Проблемы с сертификатами на сайте cypherpunks.ru

Sergey Matveev stargrave на stargrave.org
Пт Июл 28 00:25:48 MSK 2017


*** Taine <taine на protonmail.com> [2017-07-27 23:23]:
>С моей точки зрения, если https использовать, то стоит всё-таки настроить его так, как принято. Использовать Let's encrypt. (Может быть cacert.org, но это уже проблемно). Как минимум это снимет все вопросы. Без этого может создаться впечатление, что вы просто небрежны или не умеете этого делать.

Аргумент "как принято" я не могу принять. Принято использовать Windows,
принято общаться через Telegram или Skype. Не принято использовать OTR
или OpenPGP. Я использую cacert.org, а Let's Encrypt мне не нравится.
Тем более что шифропанки это некий антипод того "как принято", в
вопросах информационной безопасности, как оказалось на практике.

>То, что PKI не работает в общем случае, хорошо известно. Но ничего существенно лучше для публичного использования у нас нет.

У кого "у нас"? У большинства? Соглашусь. Но большинство использует то,
что впарят, грубо выражаясь. А впаривают большинству и проприетарное ПО с
каждым компьютером в виде Microsoft Windows например -- это не повод
мириться с этим и идти на поводу. Тем более когда, с моей точки зрения,
это только навредит чёткому понимаю что есть безопасно, а что нет, и
оценить риски.

>Convergence и TACK от Moxie Marlenspike не взлетели.

OpenPGP например уже более четверти века существует, но большинство
людей о нём даже не слышали. Так было, есть и будет всегда. Если
ориентироваться на mainstream, на популярность -- ничего серьёзного в
вопросах информационной безопасности не выйдет. Как минимум потому-что
корпорациям это просто не выгодно, это им только будет вредить.

>Также нельзя сказать, что PKI не работает во всех случаях. Как минимум она защищает от нетаргетированного примитивного mitm (провайдером или на выходе из tor). При этом от таргетированной атаки серьезной защиты нет в случае простого клиент-серверного приложения или сайта. Например, может быть взломан провайдер и подменено содержимое, при этом https или onion останутся неповрежденными.

В целом всё верно сказано. Поэтому например программные пакеты во многих
дистрибутивах подписываются людьми, чётко известными людьми (maintainer-ами),
доверие к которым можно получить через web-of-trust. Всё вышеназванное
указывает на то, что Web плохо подходит для аутентифицированного обмена
данными -- тут ничего нельзя поделать, кроме как чуть-чуть где-то
подпирающих костылей.

>Подводя итог, мое мнение такое: или отключить https совсем (перенести ресурс за https на другой адрес), или сделать как общепринято. Да, есть ещё вариант добавить FAQ, почему https нет. Но, боюсь, это не самая эффективная мера.

Давайте честно скажу: когда-то была HTTPS версия www.cypherpunks.ru.
Даже сейчас я решил сделать себе сертификат на неё и уже его добавил
(буквально минуты назад). Но только тут вспомнил почему я от HTTPS
избавился. У меня всё хостится на домашних серверах, а также имеется
VDS, где хостится всякий статический контент. Очевидно, что поднять
HTTPS на VDS не вариант -- приватные ключи окажутся в чужих руках.
Поэтому HTTPS может работать только на том единственном что у меня есть:
а это домашние серверы и один IP-адрес. www.cypherpunks.ru, как и
cryptoparty.ru являются статическими сайтами и важно чтобы их можно было
всегда открыть -- поэтому у этих двух доменов два IP-адреса: один из
которых на VDS ведёт. Если дома что-то отрубается, то сайты
обслуживаются в дата-центре. Если вы зайдёте по HTTPS://, то всё-равно
по одному из двух адресов прописанных в DNS -- на одном HTTPS можно
поднять, а на другом нет. Поэтому -- либо один обслуживающий сервер с
HTTPS-ом, либо два сервера, но без него. Доступность www.cypherpunks.ru
и cryptoparty.ru -- важны. lists.cypherpunks.ru это в первую очередь
почта, которая при временной недоступности сервера всё-равно
"прососётся" и будет просто задержка в доставке. git.cypherpunks.ru --
тоже штука которая клонирует данные доступные в offline режиме.
wkd.cypherpunks.ru -- штука которая если кем то и используется, то редко
и при недоступности сервера может подождать.

Если короче: у меня нет материальных средств чтобы иметь два сервера на
двух IP-адресах на которых можно было бы поднять HTTPS. У меня есть
только один IP и ещё один на котором можно хостить вещи не требующие
использования приватных ключей.

>Ещё одна неприятность - не работает версия без www.

А должна? Это (сайт) ресурс в всемирной паутине, что явно отмечается в адресе.

>Да, кстати, вы не знакомы с SATtva с pgpru.com? Ваши ресурсы во многом близки по тематике.

Лично я не знаком. О pgpru.com слышал, время от времени заходил и
запомнилось положительное впечатление. Но а так толком ничего не могу
про него сказать дельнее.

-- 
Sergey Matveev (http://www.stargrave.org/)
OpenPGP: CF60 E89A 5923 1E76 E263  6422 AE1A 8109 E498 57EF
----------- следующая часть -----------
Вложение не в текстовом формате было извлечено…
Имя: signature.asc
Тип: application/pgp-signature
Размер: 833 байтов
Описание: отсутствует
URL: <https://lists.cypherpunks.ru/pipermail/cryptoparty/attachments/20170728/81e15001/attachment-0003.bin>


Подробная информация о списке рассылки Cryptoparty