forum.opennet.ru

Составление сообщения

Исходное сообщение

"Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером"
Отправлено Аноним, 24-Окт-23 12:42

Это палево, выписать сертификат если у вас есть политика САА и атакующий не имеет валидного ключа.
тут фигня в том что.. для того чтобы выписать сертификат, его надо сначала записать в СТ.. если не записать в СТ то браузер его (сертификат выписанный публичным ЦА, но не имеющем записи в СТ) отвергнет. тоесть владелец имеет возможность спалить факт выписки неустановленного сертификата, если контролирует появления своих сертификатов в СТ.
Когда у того же ЛЕ выяснилось, что они проверяли не каждый раз САА а только раз в неделю, они поменяли политику и отозвали всё что небыло проверено по САА непосредственно в момент выписки.
Это кстати то, почему сертификат минцифры - зло.. СТ подписей нет, (его не в списке публичных ЦА соотв браузер регистраций в СТ не требует, этакий корпоративный СА) и хрен владелец сайта узнает, что ему понавыписывали поддельных сертификатов.

Исходное сообщение
"Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером" Отправлено Аноним, 24-Окт-23 12:42
Это палево, выписать сертификат если у вас есть политика САА и атакующий не имеет валидного ключа. тут фигня в том что.. для того чтобы выписать сертификат, его надо сначала записать в СТ.. если не записать в СТ то браузер его (сертификат выписанный публичным ЦА, но не имеющем записи в СТ) отвергнет. тоесть владелец имеет возможность спалить факт выписки неустановленного сертификата, если контролирует появления своих сертификатов в СТ. Когда у того же ЛЕ выяснилось, что они проверяли не каждый раз САА а только раз в неделю, они поменяли политику и отозвали всё что небыло проверено по САА непосредственно в момент выписки. Это кстати то, почему сертификат минцифры - зло.. СТ подписей нет, (его не в списке публичных ЦА соотв браузер регистраций в СТ не требует, этакий корпоративный СА) и хрен владелец сайта узнает, что ему понавыписывали поддельных сертификатов.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру