vineri, martie 29, 2024

Certificate, TLS /SSL, incredere

Deși afectată de implementări nefericite și de trecerea timpului, criptarea TLS /SSL, pe care o folosim zi de zi pentru accesarea site-urilor web pare să reziste bine cel puțin din punct de vedere al principiilor utilizate. Probleme cu implementările tot apar; despre unii algoritmi nu știm prea bine cât de siguri sunt. Dar în general pare să fie destul pentru lucrurile pentru care o folosim zi de zi.
Există suspiciuni legate de capacitatea unor guverne de a decripta astfel de comunicații; dealtfel am mai vorbit și eu despre asta în trecut. Însă cum guvernul poate oricum accesa la nevoie atât situația mea bancară cât si forumurile pe care mă conectez de obicei, chestiunea aceasta nu e atât de critică încât să ne producă prea mari rețineri. Să zicem că e un risc asumat.
Algoritmii de criptare sunt doar o parte a problemei. Așa cum sunt, se pare că sunt suficient de puternici pentru uz comun. Cealaltă parte a problemei este un pic mai delicată și la ea mă voi opri în cele ce urmează.
Este vorba de autentificarea site-ului pe care ne conectăm. Degeaba folosim un algoritm impenetrabil dacă cel cu care comunicăm nu este cel care credem că este. Pentru aceasta s-a dezvoltat sistemul de certificate, așa zisa PKI (public key infrastructure).
Certificatele digitale sunt emise de instituții care acționează oarecum asemanător cu birourile notariale. Ele ne furnizează un certificat care va fi instalat pe serverul nostru ( să zicem pe magazinul nostru virtual) , certificat care ne garantează că a fost emis pentru site-ul nostru ( de obicei conține numele acestuia) de către respectiva instituție. Această verificare se face în principiu online de către browser.
De unde vine însă autoritatea “morală” a acestor instituții? Aici intervine problema delicată: dacă în cazul notariatelor, autoritatea este cumva reglementată și verificată de stat ( nu zic că nu ar putea exista notari infractori, dar având un set de reglementări clare la dispoziție la nevoie aceștia pot fi identificați și pedepsiți) problema autorităților de certificare este mai complexă. Ca peste tot în Internet, reglementări nu prea există. Autoritățile de certificare sunt globale, nu locale, deci chiar daca se supun juridic legislației din țara de reședință, aceste reglementări vizează în general funcționarea lor ca întreprindere, nu procedurile de validare și emitere a certificatelor.
În teorie, ar trebui să ne bazăm pe reputația acestor companii. Cum însă în general nu prea avem de-a face cu ele, în practică decidentul este altul: browserul pe care îl folosim. Browserul conține o listă de certificate root de încredere, menținută de dezvoltatorii acestuia. În cazul firefox, de exemplu, putem găsi aici procedura prin care un doritor poate să aplice pentru a fi inclus în această listă. Cum fiecare dezvoltator are procedura și criteriile lui, și cum există maxim cinci browsere majore, vom avea cinci liste de autorități de certificare mai mult sau mai puțin asemănătoare.
Bineînțeles că un eventual cumpărător de certificate se va orienta mai degrabă spre cei care se află pe toate aceste liste; în acest fel a apărut un fel de cvasimonopol ( lista nu e totuși așa de mică, dar e destul de dificil să reușești să înființezi o autoritate nouă).
În definitiv ce vând aceste companii? Orice administrator de sistem își poate construi relativ simplu propria autoritate de certificare și de multe ori chiar o face pentru a-și securiza propria rețea; criptarea este la fel de solidă . Însă e vorba de încredere. Dacă în propria rețea administratorul este autoritatea supremă și dictatorul omnipotent, coborât pe pământ, în mijlocul mulțimii, acesta nu poate oferi același produs: încrederea.
Este însă această încredere justificată? Dacă privim lucrurile din punct de vedere istoric, în general da: cazurile de autorități de certificare compromise nu sunt prea multe, incidentele destul de puține.
În ultima vreme observ însă o supralicitare a acestei încrederi. Devine din ce în ce mai complicat să îți menții propria autoritate de certificare: pe unele dispozitive mobile este de-a dreptul imposibil sa adaugi manual certificatul acesteia la lista autorităților; unele browsere sau aplicații tind să îl ignore sau cel puțin folosesc “codul culorilor” pentru a te avertiza că certificatul tău e emis de o autoritate “de mai puțină încredere”. Tindem să avem de-a face cu un fel de “cartel” favorizat de atitudinea înțelegătoare a dezvoltatorilor browserelor.
O limitare a SSL este că din punct de vedere tehnic pe o adresa de IP se poate rula un singur certificat. În general firmele de hosting rulează zeci, poate chiar sute de site-uri pe o singură adesă. Putem deci autentifica un singur site pentru acel IP, asta daca nu ar fi fost inventate certificatele “wildcard”. Aceste certificate se pot cumpăra și ne asigură că cine rulează la acea adresă este cine pretinde, oricum s-ar numi el. Foarte de încredere, nu? Browserul nu va avea nimic de comentat, chiar dacă același certificat autentifică și Vasile SRL și ivanivanovici.ru. În schimb va fi foarte drastic și va speria clienții dacă certificatul serverului de mail este emis de vreun oarecare bădici.
Sistemul există și funcționează, e greu să îl contești; în general principiile sunt solide, așa cum practica o demonstrează. Numai că uneori, în detalii, simți cum diavolul își încurcă răsucita lui codiță….

Distribuie acest articol

26 COMENTARII

  1. Interesant articolul, dar nu stiu cati din cititori sunt cu adevarat interesati si cunosc subiectul suficient incat sa il inteleaga. In al doilea rand, articolul sumarizeaza alte vreo 3 pe care le-am vazut recent in spatiul public sau partial public (unul e scris de mine pe un forum de specialitate cu acces partial restrictionat, deci sigur nu l-ati citit). Cred ca e doar o concidenta data de faptul ca printre cei interesati de criptografie e un subiect fierbinte in ultima vreme.

    • Puteati sa dati un link :)
      Articolul sumarizeaza mai degraba o serie de nemultumiri personale legate de semnele de „boicot” al PKI-urilor self made care zic eu ca au la baza o ratiune evident financiara, cu complicitatea dezvoltatorilor de browsere ( dintre care unii au nevoie de donatii). Sub pretextul intaririi securitatii utilizatorii sunt isterizati cu texte alarmiste, desi mi s-ar parea mai firesc sa fiu avertizat atunci cand accesez un certificat wildcard, chiar daca e emis de verisign. Utilizatorii se sperie si ma suna; oricat de bine le-as explica, tot raman cu o farama de indoiala iar la primul incident fara nici o legatura cu asta devin si mai suspiciosi.

  2. „O limitare a SSL este că din punct de vedere tehnic pe o adresa de IP se poate rula un singur certificat.”

    Server Name Indication rezolva asta.

    • Da, merci de sugestie, stiam despre ceasta extensie dar stiam ca nu e implementata de majoritatea produselor de pe piata. Se pare insa ca intre timp a ajuns in principalele browsere si servere, deci aveti dreptate, eram usor ramas in urma. Dar certificate wildcard tot se vand, ca despre asta era vorba :)

      • Certificatele wildcard au avut o idee destul de buna in spate: daca o organizatie are mai multe servere in acelasi domeniu atunci un wildcard le-ar putea salva ceva banuti. Evident browserul va protesta daca se incearca accesarea unui server care nu se „incadreaza”. Ar fi o problema foarte serioasa altfel.

        Insa da, problema pleaca de la cartelul CA-urilor si mai precis de la preturile practicate. Teoretic ar trebui fiecare cu certificatul lui dar la cati bani se cer…

        „cazurile de autorități de certificare compromise nu sunt prea multe, incidentele destul de puține.” Corect, insa si cand s-a intamplat…oi, oi, oi…

        • S-a intamplat, unii au muncit mai mult in zilele urmatoare, altii au platit mai mult dar am luat-o de la capat, tehnologia a supravietuit. Cand a luat foc zeppelinul deasupra New-York-ului, toata lumea a stiut ca e ultima cursa…

  3. Din vara lui 2015 va exista posibilitatea de a obtine gratuit certificate SSL valide (si recunoscute de browsere automat) prin intermediul platformei Let’s Encrypt. Asta rezolva problema costurilor.

    https://www.eff.org/deeplinks/2014/11/certificate-authority-encrypt-entire-web

    Certificatele ‘wildcard’ pot functiona corect daca sunt implementate corespunzator (big if). Numeroase infrastructuri web de dimensiuni mari le utilizeaza cu succes, fara a afisa erori in browser. Tinand cont de raspandirea si utilitatea certificatelor ‘wildcard’ nu ar fi normal ca browserul sa afiseze un mesaj de alerta atunci cand detecteaza astfel de certificat. Daca personalul IT / IT Security nu poate nici sa instaleze corect un certificat pe un load balancer …

