16.03.2022 14:37
ifap 63 12000 Источник

Столкнувшись с отзывом TLS сертификатов у сайтов подсанкционных организаций, российские власти и админы решительно поменяли старые грабли на новые.

Собственно, вариантов реакции на отзыв TLS сертификата не так уж много, особенно в авральном режиме, когда сертификат уже «неожиданно» отозван, а сайт должен работать бесперебойно.

Нулевой вариант


Нулевым этот вариант назван потому, что начать его реализовывать надо было еще в «нулевых», чтобы сегодня можно было рассчитывать на хоть какой-то результат. Вариант этот предусматривает создание национального УЦ и включение его сертификата в хранилища распространенных ОС.

Мне могут возразить, что полдела уже сделано, на что я отвечу: эта половина дела – полная гарантия, что его вторая половина не будет сделана в хоть сколько-то обозримой перспективе. Никто ни сегодня, ни завтра, ни послезавтра не станет даже обсуждать с Минцифры интеграцию его корневого сертификата в свое ПО (если не принимать в расчет Bolgen OS Яндекс.Хромиум и подобные «отечественные разработки»).

Другое дело, если российский корневой УЦ создаст консорциум крупных игроков рынка, из которого не будут слишком торчать уши «Ростелекома» и прочих «коммерческих» компаний с государственным вмешательством участием. Сертификат такого УЦ тоже никто завтра в свою продукцию не интегрирует, и даже послезавтра, но хотя бы появится предмет для переговоров.

Вариант 1


Генерация суверенного самозаверенного сертификата и провозглашение его Корневым Сертификатам Удостоверяющего Центра™ Russian Trusted Root CA. Кто и когда создал этот УЦ? В какой организационно-правовой форме он существует? Чем регламентируется его работа? У кого, наконец, есть доступ к приватному ключу сертификата УЦ? Надеюсь, за эти вопросы еще не предусмотрена статья в УК.

На момент написания этого текста портал Госуслуг рапортовал о 479 доменах, для которых выпущены суверенные сувенирные сертификаты. Что ж, если считать сертификаты, выпущенные для *.vtb.ru и mob.vtb.ru за разные сертификаты, то да, заявок много, а если суммировать все сертификаты, выданные для доменов и поддоменов vtb.ru, vtb.com, vtb24.ru, vtbstrana.ru, vtbbo.ru и szrcvtb.ru, то мы насчитаем 240 (50% от якобы выпущенных) сертификатов.

Та же история с десятками сертификатов для «Сбербанка», Банка России и Минобороны (которое несколько дней назад прокинул Let's Encrypt). В конце «рейтинга» идут какие-то совсем уж мурзилочные сайты аптек и инфоцыган, администраторы которых то ли развлекаются, запрашивая сувенирный сертификат в отсутствии на сайте HTTPS вообще, то ли бессовестно льстят себе, ожидая в свой адрес санкций. Перспективы этого варианта, как мне представляется, очевидны уже сейчас и измеряются в величинах, кратных полутора землекопам.

Вариант 2


Заказать новый сертификат у нейтрального другого УЦ, который пока не решил, как применять санкции в отношении TLS сертификатов, и стоит ли присоединяться к новому модному течению – показательному хлопанью дверью в адрес России. Британский Sectigo и бельгийский GlobalSign получают приз необоснованно оптимистичных зрительских админских симпатий!

Вариант 3


Покупка (целиком или блокирующего пакета акций) УЦ, корневой сертификат которого уже интегрирован в эти наши Android, iOS, Linux, Windows и далее со всеми (или хотя бы основными) остановками. У Китая это получилось, может получиться и у России; главное – не повторять ошибок WoSign. Trustwave с ее сингапурскими корнями смотрится одним из первых кандидатов на инвестиции.

Вариант 4


Создание национального УЦ и получение для него не корневого, а промежуточного сертификата у корневого УЦ из дружественной не сильно враждебной страны. Не соблаговолит ли дорогой друг Эрдоган в качестве извинений за сбитый российский штурмовик выдать RussiaTrust сертификат за подписью Tubitak? Может и друг Си не откажется поставить кросс-подпись Beijing CA?

Это непростые вопросы, которые придется решать на уровне руководителей стран, но это самое простое для пользователей решение проблемы. Никакого пойди туда, скачай то, распакуй, установи… Кстати, кто придумал распространять сувенирный сертификат в ZIP-архиве? В архиве, Карл?!

Я что-то упустил, вы видите еще какие-то варианты реакции?

Комментарии (63)


  1. SergeyUstinov
    16.03.2022 15:05
    #24171863
    +1

    Commerce Department Issues New Export Controls on Russia in Response to the Invasion of Ukraine

    ...

    To provide an idea of the broad scope of these new controls, here is a brief overview of the scope of the affected CCL categories:

    Category 3 covers electronics,

    Category 4 covers computers,

    Category 5 covers telecommunications and information security items (including most software containing encryption functionality),

    https://www.ustrademonitor.com/2022/02/new-commerce-department-sanctions-on-russia-in-response-to-the-invasion-of-ukraine/

    Я не читал детали, но подозреваю, что варианты 2, 3 и 4 подпадают под эти санкции.
    А так как последствия нарушения этих санкций могут быть весьма неприятными, мало кто захочет связываться.

    Думаю, если вы детальнее исследуете этот вопрос - подпадают ли сертификаты под санкции - это сразу добавит ценности статье.


    1. ifap Автор
      16.03.2022 15:10
      #24171883
      +5

      Насколько я пока исследовал этот вопрос, даже западные юристы спорят, что такое TLS сертификат, является ли он имуществом и т.д., следовательно, можно ли его отозвать в принципе по щучьему велению. А на практике, как мы видим, УЦ действуют исходя из соображений классового чутья, политического момента и революционной целесообразности.


      1. SergeyUstinov
        16.03.2022 15:22
        #24171947
        +2

        Скорее - минимизируют потенциальные риски. Если выдача (или неотзыв) TLS сертификата является нарушением санкций - это будет очень-очень неприятно для нарушителя.


        1. ifap Автор
          16.03.2022 15:27
          #24171971
          +11

          Тут очень тонкая грань между минимизацией рисков и политическим холуйством. Я бы в такой ситуации написал запрос на разъяснение политики партии и правительства, а до тех пор - сидел бы ровно, не дергаясь. Скажут отозвать - я получил прямое указание регулятора, не скажут - у меня бизнес, а не политика.


          1. SergeyUstinov
            16.03.2022 16:15
            #24172189
            +2

            Почитайте про эти санкции детальнее. Как они вообще работают. И нам расскажите. )))

            Насколько я понял, там действует принцип "по умолчанию - запрещено". То есть если есть какие то сомнения - запрашиваешь разрешение, и только если получишь такое разрешение - можешь поставлять товар / оказывать услугу.
            Более того, если продал дистрибьютору и не удостоверился, что он не поставит куда нельзя - то тоже виноват.
            А за нарушения не штрафы, а реальные сроки для руководства и очень большие штрафы для компании.

            Впрочем, я не откажусь почитать более детальный анализ. Это я быстро нагуглил и не уверен, что все понял правильно.


            1. ifap Автор
              16.03.2022 18:02
              #24172589
              +4

              и только если получишь такое разрешение - можешь поставлять товар / оказывать услугу

              Есть мнение, что товар (сертификат) уже поставлен и/или услуга (его выдача) уже оказана и фарш никак нельзя прокрутить назад с точки зрения закона, даже если Байден лично позвонит директору УЦ и потребует. Но фактически можно... просто потому, что есть техническая возможность.


              1. SergeyUstinov
                16.03.2022 18:53
                #24172775
                +1

                Если нашли дополнительную информацию - дополните статью.
                Это ведь действительно итересно.

                Например, понятно, что сама по себе технология TLS является предметом санкций, так как там стойкое шифрование. А сертификаты - являются или нет?

                Еще интересный вопрос - а самый обычный смартфон с Андроид тоже подпадет под санкции? Ведь там эти технологии есть...

                И - VPN (там тоже есть шифрование). Если какой либо провайдер за пределами РФ будет каким либо образом давать доступ к своему оборудованию / сервисам с использованием VPN (VPN канал на территорию РФ) - будет ли это нарушением?

                Я быстро никаких нормальных разъяснений по этим вопросам не нашел.


      1. amarao
        16.03.2022 21:39
        #24173311
        +1

        Сертификация выглядит как услуга.


        1. ifap Автор
          17.03.2022 15:27
          #24175621

          Сертификация - это очень странный предмет: товар как бы есть, но его как бы нет ;) С одной стороны, создаваемым/приобретаемым благом является удостоверение УЦ некоего факта. С другой, без "материального" свидетельства этого удостоверения само удостоверение не имеет ценности. С третьей, без факта удостоверения, очевидно, не имеет ценности и (самоподписанное) свидетельство. Тут есть о чем поспорить...


          1. amarao
            17.03.2022 16:06
            #24175773

            Ну таких штук много. valuation, например, тоже услуга, а ценится бумажка. Аудит - услуга, а ценятся результаты.


  1. Sfinx88
    16.03.2022 18:23
    #24172677
    +1

    Казахстанский сценарий с блокировкой национального сертификата со стороны крупнейших производителей браузеров - хороший пример того как не нужно решать такие проблемы.


    1. ifap Автор
      16.03.2022 18:36
      #24172709

      Вот-вот, казахстанский пример должен бы научить: один раз прилюдно обосрался - всю жизнь не отмоешься, так что если уж удастся протолкнуть нацсертификат в хранилища - ни-ни, никаких "шалостей". Но у нас бег по граблям - национальный вид спорта :(


  1. cuttep
    16.03.2022 19:12
    #24172829
    +1

    Что есть, то есть)


  1. doom369
    16.03.2022 19:46
    #24172955
    +11

    Вариант 5

    Вывести войска из Украины. Или такое вообще не рассматривается?


    1. d-stream
      16.03.2022 19:53
      #24172975
      +1

      Это автоматически отменит все санкции?


      1. doom369
        16.03.2022 20:02
        #24172997
        +7

        Это самый реальный вариант. Все остальное больше похоже на фантастику.


      1. SergeyUstinov
        16.03.2022 20:23
        #24173111
        +11

        Если еще дополнительно провести денацификацию и демилитаризацию РФ - почти наверняка санкции будут отменены. :)))

        Но смысл это здесь обсуждать?

        А вот в чем именно заключается суть санкций - интересно.


        1. ifap Автор
          16.03.2022 21:23
          #24173271
          +1

          Похоже, Вы сами понимаете, что даже самый фантастический сценарий не гарантирует отмены санкций.


          1. SergeyUstinov
            16.03.2022 22:05
            #24173367
            +6

            Почему же. Денацификация и демилитаризация РФ как раз гарантирует отмену санкций. :)) Санкции ведь действительно неудобны всем, просто одним больше, а другим меньше.
            Другое дело, что это крайне фантастический сценарий, и всерьез его рассматривать не имеет смысла.
            То есть да - я не вижу реалистичных вариантов отмены санкций в ближайшее время.

            А вот как именно работают санкции - это интересно и имеет смысл обсуждать.


            1. ifap Автор
              16.03.2022 23:06
              #24173493
              +3

              См. Поправка Джексона-Вэника, которая была введена в отношении СССР за препятствование выезду евреев, а отменена в отношении России лишь 10 лет назад. Хотя казалось бы, где тот СССР, где те выездные визы...


