TheBarmaley
Platinum Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
greeple
Цитата:| корневой сертификат может подписывать любые сертификаты ниже, это и можно использовать для митм, имея корневой сертификат на устройстве ты можешь расшифровывать трафик с тех сайтов с которыми устанавливаешь соединения, можно подписать любой сайт (я браузер проверяет перед тем как добавить сайты в сертификат, и выдаст ошибку если в корневом появится сайт который туда записали какие то левые сотрудники), только ведь ты не знаешь кто его создал, где ключ, и к кому обращаться когда кто то этим воспользуется, он просто лежит на госуслугах ( пока без какой то канторы, которая должна быть как то аккредитована, следить и отвечать за это и т.д), а мы знаем как у нас сотрудники работают имея доступ, им денег дай, они и базы сольют и мать продадут, поэтому имея доступ к корневому сертификату, за бабос любой чел может подписать серты гугла своим и потом весь трафик твой по ключу расшифровать |
мдя.. смешались в кучу кони/люди... ичсх, почему-то сия "абжыгаюсчая пгавда" относится только к российским уц и сертификатам..
ну ясен же пень, в "граде на холме" ничего такого быть не может, только в мордоре, ага.. каг сгашно жыдь.. 
ну да ладно. хрен с ней, с русофобией, но если можно - расскажи, КАК именно "в корневом появится сайт который туда записали какие то левые сотрудники"? непонятно - где именно корневой сертификат уц содержит записи о сайтах, которыми он подписан?
упреждая - за способ проверки яб я в курсе, можно не повторяться, интересует именно где и как в самом корневом серте всё это найти.
второе - если нетрудно - поясни, с какого перепугу я не могу доверять содержимому сайта госуслуг, минцифры или того же сбера?
упреждая - не нужно топить за басни о "наши продадут и сольют" (а "их" так не могут, ога)), это к технической стороне не относится.
ну и третье - расскажи, КАК именно "любой чел может подписать серты гугла своим" + заставить меня использовать сей левый серт?
и почему при этом не возникнет конфликта с валидным сертификатом (подписанным другим "челом" с "той стороны") при входе на сайт?
упреждая - рассказы про фишинг и прочие кулхацкерства - не в кассу, мы о технической стороне входа на легальные ресурсы говорим.
вопчем, непонятно, с какого лешего использование одного из десятков/сотен уц по всему миру вдруг стало опаснее, чем остальных?
т.е. очень хотелось бы внятного доказуемого разъяснения, почему этот уц (и его сертификаты) ненадёжен именно с технической т.з.?
при этом очень желательно - без русофобских соплей и набросов на предмет различия "РФ/весьмир"..)
|
Дело-то не в браузере, конечно. Браузер лишь поддерживается другой прогаммой. 
Просто у меня установлен KAV 20.0.14.1085(n) и включена проверка защищённых соединений в браузере через соответствующее расширение, которая работает как локальный HTTPS-прокси с собственным корневым сертификатом. Все сайты, прошедшие проверку подлинности антивирусом, получают в качестве корневого "Kaspesky Anti-Virus Personal Root Certificate", вот и вся история. А системные корневые серты автоматически обновляются через функцию автоматического обновления системы, я за ними не слежу и ничего вручную в хранилище не добавляю. А ещё у меня есть свой собственный локальный HTTPS-прокси (с богатой поддержкой современных стандартов), который я также иногда включаю, но это уже другая тема.