On Fri, 9 Aug 2019 00:39:17 +0300 artiom <artio...@yandex.ru> wrote: > 08.08.2019 10:31, Victor Wagner пишет: > > On Thu, 8 Aug 2019 09:47:48 +0300 > > artiom <artio...@yandex.ru> wrote: > > > >> > Как ГБ может заставить чужой браузер > >> > ПолярнаяЛиса отдать в JS тот фингерпринт, который должен > >> > быть у интересного юзеру сайта, а не тот, который в подсунутом > >> > чекистами сертификате? > >> > >> Изначальная посылка была в том, что государство может заставить > >> браузер установить их корневой сертификат. > >> Не пользователя. > > > > Это не совсем верная посылка. Поскольку обсуждение в списке рассылки > > Mozilla было на тему "а надо ли разрешать пользователю ставить такой > > сертификат, или его следует жестоко заблеклистить" > > > > Любопытно. А если пользователь развёртывает систему на изолированном > заводе, при этом все его сертификаты, пользуемые WebUI, > самоподписанные, но он не хочет, чтобы операторам браузер как-то > сообщал о "левом сертификате" (и не сообщал о реально "левом")?
Ну очевидно сертификат изолировнного от интернета CA не попадет в блеклист, встроенный в браузер, именно потому, что разработчикам браузера про этот сертификат никто не сообщит. С Казахстаном-то проблема не в том, что это изолированная среда, а как раз в том, что они хотели работать в публичном международном интернете. А так-то подобные MitM сертификаты для корпоративных систем - стандартнейшая практика. Тут вам и антивирус, и intrusion detection. --