Полезная и подробная история о том как один из крупнейших сервисов вопросов и ответов StackOverflow переходил на HTTPS по умолчанию для всех проектов - https://nickcraver.com/blog/2017/05/22/https-on-stack-overflow/
У перехода на HTTPS оказалось много нюансов о которых Nick Craver очень подробно пишет и для очень большого проекта - это не просто создать сертификаты, но и большая работа по обновлению кода и инфраструктуры.
#ssl #tls #https #privacy
У перехода на HTTPS оказалось много нюансов о которых Nick Craver очень подробно пишет и для очень большого проекта - это не просто создать сертификаты, но и большая работа по обновлению кода и инфраструктуры.
#ssl #tls #https #privacy
Nickcraver
Nick Craver - HTTPS on Stack Overflow: The End of a Long Road
Today, we deployed HTTPS by default on Stack Overflow. All traffic is now redirected to https:// and Google links will change over the next few weeks. The ac...
Проблема с HTTPS совсем не новая, у многих стран и госорганов плохо с политиками безопасности и приватности и тут в пору вспомнить "а как там у них". В США на правительственном уровне действует проект Pulse [1] где мониторится внедрение не только HTTPS на каждом веб-сайте, но и его безопасные расширения. Например в США для госдоменов сейчас обязательным является использование стандарта HSTS [2], есть требования по использованию HTTPS-only [3] без использования HTTP протокола, а также есть требования по отказу от старых алгоритмов шифрования RC4 и RC5 и старых версий SSLv2 [4].
Всё это и мониторит Pulse, кстати проект с открытым кодом и ничто не мешает и никогда не мешало Минкомсвязи взять этот код и организовать мониторинг госсайтов в России. А если у них нет списка госдоменов, то он есть тут в открытом доступе [5].
А то ведь рано или поздно такой мониторинг сделает кто-нибудь от общественности и будут регулярно тыкать Минкомсвязь в некомпетентность. Некрасиво будет, ну право слово.
Ссылки:
[1] https://pulse.cio.gov/https/domains/
[2] https://https.cio.gov/guide/#options-for-hsts-compliance
[3] https://https.cio.gov/
[4] https://cyber.dhs.gov/bod/18-01/
[5] http://github.com/infoculture/govdomains
#security #privacy #https
Всё это и мониторит Pulse, кстати проект с открытым кодом и ничто не мешает и никогда не мешало Минкомсвязи взять этот код и организовать мониторинг госсайтов в России. А если у них нет списка госдоменов, то он есть тут в открытом доступе [5].
А то ведь рано или поздно такой мониторинг сделает кто-нибудь от общественности и будут регулярно тыкать Минкомсвязь в некомпетентность. Некрасиво будет, ну право слово.
Ссылки:
[1] https://pulse.cio.gov/https/domains/
[2] https://https.cio.gov/guide/#options-for-hsts-compliance
[3] https://https.cio.gov/
[4] https://cyber.dhs.gov/bod/18-01/
[5] http://github.com/infoculture/govdomains
#security #privacy #https
pulse.cio.gov
HTTPS (M-15-13 and BOD 18-01) - Pulse
How federal government domains are doing at deploying HTTPS and HSTS.
CNews пишет о том что сайт с законопроектами Госдумы скоро будет недоступен во многих браузерах поскольку использует TLS 1.0, а скоро этот стандарт передачи данных не будет поддерживаться в Firefox и других браузерах [1]
Долго думая что добавить к этой новости, не могу не вспомнить о том что, например, сайт обращений к Президенту РФ letters.kremlin.ru до сих пор не имеет своего сертификата [2]. Там только относительно недавно стал отзываться https с сертификатом от другого домена [3].
Раньше, для того чтобы, например, губернатору знать о том на что жалуются граждане Президенту, достаточно было договориться с крупнейшими местными провайдерами чтобы перехватывать все отправленные сообщение от граждан направляемые через незащищённый http протокол.
Да и сейчас, пока своего сертификата у домена нет, тоже можно, лишь чуть сложнее, но ничего нереального. Тем более что по умолчанию letters.kremlin.ru только http и поддерживает.
Но это всё, разумеется, исключительно умозрительная, нереалистичная ситуация. Конечно же, ни один губернатор, по причине высоких моральных качеств и этических принципов, не мог даже задуматься о подобном.
Ссылки:
[1] https://www.cnews.ru/news/top/2020-07-16_sajt_s_zakonoproektami_gosdumy
[2] http://letters.kremlin.ru
[3] https://letters.kremlin.ru
#tls #ssl #https #privacy
Долго думая что добавить к этой новости, не могу не вспомнить о том что, например, сайт обращений к Президенту РФ letters.kremlin.ru до сих пор не имеет своего сертификата [2]. Там только относительно недавно стал отзываться https с сертификатом от другого домена [3].
