В качестве первого предварительного замечания напомню конспирологические реконструкции процесса ввода санкций в текущем контексте (с точкой отсчёта в 2014 году) — как решающего этапа технологического обособления отраслей промышленности Державы и с привязкой к прогнозам готовности к оному.
После чего отмечу, что разного рода сертификации — это в первую очередь построение второсигнальной модели технологических процессов. Недостаточной для технического воспроизводства, но удобной для целей управления. И, попутно, промышленного шпионажа.
С тем практическим выводом, что удостоверяющие центры — это не просто переданные на откуп заинтересованным… лицам функции промышленного шпионажа, но крайне удобный и высокодоходный бизнес. И, попутно, на достигнутом технологическом уровне — инструмент, позволяющий дезорганизовать информационную инфраструктуру *объекта*.
В качестве наглядной иллюстрации просто напомню эпизоды с отзывом сертификатов сайтов Центробанка и ряда других российских банков в начале СВОДДУ. С закономернейшим следствием в виде учреждения «Национального Удостоверяющего Центра». Но это пока и в первую очередь интернетики.
Хотя, как подсказывают братья наши меньшие, сертификаты — это далеко не только интернетики, но и подпись компонентов Micro$oft Window$ (от драйверов, до разного рода программных компонентов, причём тут полезно вспомнить и такую занимательную инновацию, как фичу Secure boot (включение которой делает превращает загрузку ОС отличной от актуальной версии виндовса в интереснейший квест с негарантированным результатом) современной замены классического BIOS (EFI)).
И тут я полагаю полезным процитировать попавшее в поле моего зрения достаточно старое (от начала марта), но весьма актуальное (с учётом того факта, что стандартный срок действия сертификата — один год) сообщение рассылки одного из ведущих мировых удостоверяющих центров (предметная область, старательно и успешно огораживавшаяся от конкурренции со стороны российского бизнеса; впрочем роль борцунов с коррупцыей тут ещё ждёт своего… квалифицированного следователя). Зацените тему ☺:
Ukraine update
ВАЖНОЕ ОБНОВЛЕНИЕ
Уважаемый XXXXXX,
В связи с развивающейся геополитической ситуацией в Украине, начиная с 10 марта 2022 года, в 20:00 MST (11 марта 3:00 UTC), компания DigiCert приостанавливает выпуск и перевыпуск всех типов сертификатов, связанных с Россией и Беларусью. Это включает в себя приостановку выпуска и перевыпуска сертификатов для доменов верхнего уровня, связанных с Россией и Беларусью, включая .ru, .su, .by, .рф и другие, а также для организаций с адресами в России или Беларуси. Кроме того, в настоящее время DigiCert не будет принимать платежи в рублях.
DigiCert стремится соблюдать действующее законодательство и отраслевые стандарты. Эти действия предприняты после шагов, которые мы уже предприняли для соблюдения государственных санкций и экспортного контроля. Мы внимательно следим за ситуацией и будем реагировать на изменения по мере их возникновения.
Если у вас есть вопросы или сомнения, пожалуйста, свяжитесь со службой поддержки DigiCert или вашим менеджером по работе с клиентами.
Спасибо,
Команда DigiCert
Переведено с помощью www.DeepL.com/Translator (бесплатная версия)
Практически — выдавливание российского бизнеса из экосистемы майкросовта.
IMPORTANT UPDATE
Dear XXXXXX,
In response to the evolving geopolitical situation in Ukraine, effective March 10, 2022, at 8:00 p.m. MST (March 11,3:00 a.m. UTC), DigiCert is pausing issuance and reissuance of all certificate types affiliated with Russia and Belarus. This includes suspending issuance and reissuance of certificates to TLDs related to Russia and Belarus, including ru, .su, .by, .рф, and others, as well as to organizations with addresses in Russia or Belarus. Additionally, DigiCert will not accept payments in rubles at this time.
DigiCert is committed to complying with applicable laws and industry standards. This action comes after steps that we've already taken to comply with government sanctions and export controls. We are monitoring the situation closely and will respond to changes as they occur.
If you have questions or concerns, please contact DigiCert Support or your account manager.
Thank you,
DigiCert Team
$ wtf tld
TLD: top level domain
Комментарии
Да, врубаешь Secure Boot, и иногда Макось грузится вместо винды. А по четвергам андроид.
По четвергам рыбный день.
