13.06 // Плановое июньское обновление SSL-сертификата сайта
В ближайшее время будет произведена замена SSL-сертификата. Обращаю внимание, что по многочисленным просьбам трудящихся было решено перейти на услуги удостоверяющего центра StartSSL™, корневой сертификат которого присутствует в хранилищах большинства ОС/браузеров.
Отпечатки нового сертификата сайта и УЦ приведены ниже.
Тогда, учитывая ваш ответ в /comment53596 и проблемы с Certificate Patrol, получаем, что подпись домена — не просто фенечка.
В общем согласен, но, с другой стороны, если это ничего не стоит (поменять дефолты на сервере), то почему бы этим не воспользоваться? Это можно сделать, только меняя сертификат, или достаточно поменять умолчания в настройках сервера? У меня доверия к AES всё-таки больше, чем к Camellia.
комментариев: 11558 документов: 1036 редакций: 4118
Допустим. И что она обеспечит, применительно к нашей модели угрозы?
Я не говорил, что это ничего не стоит.
Противник скачивает БД сайта мастерхоста, вместе с сертификатом, а потом поднимает сайт-двойник на другом IP. Как на уровне пользователя исключить такую ситуацию? Как забиндить сайт не только на домен и сертификат, но и на IP? Может быть, /etc/hosts?
AES — победитель открытого конкурса НИСТ. Его канидидаты получали внимание исследовательского сообщества, а победитель — тем более. В силу распространённости AES внимание к нему повышенное, потому и вероятность, что мы узнаем нечто новое о слабостях AES, выше (при прочих равных). Camellia этим похвастаться не может. Писать здесь что-то про «шифр потенциального противника» (это скорей терминология ещё с тех времён, когда открытой криптографии не было как класса) может только отставший на лет 50 от прогресса пользователь.
комментариев: 11558 документов: 1036 редакций: 4118
Ну так DNSSEC тоже ничем не поможет отцу русской демократии. Против лома нет приёма.
Параноить хорошо, но надо голову же включать, а не придумывать ересь.
комментариев: 11558 документов: 1036 редакций: 4118
Отпечаток серта SSL Вы и сейчас можете проверять руками, сверяясь с тем, который заверен моим PGP-ключом. IP можете прописать в /etc/hosts — он статичный, а о любых изменениях я, опять же, буду уведомлять, заверяя ключом, который ни на одном компьютере не хранится.
Итого, в нашем случае DNSSEC не добавляет ничего сверх уже имеющегося. Просто появляется ещё один секрет, который зачем-то нужно держать под защитой.
комментариев: 11558 документов: 1036 редакций: 4118
А если не на уровне провайдера?
Не уверен. В общем случае — да, а в частном будет зависеть от того где, в каких обстоятельствах и как этот сертификат будет использоваться. Допустим, я вам дам сертификат сайта (то же самое касается и рядового админа мастерхоста). У вас нет административных полномочий и доступа к моему провайдеру, потому широкий класс эффективных и простых атак будет сразу отсечён.
Спасибо, вопрос с DNSSEC снят.
Зачем компьютер? Чтобы отпечаток своего ключа посмотреть? :) Ключу анонимного собеседника SATtva всё равно должен будет доверять почти наобум.
Изначально предполагалось, что подпись DNS будет заверена ещё и вашим ключом, потому все могут убедиться. Впрочем, уже неактуально.