Государев HTTPS

«В администрации президента идет работа по созданию государственного удостоверяющего центра, который будет выдавать сайтам в рунете SSL-сертификаты, используемые для шифрования данных и идентификации сайта при установлении защищенного https-соединения, рассказали «Ъ» источник, близкий к администрации президента, собеседник в Минкомсвязи и глава российской IT-компании.»

Подробнее: http://www.kommersant.ru/doc/2916742

Internet2

Новость вызвала некоторые волнения среди IT общественности. Но, помимо того, что майор сможет поставить отечественный (а не только импортный) сертификат на пути вашего холодильника к серверу, есть один еще занятный нюанс.

Однажды я озадачился статистическим исследованием количества таких майоров и косящих под них сисадминов с самоподписным сертификатом в сквиде. Дай, думаю, посмотрю — а какой сертификат видит клиент. Должно же быть нечто в DOM или XMLHttpRequest или где-то рядом, что позволяет яваскрипту на стороне клиента посмотреть на установленное защищенное соединение, увидеть то, что клиент видит в дебрях зеленого замочка, и отстучаться мне. Это совсем несложно и никому не вредит, кроме желающих внедриться в доверенные коммуникации сервера и клиента.

А вот фиг. Нет такой возможности. Нет в принципе. «Почему-то» ни огороженные поделия мелкомягких, ни либеральный хром, ни свободолюбивый фаирфокс — никто не дает посмотреть на TLS со стороны клиента. Конечно это не заговор, просто забыли реализовать никому не нужную фичу.