Но ето не ответ на вопрос. Зачем вы впряглись очернять гугл?

Я не верю в вашу "добрую волю"

[CityCat4]

sim3x: И, кстати, Вы так и не ответили - Вы сотрудник гугла, что так яростно взялись его защищать?

[CityCat4]

sim3x: Вы хотите сказать, что я наемный писатель?

[sim3x]

CityCat4: Также как нет ответа на вопрос. Зачем вы впряглись очернять гугл?

[CityCat4]

sim3x: Ну еще раз переспросите. Авось легче станет и гугл засчитает что встали за него стеной :D

[sim3x]

CityCat4: конспирология работает в обе стороны. И не приводит к решению.
Не используйте ее в следующий раз

[CityCat4]

sim3x: Понятно. Отвечать по существу не хотим. Ваше дело. Как всегда все свелось просто к бла-бла-бла. Интересно, насколько долго тут можно болтать ни о чем?

Answer 1

[sim3x]

https://www.certificate-transparency.org/what-is-ct

Certificate Transparency aims to remedy these certificate-based threats by making the issuance and existence of SSL certificates open to scrutiny by domain owners, CAs, and domain users. Specifically, Certificate Transparency has three main goals:

• Make it impossible (or at least very difficult) for a CA to issue a SSL certificate for a domain without the certificate being visible to the owner of that domain.
  
• Provide an open auditing and monitoring system that lets any domain owner or CA determine whether certificates have been mistakenly or maliciously issued.
  
• Protect users (as much as possible) from being duped by certificates that were mistakenly or maliciously issued.
  

СA начнут брать отдельные деньги за СТ

могут. Также как и сами сертификаты не бесплатны.

Спамеры начнут подымать сервера логов для сбора информации из сертификатов, которые очень часто содержат почтовые адреса

ужас. Спамеры спамят только емаилы, которые написаны в сертификатах

Это усложнит работу корпоративных CA, что по замыслу гугла и общеизвестных СА должно привести к тому, что люди перестанут развертывать свои СА и начнут массово покупать их сертификаты

если корпоративная СА настолько ленивая, что не может произвести апгрейд софта для упрощения работы своих клиентов, то да

Это должно усложнить работу госконтор, которые сниффят SSL на уровне государства

прекрасно

Мир сложен и без тупой конспирологии

Comments

[CityCat4]

1. Сертификаты не бесплатны, но СТ - просто еще один повод "продать воздух"?
2. Не только. Но теперь задача поиска валидных емейлов станет легче - ставь логсервер и парси данные
3. Какого простите софта? У меня нет _желания_ делиться данными корпоративных сертификатов и я не включаю OID СТ в сертификат. Хром в ответ мне говорит "или лесом, чувак, ты подозрителен". Мне хром проапгрейдить? :D
4. Ужасно :) Потому что государство придумает новый ход - а страдать будут простые юзеры

[sim3x]

CityCat4:
1. Ты работаешь в ИТ? Ты производишь код. Код нематериален. Ты производишь "воздух". Ты будешь работать бесплатно?

По факту: покупатель сертификата теперь будет иметь информацию о своем домене и возможность следить за ситуацией

В твоей ситуации security over obscurity - делает твою организацию более уязвимой. И по факту, нет никакой гарантии, что все подписи в твоей организации не скомпроментированы

2. Сейчас - аналогично
3. Ок. Используешь сертификат внутри - не используй веб наружу
4. На каждое хитрое государство - есть свой хитрый народ

[CityCat4]

sim3x: 1. Угу. И все остальные, кто поднял сервера логов, будут знать, что ты получил сертификат, и что у тебя такое-то мыло. Я знаете ли, не хочу делиться своим мылом со всем миром - у меня и без того в почте достаточно спама.
В моей организации - они точно не скомпроментированы :)
2. Да, сейчас и публичные почтовики сливают и все прочее. Но будет легче.
3. Не могу. Мне нужно обеспечить доступ к почте с веб-морды, с планшетов, телефонов - сертификаты именно для того и нужны, чтобы обеспечить безопасность.

И, кстати, я не помню, чтобы мы с Вами пили на брудершафт...

[sim3x]

CityCat4:
1. Те про твое мыло и так все знают, но ты стесняешься его показать в сертификате - странно
"точно не скомпроментированы" - вот сейчас смешно было
2. Напомню, про твою почту уже все знают
3. Тогда будь-добр - обеспечь безопасность своим пользователям

Я б не был так уверен

[CityCat4]

sim3x: Мыло в профиле. Напишите где, когда и при каких обстоятельствах это было, если уж так уверены. Троллить я тоже умею.

[CityCat4]

sim3x: Ну, если мое мыло знаю все - значит знаете и Вы. И я Вам разрешаю его здесь обнародовать. Дерзайте.

[sim3x]

CityCat4: я не спамер :)

[CityCat4]

sim3x: А я попкорном запасусь и подумаю - какое же мыло знаю все. Какое из.. ну десяток пожалуй будет...

[CityCat4]

sim3x: Ну я так и знал :) Как всегда, громкие слова - а в итоге просто бла-бла-бла. Я Вас и не прошу спам рассылать :) Я Вам разрешаю опубликовать прям здесь мое мыло. Ведь его и так все знают, так что ничего страшного не произойдет.