Вы всё еще ходите в ютуб не через TOR?
А провайдер из города Талдом уже внедряет суровый талдомский DPI.
Это, конечно, шутка. Потому, что вместо DPI у них NGINX (ну то есть, я еще верю в человечество и надеюсь, что это NGINX, а не MS ISA или как там мелкомягкий шлюз нынче называется), который подставляет левый SSL-сертификат для всех сайтов из списка блокировки.
Разумеется, делают они это не ради перехвата каких-то секретных данных, а просто проверяют, а не на заблокированную ли страничку лезет гражданин? Получается с огоньком, но без фантазии. В другой раз пользователь со вздохом "что-то у ютуба опять сертификат глючит" ткнул-бы в "окей" и забыл про это мелкое происшествие. Но когда в недрах сертификата двадцать с половиной раз написано название любимого провайдера, возникают справедливые вопросы. Один вопрос. Начинающийся на "какого".
А вот такого.
Содержимым гуглопочты, как известно, с переменным успехом интересуются все тоталитарные государства государства мира. Самое крупное из них сниффингом не заморачивается, предпочитая получать трафик непосредственно из первоисточника, а остальные игроки вынуждены импровизировать.
Китай использует MITM-атаку с Самоподписанным сертификатом Google. Это палево, скандал и пляски Эмнисти Интернейшнл.
Существенно больших успехов добился Иран. Доблестные иранские хакеры взломали крупный голландский CA и выпустили столь необходимые им сертификаты на *.google.com, ключи от которых раздали иранским провайдерам. Сначала всё шло хорошо, потом взлом обнаружили и опять скандал и палево, а главное - DigiNotar отовсюду вынесли и доблестным иранским хакерам пришлось ломать что-то еще.
Другим путём пошла Южная Корея (не путать с Северной, где для контроля за гуглом используется отсутствие интернета у рядовых граждан). Каким образом осуществляется перехват официально, разумеется, неизвестно, но вот злые языки говорят об использовании корневого сертификата государственного корейского CA, который присутствует в хранилище винды. А есть в винде, есть, считай, в любом браузере, кроме Мозиллы. Скандала и палева, правда, не произошло, потому, что тамошние сукины дети - они кого надо сукины дети.
Кстати, среди особо доверенных еще есть турецкий корневой сертификат, а там тоже народец у власти - зело любопытный. Но не пойман - не вор.
Так, что, о том, что стремительный паровоз Роскомнадзора упёрся автосцепкой в задницы наших спортсменов-по-шпалам-на-длинные дистанции мы узнаем, когда в винде наконец появится корневой сертификат от, скажем, ФГУП НТЦ "Атлас". Строго ради ГОСТового шифрования в государственных органах и отечественных банках, как вы понимаете. Однажды НТЦ выпустит сертификат для *.google.com. Их, со скандалом и призывами к санкциям сто пятидесятого этапа, запалят, но от этого ничего не поменяется. Чуть более продвинутые пользователи ручками вынесут этот сертификат из хранилища параллельно лишив себя возможности безопасно работать со всеми российскими интернет-банками, а в ютуб будут ходить строго через тор. Остальным будет пофигу.
UPD: Про cretificate pinning. В Хроме и Мозилле есть список заведомо валидных корневых сертификатов для небольшого количества доменов.
Это спасает только от хакеров, которым есть, что скрывать. Если вы принудительно идёте через MITM-прокси, владелец которого особо и не скрывается (ну вот как по исходной ссылке), то приходится выбирать: либо гугл, либо валидный сертификат.
Это, конечно, шутка. Потому, что вместо DPI у них NGINX (ну то есть, я еще верю в человечество и надеюсь, что это NGINX, а не MS ISA или как там мелкомягкий шлюз нынче называется), который подставляет левый SSL-сертификат для всех сайтов из списка блокировки.
Разумеется, делают они это не ради перехвата каких-то секретных данных, а просто проверяют, а не на заблокированную ли страничку лезет гражданин? Получается с огоньком, но без фантазии. В другой раз пользователь со вздохом "что-то у ютуба опять сертификат глючит" ткнул-бы в "окей" и забыл про это мелкое происшествие. Но когда в недрах сертификата двадцать с половиной раз написано название любимого провайдера, возникают справедливые вопросы. Один вопрос. Начинающийся на "какого".
А вот такого.
Содержимым гуглопочты, как известно, с переменным успехом интересуются все тоталитарные государства государства мира. Самое крупное из них сниффингом не заморачивается, предпочитая получать трафик непосредственно из первоисточника, а остальные игроки вынуждены импровизировать.
Китай использует MITM-атаку с Самоподписанным сертификатом Google. Это палево, скандал и пляски Эмнисти Интернейшнл.
Существенно больших успехов добился Иран. Доблестные иранские хакеры взломали крупный голландский CA и выпустили столь необходимые им сертификаты на *.google.com, ключи от которых раздали иранским провайдерам. Сначала всё шло хорошо, потом взлом обнаружили и опять скандал и палево, а главное - DigiNotar отовсюду вынесли и доблестным иранским хакерам пришлось ломать что-то еще.
Другим путём пошла Южная Корея (не путать с Северной, где для контроля за гуглом используется отсутствие интернета у рядовых граждан). Каким образом осуществляется перехват официально, разумеется, неизвестно, но вот злые языки говорят об использовании корневого сертификата государственного корейского CA, который присутствует в хранилище винды. А есть в винде, есть, считай, в любом браузере, кроме Мозиллы. Скандала и палева, правда, не произошло, потому, что тамошние сукины дети - они кого надо сукины дети.
Кстати, среди особо доверенных еще есть турецкий корневой сертификат, а там тоже народец у власти - зело любопытный. Но не пойман - не вор.
Так, что, о том, что стремительный паровоз Роскомнадзора упёрся автосцепкой в задницы наших спортсменов-по-шпалам-на-длинные дистанции мы узнаем, когда в винде наконец появится корневой сертификат от, скажем, ФГУП НТЦ "Атлас". Строго ради ГОСТового шифрования в государственных органах и отечественных банках, как вы понимаете. Однажды НТЦ выпустит сертификат для *.google.com. Их, со скандалом и призывами к санкциям сто пятидесятого этапа, запалят, но от этого ничего не поменяется. Чуть более продвинутые пользователи ручками вынесут этот сертификат из хранилища параллельно лишив себя возможности безопасно работать со всеми российскими интернет-банками, а в ютуб будут ходить строго через тор. Остальным будет пофигу.
UPD: Про cretificate pinning. В Хроме и Мозилле есть список заведомо валидных корневых сертификатов для небольшого количества доменов.
Это спасает только от хакеров, которым есть, что скрывать. Если вы принудительно идёте через MITM-прокси, владелец которого особо и не скрывается (ну вот как по исходной ссылке), то приходится выбирать: либо гугл, либо валидный сертификат.