    • Problema mea e tocmai ca nu afiseaza erori in browser. Certificatul are scopul de a identifica site-ul; daca pun un wildcard in certificat si browserul nu reactioneaza mie mi se pare ca avem de-a face cu o fractura logica: site-ul e ok, e oricine :)
      In schimb daca eu imi intretin propriul CA, in loc ca browserul sa anunte ” acest certificat e emis de o autoritate care nu e in lista noastra. Daca aveti incredere in badici.ro tastati y” imi afiseaza ceva de genul ” fugiti, astia va iau banii, va parjolesc holdele si va iau caiii la CAP” :)

      • De fapt e o diferenta, in prima situatie browserul spune: te-ai conectat la un server apartinand unui domeniu cu administrator cunoscut adica are nume si adresa cunoscute.

        In cel de-al doilea caz, browserul spune: te-ai conectat la un server al carui administrator e necunoscut, pretinde ca e Badici dar ar putea fi absolut oricine. A dat si o adresa din Belize. Transfer funds?

        • :)
          Macar de-ar fi asa. De fapt browserul afiseaza niste avertismente, desi e perfect posibil sa verifice adresa la care au dat get, sa o compare cu cea pretinsa in certificat si sa lase clientul sa aleaga. De obicei clientii mei ma cunosc :) Nu am pretentia sa emit eu certificatele pentru site-uri de e-commerce sau alte activitati care implica acces public , dar tendinta e sa induca ideea ca e mai putin sigur sa comunici cu serverul firmei la care lucrezi daca folosesti propriul PKI ( nu vorbesc de certificate self signed, ci de un PKI corect configurat.).
          In cazul celalalt, te-ai conectat la un server al carui administrator e cunoscut ( de Comodo de exemplu), care gazduieste mai multe site-uri pe care presupunem ca administratorul serverului le controleaza, ca de aia a dat bani la noi , asa ca puteti avea deplina incredere. Transfer funds!

          • mesajul din google chrome este asa:
            „Your connection is not private” (ceea ce de altfel e o minciuna) :)
            Attackers might be trying to steal your personal information, for example passwords, messages or credit cards”

            Ce sa zic, don’t be evil :)

          • Din cate stiu, verificarea ca adresa de domeniu la care vrei sa te conectezi corespunde cu cea din certificatul primit e unul din primele lucruri facute de browsere. Atunci cand nu se intampla e de rau.

            Dar daca exista deja PKI si numarul de clienti e restrans, de ce nu s-ar putea distribui manual certificatul CA-ului fiecaruia dintre ei?

            In cazul administratorului de server cu multe site-uri pe cap, fie le controleaza (e si web admin pentru ele) si atunci e ok, fie nu, caz in care fiecare site ar trebui sa aiba certificatul sau si asta nu ar trebui sa fie sarcina lui ci a web adminilor respectivi.

            • „in vechea paradigma” puteam distribui certificatul printr-o politica de AD. Acum lucrurile sunt mai complicate, oamenii circula, isi cumpara laptopuri noi, tablete, telefoane etc. In final cam asta fac, distribui manual certificatul CA, solutii tehnice exista, dar ceea ce vreau sa zic e ca mi se pare ca jocul tinde sa devina din ce in ce mai „unfair”.

  4. Autoritatea „morala” a institutiilor de certificare (cel putin din Romania) este data de spaga pe care acestea au dat-o pentru a putea deveni „autoritati acreditate”. Legea semnaturii electronice a fost facuta dupa chipul si asemanarea acestor firme (UTI, digisign etc). Efectul il simtim cu totii, la portofel. In Romania, semnatura electronica costa 30 euro+TVA in fiecare an, pentru a avea „privilegiul” de a putea depune de 12 ori declaratiile firmei la fisc. Si perioada de valabilitate scurta, de numai un an, mi se pare ridicola, ce sa mai vorbim de birocratia legata de obtinerea sau prelungirea valabilitatii semnaturii electronice. In Slovacia de exemplu, semnatura electronica costa 8 euro pe an, iar in Germania se poate obtine gratuit, de la fisc, cu perioada de valabilitate de 3 ani.

    • Au început să apară mulți, la nivel global, care vând certificate ieftine. Dar asta nu contrazice ceea ce spui tu.

      Perioada de valabilitate de un an, în experiența mea, e foarte bună. Pentru că, de foarte multe ori, cei care administrează certificatele o fac după ureche și folosindu-și o parte a corpului ce asigură o mare stabiltate atunci când stau pe scaun. Ca să nu mai vorbim puțini au auzit de liste de revocare și și mai puțini le folosesc (plus că implementarea lor uneori mai lasă de dorit).
      Așa că bine că expiră destul de repede.

