The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Let's Encrypt прекращает поддержку протокола OCSP для проверки отозванных сертификатов

09.12.2024 10:53

Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, принял решение прекратить поддержку протокола OCSP (Online Certificate Status Protocol), применяемого для проверки отзыва сертификатов. Вместо протокола OCSP предлагается использовать списки отозванных сертификатов (CRL - Certificate Revocation List), публикуемые сервисом Let's Encrypt начиная с 2022 года. 7 мая 2025 года Let's Encrypt отключит добавление ссылок на адреса OCSP в выдаваемые сертификаты и прекратит обработку запросов, связанных с использованием расширения "OCSP Must Staple". 6 августа 2025 года обработчики OCSP-запросов будут отключены на серверах.

В качестве причины прекращения поддержки OCSP упоминается забота о конфиденциальности. Использование OCSP приводит к тому, что при каждой установке защищённого соединения для проверки действия сертификата клиентская система отправляет запрос на OCSP-сервер удостоверяющего центра, сгенерировавшего сертификат. В ответ сервер предоставляет сведения о том, можно ли доверять указанному сертификату. Проблема в том, что удостоверяющий центр получает информацию о том, когда и какие сайты посещает пользователь в привязке к его IP-адресу, что может рассматриваться как утечка конфиденциальных данных. Кроме того, использование OCSP приводит к возникновению задержки на обработку запроса, требует наличия у пользователя гарантированного сетевого доступа и создаёт зависимость от бесперебойной работы OCSP-серверов.

Для решения проблем с конфиденциальностью при проверке отзыва сертификатов была разработана технология OCSP Stapling, суть которой в том, что заверенные удостоверяющим центром OCSP-ответы могут быть переданы обслуживающими сайты серверами во время согласования TLS-соединения с клиентом (передача сведений OCSP переносится на серверы сайтов, что избавляет клиентскую систему от прямого обращения к OCSP-серверу удостоверяющего центра, корректность же ответов обеспечивается цифровой подписью удостоверяющего центра).

В дополнение к OCSP Stapling существует добавляемое в сертификаты расширение "OCSP Must Staple", которое предписывает браузерам использовать технику OCSP Stapling вместо прямого обращения к OCSP-серверам и требует считать сертификат не заслуживающим доверия, если обслуживающий сайт сервер не вернул заверенный OCSP-ответ. К сожалению, расширение "Must Staple" не получило широкого распространения в браузерах, а технология OCSP Stapling завязана на необходимость явного включения поддержки на стороне HTTP-сервера (в nginx поддерживается с 2013 года).

При использовании CRL проверка отзыва сертификатов выполняется на локальной системе по спискам, формируемым удостоверяющим центром. Минусами такого подхода являются очень большой размер загружаемых данных и появление временного разрыва в актуальности информации (например, в Firefox данные актуализируются раз в 6 часов). Проблема с размером решена в браузерах через проксирование CRL на серверах производителей браузеров - в состав браузеров включается базовый CRL, который в процессе работы периодически синхронизируется с актуальным списком (на систему клиента передаются лишь изменившиеся данные). Для снижения размера БД c CRL применяется вероятностная структура "фильтр Блума", позволяющая хранить полную базу CRL на стороне клиента в очень компактном представлении. В Firefox подобная техника реализована при помощи инструментария CRLite, а в Chrome - CRLSets.

  1. Главная ссылка к новости (https://letsencrypt.org/2024/1...)
  2. OpenNews: Mozilla внедряет CRLite для проверки проблемных TLS-сертификатов
  3. OpenNews: Let's Encrypt отзывает 2 млн сертификатов из-за проблем в реализации TLS-ALPN-01
  4. OpenNews: Let's Encrypt внедрил расширение для координации обновления сертификатов
  5. OpenNews: Let's Encrypt перешёл на NTP-сервер ntpd-rs, написанный на языке Rust
  6. OpenNews: NS-сервера домена .top прекратили обслуживание запросов валидации Let's Encrypt
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/62373-letsencrypt
Ключевые слова: letsencrypt, crl, cert, ocsp
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (103) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.4, myster (ok), 12:18, 09/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    Кстати, веб-браузеры, сфокусированные на "заботе о конфиденциальности" (типа LibreWolf), по-умолчанию постоянно проверяют все посещаемые ресурсы по этому OCSP, тем самым вся конфиденциальность коту под хвост.
     
     
  • 2.6, Аноним (6), 12:30, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Вот настоящая забота:
    https://opennet.ru/56830-tls
    https://opennet.ru/53520-https
     
     
  • 3.12, Аноним (12), 12:50, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Францию тоже не забудь сюда добавить, благо новость есть прямо здесь. И весь алианс 5 глаз, которому вообще никакие разрешения не нужны, лол
     
     
  • 4.25, timur.davletshin (ok), 15:29, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Минусующим советую загуглить "France rogue Google certificate attack". Всем чмоки в этом чате )))
     
  • 4.33, anonymous (??), 16:43, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А, ну, это, конечно, всё меняет!
    Ты это имел в виду, да?
     
  • 4.67, chdlb (?), 01:06, 10/12/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    ANSSI облажалась и ее выкинули из CA для всех браузеров, а две ссылки сверху это то, что ты должен будешь скушать, используя куяндекс браузер или еще что-то подобное

    у Казахстана не получилось пропихнуть MITM, а вот в случае со скрепным браузером им уже никто не помешает, кроме тебя самого, но ведь сколько людей поставили себе корневые сертификаты, когда устанавливали например клиент-банк, ЭЦП, ну вот это вот все

    кстати у FF свой корень CA, а хром юзает системный, вот и живите с этим )))

     
     
  • 5.78, timur.davletshin (ok), 09:54, 10/12/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Казахстан не сделал ничего такого, за что стоило бы заблэклистить их CA Российс... большой текст свёрнут, показать
     
     
  • 6.83, chdlb (?), 18:04, 10/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    звездун детектед

    > Казахстан не сделал ничего такого,

    Казахстан сделал, и все правильно что сертификат забанили.

    > даже после попыток подделывать сертификаты.

    ANSSI облажалась и ее выкинули из CA !!!!!

    https://bugzilla.mozilla.org/show_bug.cgi?id=1272156

    > Firefox может прекрасно использовать системный.

    не может

    https://bugzilla.mozilla.org/show_bug.cgi?id=620373
    https://bugzilla.mozilla.org/show_bug.cgi?id=449498
    https://bugzilla.mozilla.org/show_bug.cgi?id=454036

    я не буду что-то коментировать все твои набросы, хватит и этих что я помню по памяти, что ты трындишь

     
     
  • 7.84, timur.davletshin (ok), 19:00, 10/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >>> я не буду что-то коментировать все твои набросы, хватит и этих что я помню по памяти, что ты трындишь

    Неумёха, пока ты гуглишь, я скидываю сертификаты в /usr/local/share/ca-certificates и наблюдаю их в Управлении сертификатами Firefox с пометкой System Trust (зачем-то же этот флажок придумали). Мало того, милый друг, я их же вижу в LibreOffice и Evolution! Но для всего этого надо уметь настраивать NSS.

    >>> https://bugzilla.mozilla.org/show_bug.cgi?id=1272156

    Какое отношение это имеет к моим тезисам?

    >>> Казахстан сделал, и все правильно что сертификат забанили.

    Где и кого он заMITM'им?

     
     
  • 8.85, chdlb (?), 20:12, 10/12/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    а винде ты их куда будешь складывать а ты каждый дистр проверял а у тебя FF па... большой текст свёрнут, показать
     
     
  • 9.86, Аноним (86), 20:32, 10/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Открываешь файл, импорт, выбрать хранилище корневиков, поставить Firefox - secu... текст свёрнут, показать
     
     
  • 10.87, chdlb (?), 22:58, 10/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    security enterprise_roots enabled - позволяет использовать СВОИ импортированные ... текст свёрнут, показать
     
     
  • 11.91, timur.davletshin (ok), 07:20, 11/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ты на линуксе, включи настройку и проверь Или мне тебе надо и скриншот приложит... текст свёрнут, показать
     
