— SATtva (28/05/2007 13:10, исправлен 28/05/2007 13:12)   

Может кто соберется со временем и составит наш грамотный и исчерпывающий FAQ по использованию SSL?

Может Вы и попробуете^[link1]? Тогда Вам сюда^[link2]. Начните, а уж другие по мере возможностей присоединятся.

— Гость (28/05/2007 13:59)   
Куда уж мне... Если бы в этом разбирался – взялся. Но я обычный пользователь, которому самому нужны советы по использованию SSL.
Получается, что вроде хорошая защита, но из-за неграмотности большинства простых пользователей она не срабатывает. Например, многие ли из них знают о вышеприведенной рекомендации?
Проведите голосование, и узнаете.


PS. Господин SATtva, ваш код Тьюринга – натуральное издевательство над пользователями. Ни на одном сайте не испытывал таких трудностей. Давно бы пора заменить его на сложение, умножение и другие более современные антиботовые технологии.

— SATtva (28/05/2007 14:11)   

Может сразу так^[link3]? ;-)

— Гость (28/05/2007 14:18)   
Не обязательно такие сложные вычисления – достаточно периодически менять формулу.
Один месяц умножать на 2, другой – на 5, и все боты отстанут :-)

— Гость (28/05/2007 15:19)   

достаточно периодически менять формулу.
Один месяц умножать на 2, другой – на 5, и все боты отстанут

Что-бы отделить тех кто "в теме" от тех, кто "не в теме", имеет смысл задавать вопросы (задачи) по теме сайта. В данном случае по криптографии. Уровень сложности (да и сами задачи) может определять автор темы :)

(Следует при этом учитывать наличие систем символических вычислений, которые могут и пределы вычислять, и интегралы брать, не говоря уже об умножении на 2! :))

А кому не нравиться существующий тест Тьюринга, те могут зарегистрироваться!

— Гость (28/05/2007 15:24)   

А кому не нравиться существующий тест Тьюринга, те могут зарегистрироваться!

Тогда на кой он нужен?

— nAAkWv (28/05/2007 15:55)   
Например, вот интересная ссылка: http://ssl.ru/ru/certification/

Получается, что за "фирменные" сертификаты дерут от $200 до $1000 в год? :-O

Чем же тогда они так хороши по сравнению с самописными?

— Гость (28/05/2007 16:13)   

Тогда на кой он нужен?

Защита от автоматической регистрации. А если кто-то начнёт исользовать свой аккаунт для спама, его легко забанить.

— Гость (28/05/2007 16:36)   
Хорошо. Для тех кто в танке, объясню более доходчиво. На кой он нужен, если им так затруднительно пользоваться?!

Или сделать, чтобы не проводить по полчаса, пытаясь отправить месагу, либо убрать его нах, оставив только регистрацию.

— SATtva (28/05/2007 16:52)   
[moderator]
Обсуждение теста Тьюринга предлагаю закончить и вернуться к изначальному предмету. Если тест кому-то интересен, ищите соответствующие темы в текущем разделе форума.
[/moderator]

Получается, что за "фирменные" сертификаты дерут от $200 до $1000 в год? Чем же тогда они так хороши по сравнению с самописными?

Тем, что браузер не будет поднимать вой из-за того, что сертификат не заверен доверенным УЦ. Только это в большинстве случаев всё равно не поможет. Здесь^[link4] мои соображения на этот счёт. В каком-то смысле просветительская цель, поставленная автором темы, может сыграть роль, но очень незначительную. (Дело не только в том, что посещаемость сайта 500 человек в день против 20 млн., посещающих Рунет ежедневно, сколь в том, что большинство из этих 20 млн. вообще не имеют представления о рисках SSL, PKI и в целом нюансах инфобезопасности. Здесь, как и везде: чтобы задать вопрос (задаться поиском нужной информации) нужно знать бОльшую часть ответа, т.е. быть хотя бы немного "в теме".)

— Гость (28/05/2007 17:11)   

Тем, что браузер не будет поднимать вой из-за того, что сертификат не заверен доверенным УЦ.

И только? :-O За что же такие деньги за сертификаты дерут?!