      • In interactiunea cu statul Roman nu exista alt motiv decat jecmaneala victimei – contribuabilului. Notiunea de securitate este secundara.
        Nu inteleg de ce un certificat cu valabilitate de un an de zile este mai bun decat unul de 4 ani – lasand la o parte probabilitatea mai mare de a fi spart care este oricum foarte aproape de 0.

  5. Un arficol interesant. Iti multumesc ca ti-ai luat timp sa il scrii intr-un limbaj netehnic. Tind insa sa nu fiu de acord cu tine ca sistemul este bazat pe principii solide. Banuiesc ca te-ai referit la principiile criptografice si nu la principiile care guverneaza „certificates of authority”. In 2011 Moxie Marlinspike, care a facut cercetari in domeniul de CA si certicate, analizeaza modul in care el a aparut in primul browser Netscape (Vezi in Youtube BlackHat USA 2011: SSL And The Future Of Authenticity min. 16)
    La fel si articolul http://www.thoughtcrime.org/blog/ssl-and-the-future-of-authenticity/).
    Tind sa fiu de acord cu el ca e greu sa ai incredere ca „Hongkong Post CA Root Certificatete”, care se afla preinstalat in browserele Internet Explore,r poate fi crezut in aceeasi masura cu Verisign sau cu Comodo. Mai ales ca Comodo sau Diginotar au fost compromise in perioada 2010-2011, aratand ca modelul de increderea intr-un CA este eronat.
    Exista metode alternative cum ar fi „Convergence (http://convergence.io/details.html)” sau CACert care propun alte abordari de a stabili identitatea site-uluipe care incerci sa-l accesezi, dar aceste modele au nevoie de timp pentru a putea fi acceptate si incluse in browserele existente. Au nevoie sa fie aceptate moral si auditate tehnic pentru a putea sa inlocuiasca modul in care noi, ca utilizatorii de internet, acordam increderea noastra.

    • Ma refer la principiile criptografice, desigur. Schema ssl e valabila, chiar daca unii algoritmi sunt discutabili ( iar altii au devenit slabi pe masura ce puterea de calcul a crescut) Problema autoritatilor de certificare e delicata ; daca in propria mea retea prefer sa imi emit singur certificatele (dictonul meu favorit e „daca nu ai incredere in admin, da-l afara” :) ) , in relatiile cu lumea exterioara am incredere intr-un amic ( firefox) care are un amic ( Comodo) caruia nu-i poate refuza nimic, asa ca imi coloreaza bara in verde. Iar uneori amicul amicului e o loaza, precum in schitele lui nenea Iancu :)

  6. Solutia GnuTLS cu retelele web of trust formate din chei schimbate in prealabil cu oameni in care ai incredere.

    Din pacate modelul de licentiere Gnu este si el o inchisoare a „libertatii”.

  7. UE a emis Regulamentul 910/2014 privind identificarea electronica unde este tratata si emiterea certificatelor pentru servere web.

    Se va aplica din 2016 iar atunci se va abroga Directiva privind semnatura electronica, care e la baza legii semnaturii electronica din Romania si din celelalte state membre.

    Regulamentul 910/2014 prevede ca certificatele sa fie emise de „prestatorul de servicii de încredere calificat”. In felul asta se protejeaza si detinatorii legali ai domeniilor – nu sunt emise aiurea certificatele fara ca ei sa solicite – si utilizatorii care stiu ca intra pe un site legitim, in special cand e vorba de banci, procesatori de plati etc.

  8. In primul rand ca asertiunea asta:”Browserul nu va avea nimic de comentat, chiar dacă același certificat autentifică și Vasile SRL și ivanivanovici.ru. În schimb va fi foarte drastic și va speria clienții dacă certificatul serverului de mail este emis de vreun oarecare bădici.” este complet falsa si dovedeste ca nu prea stiti ce e ala un certificat wildcard. daca e wildcard verifica un sufix de domeniu; asta ar trebui sa stiti ce inseamna.

    Trecand peste asta, spuneti dvs urmatoarele:
    „In schimb daca eu imi intretin propriul CA, in loc ca browserul sa anunte ” acest certificat e emis de o autoritate care nu e in lista noastra. Daca aveti incredere in badici.ro tastati y” imi afiseaza ceva de genul ” fugiti, astia va iau banii, va parjolesc holdele si va iau caiii la CAP” ”
    ORICINE poate pretinde ca este badici. Unde verifici ca e asa?
    Pentru asta exista acele liste de incredere in browser.