              1. SergeyUstinov
                16.03.2022 23:49
                #24173571
                +3

                После 1987 года с введением в СССР свободы эмиграции поправка утратила своё первоначальное значение. В связи с этим, начиная с 1989 года, в США ежегодно накладывался мораторий на действие поправки в отношении СССР, а затем и стран СНГ, однако официально поправка не была отменена.

                В 1994 году при президенте Билле Клинтоне Россия получила гарантии автоматического продления режима благоприятствования в торговле, в связи с чем была устранена необходимость ежегодного подтверждения моратория на действие поправки.

                Это из Википедии.

                То есть хотя сама поправка и была отменена совсем недавно,

                Только спустя 38 лет, 21 ноября 2012 года, действие поправки в отношении России было официально отменено конгрессом, а шестью годами ранее — в отношении Украины (2006).

                но она перестала использоваться практически сразу после устранения причины санкций.


                1. ifap Автор
                  17.03.2022 00:03
                  #24173587

                  Это называется "дамоклов меч". Мы может приподзакрыть глаза на это, а можем и приподоткрыть, но отменять поправку не будем. Я это все к тому, что не надо смешивать естественную реакцию мира на события на Украине и циничное использование их в качестве повода для достижения своекорыстных целей в экономике и политике. Мухи - отдельно, котлеты - отдельно.


                  1. SergeyUstinov
                    17.03.2022 00:40
                    #24173667
                    +1

                    Если честно - не очень понял эту вашу мысль.


                    1. ifap Автор
                      17.03.2022 00:51
                      #24173689
                      +2

                      Эту поправку часто называли Джексонов веник, имея в виду, что пока она действует - ей удобно гонять стращать Россию: не будет сговорчивой - не продлим мораторий на следующий год. Так что не надо думать, что если завтра свобода нас встретит радостно у входа, братья меч нам отдадут и вот это вот все, Вашингтонский обком прослезится от умиления и подарит нам 500 эскимо отменит санкции. Он их отменит, когда и если ему будет выгодно, даже если альфа-пенсионер устроит ядерное шоу, а не будет выгодно - найдет повод не отменять. Ну там чисто из-за каких-то бюрократических формальностей, забыли куда ручку положили и все такое, но вот-вот отменим, честно-честно.


                      1. SergeyUstinov
                        17.03.2022 09:36
                        #24174305

                        Отменить уже крайне сложно, это да. Должно быть ну очень выгодно.

                        И использовать в качестве пугалки - тоже будут.

                        В этом и смысл санкций.


                      1. SergeyUstinov
                        18.03.2022 19:53
                        #24179933

                        ВАШИНГТОН, 18 марта. /ТАСС/. Власти США надеются, что многие санкции против РФ будут отменены в случае прекращения российской спецоперации на Украине, а также при восстановлении суверенитета, территориальной целостности и независимости республики. Об этом заявила в пятницу на брифинге представитель Госдепартамента высокого ранга.

                        "Я бы просто сказала, что санкции не предназначены для того, чтобы бы быть перманентными, - отметила она, отвечая на вопрос об условиях отмены рестрикций. - Они являются инструментом, и, если мы увидим результаты, которых мы пытаемся достичь в плане прекращения российской агрессии, восстановления независимости, суверенитета и территориальной целостности Украины, то, как мы надеемся, многие из инструментов, которые мы применяем <...>, перестанут использовать".

                        https://tass.ru/mezhdunarodnaya-panorama/14118347


                  1. dartraiden
                    19.03.2022 02:20
                    #24180539

                    Возможно, её просто геморройно было отменить.

                    Это как всякие местные американские законы типа запрещения совершать половой акт верхом на лошади, которые сотню лет неактуальны, но их не трогают. И вряд ли потому, что это удобный инструмент чтобы в 2022 году стращать любвеобильных ковбоев.


          1. RTFM13
            17.03.2022 01:13
            #24173753

            По меньшей мере, гарантирует отсутствие эскалации. Т.е. работоспособность обходных путей.