Раньше, для того чтобы, например, губернатору знать о том на что жалуются граждане Президенту, достаточно было договориться с крупнейшими местными провайдерами чтобы перехватывать все отправленные сообщение от граждан направляемые через незащищённый http протокол.
Да и сейчас, пока своего сертификата у домена нет, тоже можно, лишь чуть сложнее, но ничего нереального. Тем более что по умолчанию letters.kremlin.ru только http и поддерживает.
Но это всё, разумеется, исключительно умозрительная, нереалистичная ситуация. Конечно же, ни один губернатор, по причине высоких моральных качеств и этических принципов, не мог даже задуматься о подобном.
Ссылки:
[1] https://www.cnews.ru/news/top/2020-07-16_sajt_s_zakonoproektami_gosdumy
[2] http://letters.kremlin.ru
[3] https://letters.kremlin.ru
#tls #ssl #https #privacy
CNews.ru
Сайт с законопроектами Госдумы больше недоступен для пользователей Firefox. На очереди Chrome, Safari, MS Edge
Сайт ГАС «Законодательство», на котором размещены рассматриваемые Госдумой законопроекты, перестал быть доступен...
В сообществе Let's Encrypt обсуждают возможно ли применение санкций в отношении российских органов власти к сертификатам выданным для доменов *.gov.ru[1] [2].
Let's Encrypt - это не коммерческий провайдер, но они имеют институционализацию как проект некоммерческой организации Internet Security Research Group (ISRG) которые оформлены как юридическое лицо и которые могут быть обязаны санкции применять. Вопрос будут ли и если да то в какой форме. Пока можно предполагать что в "зоне риска" , в первую очередь, организации попавшие под санкции.
Но важно и то что на 3634 домена в зоне .gov.ru выданы сертификаты Let's Encrypt [3]. Это где-то в 25 раз больше чем все остальные удостоверяющие центры (примерно 96% всех сертификатов домены зоны .gov.ru).
Отдельный вопрос почему в России за все эти годы не появилось удостоверяющего центра включенного в доверенные на уровне операционных систем MacOSX, Windows, Android, IOS и др. В первую очередь такой сертификат позволял бы спецслужбам перехватывать трафик осуществляя атаку man-in-the-middle на HTTPS соединения.
Если массовые отзывы сертификатов у госдоменов начнутся, то в России могут попытаться распространить такой корневой сертификат с рекомендацией пользователям по его установке. Но пользователи, знающие о том что его можно использовать для перехвата трафика, могут категорически не хотеть его устанавливать.
Лично я бы точно постарался бы от этого воздержаться.
Ссылки:
[1] https://community.letsencrypt.org/t/how-will-us-eu-sanctions-on-russia-restrict-certificate-issuance/172835/4
[2] https://community.letsencrypt.org/t/help-ukrainians/172836/12
[3] https://crt.sh/?q=.gov.ru&dir=^&sort=4&group=icaid
#security #privacy #sanctions #tls #russia #https
Let's Encrypt - это не коммерческий провайдер, но они имеют институционализацию как проект некоммерческой организации Internet Security Research Group (ISRG) которые оформлены как юридическое лицо и которые могут быть обязаны санкции применять. Вопрос будут ли и если да то в какой форме. Пока можно предполагать что в "зоне риска" , в первую очередь, организации попавшие под санкции.
Но важно и то что на 3634 домена в зоне .gov.ru выданы сертификаты Let's Encrypt [3]. Это где-то в 25 раз больше чем все остальные удостоверяющие центры (примерно 96% всех сертификатов домены зоны .gov.ru).
Отдельный вопрос почему в России за все эти годы не появилось удостоверяющего центра включенного в доверенные на уровне операционных систем MacOSX, Windows, Android, IOS и др. В первую очередь такой сертификат позволял бы спецслужбам перехватывать трафик осуществляя атаку man-in-the-middle на HTTPS соединения.
Если массовые отзывы сертификатов у госдоменов начнутся, то в России могут попытаться распространить такой корневой сертификат с рекомендацией пользователям по его установке. Но пользователи, знающие о том что его можно использовать для перехвата трафика, могут категорически не хотеть его устанавливать.
Лично я бы точно постарался бы от этого воздержаться.
Ссылки:
[1] https://community.letsencrypt.org/t/how-will-us-eu-sanctions-on-russia-restrict-certificate-issuance/172835/4
[2] https://community.letsencrypt.org/t/help-ukrainians/172836/12
[3] https://crt.sh/?q=.gov.ru&dir=^&sort=4&group=icaid
#security #privacy #sanctions #tls #russia #https
Let's Encrypt Community Support
How will US/EU sanctions on Russia restrict certificate issuance?
I see there's something here about what happens in "ordinary times" and I see it's somewhat close to the DoC entity list: Certificates for US sanctioned countries - #4 by josh But right now the situation is precipitating really fast, with aircraft leasing…