     
  • 12.96, chdlb (?), 12:26, 11/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    скачай с сайта мозиллы английскую версию, не позорься Agence Nationale de Certif... текст свёрнут, показать
     
     
  • 13.98, timur.davletshin (ok), 12:43, 11/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это и есть английская официальная версия, запускалась на Debian 12 Русский инте... текст свёрнут, показать
     
     
  • 14.103, chdlb (?), 19:38, 11/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    так ничего не поменялось, я думаю все то же самое, в первую очередь, что ты сказ... большой текст свёрнут, показать
     
     
  • 15.106, timur.davletshin (ok), 06:40, 12/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Именно так и запущено Я же тебе говорю, что даже дефолтный грузит профиль из до... текст свёрнут, показать
     
  • 14.104, chdlb (?), 20:51, 11/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    поставил Debian 12 KDE версия ESR которая ставится с KDE по умолчанию тоже име... текст свёрнут, показать
     
     
  • 15.105, timur.davletshin (ok), 06:34, 12/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Неумёха, ничего импортировать не нужно Если ты импортируешь, то System Trust ме... большой текст свёрнут, показать
     
     
  • 16.114, chdlb (?), 12:34, 13/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    дегенеративный бот удаляет коменты ты уже запустил wc посчитал сколько в ст... текст свёрнут, показать
     
     
  • 17.115, timur.davletshin (ok), 12:55, 13/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Признавать свои ошибки всегда тяжело Но ты не отчаивайся и продолжай работать н... текст свёрнут, показать
     
     
  • 18.116, chdlb (?), 13:11, 13/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а ты трудись и у тебя получиться я даже не добавлял новый Security Device, зачем... текст свёрнут, показать
     
     
  • 19.117, timur.davletshin (ok), 13:32, 13/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    У тебя логическая проблема Если ты не добавлял, откуда ты знаешь, что они именн... текст свёрнут, показать
     
     
  • 20.120, chdlb (?), 14:36, 13/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    видишь ли надо английский ФФ ставить, и вообще английский учить в статье которая... большой текст свёрнут, показать
     
  • 21.122, timur.davletshin (ok), 14:47, 13/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Can you summarize it for me in plain English in your own words I m getting a ... текст свёрнут, показать
     
  • 19.118, timur.davletshin (ok), 13:33, 13/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А столько форсу было в начале 128518 ... текст свёрнут, показать
     
     
  • 20.119, chdlb (?), 14:33, 13/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    я тебе уже дважды сказал, что для меня ничего не поменялось сказочник сам придум... текст свёрнут, показать
     
  • 11.92, timur.davletshin (ok), 07:33, 11/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    https imgur com a bCayDDy - каких ещё вам системных сертификатов не хватает Ц... текст свёрнут, показать
     
  • 11.93, Аноним (86), 09:24, 11/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну начни читать, можешь даже объяснить что значит вот эти твои слова не может... текст свёрнут, показать
     
  • 9.90, timur.davletshin (ok), 07:15, 11/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вот именно поэтому, деточка, ты и являешься неучем C официальными сборками Fire... текст свёрнут, показать
     
  • 3.16, Pahanivo (ok), 13:56, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да уж, MITM, так сказать, в каждый дом!
    А учитывая, что они сейчас начали всех заставлять ставить "russian trusted root CA" в сервисах, чебурнет все ближе и ближе.
     
     
  • 4.17, Аноним (17), 14:09, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так ты просто ставь Яндекс Чебурбраузер и всё.
     
     
  • 5.27, Pahanivo (ok), 15:51, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Так ты просто ставь Яндекс Чебурбраузер и всё.

    Откровенного трояна еще не хватало.

     
     
  • 6.32, Аноним (-), 16:35, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это не троян. Это ФСБ-шная шпионская программа.
     
     
  • 7.60, Аноним (60), 21:12, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +6 +/
    ----
    Штирлиц вошёл в туалет, там крупно синела надпись "Штирлиц русский шпион!"... Штирлиц достал из кармана карандаш, аккуратно закрасил слово "шпион" и написал поверху "разведчик"...
    ----

    Если ФСБшная, то видимо разведческая.  Шпионская это ФБР, Моссад или чья там еще...

