Без SSL как вы убедитесь, что сервер, которому вы передаете

данные своей карточки - не мошеннический?

тут зависит от сети, в которой Вы находитесь

да мне пофиг на сеть. Как вы убедитесь независимо от сети?

без сети не будет никакого доступа ни "мошеннического", ни "настоящего"

Мошеннический сайт с SSL может быть

может быть. Но сертификат будет не доверенный

Доверенный. Только доменное имя на одну букву может отличаться.

то есть вот из-за этой причины нет никакого смысла в SSL?

Нет. Я просто к тому, что SSL не является 100% защитой, т.к. без проверки сертификата (кем он реально выдан) нельзя быть на 100% уверенным, что трафик не перехватят.

не-а, оно так не работает)

Не смешивайте перехват трафика и отправку трафика не на тот домен из-за человеческого фактора

ничто не является 100% защитой. Это не повод вообще не делать защиту

это ассиметричное шифрование, трафик расшифровать может только тот, у кого есть приватный ключ, а приватный ключ остается только на сервере

Я-то как раз не смешиваю. И прекрасно понимаю эти два кейса.

О сколько Вам открытий чудных готовит этот мир )))

ну серьезно, можно клиента обмануть и подставить сервер злоумышленника, но вот прямо митм - думаю сложно а если клиент изначально заимпортит себе все самоподписанные серты в стор, то митм точно не пройдет

https уже лет 5-6 слушается на ура

Доказательства самим нам приводить?

слушается при наличии ключей, а не потому что математика не работает

опять же, если кто-то на государственном уровне заставляет это делать - это не делает SSL плохим

Прелесть какая

вы приводите все недостатки SSL и какую мысль вы пытаетесь донести?

Как пример по ссылке. Есть еще немало случаев в судебной практике РФ, где доказательства были предоставлены спецслужбами в отношении субъектов, которые общение вели через мессенджеры с SSL/TLS защитой. Была еще информация от Эдварда Сноудена, что АНБ обладает базой ключей всех значимых ресурсов интернета. https://dev.by/news/spetssluzhby-protiv-tls-ssl-perehvachennyy-trafik-zakrytye-klyuchi-kriptozakladki

ну здрасте, там просто у спецслужб есть ключи шифрования, которые им любезно предоставили сами мессенджеры

ну ты же приводишь в пример скомпрометированные ключи

Еще раз. Я не говорю, что SSL плохой. Я говорю о том, что слепо доверять защите SSL не нужно.

У спецслужб есть мастер сертификат УЦ, breaking news, никто не ожидал

а чему верить?) если изымут сервер и получат доступ к ключу - смогут расшифровать трафик, тут все просто, других систем защиты нет же

какое отношение к защите SSL имеет тот факт, что мессенджеры тупо отдают свои ключи шифрования спецслужбам?

E2EE же.

опять же при физическом доступе не будет работать)

Не надо ничего изымать ) Все и так видно, если понадобится.

жду математический пруф, а не АНБ имеет доступ, имеет доступ, т.к. обязует предоставлять ключи, а не то что SSL не работает

ну это опять же железный аргумент. Спецслужбы все видят, если понадобится. Все протоколы решето

Все уже давно доступно широкому кругу пользователей. https://safebdv.blogspot.com/2020/04/ssl-ngfw.html

это какой-то писец, вы блин серьезно?

Вы понимаете что это работает только когда на клиентах предустановлены ключи от NGFW? Или бросаете ссылки не читая?

Это работает даже в масштабах государства. Пример я уже приводил. https://t.me/zatelecom/18307

даже в масштабах государства это работает только если пользователь поставит себе в броузер государственный сертификат.

тут соглашусь тру

Есть много разных способов заставить пользователя поставить такой сертификат.

ха пальцы ломать будете?

Зачем?!? Например, можно обязать производителей устройств поставлять ОС с предустановленным ПО и сертификатами.

слушайте ну это знаете из разряда фантастики заставить майкрософт ставить серты какието левые в свою ось

если бы да кабы

Так заставят не самих майков, а местных производителей/поставщиков техники. А что касается фантастики, то в каком-нибудь 18 или 19 веке мало кто думал, что машины могут быть на электрической тяге.

Есть проблема Apple и производит и поставляет;)

Никакой проблемы нет. Запрет на поставку, либо поставляете то, что надо регулятору.

Раз

Два

как сложно. все куда проще. https://www.youtube.com/watch?v=XTfx5RxteuI&t=3584s

Это тоже имеет место быть. А все в итоге сводится к сбору бабла со всех за фантики.

чтобы CA не выдавали левые сертификаты существует Certificate Transparency

это не помешало крупным СА обосраться