-------- Original Message --------
Subject: Re: Проблемы с сертификатами на сайте cypherpunks.ru
Local Time: July 27, 2017 9:25 PM
UTC Time: July 27, 2017 9:25 PM
From: stargrave@stargrave.org
To: cryptoparty@lists.cypherpunks.ru

*** Taine <taine@protonmail.com> [2017-07-27 23:23]:
>С моей точки зрения, если https использовать, то стоит всё-таки настроить его так, как принято. Использовать Let"s encrypt. (Может быть cacert.org, но это уже проблемно). Как минимум это снимет все вопросы. Без этого может создаться впечатление, что вы просто небрежны или не умеете этого делать.

Аргумент "как принято" я не могу принять. Принято использовать Windows,
принято общаться через Telegram или Skype. Не принято использовать OTR
или OpenPGP. Я использую cacert.org, а Let"s Encrypt мне не нравится.
Тем более что шифропанки это некий антипод того "как принято", в
вопросах информационной безопасности, как оказалось на практике.

Я вас понял. Вы ставите свои принципы выше всего остального. Не готовы идти на компромис. Особенно ради каких-то негласных правил. Не хочу сказать, что это хорошо или плохо.

Извиняюсь за навязчивость. Хочу, чтобы и вы меня правильно поняли. Лично мне не критично, есть у вас https или нет. Особенно если у вас есть onion. Просто ваш сайт не для публики. Это не сразу и не всем понятно. Вся эта история началась с того, что другие пользователи, не простые-тупые, а достаточно продвинутые (админ и создатель pgpru.com) оценили вас "по одежке". Мне это показалось неправильным.

Да, с вашей точки зрения это их проблемы. Если учесть, что у вас нет особой цели популяризировать ресурс среди даже продвинутых людей, то всё хорошо. Останутся только те, кто готов пройти дальше.


>То, что PKI не работает в общем случае, хорошо известно. Но ничего существенно лучше для публичного использования у нас нет.

У кого "у нас"? У большинства? Соглашусь. Но большинство использует то,
что впарят, грубо выражаясь. А впаривают большинству и проприетарное ПО с
каждым компьютером в виде Microsoft Windows например -- это не повод
мириться с этим и идти на поводу. Тем более когда, с моей точки зрения,
это только навредит чёткому понимаю что есть безопасно, а что нет, и
оценить риски.

>Convergence и TACK от Moxie Marlenspike не взлетели.

OpenPGP например уже более четверти века существует, но большинство
людей о нём даже не слышали. Так было, есть и будет всегда. Если
ориентироваться на mainstream, на популярность -- ничего серьёзного в
вопросах информационной безопасности не выйдет. Как минимум потому-что
корпорациям это просто не выгодно, это им только будет вредить.

>Также нельзя сказать, что PKI не работает во всех случаях. Как минимум она защищает от нетаргетированного примитивного mitm (провайдером или на выходе из tor). При этом от таргетированной атаки серьезной защиты нет в случае простого клиент-серверного приложения или сайта. Например, может быть взломан провайдер и подменено содержимое, при этом https или onion останутся неповрежденными.

В целом всё верно сказано. Поэтому например программные пакеты во многих
дистрибутивах подписываются людьми, чётко известными людьми (maintainer-ами),
доверие к которым можно получить через web-of-trust. Всё вышеназванное
указывает на то, что Web плохо подходит для аутентифицированного обмена
данными -- тут ничего нельзя поделать, кроме как чуть-чуть где-то
подпирающих костылей.

Согласен.


>Подводя итог, мое мнение такое: или отключить https совсем (перенести ресурс за https на другой адрес), или сделать как общепринято. Да, есть ещё вариант добавить FAQ, почему https нет. Но, боюсь, это не самая эффективная мера.

Давайте честно скажу: когда-то была HTTPS версия www.cypherpunks.ru.
Даже сейчас я решил сделать себе сертификат на неё и уже его добавил
(буквально минуты назад). Но только тут вспомнил почему я от HTTPS
избавился. У меня всё хостится на домашних серверах, а также имеется
VDS, где хостится всякий статический контент. Очевидно, что поднять
HTTPS на VDS не вариант -- приватные ключи окажутся в чужих руках.
Поэтому HTTPS может работать только на том единственном что у меня есть:
а это домашние серверы и один IP-адрес. www.cypherpunks.ru, как и
cryptoparty.ru являются статическими сайтами и важно чтобы их можно было
всегда открыть -- поэтому у этих двух доменов два IP-адреса: один из
которых на VDS ведёт. Если дома что-то отрубается, то сайты
обслуживаются в дата-центре. Если вы зайдёте по HTTPS://, то всё-равно
по одному из двух адресов прописанных в DNS -- на одном HTTPS можно
поднять, а на другом нет. Поэтому -- либо один обслуживающий сервер с
HTTPS-ом, либо два сервера, но без него. Доступность www.cypherpunks.ru
и cryptoparty.ru -- важны. lists.cypherpunks.ru это в первую очередь
почта, которая при временной недоступности сервера всё-равно
"прососётся" и будет просто задержка в доставке. git.cypherpunks.ru --
тоже штука которая клонирует данные доступные в offline режиме.
wkd.cypherpunks.ru -- штука которая если кем то и используется, то редко
и при недоступности сервера может подождать.

Если короче: у меня нет материальных средств чтобы иметь два сервера на
двух IP-адресах на которых можно было бы поднять HTTPS. У меня есть
только один IP и ещё один на котором можно хостить вещи не требующие
использования приватных ключей.
Ясно.


>Ещё одна неприятность - не работает версия без www.

А должна? Это (сайт) ресурс в всемирной паутине, что явно отмечается в адресе.

Неудобно, если не работает. Набрал с клавиатуры, забыл добавить www и думаешь - опечатался в названии, или сайт лежит, или таки www забыл (последнее, о чём думаешь). Редирект на www был бы более удобным решением.


>Да, кстати, вы не знакомы с SATtva с pgpru.com? Ваши ресурсы во многом близки по тематике.

Лично я не знаком. О pgpru.com слышал, время от времени заходил и
запомнилось положительное впечатление. Но а так толком ничего не могу
про него сказать дельнее.
Спасибо.


--
Sergey Matveev (http://www.stargrave.org/)
OpenPGP: CF60 E89A 5923 1E76 E263 6422 AE1A 8109 E498 57EF