     
     
  • 8.89, Аноним (89), 02:57, 11/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    феэсбээ, вообще-то - контрразведка, как и фэбээр ... текст свёрнут, показать
     
  • 4.68, chdlb (?), 01:08, 10/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    в каких сервисах?
     
     
  • 5.108, Pahanivo (ok), 12:24, 12/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > в каких сервисах?

    В любых веб сервисах, например, когда у тебя на компе российский корневой серт стоит. А он стоит с большой вероятностью если чел пользует гос и банк веб сервисы в рф.

     
     
  • 6.121, chdlb (?), 14:39, 13/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> в каких сервисах?
    > В любых веб сервисах, например, когда у тебя на компе российский корневой
    > серт стоит. А он стоит с большой вероятностью если чел пользует
    > гос и банк веб сервисы в рф.

    веб-сервис - это вполне устойчивый термин, нельзя его применять, обозначая какой-то портал государственных услуг

    и ставить левый рут сертификат - это нужно быть [очень глупым человеком]

     
  • 3.20, Аноним (20), 14:52, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >государственный корневой сертификат интегрирован только в продукты Яндекс.Браузер и Атом.

    Попробовал скачать браузер Атом (https://atom.browser.ru/), пишет что "Сайт заблокирован, Если вы владелец сайта, просто оплатите аккаунт".
    Неужели это тот браузер, который мы действительно заслуживаем?

     
     
  • 4.22, Аноним (22), 15:14, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    https://browser.ru/

    > С 13 сентября 2024 года Atom перестанет быть доступным для скачивания и обновления

     
     
  • 5.35, нах. (?), 16:51, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Место тут проклято.

     
  • 5.46, Аноним (20), 18:41, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >С 13 сентября 2024 года Atom перестанет быть доступным для скачивания и обновления

    С чего бы такое?

     
     
  • 6.81, Vladjmir (ok), 15:53, 10/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не взлетел.
     
     
  • 7.109, Pahanivo (ok), 19:19, 12/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Не взлетел.

    А пытался? ))
    "Atom – новый браузер от Mail.ru на базе Chromium с акцентом на безопасность и приватность." - это само по себе уже очень сменой анекдот ))

     
     
  • 8.113, Vladjmir (ok), 07:21, 13/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    У них был предыдущий браузер Amigo вроде , который лез на комп из всех щелей и ... текст свёрнут, показать
     
     
  • 9.125, Pahanivo (ok), 11:36, 16/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, у нас будети свой браузер на базе хромиума со совим блекджеком и троянами... текст свёрнут, показать
     
  • 2.11, Аноним (17), 12:40, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В дилло такой фигни нет и ледибёрде.
     
  • 2.29, timur.davletshin (ok), 15:54, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "Используется политика владельца CA", - так было бы корректнее выразиться. Поставь security.pki.crlite_mode = 2, для надёжности ещё отруби OCSP, и не нагнетай.
     

  • 1.7, Аноним (17), 12:32, 09/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Все время говорил что сбор данных есть, а местные эксперты не верили. Вот одну из технологий отключили. Но ещё кучу оставили. Но хома продолжит хавать что дают.
     
     
  • 2.13, Аноним (13), 12:54, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Все время говорил что есть вредно, а местные эксперты не верили. Ведь в еде встречаются неорганические соединения, соль, сахар и даже спирт. Но хома продолжит хавать что дают.
     
  • 2.42, fuggy (ok), 17:59, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И кто говорил что Let's Encrypt чья корова и кто её доит.
     
     
  • 3.66, нах. (?), 23:03, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Теперь вопрос стоит иначе - а зачем они эту корову зарезали-то?

    (наиболее вероятный правильный ответ - что они все же дол...6ы)

     

  • 1.19, Тоже_Аноним_Естественно (?), 14:25, 09/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Редкая по нынешним временам приятная новость. Ещё бы DNS на такой же манер бы перевели.
     
