From 8fafe32b1788cb579e357c4fad54ec039d600677 Mon Sep 17 00:00:00 2001
From: Sergey Matveev <stargrave@stargrave.org>
Date: Wed, 1 Nov 2023 13:34:25 +0300
Subject: [PATCH] =?utf8?q?=D0=94=D0=BE=D0=B2=D0=B5=D1=80=D0=B8=D0=B5=20?=
 =?utf8?q?=D0=BA=20CA=20=D0=BF=D0=BE=D1=81=D0=BB=D0=B5=20MitM-=D0=B0=20?=
 =?utf8?q?=D0=BD=D0=B0=20jabber.ru/xmpp.ru?=
MIME-Version: 1.0
Content-Type: text/plain; charset=utf8
Content-Transfer-Encoding: 8bit

https://dxdt.ru/2023/11/01/11377/
http://stolyarov.info/node/404
https://mjg59.dreamwidth.org/66907.html
В 62233ed8f4fd2f9625cde5f3058b33eb36dc99b6 упоминал о нашумевшем
обнаруженном факте MitM-а на jabber.ru/xmpp.ru серверы. Я известный не
сторонник PKI и всего подобного, но даже я не говорю что Let's Encrypt
тут был чем-то виноват. Верно автор первой статьи замечает, что:

    “система хорошо известных УЦ” и раньше должна бы “вызывать доверие”
    равно в пределах разумной модели угроз, то есть – доверять ей можно
    только в сугубо определённых, узких случаях

Преобладающая часть X.509 сертификатов в WWW это так называемые "DV"
(domain validated). Что они (или УЦ) аутентифицируют? То, что трафик до
заданного домена (до заданных resolved IP) идёт и автор имеет над ними
какой-то контроль. Это не исключает наличия влияния хостера/провайдера
или подмены DNS записей.

Много говорили что многое чего решает Certificate Transparency. А что он
решает? Ну вот благодаря нему мы увидели что были выпущены как-бы не
легитимные сертификаты MitM-ом. Обнаружили это. Дальше то что? Более
того, это обнаруживает сам CA и типа почти случайно, из-за протухшего
сертификата. Но конечный пользователь не предполагается что должен
лазать в CT журнал для проверок. Экосистема CT не дружелюбна к тому
чтобы у себя сделать полную синхронизацию локально -- я пробовал, они
официально не советуют это. А лазать в CT каждый раз -- значит сливать
данные о том, куда ты ходишь и что посещаешь. В итоге от наличия CT
конечному пользователю ни холодно, ни горячо, а владельцу домена
предлагают постоянно следить за журналами CT? Следить за костылём
априори ущербной задумки?

Где-то помогла бы DNSSEC-подписанная CAA-запись в CA, говорят. То есть
зависеть от ещё одной вообще централизованной PKI системы, чтобы хоть
как-то сделать получше? Тогда почему бы сразу в ней и не хранить
аутентифицирующую DV информацию в виде DANE записей? Но нет, форум
броузеров не принимает это решение. Да и невозможно требовать DNSSEC
наличия, ибо, насколько помню, даже не все корневые зоны его вообще
начали использовать, не говоря про крайне малое количество вообще
подписанных зон. Ну и я молчу про то, что тут вообще единственный якорь
доверия (полностью управляемый НАТО).

Вообще-то изначально PKI задумывался как нечто, куда приходят с кипой
документов, информация из которых прописывается в сертификате. И
Столяров в своей заметке верно говорит, что это означает что нам бы
приходилось ездить, грубо говоря, в США, чтобы получать EV-grade
сертификаты. Чего, очевидно, никто (ну кроме банков там и подобных
серьёзных организаций) делать не будет. Поэтому будут оставаться
DV-grade сертификаты. Поэтому MitM прекрасно даже на уровне хостера
будет возможен. Поэтому на кой чёрт все эти свистопляски с Let's Encrypt
и прочими DV-grade CA? Ну да, чтобы не нажимать лишний раз на кнопочку
"всё равно доверить данному сертификату". Но только не надо заливать и
бросаться словами про безопасность.
-- 
2.50.0