From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on sa.local.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-0.9 required=5.0 tests=BAYES_00,FSL_HELO_HOME autolearn=no autolearn_force=no version=3.4.1 Date: Tue, 1 Aug 2017 20:24:49 +0200 From: Konstantin Lepikhov To: devel@lists.altlinux.org Message-ID: <20170801182449.GA26891@lks.home> Mail-Followup-To: devel@lists.altlinux.org References: <85c03fbd591d2075720764d1c19e7b33@altlinux.ru> <20170801154706.GA13538@lks.home> <87mv7ji7a6.fsf@asia.home.dd> MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <87mv7ji7a6.fsf@asia.home.dd> X-Operation-System: ALT Linux starter kit (Trientalis) 4.12.0-lks-wks-alt0.2 User-Agent: Mutt/1.6 (2015-08-30) Subject: Re: [devel] =?utf-8?b?0JLQt9Cz0LvRj9C0INC90LAg0YHQtdGA0YLQuNGE0Lg=?= =?utf-8?b?0LrQsNGC0Ysg0LIgL3Vzci9zaGFyZS9jYS1jZXJ0aWZpY2F0ZXMvY2EtYnVu?= =?utf-8?b?ZGxlLmNydCDQuCDRgdC10YDRgtC40YTQuNC60LDRgtGLINCj0KYg0KDQpA==?= X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 01 Aug 2017 18:24:56 -0000 Archived-At: List-Archive: List-Post: Hi Dmitry! On 08/01/17, at 07:26:09 PM you wrote: > Вт, 01 авг 2017, 18:47, Konstantin Lepikhov: > > >> Ситуация осложняется тем, что ГУЦ передало функции по выдаче > >> сертификатов различным УЦ (аккредитованным), что приводит к появлению > >> нескольких тысяч промежуточных сертификатов > >> https://e-trust.gosuslugi.ru/CA > > А где можно ознакомиться с регламентом предоставления статуса ЦА и > > отчетом аудита, что данные ЦА являются ЦА? > > Видимо, там же, где и с данными о статусе аудитора и отчёте о > подтверждении его аутентичности. т.е. спросить товарища майора? > > > Официальной поддержки ГОСТ в браузерах нет и не предвидится по целому > > ряду факторов, если интересно я могу их озвучить отдельным письмом но об > > этом знают и в руководстве ООО. > > Да, это действительно очень интересно! Озвучьте, пожалуйста. https://bugzilla.mozilla.org/show_bug.cgi?id=518787#c19 > > > Вы же предлагаете еще больший бардак вроде добавить сертификаты УЦ > > какой-то администрации какого-то края где вообще непонятно что происходит > > Не-не, речь о том, чтобы добавить сертификаты УЦ, аккредитованных > Минкомсвязью. Которыми подписаны, например, сертификаты физических лиц. > Не сайтов. Чтобы иметь возможность проверить данные этих сертификатов. Насколько требования Минкомсвязи соответствуют документу от Mozilla? Как используя несертифицированные СКЗИ вы сможете убедиться в достоверности этих сертификатов? > > > Например, компьютер в сети администрации Х будет хакнут хакером Васей, > > который потом переподпишет этими сертификатами имена gosuslugi или > > sberbank.ru. И ваш openssl это проглотит. > > Теоретически, видимо, можно так сделать. Но бояться не нужно, вы ведь > сейчас расскажете, почему в браузерах поддержки ГОСТ нет и не будет. ;) очень смешно. > > > Не надо выставлять собственные проблемы как проблемы мифических > > "пользователей". > > +1 > > Согласен, давайте не будем додумывать друг за друга, насколько актуальна > поставленная задача. А задача на данный момент такова — задействовать > имеющуюся весьма развитую PKI. Которая уже существует и прекрасно работает. > Учитывая при этом, конечно же, возможные нюансы вроде «хакера Васи» и > сайта Госуслуг. Давайте займемся развитием поддержки PKI Северной Кореи и Китая, там же большой рынок и куча пользователей, если перефразировать вашу шутку. -- WBR et al.