387
| Переслано из: Нецифровая экономика (🐈Egor Sonin) |
Трагизм текущей ситуации в том, что все обращают внимание только на отсутствие чего-то большого и заметного. Но есть и ситуации, требующие внимания к частностям. Например, почти незамеченной прошла новость, что у российских сайтов были отозваны международные сертификаты безопасности (или SSL-сертификаты).
Из-за этого бразуеры начали блокировать к ним доступ или маркировать как потенциально опасных и вредоносных. Под удар даже попал сайт Госуслуг, чьи пользователи наверняка были этим очень удивлены.
Собственно, решение проблемы было очевидным: правительство привлекло национальный удостоверяющий центр (НУЦ), который начал выдавать национальные SSL-сертификаты.
Сегодня стало известно, что Яндекс решил другую проблему сертификатов, а именно их аудит. Чтобы отслеживать выпуск всех выданных сертификатов, то есть, проще говоря, обеспечить защиту от их компрометации, компания создала собственный публичный лог по стандарту Certificate Transparency (CT). С его помощью все желающие могут проверять выпущенные национальные сертификаты. Каждый новый SSL-сертификат, выдаваемый НУЦ, содержит подписанную метку СТ-лога Яндекса.
Компания пишет, что работает это так:
1. Удостоверяющий центр (УЦ) регистрирует новый сертификат в CT-логе, в ответ он получает подписанную метку (SCT) этого сертификата. Каждый лог предоставляет свою метку.
2. УЦ передаёт заказчику сертификат. Метки логов содержатся в сертификате.
3. Когда браузер устанавливает соединение с сайтом, доверие к сертификату определяется не только доверием к УЦ, который выписал сертификат, но и по меткам CT-логов. К примеру, Яндекс.Браузер принимает сертификат, если у него есть подписанная метка лога Яндекса, а скоро будет требовать, как минимум, две независимые метки. Все уже работает в браузере Яндекс для Windows, macOS, Linux, Android и iOS.
А если просто: то Яндекс снял риски того, что русскоязычные сайты могут стать недоступны или заблокированы браузерами. Любопытно, что Яндекс не заявляет, что его решение лучшее, а предлагает подсказать, что можно доработать. Всем бы такого уровня самодостаточности.