08.08.2019 10:31, Victor Wagner пишет:
On Thu, 8 Aug 2019 09:47:48 +0300 artiom <artiom14@yandex.ru> wrote:> Как ГБ может заставить чужой браузер > ПолярнаяЛиса отдать в JS тот фингерпринт, который должен быть у > интересного юзеру сайта, а не тот, который в подсунутом чекистами > сертификате? Изначальная посылка была в том, что государство может заставить браузер установить их корневой сертификат. Не пользователя.Это не совсем верная посылка. Поскольку обсуждение в списке рассылки Mozilla было на тему "а надо ли разрешать пользователю ставить такой сертификат, или его следует жестоко заблеклистить"
Любопытно. А если пользователь развёртывает систему на изолированном заводе, при этом все его сертификаты, пользуемые WebUI, самоподписанные, но он не хочет, чтобы операторам браузер как-то сообщал о "левом сертификате" (и не сообщал о реально "левом")?
Далеко не всякое государство может себе позволить заставить чего-то производителей браузера. Американское может, китайское - ну, вероятно, российское - под большим вопросом, а уж казахское...
Да это всё ясно. Тут одно государсство только возможно предполагать. Самое демократичное.
Была пара случаев когда национальные CA - какого-то из эмиратов Персидского Залива и китайский пропихивали свои сертификаты в браузер, а ПОТОМ были пойманы на использовании этих сертификатов для MiTM и с позором выкинуты из ca-bundle.
Хм... Недавно, вроде было. Обернулось скандалом, потому что, опять же, демократично выкинули, а доказать, что выдаваемые (и корневой, соответственно) сертификаты использовались как-то неправильно, увы, не смогли.