просветительская цель, поставленная автором темы, может сыграть роль, но очень незначительную

Вы имеете посещаемость вашего сайта? Но если статья будет хороша, ее можно будет опубликовать на многих сайтах, и в первую очередь – на моем :-)
И такая статья на фоне тотальной SSL-безграмотности, подтверждаемой в том числе и вашей заметкой, будет иметь огромный успех.

Обсуждение теста Тьюринга предлагаю закончить

Целиком и полностью согласен. Зацепив слегка и только в благих целях этот вопрос, я не думал, что начнется такое обсуждение.

— Гость (01/06/2007 16:46)   
Это все? Спасение утопающих..........

— SATtva (01/06/2007 17:09)   
На мне и без того куча материалов висит, я сейчас не смогу этим заняться просто физически. Возможно, кто-нибудь другой из участников?

— Гость (01/06/2007 22:38)   
Дело в том, что по массовости SSL действительно самый востребованный ныне протокол, он широко используется для защиты контента многих тысяч сайтов, в системах электронных платежей т.д. По реальной массовости он оставляет далеко такие криптопродукты и технологии, как PGPxx, VPN, OpenVPN и т.д., которые большей частью являются специфической сферой использования избранной части Интернета – своеобразной элиты.
В то же время тотальная безграмотность в вопросах практического применения SSL среди основного населения Интернет просто поражает.

Мне кажется, г-н SATtva, что вы, равно как и другие участники данного замечательного криптосообщества, явно недооцениваете важность данной технологии, и большей частью сосредоточились на элитных вопросах аки Tor и ему подобных, занимающих более узкую нишу, проявляя определенный снобизм и обходя стороной нужды простых пользователей, которые в силу своей неграмотности даже не понимают важности данной проблемы :(

— Гость (01/06/2007 22:48)   
Вы же помните, почему декабристы потерпели поражение?
-"Как страшно далеки они были от народа!...."

И в то же время – "Уроки истории учат, что уроки истории ничему не учат" :(

— MECYO (02/06/2007 01:47)   
Вот например, самая тривиальная задача – построение вебсайта на базе IIS.
И все бы ничего, если не надо было создавать защищенный веб-сервер, т.е. – с использованием SSL.
Какие нетривиальные (для простого пользователя) вопросы тут возникают, можете ознакомиться здесь^[link5].

Среди них:
– выбор поставщика CSP: Gemplus GeSAFE Card CSP v.1.0, Microsoft Base Cryptographic Provider v.1.0, Microsoft Base DSS Cryptographic Provider, Microsoft Enhanced Cryptographic Provider v.1.0, и т.д.
– алгоритм кеширования: MD2, MD4, MD5, SHA-1......
– длина ключа: 512 ... 4096 (в тоже время в броузерах длина ключа не выше 256 бит)
– использовать существующие ключи.

Кто-нибудь может дать толковые рекомендации по выбору этих параметров?

— SATtva (02/06/2007 12:09)   

Мне кажется, г-н SATtva, что вы, равно как и другие участники данного замечательного криптосообщества, явно недооцениваете важность данной технологии

Наш сайт защищён SSL^[link6], так что его возможности мы оцениваем по крайней мере здраво. :-)

и большей частью сосредоточились на элитных вопросах аки Tor и ему подобных, занимающих более узкую нишу

К сожалению, кроме нас с должной тщательностью эти вопросы в рунете вообще никто не обсуждает (не на уровне деревенских посиделок), так что ссылки на снобизм здесь явно неуместны.

Вот например, самая тривиальная задача – построение вебсайта на базе IIS. И все бы ничего, если не надо было создавать защищенный веб-сервер, т.е. – с использованием SSL.

Есть множество прекрасных сайтов, посвящённых сетевому администрированию, развёртыванию и поддержке серверов. Это просто не наш профиль, и валить всё в кучу не вижу смысла.

SSL, как и большинство криптопротоколов, следуют общему правилу поддержки стойких зарекомендовавших себя криптографических примитивов и использования общепринятых концепций. Имея представление об этих вещах, можно разобраться в SSL, даже не зная конкретных технических деталей реализации тех или иных элементов. Займитесь общим просвещением^[link7] и никакой FAQ скорее всего не понадобится.

