E_123
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Kero1 Цитата: zzz528, а я вам уже предлагал выпилить нахер эти сертификаты из кода или сделать настройку, простой чекбс который их полностью вырубает. | Полностью поддерживаю. В статье на хабре подробно разбирается почему проверка сертификатов сайтов в том виде, в котором она сейчас осуществляется, по сути - бесполезная траты вермени, трафика и ресурсов: «На самом деле сегодня браузы выполняют так называемую проверку отзыва сертификата с частичным сбоем. То есть брауз попытается проверить статус сертификата, но если ответ не пришёл совсем или не пришёл за короткий промежуток времени, то брауз просто забывает об этом. Разрабы Google в Google Chrome решили вообще не проверять сертификаты сайтов и я полностью согласен с этим: проблема с полным сбоем очевидна: если CA (Certification Authority) поломался или находится в оффлайн, то никакой проверки у вас просто не будет: брауз попытается осуществить проверку сертификата на предмет отзыва оного, но полностью отказывается от неё, если она занимает слишком много времени или если кажется, что CA например ушёл в оффлайн. Если злоумышленник осуществляет атаку MiTM (Man in The Middle), то ему потребуется всего лишь блокировать запрос на проверку сертификата вашего брауза и создать впечатление, что CA не работает. Брауз тогда столкнётся с частичным сбоем проверки и продолжит радостно использовать отозванный сертификат. Если вас никто не атакует, то каждый раз при проверке этого конкретного сертификата вы тратите время и ресурсы на проверку того не отозван ли сертификат. И один раз, когда вас атакуют — тот единственный раз, когда вам по-настоящему нужна такая проверка — злоумышленник просто блокирует соединение, и брауз проходит через частичный сбой. Адам Лэнгли из Google лучше всех описал, что такое отзыв сертификата: "это - ремень безопасности, который рвётся в момент аварии, но при этом вы каждый день садитесь в машину и пристёгиваете его т.к. это даёт вам приятное и комфортное ощущение безопасности. А потом в один день что-то идёт не по плану — вы попадаете в аварию, и вот тут вы вылетаете в ветровое стекло": https://habr.com/ru/post/332730 Кроме того злоумышленники уже давно регистрируют свои серверы у CA и при таком сценарии CA отдаёт валидный OSCP-ответ для этого сервера злоумышленников: https://habr.com/ru/company/eset/blog/220003 | Всего записей: 950 | Зарегистр. 05-03-2020 | Отправлено: 14:55 26-04-2021 | Исправлено: E_123, 14:59 26-04-2021 |
|