The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Сертификат удостоверяющего центра был использован для перехв..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Сертификат удостоверяющего центра был использован для перехв..."  +/
Сообщение от opennews (??) on 24-Мрт-15, 19:02 
Компания Google сообщила (http://googleonlinesecurity.blogspot.ru/2015/03/maintaining-...) о выявлении в сети обманного TLS-сертификата, используемого в прокси-сервере для установки не вызывающих подозрений защищённых соединений с любыми серверами в сети. В том числе создание поддельных TLS-соединений зафиксировано для некоторых доменов Google.


В ходе разбирательства выяснилось, что китайский удостоверяющий центр CNNIC (China Internet Network Information Center) передал холдингу MCS промежуточный (https://en.wikipedia.org/wiki/Intermediate_certificate_autho...) (вторичный) корневой сертификат, на условии его использования только для доменов,  зарегистрированных данной компанией. Нарушив все правила обращения с корневыми сертификатами, закрытый ключ не был изначально помещён в HSM (Hardware Security Module), а установлен в MITM-прокси, осуществляющем перехват защищённых соединений с целью контроля за работой сотрудников корпорации.


По сути прокси сервер был наделён полномочиями полноценного удостоверяющего центра, на лету генерирующего необходимые для любых доменов корректные сертификаты. Подобные сертификаты не  вызывали подозрений во всех операционных системах и браузерах, так как сертификат CNNIC был занесён в список заслуживающих доверие корневых сертификатов. Инцидент является серьёзным ударом по всей инфраструктуре удостоверяющих центров, подрывающим доверие к ней, так как CNNIC делегировал свои полномочия сторонней организации, не имеющей право на обращение с подобными сертификатами. Сам вторичный корневой сертификат был помечен как тестовый и выписан на две недели.


Напомним, что компрометация любого из существующих удостоверяющих центров может привести к возможности сгенерировать рабочий сертификат для любого сайта в сети, независимо от того каким центром сертификации выдан оригинальный SSL-сертификат. При каждом HTTPS/TLS-сеансе пользователь изначально доверяет всем имеющимся центрам сертификации, поэтому утечка корневого сертификата у одного из центров сертификации  может привести к коллапсу всей системы. Средства защиты от подобных манипуляций, например методы перекрёстной сертификации или специальные расширения (https://www.opennet.ru/opennews/art.shtml?num=33937) к протоколу TLS, только разрабатываются.


Chrome и Firefox позволяет отловить некорректные манипуляции с сертификатами благодаря наличию механизма Public Key Pinning, позволяющего явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта (в частности, Google жестко привязывает в Chrome свои домены к определённому удостоверяющему центру). Если для установки защищённого соединения применён достоверный сертификат выписанный иным удостоверяющим центром, соединение будет отвергнуто из-за подозрения в атаке "man-in-the-middle". Для оперативного отзыва сертификатов промежуточных удостоверяющих центров в Google Chrome используется механизм CRLset. В следующем выпуске Firefox ожидается появление механизма OneCRL (https://wiki.mozilla.org/CA:RevocationPlan#OneCRL), предоставляющего похожие на CRLset средства для централизованного отзыва сертификатов.

URL: http://googleonlinesecurity.blogspot.ru/2015/03/maintaining-...
Новость: https://www.opennet.ru/opennews/art.shtml?num=41902

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Сертификат удостоверяющего центра был использован для перехв..."  +1 +/
Сообщение от Аноним (??) on 24-Мрт-15, 19:02 
расстраивает то что фаерфокс не позволяет отключить сертификаты вот таких вот ненадежных CA
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Сертификат удостоверяющего центра был использован для перехв..."  +/
Сообщение от Аноним email(??) on 24-Мрт-15, 19:16 
с введение мозилой своих центров сертификации, такое станет доступным
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Сертификат удостоверяющего центра был использован для перехв..."  +3 +/
Сообщение от Аноним (??) on 24-Мрт-15, 19:44 
> с введение мозилой своих центров сертификации, такое станет доступным

Чем это отличается от того, что есть сейчас?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

13. "Сертификат удостоверяющего центра был использован для перехв..."  +/
Сообщение от Ан0ним on 24-Мрт-15, 20:21 
Чем больше центров сертификации тем надежнее! Правильно?


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

15. "Сертификат удостоверяющего центра был использован для перехв..."  +1 +/
Сообщение от Fomalhaut on 24-Мрт-15, 21:48 
У семи нянек... (С)
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

24. "Сертификат удостоверяющего центра был использован для перехв..."  +28 +/
Сообщение от Anonim (??) on 24-Мрт-15, 22:27 
Четырнадцать титек.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

28. "Сертификат удостоверяющего центра был использован для перехв..."  +2 +/
Сообщение от Аноним (??) on 24-Мрт-15, 23:53 
Это в теории. У няньки может быть член или отсутствующая титька.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

47. "Сертификат удостоверяющего центра был использован для перехв..."  +1 +/
Сообщение от XoRe (ok) on 25-Мрт-15, 15:09 
> Это в теории. У няньки может быть член

Но титьки то тоже будут :)

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

17. "Сертификат удостоверяющего центра был использован для перехв..."  +/
Сообщение от Аноним (??) on 24-Мрт-15, 22:00 
Еще как: теперь и мозилла сможет подписывать сертификаты на что угодно!
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

18. "Сертификат удостоверяющего центра был использован для перехв..."  +1 +/
Сообщение от Аноним (??) on 24-Мрт-15, 22:03 
Нет. Наоборот.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

4. "Сертификат удостоверяющего центра был использован для перехв..."  +1 +/
Сообщение от rm_ email(ok) on 24-Мрт-15, 19:19 
Позволяет, в опциях поройтесь. Но это не выход.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "Сертификат удостоверяющего центра был использован для перехв..."  +/
Сообщение от Аноним (??) on 24-Мрт-15, 19:48 
Позволяет, плохо смотрели. Но туда редко кто заглядывает.
Другой вопрос как узнать ненадежные CA?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

12. "Сертификат удостоверяющего центра был использован для перехв..."  +1 +/
Сообщение от Ан0ним on 24-Мрт-15, 20:18 
Все, которые расположены не на /dev/sda
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

21. "Сертификат удостоверяющего центра был использован для перехв..."  +/
Сообщение от Аноним (??) on 24-Мрт-15, 22:06 
> Позволяет, плохо смотрели. Но туда редко кто заглядывает.
> Другой вопрос как узнать ненадежные CA?

Никак. Без OCSP это вообще нереально, кроме как вручную - а не заипёшься ли ты их повсюду проверять вручную? А OCSP так и не прижилось 15 лет спустя как стандарт и повсеместное требование.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

26. "Сертификат удостоверяющего центра был использован для перехв..."  +/
Сообщение от sur pri on 24-Мрт-15, 23:33 
>> Другой вопрос как узнать ненадежные CA?
> Никак.

:-) Вот узнали же.

Хотя в заявлениях Google что-то не находится например неправильный сертификат, о котором идёт речь...

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

27. "Сертификат удостоверяющего центра был использован для перехв..."  +1 +/
Сообщение от Аноним (??) on 24-Мрт-15, 23:41 
> Никак. Без OCSP это вообще нереально, кроме как вручную -

Чего бы это вдруг? Запомнить при первом конекте fingerprint и если поменялся - спрашивать, доверяем ли мы этим, новым. Не говоря уж о блеклисте.

А отчитываться каким-то левым хренам с OCSP сервером каждый раз когда я в банк хожу - как-то жирновато будет, имхо.

> не прижилось 15 лет спустя как стандарт и повсеместное требование.

Потому что тормозно и сильно гадит приватности пользователя, информируя совершенно левый сервер о активности юзверя.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

8. "Сертификат удостоверяющего центра был использован для перехв..."  +1 +/
Сообщение от Аноним (??) on 24-Мрт-15, 19:45 
Они изобрели SSL Bump! :)))))))))))))))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Сертификат удостоверяющего центра был использован для перехв..."  +/
Сообщение от Аноним (??) on 24-Мрт-15, 19:58 
Отключил для пробы доверие к сертификату CNNIC в Фоксе. aliexpress не пострадал, вопреки опасениям
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Сертификат удостоверяющего центра был использован для перехв..."  +/
Сообщение от Anonplus on 24-Мрт-15, 21:58 
CNNIC славился тем, что бесплатно раздавал сертификаты для некоммерческих проектов, поддерживая повсеместное внедрение https.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

20. "Сертификат удостоверяющего центра был использован для перехв..."  +/
Сообщение от Аноним (??) on 24-Мрт-15, 22:05 
> CNNIC славился тем, что бесплатно раздавал сертификаты для некоммерческих проектов, поддерживая
> повсеместное внедрение https.

