Comments | unklemike: Как поломать интернет

unklemike

Как поломать интернет

Oct 01, 2021 16:49

Пока блоггеры размышляют над тем, что же такого сказал друг Рджеп другу Владимиру, что прошедшая встреча до сих пор не получила никаких комментариев в прессе, тихо и незаметно сломался довольно крупный сегмент интернета ( Read more... )

Недоработки на местах, Никогда такого не было и вот опять, Актуальное

Leave a comment

Back to all threads

mcjabberwock October 1 2021, 14:05:26 UTC

Или намеренно проигнорирована в своё время.
Намеренно проигнорирована. Не написали метод обновления сертификатов.

Сама схема с сертификатами проста, как банан:
Существует множество корневых сертификатов, частично бесплатных, частично растащенных торговцами. Последние за подпись чьего-то сертификата своим хотят денег.
Любым сертификатом можно подписать другой сертификат, соответственно, владельцы корневых сертификатов могут подписывать как конечные сертификаты, так и промежуточные. Промежуточными также можно подписать и промежуточный и конечный.

В устройствах (телефонах, компьютерах и т.п.) производителем установлены корневые сертификаты. Пользуясь ими, софт может проверить любой сертификат, пройдя по его цепочке до его корневого.
Соответственно, если корневой протух, всё дерево, подписанное им, тоже протухает.
Так работает схема.

Разумеется, необходимость этих сертификатов процентов на 95 обосновывается исключительно паранойей. По факту они нужны разве что при банковских операциях. Пихать их куда-только-можно (а можно почти везде) стало попросту модно.

Да, варианты с турбинами или автомобилями вполне возможны.

unklemike October 1 2021, 14:08:54 UTC

>>Пихать их куда-только-можно (а можно почти везде) стало попросту модно.
Ну я так это и понял.

>>владельцы корневых сертификатов могут подписывать как конечные сертификаты, так и промежуточные
А кто же подписывает корневой сертификат? Сами себе?

mcjabberwock October 1 2021, 14:11:44 UTC

Да. Корневой сертификат подписан сам собой.
Собственно, ничто не мешает ни мне, ни вам завести хоть сотню самоподписанных корневых; у меня, если честно, несколько штук таковых есть.

unklemike October 1 2021, 14:18:12 UTC

Збс. Мы сами себе доверяем, но - только до 30-го сентября 2021-го года и ни секундой позже.
Тов. Сталин сказал бы что это вредительство недобитых троцкистов и был бы полностью прав.

mcjabberwock October 1 2021, 14:20:37 UTC

Если посмотреть на сроки действия тех же паспортов, или водительских прав, то ничего принципиально нового в этом нет.

unklemike October 1 2021, 14:24:14 UTC

Езда с просроченными правами - от 5 до 15 тысяч и при условии, что попадёшься.
Просроченный паспорт - от 2000 рублей и при условии, что попадёшься
Просроченный сертификат - мгновенное превращение в тыкву, хотя ничего не предвещало

Причём замену прав и паспорта можно обосновать тем, что человек стареет и ему желательно обновить фотографию, чтобы он снова был похож на себя. С сертификатом нет никаких реальных причин так поступать.
Похоже что дата была выбрана "от балды".

mcjabberwock October 1 2021, 14:30:55 UTC

Ну так это технологическое превосходство электронных сертификатов и подписей: их хрен так вот глазками проверишь. Чем они и плохи, а по моему мнению - негодны.

Дата (точнее, срок действия) выбрана от балды, само собой; можно было выбрать и 1000 лет.

Замену прав/паспорта можно было бы обосновать и в виде рекомендации.
2000 рублей да, если он у тебя просрочился на Родине, а вот уехавшим это обходится намного хлопотнее и несколько дороже.

unklemike October 1 2021, 14:19:24 UTC

>>ничто не мешает ни мне, ни вам завести хоть сотню самоподписанных корневых
Сомневаюсь что нашим сертификатам будут доверять миллионы пользователей по всему миру. А тем более крупные вендоры.

mcjabberwock October 1 2021, 14:22:49 UTC

Именно так. Вы прямо в корневой сертификат в корень зрите.

unklemike October 1 2021, 14:32:03 UTC

https://ru.wikipedia.org/wiki/Let’s_Encrypt

Похоже айтишнигов уебали их же оружием - любовью к бесплатному и открытому софту.
Некоммерческая организация, всё бесплатное, открытый исходный код. И самое-самое главное - абсолютно никаких гарантий ни за что. И ведь у этой абсолютно открытой и некоммерческой организации - вполне себе серъезные партнеры. Не думаю, что она самозародилась от сырости, её именно намеренно создали.
А дальше дело техники.

dennis_chikin October 1 2021, 14:48:26 UTC

"Открытый софт" давно уже скончался в мучениях.
Все, что есть - это прокладки в виде различных "фондов", которыми рулят все те же микрософты, эпплы и прочие красношапки.

unklemike October 1 2021, 14:51:56 UTC

Ну значит я всё пропустил.

mcjabberwock October 1 2021, 14:58:19 UTC

Чёрт, и я тоже всё пропустил!
Что, и GNU уже загнули? Апач? FreeBSD?

dennis_chikin October 1 2021, 15:15:17 UTC

Ну вот по сути FreeBSD еще только и более-менее фри и опен.

mcjabberwock October 1 2021, 15:19:13 UTC

Да. Пропал калабуховский дом.

mcjabberwock October 1 2021, 14:52:04 UTC

У-ха-ха!
Скорее, айтишнеги сами напоролись на то, за что боролись.

что делает процесс установки и настройки TLS-шифрования значительно более простым[5]. Например, на типичном веб-сервере на базе Linux требуется выполнить две команды, которые настроят HTTPS-шифрование, получат и установят сертификат примерно за 20-30 секунд[6][7].

Старая поговорка "простота хуже воровства" всё ещё актуальна.

Back to all threads