     
  • 2.24, Аноним (24), 15:27, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ага всё в hosts будет. Возвращаемся на начало интернета.
     
     
  • 3.45, Akteon (?), 18:40, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А что, идейа. БД будет где-то гигабайт 10. Недорого совсем.
     
     
  • 4.76, Аноним (76), 07:38, 10/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    DVD Name System, наконец-то!
     

  • 1.21, Аноним (20), 14:59, 09/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мне, с моей колокольни просто кажется, что ребята поплыли в обслуживании приходящих запросов, и просто пытаются оптимизировать свой бизнес "что бы у нас все было, а нам за это ничего не  было".
    Ну типа ВНЕЗАПНО оказалось, что для обслуживания процедур поддержания удостоверяющего центра, необходимо принимать миллионы запросов, на один сгенерированный церт.
    Послать всех в веб "сами скачивайте мы все опубликовали" - способ всяких сбербанков "договор присоединения мы опубликовали в интернете, идите сами скачивайте" самый простой из возможных.
     
     
  • 2.26, keydon (ok), 15:34, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Если бы хотели "оптимизировать" свой бизнес, то просто продавали бы логи запросов рекламщикам.
    Хватило бы и на новые сервера чтобы запросы обслуживать и команду и еще осталось бы.
     
     
  • 3.47, Аноним (20), 18:44, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >то просто продавали бы логи запросов рекламщикам.

    А с чего ты решил, что они самые "непродажные"?
    Потому что нет открытой инфы о сделках?
    Ну так можно и без денег - придут из одной государственной конторы и пояснят им кто чья корова, и кому их можно доить.

     
     
  • 4.57, OpenEcho (?), 20:23, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А с чего ты решил, что они самые "непродажные"?

    Кому продавать? Самим себе? Кто там в списках "безвозмездных" меценатов?

     
  • 4.70, keydon (ok), 01:19, 10/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А с чего ты решил, что они самые "непродажные"?
    > Потому что нет открытой инфы о сделках?
    > Ну так можно и без денег - придут из одной государственной конторы
    > и пояснят им кто чья корова, и кому их можно доить.

    Если бы я был аморальным !@#$%^ и получал кучу денег за данные из логов, то я бы молчал в тряпочку и точно бы не поднимал вопрос насчет конфиденциальности OCSP.

     
  • 2.31, нах. (?), 16:08, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да просто не смогли эти данные продать. Логи не окупились - давайте их отключим вместе с сервисом который они логали.

    А помните, помните сколько вони было от "разработчиков" мразилы и хромонога что crl ооооочень долго загружать, никак ниможна, аграменный объем (это когда сайтов с https вообще было хрен да нихрена) и надо их запретить-запретить?

     
     
  • 3.41, Аноним (41), 17:00, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Все правильно говорили.
     
  • 3.43, Аноним (43), 18:36, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А помните, помните сколько вони было от "разработчиков" мразилы и хромонога что crl ооооочень долго загружать, никак ниможна, аграменный объем (это когда сайтов с https вообще было хрен да нихрена)

    В этом плане ничего и не изменилось, это всё ещё огромный объём, который только увеличился с тех пор. Разница в том, что сейчас, во-первых, есть доиашний гигабит по оптике везде, где это имеет значение (т.е. в городах-миллонниках стран первого мира), и, во-вторых, к браузеру прикрутили фильтр Блума. Сам CRL как был огромным и неудобным файлом, так и остался. Ну хоть OCSP костыль выкинули, и на том спасибо. Крайне неудачная идея была, чмо-то уровня протокола FTP.

     
     
  • 4.48, Аноним (20), 18:46, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    фильтр Блума — это вероятностная структура данных!
    он может сказать вам со 100% вероятностью, что элемент отсутствует в наборе данных, но сказать со 100% вероятностью, что элемент находится в наборе, он не может (возможны ложно положительные результаты).
     
     
  • 5.56, нах. (?), 20:22, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > фильтр Блума — это вероятностная структура данных!
    > он может сказать вам со 100% вероятностью, что элемент отсутствует в наборе
    > данных, но сказать со 100% вероятностью, что элемент находится в наборе,
    > он не может (возможны ложно положительные результаты).