    Oricum niste citit (de RFC-uri) ar ajuta inainte sa scrieti.

    • Exista wildcard-uri care nu se refera doar la sufixul domeniului (first level suffix)
      Ce ziceti de astea?
      https://www.godaddy.com/ssl/ssl-certificates-config.aspx?origin=pod&plan=ssl_std_3_5
      Verificarea ca certificatul e emis de Badici se face la fel ca ca si in cazul celorlalte, prin instalarea certificatului autoritatii respective. Aditional, pot mentine si eu pe site-ul meu CRL-ul si certificatul CA-ului. Evident, vorbesc de o autoritate restransa la cei cu care lucrez, nu ma refer la site-uri destinate publicului larg . Tendinta e de a ma forta sa cumpar certificate pentru task-uri unde nu se justifica.
      Exista si CA-uri publice gratuite precum http://www.selso.com/ din cate am vazut destul de popular in Franta. Daca poti avea sau nu incredere in ele… e dificil de zis pentru ca depinde de utilizare.

      • Domnule, nu o sa va emita nimeni un certificat care sa fie valabil pentru *.ro
        Daca va emite, vreau sa-l vad si eu.
        Si verificare se face intr-adevar prin instalarea lantului, insa exista asa numitele „root certificates”, alea care sunt in browsere. Alea nu mai trebuie instalate nicaieri ca vin browserele cu ele. Orice certificate emise sub ierarhiile alea, „sunt bune”, daca indeplinesc niste conditii (nu sunt revocate, nu sunt expirate, au extensiile care trebuie, etc.)
        Ori pentru badici, trebuie instalat acel certificat de „root” pe toate masinile pe care vreti sa se valideze un certificat de server.
        Dumneavoastra ati punctat niste probleme tehnice (unele false) mergand in sfera comerciala.
        Intr-adevar, exista servicii care emit aceste certificate in mod gratuit, avand in vedere tendinta de a se migra inspre criptarea comunicatiilor.
        Ce trebuie sa stiti dvs este ca o autoritate „hapsana” nu confirma decat faptul ca dumneavoastra sunteti badici (prin hartiile pe care le prezentati) ca detineti domeniul „badici.ro” (tot prin hartii) si certificatul ala contine o cheie publica (cheia privata o generati dvs, deci problema cu increderea in cine a emis certificatul e falsa ).
        Uitati-va un pic peste WebTrust for CA, si auditurile pe care trebuie sa le treaca un CA ca sa ajunga un certificat de root in browser sa vedeti acolo ce costuri sunt. Dupa aia vorbim de cine isi permite sa ofere aceste certificate gratis.

        Cat priveste autoritatea dvs personala, evident ca puteti sa faceti asta (si eu tot asa fac) insa nu puteti avea pretentia ca eu care intru pe site-ul dvs, si care nu am ierarhia emisa de CA-ul dvs sa am incredere ca am ajuns unde trebuie. Poate sunt pe site-ul unui hacker din afganistan care a decis el sa emita certificate pentru http://www.badici.ro. Se poate, nu?

        • Daca cititi raspunsul anterior o sa vedeti ca nu spun nici eu altceva. Sigur ca se poate ca un hacker afgan sa cumpere domeniul badici.ro ( ma rog, asta e luat :) ) si poate chiar cumpara de la verisign un certificat, pentru ca pentru certificatele obisnuite nu se cere cazierul. Nu stiu la extended verification ce se face exact dar se fac niste verificari, am cumparat recent pentru cineva unul si a durat cam o saptamana ( nu m-au verificat pe mine ci pe client, evident)
          Problema mea este ca dvs sa fiti corect informat: de ex: „ati intrat pe un site securizat cu certificatul lui Mihai Badici. CA-ul respectiv nu figureaza in root certificates deci daca nu aveti incredere in acesta parasiti navigarea”.
          Dvs care nu imi sunteti client probabil ca va veti opri aici; clientii mei ar trebui sa aiba incredere sau cel mult sa ma sune. Dar cand ii afisezi mesaje de genul celui dat de Chrome ( l-am postat intr-un alt raspuns dar puteti verifica personal) cam care credeti ca va fi reactia clientului? Pe mine ma suna periodic cate unul speriat ca cineva vea sa ii fure banii, asa zice Chrome.

