Ростелеком перехватывает SSL запросы к блоченым сайтам
Собственно сабж. Проверить можно так. Если бы правильный сертификат, то было бы ещё красивей. Работает через любой прокси или напрямую (почему на пути лежит ростелеком для адреса из lv при доступе из de, кстати?)
Игры с нулевой суммой по провайдерски, если где-то вынесли, значит в другом месте занесли.
Мелкие провайдеры, мелкие гадости:
Кстати вопрос с аутентификацией по клиентскому сертификату уместен, т.к. если он используется, то проводящий атаку с подменой УЦ ворует аутентификационные данные клиента. При этом клиент может обращаться к странице, которая не запрещена. В Apache mod_ssl вроде позволяет установить SSL-аутентификацию только для части сайта.
Разве это возможно?? Это же будет атака "человек посредине"!
Это и есть атака, с любым сертификатом, даже когда провайдер хочет показать только свою заглушку. Некоторые провайдеры утверждают, что и "правильный" сертификат для них не будет помехой, а значит об атаке многие пользователи даже не узнают.
комментариев: 9796 документов: 488 редакций: 5664
Любители активизма могут поставить себе плагин "HTTPS everywhere", не пользоваться тором и в самом плагине поставить опцию "SSL observatory". Вся активность по вашим https-соединениям будет отсылаться в EFF. Возможна анонимная отсылка через тор, но не очень понятно — не нарушит ли это чистоту эксперимента. Организация EFF собирает статистику по нарушению использования SSL-сертификатов по всему миру, можно и как-то особо сорганизовать на выявление злоупотреблений российскими властями в рунете. С фактами нарушения на руках они могут организовать кампанию по давлению на IT-организации, способствующие выдаче злонамеренных сертификатов, потребовать внесения изменения в ведущие браузеры и т.д. Может ещё и пресловутый госдеп с санкциями
и гуманитарными бомбардировкамиподключат.Всё может закончиться чучхенетом со своими духовными браузерами, но зато может кому-то будет легче от осознания сопричастности к страданиям всего мирного хомячкового населения, а не только любителей гитхабов.
Ибо кто там из юзеров реально будет реально заниматься сверкой статистики с EFF, и забастовками и т.п...
Привильный, т.е. не скомпрометированный гебней сертификат, будет помехой и об атаке пользователь обязательно узнает, если пользуется нормальным браузером, который выдаст сообщение. Просто большинству похеру на безопасность и что за ними кто-то подглядывает, на эту инфантильность хомячков и рассчитывают злоумышленники.
SSL после POODLE однозначно не надежен, но его заменил и довольно давно TLS (суть тот же SSL, впрочем)
Проблема в модели доверия на которую опираются браузеры, а не в самом протоколе SSL/TLS Вот отсюда начинается волшебство.
Сколько таких сертификатов нужно подделать? Как у взломщика отмычек на все случаи жизни?
Просто атака не 3-х копеечная, чтобы вот так, от делать нечего, просматривать трафик всех пользователей.
А ну если конечно есть свой Центр сертификации, который будет удостоверять любой сертификат, тогда все упрощается до 2-х пальцев в туалете.
Достаточно скомпрометировать из сертификатов УЦ, установленных в браузере. Тогда им можно подписывать сертификат любого сайта и пользователь ничего не заметит. Если учесть что доверенных УЦ десятки, а также возможность делегирования подписи дочерним УЦ, подкуп и сговор с одним из них не выглядит сложным. Для такой прожорливой конторы, как фсб, это копейки. Имеется в виду целевые атаки на определённые сайты, и возможно что в сорм они уже доступны. Расшифровывать трафик ко всем сайтам существенно дороже, хотя принципиальных ограничений нет. Но понятное дело, что если скомпромерированные УЦ существуют, то они держатся в секрете. Поэтому провайдеры до них не допущены и пытаются тупо подменить УЦ, что не может остаться незамеченным.
Возможно что гебня стоит перед диллемой. С одной строны, хочется взвалить расходы на расшифровку всего трафика на провайдеров, а через них в конечном счёте на пользователей. И расходы это заметные, т.к. требуют нового оборудования в виде всяких криптоакселераторов. С другой стороны, не может доверить провайдерам свои грязные секреты. При этом всё-равно полной прозрачности и скрытности не получится, т.к. использование единственного (скомпрометированного) УЦ для всех сайтов будет выглядеть подозрительно, а для нестандартных УЦ и самоподписанных сертификатов это вообще может не работать. Так что, если шабаш будет продолжаться дальше, то следующие шаги – заявления о необходимости единого государственного УЦ, который должен быть установлен в системе, если пользователь хочет получить доступ к ресурсу по SSL.
Отчего ж? Кабнэты в АТС по сей день на месте и никто особо не стесняется сего факта.