Среди них:
выбор поставщика CSP

MS Enhanced Cryptographic Provider

алгоритм кеширования

Всё-таки хэширования. SHA-1.

длина ключа: 512 ... 4096 (в тоже время в броузерах длина ключа не выше 256 бит)

Вы не понимаете разницу между симметричными и асимметричными алгоритмами. Если и делать такой FAQ, в нём придётся дублировать половину материалов со всего сайта.

Главная проблема SSL, которую не понимают пользователи и которая зачастую делает протокол совершенно бесполезным, это концепции цифровых сертификатов и доверия. А всего-то достаточно прочитать вот это^[link8] и это^[link9].

— SATtva (02/06/2007 15:01)   
Внесу дополнительное пояснение. В первом ответе^[link10] в этой теме я писал:

Может Вы и попробуете? ... Начните, а уж другие по мере возможностей присоединятся.

Все участники проекта — независимые люди, жертвующие своё личное время на развитие сайта. Сгонять их палками на реализацию Вашего предложения бесполезно и бесперспективно.

Кроме того, формат FAQ имеет одну особенность — это список ответов на часто задаваемые вопросы. Вы же предлагаете нам самим придумать список этих вопросов и дать на них ответы. Но то, что может вызвать вопросы у начинающего пользователя, вряд ли вызовет вопросы у профессионала или энтузиаста, досконально знающего данный предмет. Почему бы, в таком случае, Вам как представителю целевой аудитории, хотя бы не набросать примерный перечень вопросов, вызывающих у Вас затруднение? Только это должны быть конкретные вопросы, предполагающие сравнительно лаконичные ответы (см. примеры в /FAQ^[link11]), а не пространные темы для диссертаций. Если знающие люди поймут, на что им тратить своё время, давая ответы, сами ответы не заставят себя ждать. Короче, сделайте первый шаг и покажите, что тема Вам на самом деле интересна и важна.

Также хочу предостеречь Вас от просьб написать пошаговую инструкцию для настройки серверов. Главных причин две: 1) каждый веб-сервер (а их немало) и, зачастую, его подверсии (а их ещё больше) потребуют написания совершенно самостоятельных руководств, что само по себе абсурдно; 2) в официальных и множестве неофициальных руководств по администрированию веб-серверов инструкции по установке и настройке SSL и так достаточно подробно документированы. Ну и, наконец, как я уже писал, это просто не наш профиль.

— SATtva (09/06/2007 22:20)   
И что, интерес автора темы к вопросу угас?

— Гость (11/06/2007 18:21)   
Нет, не нисколько не угас – как раз воюю с сертификацией IIS

— SATtva (11/06/2007 18:42)   
Тогда как насчёт моего предложения в постинге от 02/06/2007 15:01? Может быть другие пользователи, принимавшие участие в опросе и высказавшиеся в пользу FAQ по SSL, тоже как-то себя проявят?

— Гость (11/06/2007 18:52)   
Я бы даже сказал – еще больше разгорелся :)) Эту ссылку тоже я приволок http://www.pgpru.com/Форум/Пра.....тупКСетиОфисаИлиДома^[link12]

Между прочим, воюю в одиночку, поскольку на призыв составить FAQ пока был произведен только опрос, за который проголосовало 87.1% – очень внушительное число электората, даже за президентов столько не голосуют :)
Что ж, и это пока неплохо. Конечно, хотелось бы внести и свою лепту в составлении вопросов к FAQ, но борьба с могучим Центром Сертификации Windows отняла все время. Конечно, СЦ мощная штука, даже слишком. А понятных мануалов по его использованию раз два и обчелся..

