CityCat4, "Ну и кроме хрома есть и другие браузеры." - осторожно замечу, что сейчас 90% браузеров сделано из хромиума. Даже Microsoft взял и заменил свой IE на Edge, у которого хромиум внутри.
CityCat4, "Ну и кроме хрома есть и другие браузеры." - осторожно замечу, что сейчас 90% браузеров сделано из хромиума. Даже Microsoft взял и заменил свой IE на Edge, у которого хромиум внутри.
CityCat4, насколько я знаю, Certificate Transparency - это вообще не часть сертификата. Это отдельный список, который ведёт ЦА, добавляя туда каждый выпущенный сертификат.
И сама логика проверки описана вот такой портянкой:
Chrome Policies
Chrome has gradually required Certificate Transparency for more and more publicly-trusted certificates over the past few years.
Since 1 January 2015, Chrome has required that all Extended Validation certificates be disclosed via Certificate Transparency. Certificates that were not properly disclosed would be stripped of their EV status, but no warnings would be shown to visitors to sites that did not comply.
Since 1 June 2016, Chrome has required that all new certificates issued by the set of root certificates owned by Symantec Corporation are disclosed via Certificate Transparency. Certificates that were not disclosed, or which were not disclosed in a way consistent with RFC 6962, would be rejected as untrusted.
For all new certificates issued after 30 April 2018, Chrome will require that the certificate be disclosed via Certificate Transparency. If a certificate is issued after this date and neither the certificate nor the site supports CT, then these certificates will be rejected as untrusted, and the connection will be blocked. In the case of a main page load, the user will see a full page certificate warning page, with the error code net::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED. If you receive this error, this indicates that your CA has not taken steps to make sure your certificate supports CT, and you should contact your CA's sales or support team to ensure you can get a replacement certificate that works.
(с) https://chromium.googlesource.com/chromium/src/+/m...
В свежей сборке хрома есть флаг Certificate Transparency 2022 Policy (можно увидеть на странице chrome:flags). Если я правильно понимаю, он включен по дефолту. То есть, просто подсунуть сертификат от майора уже не получится.
"ФСБ имеет прямой доступ к корневым гостовским сертификатам..... А значит они легко могут устроить тебе mitm и расшифровать все данные. Причём на абсолютно любом сайте..."
Прости, всё ещё не понимаю. Формально, доступ к любому корневому сертификату имеет вообще кто угодно. Просто потому, что браузер, заходя на сайт по https, получает сертификат сайта, вместе с корневым (ну или корневой уже стоит в системе). Это просто набор чисел, который пересылается по сети.
Кажется, не хватает каких-то условий.
Или имелось в виду, что у майора есть доступ не только к сертификату, но и к приватному ключу, который к этому сертификату прилагается (что, кажется, позволяет как расшифровать траффик, так и сгенерировать новый серт для нужного сайта)?
hint000, ох. Вы таки не поверите. Вот решил я нарисовать АЛУ. Взял yEd graph editor. И получилась фигня. Просто потому что редактор не умеет делать то, что мне от него нужно. А нужно мне немного. Чтоб квадратики рисовались одинаковые (и не надо было ловить попиксельно их размер), чтоб стрелки приезжали в середину. Чтоб стрелок можно было две. И чтоб можно было расположение поправить. Но тут внезапно выяснилось, что если с размерами справиться ещё можно, то со стрелками - не очень. Пока стрелка одна - всё ок. Когда две - они входят в прямоугольничек случайным образом, и отрегулировать это невозможно. Воткнуть одну линию в середину другой тоже не получается. И вот из-за таких мелочей вместо Моно Лизы получается, кхм, превед медвед. Хоть, блин, в Paint Brash рисуй попиксельно.
Да, наверное можно пойти купить Visio (вроде он норм был), но не факт, что в нём не вылезет подобной гадости.
В общем, не нашёл я идеала.
А данная картинка, вроде как, нарисована редактором, который по внешним признакам как раз мне подходит. Отсюда и вопрос.
Если интересно, yEd позволил нарисовать вот такого уродца:
Василий Банников, Так. Вот я добровольно поставил корневой ГОСТовый серт, чтобы ходить на какой-нибудь сайт банка. Но какое к этому имеет отношение MITM и ФСБ?