Comments | to_the_future: Вы всё еще ходите в ютуб не через TOR?

to_the_future

Вы всё еще ходите в ютуб не через TOR?

Sep 18, 2014 03:10

А провайдер из города Талдом уже внедряет суровый талдомский DPIЭто, конечно, шутка. Потому, что вместо DPI у них NGINX (ну то есть, я еще верю в человечество и надеюсь, что это NGINX, а не MS ISA или как там мелкомягкий шлюз нынче называется), который подставляет левый SSL-сертификат для всех сайтов из списка блокировки ( Read more... )

русский периметр, инфобез

Comments 26

rblaze September 17 2014, 23:30:03 UTC

Ну ладно на злые языки-то ссылаться. Всё официально: http://social.technet.microsoft.com/wiki/contents/articles/9964.windows-root-certificate-program-members-april-2012.aspx

А вот про ГОСТовское шифрование - это мечты. Чтобы получить его в браузере, надо иметь поддержку в криптопровайдере, а тут два варианта: или добавить его в штатный CryptoAPI, на что с ужасом будут взирать американские сертификаторы, или принудительно в масштабах страны накатить всем Крипто-Про, что вызовет апокалипсис и массовые самоубийства эникейщиков.

to_the_future September 17 2014, 23:41:57 UTC

Нене, Дэвид Блейн. То, что сертификат в винде есть - это факт. А то, что они им подписывают *.google.com - это злые языки. :) Еще злые языки что-то подобное про Нидерланды говорят.

А что до ГОСТ - ну в OpenSSL вставили и сюда способ вставить найдут. В конце концов, такой пласт не окучен - физики-клиенты банков. :))

alexkuklin September 17 2014, 23:53:36 UTC

Если в Микрософт закинуть Витуса, еще не то в винду вкрутят :)

to_the_future September 17 2014, 23:55:03 UTC

Выкинут_это_говно_и_поставят_линукс©?

Thread 8

kritik_at_work September 18 2014, 00:23:38 UTC

Используйте EV сертификаты, Chrome в бинарнике имеет базу СА таких сертификатов, так что такой же сертификат от левого СА не примет.

http://www.chromium.org/Home/chromium-security/root-ca-policy

to_the_future September 18 2014, 08:28:14 UTC

Смотри апдейт.

some41 September 18 2014, 00:42:43 UTC

Так certificate pinning же, нет?

rblaze September 18 2014, 01:25:39 UTC

С гуглом может и не прокатить, у них очень странная политика раздачи сертификатов.

some41 September 18 2014, 04:14:21 UTC

https://www.imperialviolet.org/2011/05/04/pinning.html
нет?

rblaze September 18 2014, 06:23:25 UTC

user installed root CAs are given the authority to override pins.

Хитрый лом с резьбой заранее встроен в систему, увы. Но это безотносительно гугла, судя по тому, что написано в статье, с их странной системой все будет работать как надо, если сертификаты не устанавливать.

Thread 9

haru_kaze September 18 2014, 07:36:58 UTC

Какая прелесть. В этом плане задорны могие популярные VPN-сервисы ещё

to_the_future September 18 2014, 08:19:48 UTC

Используя VPN-сервисы ты переносишь заботы по перехвату твоего трафика с одного тоталитарного режима на другой. А третий тоталитарный режим - перехватывает твой трафик независимо от того используешь ты VPN или нет. :))

haru_kaze September 18 2014, 08:20:58 UTC

А четвёртый тоталитарный режим просто приходит к тебе в квартиру и бьёт сапогом в лицо.

to_the_future September 18 2014, 08:27:41 UTC

Это все три делают.

Thread 6

artem_kv September 29 2014, 17:34:43 UTC

Вот вы тут смеетесь, а тема на форуме получила продолжение и "провайдер из города Талдом" (на самом деле из города Дубна) сообщает, что давит на все рычаги и скоро у пользователей перестанет выскакивать предупреждение (ФГУП НТЦ "Атлас" таки выпишет сертификат на youtube.com?):
##
Сергей Евгеньевич, сертификат состряпан не кое-как, другое дело, чтобы центр сертификации одобрил его, на это нужно некоторое время, возможно Вы помните проблему с определением местоположения абонентов на различных ресурсах, когда местоположение определялось не верно, проблема была не на нашей стороне и решалась она более месяца. Тут ситуация аналогичная, мы не сидим сложа руки и давим на все рычаги.
##