From: Konstantin Lepikhov <lakostis@altlinux.org> To: devel@lists.altlinux.org Subject: Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ Date: Tue, 1 Aug 2017 20:24:49 +0200 Message-ID: <20170801182449.GA26891@lks.home> (raw) In-Reply-To: <87mv7ji7a6.fsf@asia.home.dd> Hi Dmitry! On 08/01/17, at 07:26:09 PM you wrote: > Вт, 01 авг 2017, 18:47, Konstantin Lepikhov: > > >> Ситуация осложняется тем, что ГУЦ передало функции по выдаче > >> сертификатов различным УЦ (аккредитованным), что приводит к появлению > >> нескольких тысяч промежуточных сертификатов > >> https://e-trust.gosuslugi.ru/CA > > А где можно ознакомиться с регламентом предоставления статуса ЦА и > > отчетом аудита, что данные ЦА являются ЦА? > > Видимо, там же, где и с данными о статусе аудитора и отчёте о > подтверждении его аутентичности. т.е. спросить товарища майора? > > > Официальной поддержки ГОСТ в браузерах нет и не предвидится по целому > > ряду факторов, если интересно я могу их озвучить отдельным письмом но об > > этом знают и в руководстве ООО. > > Да, это действительно очень интересно! Озвучьте, пожалуйста. https://bugzilla.mozilla.org/show_bug.cgi?id=518787#c19 > > > Вы же предлагаете еще больший бардак вроде добавить сертификаты УЦ > > какой-то администрации какого-то края где вообще непонятно что происходит > > Не-не, речь о том, чтобы добавить сертификаты УЦ, аккредитованных > Минкомсвязью. Которыми подписаны, например, сертификаты физических лиц. > Не сайтов. Чтобы иметь возможность проверить данные этих сертификатов. Насколько требования Минкомсвязи соответствуют документу от Mozilla? Как используя несертифицированные СКЗИ вы сможете убедиться в достоверности этих сертификатов? > > > Например, компьютер в сети администрации Х будет хакнут хакером Васей, > > который потом переподпишет этими сертификатами имена gosuslugi или > > sberbank.ru. И ваш openssl это проглотит. > > Теоретически, видимо, можно так сделать. Но бояться не нужно, вы ведь > сейчас расскажете, почему в браузерах поддержки ГОСТ нет и не будет. ;) очень смешно. > > > Не надо выставлять собственные проблемы как проблемы мифических > > "пользователей". > > +1 > > Согласен, давайте не будем додумывать друг за друга, насколько актуальна > поставленная задача. А задача на данный момент такова — задействовать > имеющуюся весьма развитую PKI. Которая уже существует и прекрасно работает. > Учитывая при этом, конечно же, возможные нюансы вроде «хакера Васи» и > сайта Госуслуг. Давайте займемся развитием поддержки PKI Северной Кореи и Китая, там же большой рынок и куча пользователей, если перефразировать вашу шутку. -- WBR et al.
next prev parent reply other threads:[~2017-08-01 18:24 UTC|newest] Thread overview: 32+ messages / expand[flat|nested] mbox.gz Atom feed top 2017-07-31 21:31 Vitaly Lipatov 2017-08-01 6:06 ` Vladimir Didenko 2017-08-01 8:54 ` Paul Wolneykien 2017-08-01 14:22 ` Dmitry V. Levin 2017-08-01 15:47 ` Konstantin Lepikhov 2017-08-01 16:26 ` Dmitry Derjavin 2017-08-01 18:24 ` Konstantin Lepikhov [this message] 2017-08-01 19:47 ` Dmitry Derjavin 2017-08-01 21:17 ` Konstantin Lepikhov 2017-08-01 21:31 ` Alexey Gladkov 2017-08-01 21:47 ` Konstantin Lepikhov 2017-08-02 9:55 ` Michael Shigorin 2017-08-02 10:39 ` Paul Wolneykien 2017-08-02 10:48 ` Dmitry V. Levin 2017-08-02 11:03 ` Alexey Gladkov 2017-08-02 13:24 ` Paul Wolneykien 2017-08-02 13:30 ` Paul Wolneykien 2017-08-02 14:05 ` Konstantin Lepikhov 2017-08-04 11:36 ` Yury A. Romanov 2017-08-01 22:37 ` Vitaly Lipatov 2017-08-01 22:57 ` Vitaly Lipatov 2017-08-01 23:48 ` Alexey Gladkov 2017-08-02 14:34 ` Vitaly Lipatov 2017-08-02 15:29 ` Alexey Gladkov 2017-08-02 16:24 ` Vitaly Lipatov 2017-08-02 8:32 ` Vladimir Didenko 2017-08-02 9:13 ` Konstantin Lepikhov 2017-08-02 9:24 ` Vladimir Didenko 2017-08-02 10:21 ` Konstantin Lepikhov 2017-08-02 14:41 ` Vitaly Lipatov 2017-08-01 17:51 ` Paul Wolneykien 2017-08-04 11:40 ` Paul Wolneykien
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=20170801182449.GA26891@lks.home \ --to=lakostis@altlinux.org \ --cc=devel@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git