ALT Linux Team development discussions
 help / color / mirror / Atom feed
From: Dmitry Derjavin <dd@altlinux.org>
To: ALT Linux Team development discussions <devel@lists.altlinux.org>
Subject: Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ
Date: Tue, 01 Aug 2017 19:26:09 +0300
Message-ID: <87mv7ji7a6.fsf@asia.home.dd> (raw)
In-Reply-To: <20170801154706.GA13538@lks.home> (Konstantin Lepikhov's message of "Tue, 1 Aug 2017 17:47:06 +0200")

Вт, 01 авг 2017, 18:47, Konstantin Lepikhov:

>> Ситуация осложняется тем, что ГУЦ передало функции по выдаче 
>> сертификатов различным УЦ (аккредитованным), что приводит к появлению 
>> нескольких тысяч промежуточных сертификатов
>> https://e-trust.gosuslugi.ru/CA
> А где можно ознакомиться с регламентом предоставления статуса ЦА и
> отчетом аудита, что данные ЦА являются ЦА?

Видимо, там же, где и с данными о статусе аудитора и отчёте о
подтверждении его аутентичности.

> Официальной поддержки ГОСТ в браузерах нет и не предвидится по целому
> ряду факторов, если интересно я могу их озвучить отдельным письмом но об
> этом знают и в руководстве ООО.

Да, это действительно очень интересно! Озвучьте, пожалуйста.

> Вы же предлагаете еще больший бардак вроде добавить сертификаты УЦ
> какой-то администрации какого-то края где вообще непонятно что происходит

Не-не, речь о том, чтобы добавить сертификаты УЦ, аккредитованных
Минкомсвязью. Которыми подписаны, например, сертификаты физических лиц.
Не сайтов. Чтобы иметь возможность проверить данные этих сертификатов.

> Например, компьютер в сети администрации Х будет хакнут хакером Васей,
> который потом переподпишет этими сертификатами имена gosuslugi или
> sberbank.ru. И ваш openssl это проглотит.

Теоретически, видимо, можно так сделать. Но бояться не нужно, вы ведь
сейчас расскажете, почему в браузерах поддержки ГОСТ нет и не будет. ;)

> Не надо выставлять собственные проблемы как проблемы мифических
> "пользователей".

+1

Согласен, давайте не будем додумывать друг за друга, насколько актуальна
поставленная задача. А задача на данный момент такова — задействовать
имеющуюся весьма развитую PKI. Которая уже существует и прекрасно работает.
Учитывая при этом, конечно же, возможные нюансы вроде «хакера Васи» и
сайта Госуслуг.

-- 
~dd

  reply	other threads:[~2017-08-01 16:26 UTC|newest]

Thread overview: 32+ messages / expand[flat|nested]  mbox.gz  Atom feed  top
2017-07-31 21:31 Vitaly Lipatov
2017-08-01  6:06 ` Vladimir Didenko
2017-08-01  8:54 ` Paul Wolneykien
2017-08-01 14:22 ` Dmitry V. Levin
2017-08-01 15:47 ` Konstantin Lepikhov
2017-08-01 16:26   ` Dmitry Derjavin [this message]
2017-08-01 18:24     ` Konstantin Lepikhov
2017-08-01 19:47       ` Dmitry Derjavin
2017-08-01 21:17         ` Konstantin Lepikhov
2017-08-01 21:31           ` Alexey Gladkov
2017-08-01 21:47             ` Konstantin Lepikhov
2017-08-02  9:55           ` Michael Shigorin
2017-08-02 10:39               ` Paul Wolneykien
2017-08-02 10:48                 ` Dmitry V. Levin
2017-08-02 11:03                 ` Alexey Gladkov
2017-08-02 13:24                     ` Paul Wolneykien
2017-08-02 13:30                                 ` Paul Wolneykien
2017-08-02 14:05                       ` Konstantin Lepikhov
2017-08-04 11:36         ` Yury A. Romanov
2017-08-01 22:37       ` Vitaly Lipatov
2017-08-01 22:57   ` Vitaly Lipatov
2017-08-01 23:48     ` Alexey Gladkov
2017-08-02 14:34       ` Vitaly Lipatov
2017-08-02 15:29         ` Alexey Gladkov
2017-08-02 16:24           ` Vitaly Lipatov
2017-08-02  8:32     ` Vladimir Didenko
2017-08-02  9:13       ` Konstantin Lepikhov
2017-08-02  9:24         ` Vladimir Didenko
2017-08-02 10:21           ` Konstantin Lepikhov
2017-08-02 14:41       ` Vitaly Lipatov
2017-08-01 17:51 ` Paul Wolneykien
2017-08-04 11:40   ` Paul Wolneykien

Reply instructions:

You may reply publicly to this message via plain-text email
using any one of the following methods:

* Save the following mbox file, import it into your mail client,
  and reply-to-all from there: mbox

  Avoid top-posting and favor interleaved quoting:
  https://en.wikipedia.org/wiki/Posting_style#Interleaved_style

* Reply using the --to, --cc, and --in-reply-to
  switches of git-send-email(1):

  git send-email \
    --in-reply-to=87mv7ji7a6.fsf@asia.home.dd \
    --to=dd@altlinux.org \
    --cc=devel@lists.altlinux.org \
    /path/to/YOUR_REPLY

  https://kernel.org/pub/software/scm/git/docs/git-send-email.html

* If your mail client supports setting the In-Reply-To header
  via mailto: links, try the mailto: link

ALT Linux Team development discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
		devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
	public-inbox-index devel

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.devel


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git