From: Vitaly Lipatov <lav@altlinux.ru>
To: devel@lists.altlinux.org
Cc: Konstantin Lepikhov <lakostis@altlinux.org>
Subject: Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ
Date: Wed, 02 Aug 2017 01:37:31 +0300
Message-ID: <c0f0b83ebe1ea8662cf53f24d6ad6062@etersoft.ru> (raw)
In-Reply-To: <20170801182449.GA26891@lks.home>
Konstantin Lepikhov писал 1.8.17 21:24:
...
>> > А где можно ознакомиться с регламентом предоставления статуса ЦА и
>> > отчетом аудита, что данные ЦА являются ЦА?
>>
>> Видимо, там же, где и с данными о статусе аудитора и отчёте о
>> подтверждении его аутентичности.
> т.е. спросить товарища майора?
Возможно, следует начать с порядка аккредитации:
https://e-trust.gosuslugi.ru/AccreditationProcess
>> > Официальной поддержки ГОСТ в браузерах нет и не предвидится по целому
>> > ряду факторов, если интересно я могу их озвучить отдельным письмом но об
>> > этом знают и в руководстве ООО.
>>
>> Да, это действительно очень интересно! Озвучьте, пожалуйста.
> https://bugzilla.mozilla.org/show_bug.cgi?id=518787#c19
В этой баге написана какая-то ерунда. Кроме того, что за 5 лет так и не
приняли патч, никакого конструктива там не видно. Можно перевести на
русский хоть один фактор, кроме вранья о том, что использование не
сертифицированной криптографии может быть криминальным?
...
>> Не-не, речь о том, чтобы добавить сертификаты УЦ, аккредитованных
>> Минкомсвязью. Которыми подписаны, например, сертификаты физических
>> лиц.
>> Не сайтов. Чтобы иметь возможность проверить данные этих сертификатов.
> Насколько требования Минкомсвязи соответствуют документу от Mozilla?
Mozilla Firefox — не единственный браузер. И я сомневаюсь, что документ
от Mozilla соответствует требованиям Минкомсвязи. И пока для меня некие
правила на таком уровне выглядят не более, чем предрассудки. Говоря
по-другому, всем известно, что продажа SSL-сертификатов — это продажа
воздуха за хорошие деньги, а люди 20 лет этим занимались и довольно
успешно.
> Как используя несертифицированные СКЗИ вы сможете убедиться в
> достоверности этих сертификатов?
Повторюсь,
https://www.altlinux.org/ГОСТ_в_OpenSSL
Берём openssl и проверяем, сертификаты все стандартные, не вижу проблем.
>> > Например, компьютер в сети администрации Х будет хакнут хакером Васей,
>> > который потом переподпишет этими сертификатами имена gosuslugi или
>> > sberbank.ru. И ваш openssl это проглотит.
Сертификаты публикует не администрация Х, а уполномоченный федеральный
орган на странице
https://e-trust.gosuslugi.ru/CA
и подписывает список своим ключом.
Векторы атаки лучше обсуждать с ними.
>> > Не надо выставлять собственные проблемы как проблемы мифических
>> > "пользователей".
Какие собственные проблемы? Есть ресурсы, к которым нужно подключаться,
используя выданные в РФ сертификаты. Это торговые площадки, ГосУслуги,
налоговая (сдача налоговой отчётности). И их становится всё больше. И
да, у меня, как одного из пользователей всего этого, есть такие
проблемы.
Не надо грубить, это невежливо.
--
С уважением,
Виталий Липатов,
Etersoft
next prev parent reply other threads:[~2017-08-01 22:37 UTC|newest]
Thread overview: 32+ messages / expand[flat|nested] mbox.gz Atom feed top
2017-07-31 21:31 Vitaly Lipatov
2017-08-01 6:06 ` Vladimir Didenko
2017-08-01 8:54 ` Paul Wolneykien
2017-08-01 14:22 ` Dmitry V. Levin
2017-08-01 15:47 ` Konstantin Lepikhov
2017-08-01 16:26 ` Dmitry Derjavin
2017-08-01 18:24 ` Konstantin Lepikhov
2017-08-01 19:47 ` Dmitry Derjavin
2017-08-01 21:17 ` Konstantin Lepikhov
2017-08-01 21:31 ` Alexey Gladkov
2017-08-01 21:47 ` Konstantin Lepikhov
2017-08-02 9:55 ` Michael Shigorin
2017-08-02 10:39 ` Paul Wolneykien
2017-08-02 10:48 ` Dmitry V. Levin
2017-08-02 11:03 ` Alexey Gladkov
2017-08-02 13:24 ` Paul Wolneykien
2017-08-02 13:30 ` Paul Wolneykien
2017-08-02 14:05 ` Konstantin Lepikhov
2017-08-04 11:36 ` Yury A. Romanov
2017-08-01 22:37 ` Vitaly Lipatov [this message]
2017-08-01 22:57 ` Vitaly Lipatov
2017-08-01 23:48 ` Alexey Gladkov
2017-08-02 14:34 ` Vitaly Lipatov
2017-08-02 15:29 ` Alexey Gladkov
2017-08-02 16:24 ` Vitaly Lipatov
2017-08-02 8:32 ` Vladimir Didenko
2017-08-02 9:13 ` Konstantin Lepikhov
2017-08-02 9:24 ` Vladimir Didenko
2017-08-02 10:21 ` Konstantin Lepikhov
2017-08-02 14:41 ` Vitaly Lipatov
2017-08-01 17:51 ` Paul Wolneykien
2017-08-04 11:40 ` Paul Wolneykien
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=c0f0b83ebe1ea8662cf53f24d6ad6062@etersoft.ru \
--to=lav@altlinux.ru \
--cc=devel@lists.altlinux.org \
--cc=lakostis@altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git