CityCat4
@CityCat4 Автор вопроса, куратор тега Цифровые сертификаты
1. Сертификаты не бесплатны, но СТ - просто еще один повод "продать воздух"?
2. Не только. Но теперь задача поиска валидных емейлов станет легче - ставь логсервер и парси данные
3. Какого простите софта? У меня нет _желания_ делиться данными корпоративных сертификатов и я не включаю OID СТ в сертификат. Хром в ответ мне говорит "или лесом, чувак, ты подозрителен". Мне хром проапгрейдить? :D
4. Ужасно :) Потому что государство придумает новый ход - а страдать будут простые юзеры
CityCat4
@CityCat4 Автор вопроса, куратор тега Цифровые сертификаты
sim3x: А Вы его сотрудник? :) Мне не нравится идея о том, что я должен с кем-то поделиться данными корпоративных сертификатов - там вообще-то имя, фамилия, мыло и наименование отдела есть. И идея о том, что придется обьяснять про создание некоего файлика, отключающего требование CТ - не нравится не меньше - вот сейчас она работает, а завтра перестанет. И идея "всем перейти на FF" не нравится тоже.
CityCat4
@CityCat4 Автор вопроса, куратор тега Цифровые сертификаты
sim3x: OMG, Вы всерьез считаете, что техническая часть чего-бы-то-ни-было существует отдельно от окружающего его мира? Абстрактная технология в вакууме никому не нужна. Если за нее впрягся гугл - значит он рассчитывает с этого что-то поиметь. Я пытаюсь понять - что?
CityCat4
@CityCat4 Автор вопроса, куратор тега Цифровые сертификаты
sim3x: PKI существует, как сферическая корова в вакууме или все же им кто-то пользуется? Если кто-то пользуется, значит зависит он не только от документации. Гладко было на бумаге...
Что навело?
- Я не верю в "добрую волю" крупного бизнеса. Цитаты классиков приводить не буду, многие еще учили марксизм-ленинизм :) Как только гугл сотоварищи начинают продавливать нечто, будь то андроид или технологии - значит они либо хотят брать за это деньги либо (если бесплатно) предложат поделиться информацией, а не поделишься - в лучшем случае пальцем будут показывать.
- Технология открыта. Значит спамеру ничего не помешает поднять свой сервер логов. Я правильно понял, что лог будет отдаваться всем подряд? А в сертификате есть как минимум почтовый адрес
- Хром уже начал банить сайты, где в сертификате нет CТ. Да, сейчас это обходится простым решением, также как когда-то ключ от MS Office был 111-111111112 :) Через некоторое время это простое решение перестанет действовать, что здорово осложнит работу корпоративных CA, где пользуются хромом
- https все сильнее начинает мешать государству. Где-то оно идет на "добровольную" установку госсертификата, где-то - на "добровольную" сдачу ключей. Почему-то именно сейчас гугл решил энфорсить CT. "Вы тут заставляете госсертификаты ставить - а мы вам покажем, что это поддельный сертификат, пусть все знают"
К сожалению, любая технология, придуманная со сколь угодно высокими целями, непременно в руках мошенников становится ... тем чем становится.
Alex Helber: Неплохой, в принципе DM. Обычно выбор DM прописывается в конфигах, правда, в каких в Поттеринг-infected системах - не знаю. В CentOS 6.x - это /etc/sysconfig/desktop, в Gentoo (если уж точнее - Calculate Desktop) - /etc/conf.d/xdm
sergeevpetro: За бабки и далеко не всем, как оказалось - внешний. Зависит от страны, от региона, от провайдера. В нашей области МТС предоставляла такую услугу - за бабки. Бесплатно присвоят адрес вида 10.х.х.х - пользуйся, ни в чем себе не отказывай :)
thekrevedko: о том, что проводят или о том, что нежелательно? В первом убедиться чрезвычайно просто - выпустить сертификат в СА, у которого свой сертификат зашифрован sha1 и попробовать зайти на сайт, защищаемый данным сертификатом из хрома. И узреть табличку во весь экран - "аааа, паника, паника!" По поводу второго - ну, извини, я не в суде выступаю и не начальству доклад готовлю, чтобы пруфы на все случаи иметь. Слухом, слухом земля полнится...
sergeevpetro: И что? Как подключитесь-то снаружи? Подключиться к серому IP извне той сети, в которой он находится - нельзя. А еще нацелились корпоративных ИБ-шиков надувать, поди :)
Дмитрий Куликов: Это "нечестный" https :) Там на одной странице используется и http и https, о чем Firefox честно предупреждает при заходе на страницу. Получить их сертификат запросто - они же отдают его при каждом соединении - openssl s_client -connect shipovnik.ua:443. Используют они честный сертификат от Comodo, Positive wildcard. Вот кстати поэтому у них и "нечестный" https - потому что wildcard сертификат не защищает корневой домен :)