— Гость (11/06/2007 18:56)   
Гм – а мысли-то сходятся! :)) Писал независимо

— spinore (12/06/2007 04:11)   
Из жизни: серьёзно с SSL не разбирался, но как-то хотел присобачить тот сертификат чтоб каждый раз при входе в pgpru.com не ругалась опера... Импортировал, всё хорошо. Сайт как ругался ранее, так и продолжил выдавать предупреждаюие окна, ничего не поменялось. По мотивам этого для SATtva: а не ввести ли нам... практику: при выдаче аккаунта на pgpru.com в текст сообщения о благополучной регистрации, высылаемый на mail, включать отпечаток сертификата. Да, их там много всяких отпечатков, такое впечатление, что штук 10... ладно, шучу. Я к тому, что может все высылать не надо, а какой-то один, который более-менее надёжен. И сразу же вопрос: а нельзя ли типичные браузеры настроить так, чтоб они не ругались на некоторые фиксированные сертификаты сайтов – те которые я специально пометил, что "я их проверил, на них не ругаться, предупреждения в виде 10-ти всплывающих окон и всякий шум не поднимать". Сразу говорю, что я с вопросом не разбирался – это так, на уровне погундеть.
И ещё по поводу SSL: процедура импорта сертификата jabber.ru вроде бы зависит от клиента... – набор действий... и вроде бы не всегда, то есть некоторые клиенты ссылаются на то чтоб я корректно настроил OpenSSL и мой комп распознавал сертификаты через общепринятые юниксовские интерфейсы – я где-то читал такое. Настройка OpenSSL – нет ничего проще... я предпочту промолчать. P. S.: я за года 2 сколько пользуюсь джаббером так и не настроил себе сертификаты.
Да, а ещё есть понятие "личный сертификат" – на него что-то потом наворачивают. – Там нет такой же системы как сети доверия в pgp? Я просто не знаю. Может быть, эти вещи стоило бы упомянуть в несуществующем факе по SSL.

— spinore (12/06/2007 04:15, исправлен 12/06/2007 04:27)   
есть у меня такая причуда: не нравится мне система с сертификационными центрами и корневыми сертификатами. Не проще ли каждый раз при раздаче аккаунтов фингеры писать? Между прочим, в OpenSSH именно так делается если я ничего не путаю – никаких сертификационных центров и корневых сертификатов там нет – не "не с проста" ли это?
Я бы даже так сказал: модель доверия: доверям вот кому: себе. Больше никому. Никаких корневых сертификатов. Может они и имеют смысл в специфических случаях, например когда у одной организации несколько сертификатов, и есть для них некий который корневой, но он тоже произведён и подписан самой организацией... В смысле идея в том, чтобы корневой сертификат выдавал некто, принципиально не заинтересованный в дискредитации тех сертификатов, которые были подписаны корневым.

А в реальной жизни идут наслойки политического и юридического характера о том, что есть ряд случаев когда либо официально, либо неофициально можно потребовать от любой организации всего что угодно. Типа, власть сама не под законом который она издаёт, она выше него. Ну я уже не говорю про такую мелочь как личная заинтересованность владельцев сертификационного центра в чём-либо.

— Гость (12/06/2007 23:30)   
spinore

есть у меня такая причуда: не нравится мне система с сертификационными центрами и корневыми сертификатами. Не проще ли каждый раз при раздаче аккаунтов фингеры писать? Между прочим, в OpenSSH именно так делается если я ничего не путаю – никаких сертификационных центров и корневых сертификатов там нет – не "не с проста" ли это?
Я бы даже так сказал: модель доверия: доверям вот кому: себе

Солидарен – потому что точно такие мысли меня посещают, особенно доверяй вот кому: себе :)
За исключением OpenSSL – я им еще не занимался.
В этом ключе интересны цены на "фирменные" сертификаты – под тысячу долларов! За что???

— SATtva (12/06/2007 23:48, исправлен 13/06/2007 00:18)   

В этом ключе интересны цены на "фирменные" сертификаты – под тысячу долларов! За что???

За то, что корневой сертификат такой "фирмы" вшит в дистрибутивы распространённых браузеров и в "самую распространённую ОС", так что браузер "не гундит", когда пользователь открывает страницу веб-сайта. Могут быть дополнительные нюансы типа глубины проверки. А могут и воздух продавать. Вот Вам ссылочка по теме:
http://www.vladmiller.info/blog/index.php?comment=50

— spinore (13/06/2007 01:12)   

Гость:
В этом ключе интересны цены на "фирменные" сертификаты? Под тысячу долларов! За что???

За то что все типовые браузеры будут говорить своим пользователям что всё ОК. Не каждый же может добится включения своего серта во все распространённые браузеры...