          Cat despre certificatele wildcard, cel putin acum vreo doi ani stiu sigur ca se vindeau; la o cautare simpla nu le-am mai gasit, dar am gasit „certificatele care securizeza peste 100 de domenii” din link-ul atasat. Cata incredere aveti dvs intr-un site de pe un server care securizeaza peste 100 de site-uri cu un singur certificat? Si totusi, browserul nu va comenta in acest caz.

        • La postarea articolului, editorul a „pierdut” link-ul la politica de inregistrare ca trusted root ca la mozilla pe care o dadusem ca exemplu. Am observat acum si am remediat, propozitia respectiva nu avea nici un sens fara link. Avand link-ul veti intelege ca stiu despre ce vorbesc; o data depasit acest aspect veti intelege ca nici nu vreau sa iau locul root CA-urilor, nici sa sustin ca sunt mai sigur decat ei ci doar punctez un aspect care mi se pare „unfair”. L-as asemana cu lupta micilor producatori cu cei globali: cei mari se folosesc de forta „supermarketurilor” pentru a-i sufoca pe cei mici.

LĂSAȚI UN MESAJ

Vă rugăm să introduceți comentariul dvs.!
Introduceți aici numele dvs.

Autor

Mihai Badici
Mihai Badici
Absolvent al Facultății de Electronică si Telecomunicații București ( 1991) Administrator de sistem cu peste zece ani de experiență cu specializari in sisteme de stocare si securitatea datelor. De asemenea a absolvit in 1996 Facultatea de Litere la Universitatea Bucuresti. In prezent, consultant IT independent, colaboreaza pe mai multe proiecte legate de infrastructura de date.

Sprijiniți proiectul Contributors.ro

Pagini

Carti noi

 

Cu acest volum, Mirel Bănică revine la mai vechile sale preocupări și teme de cercetare legate de relația dintre religie și modernitate, de înțelegerea și descrierea modului în care societatea românească se raportează la religie, în special la ortodoxie. Ideea sa călăuzitoare este că prin monahismul românesc de după 1990 putem înțelege mai bine fenomenul religios contemporan, în măsura în care monahismul constituie o ilustrare exemplară a tensiunii dintre creștinism și lumea actuală, precum și a permanentei reconfigurări a raportului de putere dintre ele.
Poarta de acces aleasă pentru a pătrunde în lumea mănăstirilor o reprezintă ceea ce denumim generic „economia monastică”. Autorul vizitează astfel cu precădere mănăstirile românești care s-au remarcat prin produsele lor medicinale, alimentare, cosmetice, textile... Cumpara cartea de aici

Carti noi

În ciuda repetatelor avertismente venite de la Casa Albă, invazia Ucrainei de către Rusia a șocat întreaga comunitate internațională. De ce a declanșat Putin războiul – și de ce s-a derulat acesta în modalități neimaginabile până acum? Ucrainenii au reușit să țină piept unei forte militare superioare, Occidentul s-a unit, în vreme ce Rusia a devenit tot mai izolată în lume.
Cartea de față relatează istoria exhaustivă a acestui conflict – originile, evoluția și consecințele deja evidente – sau posibile în viitor – ale acestuia. Cumpara volumul de aici

 

Carti

După ce cucerește cea de-a Doua Romă, inima Imperiului Bizantin, în 1453, Mahomed II își adaugă titlul de cezar: otomanii se consideră de-acum descendenții Romei. În imperiul lor, toleranța religioasă era o realitate cu mult înainte ca Occidentul să fi învățat această lecție. Amanunte aici

 
„Chiar dacă războiul va mai dura, soarta lui este decisă. E greu de imaginat vreun scenariu plauzibil în care Rusia iese învingătoare. Sunt tot mai multe semne că sfârşitul regimului Putin se apropie. Am putea asista însă la un proces îndelungat, cu convulsii majore, care să modifice radical evoluţiile istorice în spaţiul eurasiatic. În centrul acestor evoluţii, rămâne Rusia, o ţară uriaşă, cu un regim hibrid, între autoritarism electoral şi dictatură autentică. În ultimele luni, în Rusia a avut loc o pierdere uriaşă de capital uman. 
Cumpara cartea

 

 

Esential HotNews

contributors.ro

Contributors.ro este intr-o permanenta cautare de autori care pot da valoare adaugata dezbaterii publice. Semnaturile noi sunt binevenite cata vreme respecta regulile de baza ale site-ului. Incurajam dezbaterea relaxata, bazata pe forta argumentelor.
Contact: editor[at]contributors.ro