Тогда Sailfish
Ох уж этот secure boot )
Кстати, Большой Брат тоже весьма заинтересован в том, чтобы на целевом оборудовании хомячки лишнего не запускали.
ЛетсЭнкрипт сегодня на одном из серверов автоматом обновился.
Но вообще тема сертификации болезненная, я про это писал еще в начале кипеша.
Ты про сертификат (для *интернетиков!!!) или что?
В интернетиках начало истории восходит к трассологической реконструкции активного продвижения протокола https корпорацией бобра.
Но предмет статьи «несколько» не про интернетики, а… об особенностях реализации и проблеме технологической инерции стандарта де-факто в вопросы выбора платформы (ОС).
ЗЫ: У бесплатных сертификатов летсэнкрипт срок действия — три месяца.
Дауш, https продавливали не просто так.
Самая хохма в формате продавливания. Помните нюанс?
А как же! Помним, скорбим.
Да кто спорит, что болезненная. Однако данная статья похожа на горячечный бред.
Цитата рассылки демократической конторки, составляющая предмет данной статьи — «горячечный бред»?
Хм. а в пингвиниксе и фряхе эту тему с secure boot как-то обошли. И у меня дома есть пара систем с мультибутом (лицензионный Windows+) и UEFI.
Кроме того биосы прошиты в ПЗУ, а значит можно не обновлять биосы и тырить загрузочные ключи по мере выпуска новых материнок, которые в РФ поставлять нельзя :-)
Линуксов много *разных*.
Где-то — «обошли», а где-то попытки загрузки с *нужной* установочной флешки при включённом SecureBoot превращаются в танцы с бубном.
Хотя, опять же, в предпочитаемом *новом* загрузчике, по всем признакам сертификатики, необходимые для работы в режиме SecureBoot, присутствуют.
ЗЫ: Историю с отзывом сертификатов сайтиков банков помните?
Это ладно загрузка оси, мне тут ради баловства с виртуалками пришлось вечерок погуглить про прописывание в железо сертификата под подписание модулей ядра для виртуализации.
Тут тогда уж стоит вспомнить и комплекс мероприятий по продвижению SELinux (особливо с интеграцией в EL).
Что особенно доставляет на фоне… практической иллюстрации справедливости предупреждения господина Фокса (практической неработоспособности некоторых веток).
внедрёж SE Linux - это про деньги. Сначала была хорошая идея внедрить защиту (и желательно аппаратную) от исполнения данных и протечек данных, а потом это превратилось в инструмент для курощения несогласных. Который либо работает (если пользоваться кошерными конфигурациями), либо выключен, если очень надо (чтобы работало то, что очень надо).
Однако модель DAC, при всех её достоинствах, несколько архаична.
да. про волшебный мир виртуализации я подзабыл. ох уж эти модные тренды :-(
А разве сейчас эта модная хрень отъезжает в docker/containerd?
Понятно что остаются решения, где надо "чиста виртуальный сервер", но даже Oracle поднапрягся для утрамбовки своей СУБД в контейнеры.
Не теряйте вопрос о причинности.
А Оракел, насколько я помню, во-первых ниасилил полноценной поддержки платформы GNU/Linux.
Из чего естественным образом следует потребность в чёрном ящике контейнера.
Интернет бродилки обновляются чаще BIOS и процедура верификации завязана на соединение с центром, который сертификат выдал.
С BIOS всё будет немного проще в том смысле, что нет соединения с интернетом в момент загрузки.
BIOS давно (уже лет десять с гаком) как legacy, со всеми вытекающими.
А у EFI… есть некоторые пикантные особенности.
Процедуру проверки СОСов в протокол и сертификаты засунули много после начала активного продвижения протокола https.
Но компы без интернета грузятся? А значит способы есть.
По Mu$tdie - да, там скриптики с некоторых пор очень хотят подписания доверенным сертификатом.
Это всё от клубка ересей в фундаменте платформы.
Вообще, российский аналог Let's Encrypt очень нужен. Чтобы не терять тысячи или десятки тысяч человеко-часов на обновление, отслеживание устаревающих сертификатов, потери, если забыли обновить. И этим занимаются "ценные IT-специалисты", которых собираются из-за границы привлекать.
У нас в конторе несколько десятков мелких сайтиков и сервисов, и автоматическая выдача сертификатов - существенная экономия человеческих ресурсов.
Как я понимаю, полное огораживание интернета - вопрос времени.
Перечитайте руководство господина Брукса.