            Во всех остальных случаях нет гарантий что сертификат вообще будет нужен через какое-то время.


            1. BeMySlaveDarlin
              18.03.2022 19:43
              #24179917
              -2

              Наивно полагать, что именно события на Украине есть причина эскалации)


      1. Decoupler
        17.03.2022 12:20
        #24174845
        +4

        Если дополнительно вздернуть свихнувшегося фюрера, то перспективы вполне оптимистические.


    1. ifap Автор
      16.03.2022 21:22
      #24173267
      +1

      Я старался оставаться в рамках реалистичных сценариев, а тут чепец накрепко заброшен за мельницу :(


    1. Goblin21
      17.03.2022 11:42
      #24174687
      +3

      Даже если вывести войска, отдать крым, донбасс и позволить сжечь публично всех русских, никакой отмены санкций не будет. Наоборот, они усилятся - работает же.

      Санкции всегда были и будут. Даже при ельцине, как собачка в цирке плясавшем, санкции никто не отменял.


      1. Decoupler
        17.03.2022 12:28
        #24174889
        -2

        Санкции никому не нужны и вводят их не развлечься или из принципиальной русофобии сделать пакость.

        Просто все россияне хором с предводителем повели себя настолько как последние скоты, что даже циничный и продажный политес Европы и США был вынужден предпринимать какие-то действия, иначе бы его избиратель не понял и на следующих выборах бы вышло нехорошо.

        Если завтра у какого-нибудь майора все же встанет шестеренка на место и в вождевском бункере раздастся выстрел, а послезавтра орочье стадо уберется за международно признанные границы, то чуть ли не сразу же гайка санкций будет отпущена, как минимум де-факто. Заблокированным резервам только по всей видимости прийдется сделать ручкой, ну и лет 20-30 исправно платить с нефтяного экспорта репарации.


        1. DirectoriX
          17.03.2022 13:43
          #24175183
          +7

          все россияне
          Давайте без вот таких обобщений, пожалуйста.


        1. k0nsu1
          17.03.2022 15:56
          #24175729
          +4

          все россияне

          что это за высказывание? я Россиянин и я против. Хотя, судя по Вашим коментариям еа хабре, свое мнение поменять Вы не способны


  1. event1
    16.03.2022 20:00
    #24172991
    +1

    любой из перечисленных вариантов подвержен угрозе казахстанского сценария. Забанить хэш сертификата из продукта — задача дня на три. Продуктов на "рынке" пять штук. У всех штаб-квартиры в известном месте.


    1. ifap Автор
      16.03.2022 21:26
      #24173283

      И, по идее, это должно остужать горячие головы сердца: один раз MitM'нули, условно расшифровали условную переписку условного Навального и на этом все и навсегда - корневой сертификат все выкинули на мороз, новый никогда и никуда не включат, за малейшее подозрение в плохом поведении - даже конечный сертификат не выдадут/отзовут.


      1. event1
        16.03.2022 22:19
        #24173399
        +1

        Я имел ввиду, что даже если бы у вас был УЦ уже 10 лет назад его всё-равно сравнительно просто забанить по не связанному с деятельностью УЦ поводу


      1. RTFM13
        17.03.2022 01:20
        #24173767

        один раз MitM'нули, условно расшифровали условную переписку условного Навального и на этом все и навсегда

        Когда их это останавливало? СЦ в российской юрисдикции практически гарантирует майор-ин-зе-мидл и хуже того - "ростелеком ин зе мидл". Будет как с ЭЦП.


        1. ifap Автор
          17.03.2022 11:39
          #24174671

          Вы, вероятно, не поняли. Скажем, сегодня MS чудом соглашается включить РосКорень в хранилище Windows. Завтра тов. майора ловят на шалостях с MitM, послезавтра РосКорень с треском вылетает из хранилища Windows и MS отказывается даже обсуждать возможность его возвращения туда. Т.е. шалости тов. майора прокатывают ровно один раз и обходятся очень дорого, что и должно остудить. Но не факт, что остудит, это да.


          1. RTFM13
            17.03.2022 16:22
            #24175829

            Я именно так и понял. Но я скептически отношусь к их способности или желанию думать о последствиях. Хотя бы исходя из того, что такая ситуация вообще сложилась.


  1. amarao
    16.03.2022 21:39
    #24173315
    +1

    Ещё есть вариант просто отключить SSL. Зачем шифрование? Майор и так всё видит.


    1. onyxmaster
      17.03.2022 07:43
      #24174017

      h2 не работает без него (фактически).


      1. amarao
        17.03.2022 14:35
        #24175407

        Да, но переход на HTTP/1.1 вполне сохраняет работоспособность сайта. Главное, стрикт-пиннинг вовремя отменить.


        1. onyxmaster
          17.03.2022 14:37
          #24175415
          +1

          HSTS? Мы уже. И 301-редиректы с не-SSL версий заменили на 302.


    1. RTFM13
      17.03.2022 23:11
      #24177065

      Ну ходят же SMSки по сетям опсосов в не зашифрованном виде которые дают полный доступ к веб сайтам тех же банков и госуслуг. Чем веб принципиально отличается?


  1. zakdma
    17.03.2022 00:22
    #24173639
    +5

    Есть еще вариант. Выйти на улицы, снести безумного карлика и продолжить нормальную жизнь.


    1. noname2019
      17.03.2022 09:08
      #24174219

      К причинам санкций добавится "незаконный захват власти"...


      1. ilialin
        17.03.2022 10:01
        #24174355
        -1

        А разве…


    1. burz_ex
      18.03.2022 02:25
      #24177331
      -1

      Когда начинаем?

      Сможете организовать необходимое количество народа так, чтобы действительно донести информацию до всех сочувствующих и убедить, что на этот раз точно "до конца" идём?

      Так просто бросаться лозунгами и так невыполнимо сложно воплотить их в жизнь.


      1. zakdma
        19.03.2022 13:11
        #24181353

        Я ничего не собираюсь за вас организовывать. Это ваш выбор и ваша отвественность. Я лиш подсказал что есть путь гораздо эффективней разрешить корень проблеммы нежели бороться с последствиями. Да он небезопасный, да возможно погибнут люди, но если этого не сделать сейчас последствия вас завалят своей глыбой и погибнет еще больше людей и будет еще больше потерь.

        Ну а организовываться вам или нет это ваше дело. И судя по комментарию вы уже все решили.


  1. sena
    17.03.2022 00:35
    #24173659

    Проблема решается достаточно просто созданием своего отечественного корневого сертификата. В Линукс (подозреваю и в Виндос) новые сертификаты добавляются очень просто. Со старыми Андроидами конечно проблема (но это известная проблема, проблема была и у летсэнкрипт), а вот в новые телефоны достаточно просто импортёров обязать предустанавливать новый сертификат, а ещё лучше предусмотреть возможность позволить пользователям достаточно легко обновлять их.

    Для тех кто опасается прослушки достаточно в браузере сделать такую функциональность - спрашивать при первом входе на конкретный сайт, доверяешь ли ты этому (корневому) сертификату для этого конкретного сайта. Например если хочешь зайти на сайт госуслуг - то просто нет смысла не доверять российскому сертификату.

    А как временное решение, на переходный период просить китайцев выдавать...


    1. ifap Автор
      17.03.2022 00:46
      #24173681

      подозреваю и в Виндос

      Пара кликов, но новый корневой сертификат надо сперва где-то взять, а при заходе на сайт, который удостоверяется таким сертификатом, пользователь видит не: хотите довериться, установить, забить? а соединение не защищено, тикаем! В случае с LE проблема затронула очень много и достаточно популярных сайтов, пользователям волей-неволей пришлось заморачиваться. В случае с санкциями - пока 1,5 сайта, на которые пользователям проще забить, чем выяснять, что с ними не так и как это исправить. Проще говоря, в случае с суверенным сертификатом нет достаточного "спроса" и - тьфу-тьфу-тьфу - не ожидается.


      1. sena
        17.03.2022 01:51
        #24173829

        при заходе на сайт, который удостоверяется таким сертификатом,
        пользователь видит не: хотите довериться, установить, забить? а
        соединение не защищено, тикаем!

        Не, в Линуксе если установил корневой сертификат, то больше ничего не спрашивает.


        1. ifap Автор
          17.03.2022 11:41
          #24174683
          +1

          В Windows так же, если уже установил.


        1. amkartashov
          17.03.2022 11:46
          #24174705

          если установил корневой сертификат

          а где ты его возьмёшь-то? Нет безопасного способа скачать корневой сертификат через неконтролируемое подключение к интернету.


          1. Ztare
            17.03.2022 12:34
            #24174915

            Напечатают QR на скачивание\валидацию в <гос газете\телевидению\продиктуют хэш по радио\etc>. Сертификаты и должны доставляться сторонним путем.


            1. amkartashov
              17.03.2022 12:51
              #24175005
              +1

              Да. Я пытался донести мысль, что эти варианты небезопасны:

              лучше предусмотреть возможность позволить пользователям достаточно легко обновлять их

              ...

              Для тех кто опасается прослушки достаточно в браузере сделать такую
              функциональность - спрашивать при первом входе на конкретный сайт,
              доверяешь ли ты


              1. ss-nopol
                17.03.2022 19:37
                #24176491

                Здесь речь шла о другом. Если ты уже получил безопасным способом корневой государственный сертификат РФ, но не доверяешь ему в шифровании доступа к своей почте, а доверяешь для шифрования доступа к госуслугам. То есть ты хочешь чтобы сертификаты подписанные корневым сертификатом РФ использовались только для определённых сайтов.


          1. ss-nopol
            17.03.2022 19:34
            #24176479

            Есть конечно. Во-первых можно скачивать, а потом сверить отпечатки с теми что получены по другому каналу. Например как написал@Ztare, по ТВ, по QR коду. Во-вторых можно для начала использовать сертификаты подписанные китайцами, и по этому защищённому соединению скачивать отечественный уже, в третьих, можно его предустанавливать в новые компьютеры и телефоны, в-четвёртых, его можно на носителях распространять.


  1. ifap Автор
    17.03.2022 00:44
    #24173675

    del


  1. MadHacker
    17.03.2022 12:49
    #24174977

    Вариант первый модифицированный.
    p1 — Национальный УЦ (со всей инфраструктурой) — поднять и обеспечить функционирование и выдачу сертификатов.
    p2 — сертификация устройств — не поддерживаешь сертифика — не получаешь ростест, не можешь ввозить и продавать.
    p3 — требования к распространению продуктов на территории РФ.

    Это бизнес. Им всем проще будет добавить в версию дистрибутива для РФ нужный сертификат. Будет ли он признаваться или работать где-то ещё, вопрос отдельный и из другой плоскости. Если наша изначальная задача стоит обеспечить адекватный https для наших сервисов внутри страны.
    И разумеется даже в этом случае произойдёт всё не мгновенно. Но это будет существенная подвижка в вопросе.


  1. semibiotic
    17.03.2022 21:16
    #24176817
    +4

    Техническими методами нельзя решать политическую проблему.
    Безусловно, нужен национальный УЦ и новая международная система УЦ между союзниками (включающая национальные УЦ) отражающая политику, а также система продавливания оных в бизнес-продукты на территории России и союзников (недружественные страны пусть ставят сертификаты вручную или идут лесом).

    Все остальное - костыли.

    Люди же, всерьёз озвучивающие "Кац предлагает сдаться" ((с) Мосфильм) заслуживают только жалости (по крайней мере, в текущей обстановке).