08.08.2019 10:31, Victor Wagner пишет:
On Thu, 8 Aug 2019 09:47:48 +0300
artiom <artio...@yandex.ru> wrote:
> Как ГБ может заставить чужой браузер
> ПолярнаяЛиса отдать в JS тот фингерпринт, который должен быть у
> интересного юзеру сайта, а не тот, который в подсунутом чекистами
> сертификате?
Изначальная посылка была в том, что государство может заставить
браузер установить их корневой сертификат.
Не пользователя.
Это не совсем верная посылка. Поскольку обсуждение в списке рассылки
Mozilla было на тему "а надо ли разрешать пользователю ставить такой
сертификат, или его следует жестоко заблеклистить"
Любопытно. А если пользователь развёртывает систему на изолированном
заводе, при этом все его сертификаты, пользуемые WebUI, самоподписанные,
но он не хочет, чтобы операторам браузер как-то сообщал о "левом
сертификате" (и не сообщал о реально "левом")?
Далеко не всякое государство может себе позволить заставить чего-то
производителей браузера. Американское может, китайское - ну, вероятно,
российское - под большим вопросом, а уж казахское...
Да это всё ясно. Тут одно государсство только возможно предполагать.
Самое демократичное.
Была пара случаев когда национальные CA - какого-то из эмиратов
Персидского Залива и китайский пропихивали свои сертификаты в браузер,
а ПОТОМ были пойманы на использовании этих сертификатов для MiTM и с
позором выкинуты из ca-bundle.
Хм... Недавно, вроде было. Обернулось скандалом, потому что, опять же,
демократично выкинули, а доказать, что выдаваемые (и корневой,
соответственно) сертификаты использовались как-то неправильно, увы, не
смогли.