Серверные. А тут речь о том, что эти ушлёпки отдали корневой, с правом подписи.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

52. "Сертификат удостоверяющего центра был использован для перехв..."  +/
Сообщение от sur pri on 26-Мрт-15, 02:42 
> CNNIC славился тем, что бесплатно раздавал сертификаты для некоммерческих проектов, поддерживая
> повсеместное внедрение https.

Поддерживая повсеместное внедрение. Внедрение.
Своих сертификатов >:-)

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

11. "Сертификат удостоверяющего центра был использован для перехв..."  –1 +/
Сообщение от Аноним (??) on 24-Мрт-15, 19:58 
dpkg-reconfigure ca-certificates
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Сертификат удостоверяющего центра был использован для перехв..."  +/
Сообщение от Ilya Indigo (ok) on 24-Мрт-15, 21:09 
>Инцидент является серьёзным ударом по всей инфраструктуре удостоверяющих центров, подрывающим доверие к ней.

В который уже раз, она всё живее всех живых.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Сертификат удостоверяющего центра был использован для перехв..."  +1 +/
Сообщение от Michael Shigorin email(ok) on 24-Мрт-15, 23:29 
>>Инцидент является серьёзным ударом по всей инфраструктуре удостоверяющих центров,
>>подрывающим доверие к ней.
> В который уже раз, она всё живее всех живых.

Как и МВФ с ФРС, забавное совпадение -- и тут опять китайцы...

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

29. "Сертификат удостоверяющего центра был использован для перехв..."  +/
Сообщение от Аноним (??) on 24-Мрт-15, 23:56 
И главное, никто даже и не пытается особо обеспечивать поддержку RFC6091 в приложениях, особенно в собственно клиентских браузерах. Уже сколько раз об это X.509 руки-ноги ломали, а они так и не учатся и ничему учиться не хотят.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "Сертификат удостоверяющего центра был использован для перехв..."  +/
Сообщение от Аноним (??) on 25-Мрт-15, 07:52 
Существующая система сертификации прекрасно выполняет свои цели (как известно, истинные цели любого проекта становятся ясными только после запуска в эксплуатацию) - гарантированный перехват трафика и обход защиты по заказу. А рассматриваемый случай - досадный пример, который не должен был стать достоянием.

Типа как намеренно введенные дыры в Windows становятся известными благодаря утечкам, случаю или хакерам.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

42. "Сертификат удостоверяющего центра был использован для перехв..."  +/
Сообщение от Demo (??) on 25-Мрт-15, 12:58 
> Существующая система сертификации

   Не вызывает доверия.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

30. "Сертификат удостоверяющего центра был использован для перехв..."  +/
Сообщение от Аноним (??) on 24-Мрт-15, 23:57 
отключил в фоксе и конкьюре. спасибо за инфо!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Сертификат удостоверяющего центра был использован для перехв..."  +/
Сообщение от Dzmitry email(??) on 25-Мрт-15, 01:44 
А opennet.ru вообще не поддерживает HTTPS :D
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Сертификат удостоверяющего центра был использован для перехв..."  +/
Сообщение от Ilya Indigo (ok) on 25-Мрт-15, 01:46 
> А opennet.ru вообще не поддерживает HTTPS :D

https://ssl.opennet.ru

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

33. "Сертификат удостоверяющего центра был использован для перехв..."  +1 +/
Сообщение от Аноним (??) on 25-Мрт-15, 02:34 
Алгоритм подписи: PKCS #1 MD5 с шифрованием RSA

E = mc@tyumen.ru
CN = *.opennet.ru
OU = web site
O = Opennet.ru
L = Tyumen
ST = Tyumen reg.
C = RU

nice try, но нет, спасибо, в таком виде не пойдёт.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

44. "Сертификат удостоверяющего центра был использован для перехв..."  +/
Сообщение от Ilya Indigo (ok) on 25-Мрт-15, 13:02 
С этим я не спорю, он тут просто для галочки, но он на этом сайте и не нужен, особенно анонимам.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

34. "Сертификат удостоверяющего центра был использован для перехв..."  +/
Сообщение от Аноним (??) on 25-Мрт-15, 04:51 
а мини-opennet, версия которая открывается по http://opennet.ru есть?
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

40. "Сертификат удостоверяющего центра был использован для перехв..."  +2 +/
Сообщение от ryoken email on 25-Мрт-15, 09:33 
> https://ssl.opennet.ru

Не знал, спасибо :).

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

56. "Сертификат удостоверяющего центра был использован для перехв..."  +/
Сообщение от Адекват (ok) on 26-Мрт-15, 07:10 
>> https://ssl.opennet.ru
> Не знал, спасибо :).

Да нафиг нужно на самоподписанных то..

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

57. "Сертификат удостоверяющего центра был использован для перехв..."  +1 +/
Сообщение от Andrew Kolchoogin (ok) on 26-Мрт-15, 12:29 
> Да нафиг нужно на самоподписанных то..

Судя по тексту новости, несамоподписанные не сильно отличаются от самоподписанных. :)))

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

35. "Сертификат удостоверяющего центра был использован для перехв..."  +5 +/
Сообщение от Аноним (??) on 25-Мрт-15, 05:56 
Что, собственно, очередной раз демонстрирует эпичный системный фейл всей текущей системы сертификации.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "Сертификат удостоверяющего центра был использован для перехв..."  +/
Сообщение от Slot on 25-Мрт-15, 07:57 
Замочил CA в firefoxе
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Сертификат удостоверяющего центра был использован для перехв..."  +/
Сообщение от AlexAT (ok) on 25-Мрт-15, 09:12 
Именно поэтому давно пора переводить сайтовую PKI на публикацию компаниями собственных ключей в защищённых DNSSEC зонах, а не продолжать стричь бабло с желающих купить сертификат.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "Сертификат удостоверяющего центра был использован для перехв..."  +/
Сообщение от Demo (??) on 25-Мрт-15, 13:01 

> ключей в защищённых DNSSEC зонах, а не продолжать стричь бабло с

Ну, будут публиковать нужные поддельные сертификаты с неподконтрольных авторитетных или корневых серверов, толку то?..


Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

49. "Сертификат удостоверяющего центра был использован для перехв..."  +/
Сообщение от AlexAT (ok) on 25-Мрт-15, 20:13 
>> ключей в защищённых DNSSEC зонах, а не продолжать стричь бабло с
> Ну, будут публиковать нужные поддельные сертификаты с неподконтрольных авторитетных или корневых серверов, толку то?..

Толк в том, что для подделки сертификата придётся подделать конечную запись о нём. DNS-серверов много, клиенты валидность могут вполне проверять с корня DNS - т.е. геморроя потребуется много.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

41. "Сертификат удостоверяющего центра был использован для перехв..."  +1 +/
Сообщение от а on 25-Мрт-15, 10:41 
В каком месте CNNIC расшифровывается как China Internet Network Information Center?
Может тогда уж CINIC?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

58. "Сертификат удостоверяющего центра был использован для перехв..."  +/
Сообщение от pavelpat (ok) on 02-Дек-15, 20:14 
Может быть Network Information Center зоны CN?
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

45. "Сертификат удостоверяющего центра был использован для перехв..."  +1 +/
Сообщение от Аноним (??) on 25-Мрт-15, 13:02 
В списке рассылки Firefox после новости https://www.opennet.ru/opennews/art.shtml?num=33034 я предлагал сделать из JavaScript доступной информацию о полученном сертификате, чтобы ее можно было переслать обратно на сервер. Эта информация доступна для расширений, но не для JavaScript на загруженной странице. Таким образом было бы возможно собрать сертификаты, подписанные такими вот удостоверяющими центрами и сформировать базу центров, продающий свои сертификаты налево. Что очень серьезно смогло бы повлиять на их бизнес. Вряд ли владельцы сайтов при наличии альтернативных поставщиков TLS сертификатов захотят иметь дело с такими умниками, а детсадовские отговорки в духе: "Нас взломали, мы проводим проверку, виновные будут наказаны", - не прокатят (потому что при утечке сертификата удостоверяющего центра в компании либо полное раздолбайство, либо это произошло с негласного разрешения руководства компании).

Однако на мое сообщение появились аж два возражения:

1. Это не дает 100% гарантию, ведь можно отключить JavaScript или вырезать его на промежуточном узле, осуществляющем атаку.

Ну, конечно, можно, только для этого потребуется реализовать Искусственный интеллект, который анализирует страницу, убирает нужный скрипт и не изменяет поведение страницы в браузере пользователя.

2. Это может быть не безопасно.

Тут я вообще не понял, о чем речь.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

46. "Сертификат удостоверяющего центра был использован для перехв..."  +/
Сообщение от Ilya Indigo (ok) on 25-Мрт-15, 13:08 
> 2. Это может быть не безопасно.
> Тут я вообще не понял, о чем речь.

Ну это же не безопасно для
> ...центров, продающий свои сертификаты налево...

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

53. "Сертификат удостоверяющего центра был использован для перехв..."  +/
Сообщение от sur pri on 26-Мрт-15, 03:29 
>[оверквотинг удален]
> компании либо полное раздолбайство, либо это произошло с негласного разрешения руководства
> компании).
> Однако на мое сообщение появились аж два возражения:
> 1. Это не дает 100% гарантию, ведь можно отключить JavaScript или вырезать
> его на промежуточном узле, осуществляющем атаку.
> Ну, конечно, можно, только для этого потребуется реализовать Искусственный интеллект,
> который анализирует страницу, убирает нужный скрипт и не изменяет поведение страницы
> в браузере пользователя.
> 2. Это может быть не безопасно.
> Тут я вообще не понял, о чем речь.

You are an stupid idiot. Really, a certificate falsification means the server are falsified. Where you send information to?
И они почему-то считают, что фальсификация сертификатов допустима, если она делается внутри каких-то компаний в их внутренних сетях от имени этих компаний.
Я лично не вижу оснований оправдывающих такое. Конечно например Google может подарить кому угодно право подписываться за себя, но в любом другом случае когда какая-либо действующая в сети компания или сайт такого права не предоставляли такое должно быть недопустимо. Наравне с использованием и подделкой подписи или торговой марки.
Например невозможно же оправдать кого-либо если он у себя в офисе своему сотруднику вручит некое обязательство, заверенное подписью председателя правления скажем соседнего банка. На скажем какое-то количество рублей. Подделав бланк этого соседнего банка и подпись председателя. А потом будет говорить, что в пределах своей компании он вполне может использовать любые подписи и бланки... :-)

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

54. "Сертификат удостоверяющего центра был использован для перехв..."  +/
Сообщение от sur pri on 26-Мрт-15, 04:06 
Примечание. Сайты не заинтересованные в такого рода вещах могут и должны использовать http. Без s.
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

55. "Сертификат удостоверяющего центра был использован для перехв..."  +/
Сообщение от sur pri on 26-Мрт-15, 04:19 
Примечание к примечанию. Даже последний случай не даёт права фальсифицировать данные.
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

48. "Сертификат удостоверяющего центра был использован для перехв..."  +/
Сообщение от adolfus (ok) on 25-Мрт-15, 15:55 
Пора переходить на одноразовые блокноты.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

50. "Сертификат удостоверяющего центра был использован для перехв..."  +2 +/
Сообщение от Какаянахренразница (ok) on 25-Мрт-15, 20:24 
> Пора переходить на одноразовые блокноты.

"А на словах просил передать следующее" (C)

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

51. "Сертификат удостоверяющего центра был использован для..."  +/
Сообщение от arisu (ok) on 25-Мрт-15, 23:34 
«мужик, я не понимаю: ты охотник или #$%:с?» (ц)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру