На публичных слушаниях перекроили гордуму

Quote:

Кутузов, Вас не удивило при обыске, что сотрудник знал о наличии на Вашем компе, скажем, папки "Экстремизм"?

Quote:

Вы это с бесплатным SSL-сертификатом, прикрученным к Вами к своему компу, и предлагаемым Вами теперь всем посетителям голосов, не пытались причинно-следственно связать? :)

Я вам уже с год назад примерно объяснял азы криптографии с открытым ключом, но это оказалось то же самое, что биться лбом о бетонную стену (как и в других дискуссиях с вами). Вам что-то объяснять бесполезно, но для других кратко расскажу, раз больше никто не сподобился.
Шифрование с открытым ключом служит для защиты от "прослушивания" вашего интернет-трафика при посещении сайтов. Смысл в том, что ваш браузер и сайт, который вы посещаете, "договариваются" о шифровании всего потока информации, который между ними (в том числе и ваших паролей, например). Это мешает, например, вашему интернет-провайдеру перехватить ваш пароль, просто "подслушав" ваш обмен информацией с сайтом (например, golosa.info). Перед началом сеанса шифрования сайт отправляет посетителю свой открытый ключ, которым посетитель (точнее, его браузер) и шифрует все отправляемые на сайт сообщения, запросы и т.п.
Проблема в том, что технически ваш провайдер (или кто-то, кто находится между сайтом и вами) может подменить посылаемый вам открытый ключ своим, перенаправить ваши запросы куда-то на контролируемый этим злоумышленником сервер и притвориться, будто это и есть golosa, например. Ваш браузер доверчиво зашифрует ваш пароль открытым ключом злоумышленника и отправит ему. Беда, произошла утрата чувствительной информации.

Для защиты от такой ситуации вся система криптографии с открытым ключом в применении к интернет-сайтам опирается на систему Удостоверяющих центров (Certificate authority). Зачем они нужны? Чтобы удостоверять, что открытый ключ того или иного сайта действительно принадлежит именно ему, а не злоумышленнику. Идея в том, что в мире есть несколько десятков компаний, которым все доверяют. Они генерируют свои сертификаты и свои ключи, а затем все желающие обращаются к ним, чтобы они генерировали сертификаты для конкретных сайтов и подписывали их своими ключами (удостоверяя - "да, вот такой-то сертификат действительно принадлежит golosa.info, а следовательно вы сейчас обращаетесь именно к нему"). Бывают удостоверяющие центры разных уровней иерархии - например, фирма сама не является Удостоверяющим Центром верхнего уровня, но один из таких центров подписал ей сертификат и вот она теперь продаёт сертификаты для конкретных сайтов, подписывая иже своим ключом. Как бы "доверие по цепочке".
Встаёт естественная проблема - а как конечному пользователю получить сертификаты вот этих самых Удостоверяющих центров? Скачивать вручную вроде как не очень удобно, да и нарушает концепцию безопасности - ведь враг технически может подменить вам сертификат при скачивании. Поэтому вот эти компании-сертификаторы проплачивают прошивание своих сертификатов прямо во все распространённые в мире браузеры. Пользователь скачивает (или иным образом получает) браузер, а в нём уже как бы есть от чего плясать - имеются корневые сертификаты пары десятков крупных компаний-сертификаторов. Дальше уже при заходе на сайты через https браузер проверяет, подписаны ли сертификаты сайтов кем-то из этих компаний либо кем-то, кто имеет сертификат, подписанный одной из этих компаний. В случае, если это не так, выдается сообщение типа "сертификат не подписан ни одним из известных Удостоверяющих центров".
Все эти удостоверяющие центры, фактически, получают деньги ни за что. Создание и подписывание сертификата - это процесс, занимающий доли секунды, после его создания никакой особой поддержки тоже не требуется. Но порог вхождения на рынок высокий - без наличия у компании больших денег и связей в этот привилегированный круг сертификаторов не попасть. При этом технически создавать и подписывать сертификаты хоть миллионами может любой человек с компьютером - все абсолютно технологии открыты и доступны.
Неудивительно, что вот уже много лет как появились некоммерческие компании, предлагающие бесплатные сертификаты. Технически они абсолютно ничем не отличаются от коммерческих, так как создаются по абсолютно тем же технологиям, используя те же самые криптографические алгоритмы. Единственное отличие - корневые сертификаты этих некоммерческих компаний не вшиты в большинство браузеров, поскольку "коммерческие" сертификаторы активно этому противодействуют. Это и неудивительно - если все будут бесплатно сертификаты получать, то им кушать нечего станет.
То есть, в случае с некоммерческим сертификатором пользователю просто нужно добавить в свой браузер ещё один корневой сертификат, просто скачав его с сайта сертификатора. Собственно, для этого в браузерах такая функция и предусмотрена. В случае с голосами это http://www.cacert.org/certs/root.crt После добавления ваш браузер будет расценивать подпись этого сертификатора наравне со всеми прочими. То есть, например, у голосов сертификат, подписанный CAcert. Вы установили их корневой сертификат. Если вы зашли на голоса по https, то ваш браузер сверяет подпись сертификата сайта и скачанный корневой сертификат. Если всё в порядке - то вы продолжаете работу. А если выясняется, что сайт, на который вы зашли, не выдает вам сертификат, подписанный кем-либо из известных вашему браузеру удостоверяющих центров (в том числе, CAcert), то будет показано предупреждение, о котором я писал выше. В этом случае возможно, что вы на самом деле на каком-то другом сайте, который выдает себя за голоса.
Все фантазии Шефера про "бесплатное всегда плохо" не основаны абсолютно ни на чём, кроме его глупости и безграмотности. Фундаментальная проблема криптографии с открытым ключом - это не платность или бесплатность, а "как безопасно передать корреспонденту хотя бы один доверенный открытый ключ или сертификат". Решение с вшиванием корневых сертификатов в браузеры тоже не идеально - ведь если у вас есть основания опасаться подмены вашего трафика, то вы не можете доверять и скачанному браузеру. Технически скачиваемый вами инсталляционный файл браузера может подменить ваш провайдер и подсунуть вам некорректные корневые сертификаты. Точно так же он может подменить и корневой сертификат CAcert, который вы пытаетесь скачать с их сайта.
Защищаются от этого в обоих случаях одинаково: скачивая корневой сертификат в каком-то безопасном месте. Например, если у вас дикая паранойя, то вы можете пойти в интернет-кафе и скачать http://www.cacert.org/certs/root.crt там себе на флэшку. Потом прийти домой и установить его с флэшки. Поскольку злые спецслужбы не знают, что в кафешке сидите именно вы, то они не успеют подменить файл. Можно попросить скачать этот же корневой сертификат своего друга в Германии и прислать вам контрольную сумму, а затем сравнить с контрольной суммой скачанного вами сертификата. Если совпадает - значит, вы скачали одинаковые файлы.
Естественно, это всё если у вас в голове свирепствует дикая паранойя. Для большинства людей вполне достаточно просто скачать и установить корневой сертификат CAcert по вышеприведенной ссылке. Между прочим, в порядочности CAcert и в выданных ими сертификатах ещё никто не сомневался, а вот коммерческий характер Удостоверяющего центра вовсе не является панацеей от всякого рода косяков. Это демонстрирует недавний скандал с компанией DigiNotar, которую взломали и от её имени насоздавали сертификатов для Gmail, Yahoo и тому подобных значимых сайтов. Так что платность и бесплатность значения с технической стороны не имеют никакого.
Подробности читайте на википедии, в технических руководствах, стандартах и т.д. Только не в больной голове Шефера :)

Quote:

Вы не прокомментируете посетителям системное сообщение их компов в ответ на попытку прикрутить Ваш бесплатный SSL-сертификат, где, типа, "Внимание, данный сертификат может причинить вред вашему компьютеру", или что-то вроде этого? :)