    вот при положительном результате - уже можно потратить даже десять секунд ценного времени юзера и проверить список по настоящему, а не по косвенным признакам.

    хотя на самом деле, разумеется, и эта деятельность бессмысленна, и никаких адских требований к ресурсам в проверке списков напрямую нет.


     
  • 5.71, keydon (ok), 01:20, 10/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > фильтр Блума — это вероятностная структура данных!
    > он может сказать вам со 100% вероятностью, что элемент отсутствует в наборе
    > данных, но сказать со 100% вероятностью, что элемент находится в наборе,
    > он не может (возможны ложно положительные результаты).

    Внезапно (да?) этого достаточно для CRL.

     
  • 2.63, Аноним (63), 21:50, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Мне, с моей колокольни просто кажется, что ребята поплыли в обслуживании приходящих запросов, и просто пытаются оптимизировать свой бизнес "что бы у нас все было, а нам за это ничего не  было".

    Там настолько простые запросы что их сотнями тысяч RPS сможет и какая-нибудь малинка раздавать, лишь бы трафика хватило.

     
     
  • 3.88, RM (ok), 23:43, 10/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    осетра таки надо урезать, порядка на 2 минимум
    а то 200 000 rps на гигабитном линке это 5 байт на запрос/ответ.
    малинка гигабитный линк зарауть то на wire speed или сможет - даже это еще вопрос, а тут rps...
     
     
  • 4.100, нах. (?), 12:57, 11/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    порядков на пять.

    Потому что это тебе не гигабитный линк загадить, а делать ровно то что теплая компания гуглезилы сочла нипасильной-нипасильной задачей для браузеров - на каждый(!) запрос прошерстить весь список сертификатов, найти нужный (ну или не найти, в плохом способе реализации, на от..сь), криптографически подписать, помимо обычной tls сессии... чота мне кажется сгорит к хренам тот кипятильник, точнее их нужна будет целая гирлянда на городскую елку, и та тоже сгорит.

     

  • 1.28, Аноним (28), 15:53, 09/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    SSL сертификаты на публичных  новостных сайтах - зло. Старые устройства постоянно ругаются так как информация о корневых УЦ у них устарела. Можно конечно новые устройства купить, но сейчас не то время.
     
     
  • 2.34, нах. (?), 16:48, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > SSL сертификаты на публичных  новостных сайтах - зло. Старые устройства постоянно ругаются

    а на новых БЕЗ ssl только страшное красное пустое место с ашипкаашипка показываетсо.

    Поэтому извини, конечно, но твой второй ипхон пора выбросить. Время самое то, рождественские скидки.

     
     
  • 3.49, Аноним (20), 18:48, 09/12/2024 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
  • 2.37, Rev (ok), 16:52, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так а что делать-то? Гонять весь трафик в открытую, давая провайдерам возможность добавлять туда рекламу и следящие скрипты?
     
     
  • 3.44, Аноним (43), 18:37, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Можно ещё построить машину времени и вернуться в тот самый тёплый ламповый интернет восьмидесятых, где все друзья.
     
     
  • 4.50, Аноним (20), 18:49, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    «Никто никогда не вернётся в 2007 год!»
     
  • 3.55, нах. (?), 20:20, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Так а что делать-то? Гонять весь трафик в открытую, давая провайдерам возможность
    > добавлять туда рекламу и следящие скрипты?

    не пользоваться помойными провайдерами, и вообще решать свои проблемы грошовой экономии как-то самому, не перекладывая их на других.

     
     
  • 4.62, Аноним (63), 21:48, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Охренеть, а если кроме помойного провайдера в радиусе 10 км других нет, может мне ещё и переехать? А чтобы что? Чтобы всякие старьёвщики ходили со своих арахн на пентиумах в интернет клиртекстом? И почему это на тебя перекладывать нельзя, а ты перекладывать можешь? Ну нет уж голубчик, давай-ка я тебя не спрошу и буду и пользоваться дешёвым провайдером, и рекламы от него не видеть. А ежели зазнавшихся старьевщиков-эгоистов от этого коробит, так это ещё лучше.
     
     
  • 5.64, нах. (?), 22:14, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Охренеть, а если кроме помойного провайдера в радиусе 10 км других нет, может мне ещё и
    > переехать?

    можешь прямо по месту прописки продолжить страдать.

    Почему кто-то должен за твою ленивую задницу поиметь СЕБЕ проблем? Вот опеннет - отлично ради таких как ты подставил ВСЕХ своих посетителей под еще один трекинг (а ведь долго держался...) Без которого мы прекрасно бы обошлись.

     
     
  • 6.82, Аноним (63), 17:52, 10/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Почему кто-то должен за твою ленивую задницу поиметь СЕБЕ проблем?

    А почему наоборот? Причём твоя параноя чисто теоретическая, а баннеры на опеннете видели все.

    > Вот опеннет - отлично ради таких как ты подставил ВСЕХ своих посетителей под еще один трекинг (а ведь долго держался...) Без которого мы прекрасно бы обошлись.

    В новости же написано что OCSP прикрыли, тебя что-то ещё не устраивает?

     
     
  • 7.99, нах. (?), 12:49, 11/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    лично я баннер увидел ровно один раз. (точнее - заметил, он был, надо признать, очень аккуратно впихнут в чудо-дизайн этогосайта - даже менее вырвиглазен чем тутошняя официальная реклама, поэтому замечен как что-то чужеродное был не с первого явно раза)

    И больше не увижу, поскольку ровно с этого момента мегафоновским интернетом без vpn не пользуюсь.

    (чего в общем-то ждать от компании где целиком пятиэтажное офисное здание в очень дорогом районе очень дорогого городишки занято вовсе не сотовой связью)

    И если ты "не параноик" - то учти, что они и с ssl прекрасно видят куда ты ходишь. И пишут. Опер про всех писать велел.

     
     
  • 8.101, Аноним (63), 18:16, 11/12/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 9.102, нах. (?), 19:21, 11/12/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 3.75, Аноним (75), 07:31, 10/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не используй просто всякие Ростелекомы, локальные провайдеры такой фигней обычно не страдают.
     
  • 2.53, Аноним (53), 19:51, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А без ТЛС трёхбуквенная организация тебе внедрит вредоносное ПО в каждую страницу. А браузер послушно исполнит.
     
     
  • 3.58, нах. (?), 20:26, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > А без ТЛС трёхбуквенная организация тебе внедрит вредоносное ПО в каждую страницу.
    > А браузер послушно исполнит.

    кругом враги! Как жыть!

     
     
  • 4.65, Аноним (65), 23:00, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >кругом враги! Как жыть!

    Шапочка из фольги абсолютно защищает от всех трехбуквенных (отечественных и зарубежных), но существенно увеличивается риск Кащенко.

     
  • 4.123, Аноним (123), 05:50, 14/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    РТК, а ты что подумал?

    https://www.opennet.ru/opennews/art.shtml?num=52444

    >Как жыть!

    Пойти и обратиться на другую трёхбуквенную организацию, одной буквой лишь отличающуюся.

     
  • 2.59, Аноним (59), 20:33, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну товарищъ майор...
     
  • 2.61, Аноним (63), 21:40, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Владельцы старья должны страдать, а владельцы закрытого старья должны страдать втройне.
     
     
  • 3.80, Аноним (80), 12:31, 10/12/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     

     ....ответы скрыты (20)

  • 1.51, YetAnotherOnanym (ok), 19:12, 09/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > удостоверяющий центр получает информацию о том, когда и какие сайты посещает пользователь в привязке к его IP-адресу

    Ой, сюрпрайз-то какой!

     
  • 1.52, Аноним (53), 19:50, 09/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >В качестве причины прекращения поддержки OCSP упоминается забота о конфиденциальности. Использование OCSP приводит к тому, что при каждой установке защищённого соединения для проверки действия сертификата клиентская система отправляет запрос на OCSP-сервер удостоверяющего центра, сгенерировавшего сертификат

    Пропагандистстский аргумент, рассчитанный на некомпетентных. Есть такая штука, OCSP Stapling. При нём - ничего не отправляется. И OCSP Must Staple. Который требует, чтобы OCSP-ответ был прикреплён.

    При этом удостверяющий центр и так в позиции нарушать приватность.

    Наверняка их *попросили* об этом разведовательные органы.

     
     
  • 2.54, нах. (?), 20:19, 09/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Пропагандистстский аргумент, рассчитанный на некомпетентных. Есть такая штука, OCSP Stapling.

    категорически непригодная для нагруженных систем и вредная и опасная даже для твоей домашней странички. (Потому что вебсерверу это все совершенно чуждая деятельность и реализовано оно там... ну как-то так...)

    > При нём - ничего не отправляется. И OCSP Must Staple. Который
    > требует, чтобы OCSP-ответ был прикреплён.

    А сервер тебе такой - "знаешь куда пройти?"

    Никто не обязан поддерживать эту чудовищную несуразицу. Сначала мы внедрили очередное ненужное ненужно которое (ох кто бы мог подумать и было ли ему чем) сливает всю историю посещений, а потом вот - педальный самокат позволяющий частично вернуть как было.

    > Наверняка их *попросили* об этом разведовательные органы.

    что ж они, фраеры, сдали назад-то? Разведовательному органу, похоже, те логи не пригодились. Ну или пригодились, но не сошлись в цене.

     
     
  • 3.73, Аноним (73), 04:22, 10/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сфигали Для каждого запроса не требуется свежее прикрепление Знаю Несуразица ... большой текст свёрнут, показать
     

  • 1.72, Аноним (72), 04:16, 10/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Почему нельзя оставить альтернативу? Пусть пользователь в настройках конфиденциальности браузера выбирает способ.
     
  • 1.74, Аноним (74), 05:30, 10/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    чем OCSP отличается от скачивания CRL с CRL DP? Правильно, ничем
     
     
  • 2.79, Ramiralez (?), 12:26, 10/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Скачивание CRL не дает возможности понять какой именно сертификат клиент собирается проверять.
     

  • 1.77, Ivan_83 (ok), 09:02, 10/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Всегда выключал в настройках OCSP как и всякие "безопасные интернеты", антифишинги, антивирусы, антитрекеры и прочую муйню: если я лезу на сайт то это мой выбор и мнение посторонних относительно него меня не интересует.
     
     
  • 2.97, нах. (?), 12:39, 11/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну а проверять вменяемость своего выбора ты как-то собираешься? Или просто нутром чуешь? Раньше (и снова здрасти) мы для этого в том числе использовали crl - если сертификат сайта в этом списке, вряд ли стоит на него заходить.

    Кстати, забавно, но ты вряд ли сможешь его выключить. Интересно, не на это ли и разменяли ocsp?

     

  • 1.94, Ilya Indigo (ok), 10:34, 11/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Использование OCSP приводит к тому, что при каждой установке защищённого соединения для проверки действия сертификата клиентская система отправляет запрос на OCSP-сервер удостоверяющего центра, сгенерировавшего сертификат. В ответ сервер предоставляет сведения о том, можно ли доверять указанному сертификату. Проблема в том, что удостоверяющий центр получает информацию о том, когда и какие сайты посещает пользователь в привязке к его IP-адресу, что может рассматриваться как утечка конфиденциальных данных.




    ssl_stapling on;
    ssl_stapling_verify on;
    resolver 1.1.1.1 8.8.8.8 valid=300s ipv6=off;



    Может я что-то не так понимаю, но мне казалось, исходя из документации к nginx, что nginx сам запрашивает у сервера валидность своих же сертификатов и передаёт клиенту подписанный результат этой проверки.
    Никакой утечки и никаких обращений от пользователя тут нет.

     
     
  • 2.111, Аноним (60), 00:08, 13/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да именно так еще надо ssl_trusted_certificate с промежуточным и корневым, или ... большой текст свёрнут, показать
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру