[ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
Модератор: Модераторы разделов
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
Просто так "обязать браузеры предустанавливать" мало. Надо это как то контролировать, да чтобы ещё подобный контроль недовольств особых не вызвал. Да и неблагонадёжные граждане всё равно ведь окажутся хитрее системы.
Спасибо сказали:
- Bizdelnick
- Модератор
- Сообщения: 20795
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
Каким образом обязать? Пока что браузеры, наоборот, только выпиливают легальные сертификаты, едва заметив их использование для прослушки. Если какой-то из браузеров станет предустанавливать заведомо неблагонадёжный корневой сертификат, такой браузер просто перестанет существовать.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Спасибо сказали:
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
тогда я запутался. На что расчитывают в Казахстане власти?
Ну вот я возьму и не поставлю.
Ну вот я возьму и не поставлю.
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
На распил они рассчитывают.
- /dev/random
- Администратор
- Сообщения: 5289
- ОС: Gentoo
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
Если не поставите, то при попытке выйти на прослушиваемый сайт у вас будет выдаваться сообщение об ошибке (примерно такое же, как при просроченном сертификате - видели, наверное). А дальше у вас 3 варианта: (1) не выходить на сайт, (2) примириться с прослушкой и нажать "добавить исключение", или (3) использовать tor, прокси, vpn или ещё что-нибудь, чтобы провайдер не понял, куда вы выходите и не смог вклиниться. Если сайт использует HSTS (как этот форум, например), то опция 2 будет недоступна.
Спасибо сказали:
- Bizdelnick
- Модератор
- Сообщения: 20795
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
А чем тут HSTS поможет? Помог бы HPKP, но всемогущий гугл решил, что он не нужен, да и подружить его с Let's Encrypt — небанальная задача (хотя решаемая). Помог бы и DNS CAA, но/dev/random писал: ↑23.07.2019 18:47Если сайт использует HSTS (как этот форум, например), то опция 2 будет недоступна.
Shell
% dig unixforum.org CAA
; <<>> DiG 9.11.5-P4-5.1-Debian <<>> unixforum.org CAA
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21113
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;unixforum.org. IN CAA
;; AUTHORITY SECTION:
unixforum.org. 60 IN SOA ns.mezon.ru. dnsmaster.mezon.ru. 2018092400 6400 3600 3600000 1800
;; Query time: 19 msec
;; SERVER: 192.168.0.2#53(192.168.0.2)
;; WHEN: Вт июл 23 18:59:18 MSK 2019
;; MSG SIZE rcvd: 99
%
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
- /dev/random
- Администратор
- Сообщения: 5289
- ОС: Gentoo
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
Если сайт использует HSTS, то браузеры убирают кнопку, позволяющую проигнорировать ошибку SSL. Сработает только вариант с установкой корневого сертификата.
Firefox писал(а):Этот сайт использует Форсированное защищённое соединение HTTP (HSTS), чтобы указать, что Firefox должен подключаться к нему только через защищённое соединение. В результате, добавление исключения для этого сертификата невозможно.
Chromium писал(а):Веб-сайт <адрес> использует механизм HSTS. Открыть сайт в настоящее время нельзя.
Спасибо сказали: