Re: Китай попал в "цифровой тупик"

To: Ежелист <ezh@ezhe.ru>
Subject: Re: Китай попал в "цифровой тупик"
From: "Konstantin Boyandin" <ezh@ezhe.ru>
Date: Mon, 24 Jan 2022 13:18:50 +0000
Reply-to: Konstantin Boyandin <konstantin@boyandin.com>
User-agent: Cyrus-JMAP/3.5.0-alpha0-4585-ga9d9773056-fm-20220113.001-ga9d97730

Доброго дня.

On Mon, Jan 24, 2022, at 7:41 AM, Alexander Venedioukhin (via EZHE) wrote:
> On Sun, 2022-01-23 at 22:50 +0000, Konstantin Boyandin wrote:
>> Ну  а так в принципе да, "уронив" ту же инфраструктуру Lets Encrypt,
>> можно легко и просто внести хаос в работу всего, что использует их
>> сертификаты. 
>
> Да, с Let's Encrypt уже близка к осуществлению задумка, что будет один
> удостоверяющий центр для всего веба (а потом и для кода, и для прочих
> применений). В Рунете, например, около 85% серверных сертификатов в
> вебе - от Let's Encrypt:
>
> https://statdom.ru/tld/ru/report/certscanames/#39
>
> Самое занятное, что, из-за развитой автоматизации и популярности, этот
> же Let's Encrypt теперь используют для кучи разных внутренних сервисов,
> где можно было бы обойтись собственным (корпоративным) удостоверяющим
> центром. Эти сервисы снаружи не видны, однако так же поломаются. Но, в
> принципе, сейчас эпоха типа "поставил контейнер" (Kubernetes/Doсker -
> вот это вот всё), когда не задумываются не только об особенностях
> реализаций TLS, но и вообще об устройстве системного ПО в контейнере
> (потом удивляются, да). Поэтому вряд ли тут можно что-то поделать. Я бы
> не исключал, что ещё и в браузерах максимальный срок валидности
> серверных сертификатов урежут до, скажем, одного месяца, чтобы
> требовалось постоянно получать подтверждение для продолжения работы
> сайта.

Вся "прелесть" сложных систем в том, что их крайне просто уронить.

Собственно отключение  от CA Lets Encrypt ещё не самое страшное - можно в темпе поднять замену (когда DNS под контролем, особого труда это не составит). Новых сертификатов уже, конечно, оперативно не выписать, но существующие можно заставить работать.

Весело будет с другим - сейчас практически весь софт, включая ОС, зависит от разбросанных по всему шарику хранилищ (откуда ставим и обновляем). Мнится мне, "отравление" (подмена) в данном случае даже опаснее простой блокировки.

Ну а в случае проприетарного софта диверсии учинять ещё проще: взять под контроль всё, что работает  под той же Windows, принципиальной сложности не составит.

И если нет технической возможности изолироваться (то самое 50-е правило), дело плохо. Возможно, Китай и в самом деле способен на подобную изоляцию. Большинство стран - точно не способны (моё личное, не основанное на железобетонных фактах, мнение).

Будем здоровы!
Константин

Оценить письмо Reputatio: http://ezhe.ru/reputatio/01ed5ac4fb

Follow-Ups:
- Re: Китай попал в "цифровой тупик"
  - From: Алексей Ходорыч <ezh@ezhe.ru>

References:
- Китай попал в "цифровой тупик"
  - From: Алексей Ходорыч <ezh@ezhe.ru>
- Re: Китай попал в "цифровой тупик"
  - From: "Konstantin Boyandin" <ezh@ezhe.ru>
- Re: Китай попал в "цифровой тупик"
  - From: "Alexander Venedioukhin (via EZHE)" <ezh@ezhe.ru>

Prev by Date: Re: Куда нас тащат социальные сети? (было: RT против закрытия аккаунтов)
Next by Date: Re: Куда нас тащат социальные сети? (было: RT против закрытия аккаунтов)
Previous by thread: Re: Китай попал в "цифровой тупик"
Next by thread: Re: Китай попал в "цифровой тупик"
Index(es):
- Date
- Thread

Home | Main Index | Thread Index