The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В Chrome и Firefox будет прекращено доверие к удостоверяющему центру Symantec

29.07.2017 09:19

Компания Google приняла решение прекратить доверие к сертификатам удостоверяющего центра Symantec в браузерах Chrome и Chromium в связи с проблемами в организации работы инфраструктуры, нарушениями при подготовке отчётности и злоупотреблениями, которые привели к выдаче сертификатов уровня EV (Extended Validation) без требуемых проверок. В настоящее время Mozilla также рассматривает вопрос утраты доверия к Symantec, но решение ещё не принято.

Напомним, что Symantec в 2010 году за 1.28 млрд долларов приобрёл бизнес аутентификации у компании VeriSign и стал одним из крупнейших удостоверяющих центров (около 14% всех сертификатов в мире). Для того, чтобы сгладить последствия прекращения доверия к сертификатам Symantec и предоставить пользователям время обновить свои сертификаты, разработчики Chrome пошли на компромисс и согласились провести процесс поэтапно, дав Symantec возможность перестроить свои организационные процессы, устранить проблемы в инфраструктуре и перейти на новые корневые сертификаты.

Первый этап прекращения доверия запланирован на выпуск Chrome 66, релиз которого ожидается 17 апреля 2018 года. На первом этапе будет утрачено доверие к сертификатам Symantec, выписанным до 1 июня 2016 года. Следует отметить, что в Mozilla обсуждается предложение по применению первого этапа блокировки, начиная с 1 декабря 2017 года, т.е. на четыре месяца раньше, но, скорее всего, окончательно будет утверждена дата близкая к апрелю 2018 года. Google также рассматривал возможность блокировки в октябрьском и декабрьском выпусках Chrome 62 и 63, но отложил блокировку до Chrome 66, приняв во внимание пожелания отрасли.

Полное прекращение поддержки сертификатов Symantec ожидается в Chrome 70 (запланирован на 23 октября 2018 года). Mozilla планирует полностью прекратить доверие к сертификатам Symantec в Firefox 63 (16 октября 2018) или 64 (27 ноября 2018). Для избежания проблем, сайтам, имеющим сертификаты Symantec, рекомендуется не затягивать с обновлением сертификата. Утрата доверия также затронет сертификаты удостоверяющих центров GeoTrust, Thawte и RapidSSL, которые были связаны цепочкой доверия с корневым сертификатом Symantec.

Что касается компании Symantec, то она чтобы сохранить бизнес на плаву и продолжить выдачу сертификатов под своим именем, согласилась с 1 декабря 2017 года ввести в строй новый процесс выдачи сертификатов, при котором компания не будет иметь своего корневого сертификата и будет выступать агентом другого удостоверяющего центра, выполняя роль SubCA (Subordinate Certificate Authority), работающего под внешним контролем (Managed CA). Сертификаты Symantec, выданные после 1 декабря 2017 года, не будут подпадать под блокировку и продолжат работу в Chrome 70.

В дальнейшем Symantec сможет параллельно провести полную реструктуризацию своей инфраструктуры, устранив слабые места в текущей цепочке взаимодействия с подчинёнными организациями и партнёрами, которым делегированы права выдачи сертификатов. Symantec также не исключает возможность продажи подразделения, занимающегося выдачей сертификатов.

  1. Главная ссылка к новости (https://groups.google.com/foru...)
  2. OpenNews: Google предупредил о скором прекращении доверия ко всем сертификатам WoSign и StartCom
  3. OpenNews: Уязвимость в удостоверяющем центре Comodo позволила получить сертификат для чужого домена
  4. OpenNews: Mozilla перестаёт доверять новым сертификатам WoSign и StartCom
  5. OpenNews: Поставлена под сомнение валидность 30 тысяч HTTPS-сертификатов удостоверяющего центра Symantec
  6. OpenNews: Уязвимость удостоверяющего центра StartSSL позволяла получить сертификат для чужого домена
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/46941-cert
Ключевые слова: cert, chrome, firefox, symantec
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (45) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Анонис (?), 09:26, 29/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    У гугла какие-то двойные стандарты
     
     
  • 2.2, A.Stahl (ok), 09:36, 29/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    С чего бы это? У Симантека есть миллиард. Может и несколько, а у меня нихрена нет. Ну и кто будет послан в Р'льех?
     
  • 2.3, Neandertalets (ok), 09:37, 29/07/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Бизнес, ничего личного (С)
     
     
  • 3.24, Аноним (-), 15:59, 29/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Бизнес, которым ты занимаешься и методы, которыми в нем пользуются - это очень даже личное.
     
     
  • 4.25, Neandertalets (ok), 16:10, 29/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Бизнес, которым ты занимаешься и методы, которыми в нем пользуются - это
    > очень даже личное.

       К себе самому - да. К другим - "ничего личного".

     
     
  • 5.27, Аноним (-), 16:38, 29/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    С такой формулировкой согласен.
     
  • 2.7, qq (??), 11:05, 29/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    То есть сейчас, им сказали, что они не правильно работаеют, через год у них отберут права, а то что они навыдают сейчас (когда не правильно работают или с 1 декабря) продолжит работать.

    В чем смысл, кэп, ай нид хэлп.

     
     
  • 3.13, Crazy Alex (ok), 12:56, 29/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В том, что разом поломать 14% всех мировых сертификатов (а это сотни миллионов) - это существенно печальнее, чем всё, что они смогут навыдавать. Поэтому сайтам даётся время на миграцию.
     
     
  • 4.44, Аноним (-), 09:32, 01/08/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    За это гугл могут запросто антимонопольно поделить на части :)
     
  • 2.23, Аноним (-), 15:56, 29/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Стандарт всегда один и определяется он ответной реакцией, которую можно получить. Даже гопник не станет быковать, если знает, что получит в морду.
     

  • 1.4, Аноним (-), 10:05, 29/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –11 +/
    Небось отказались выпускать левые серты для местного министерства любви и попали в немилость.
     
     
  • 2.5, Аноним (-), 10:11, 29/07/2017 [^] [^^] [^^^] [ответить]  
  • +14 +/
    Как раз-таки их прижимают за возможность выдачи левых сертификатов без проверок.
     
     
  • 3.37, Аноним (-), 10:14, 30/07/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Это ж в какой стране за такие Патриотические Акты дозволено кого-то зажимать? Чепухи-то не мели
     
  • 2.6, Аноним (-), 10:12, 29/07/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Никаких левых! Для министерства любви Symantec выпускает только настоящие сертификаты!

     

  • 1.8, бедный буратино (ok), 11:07, 29/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    а Петя Нортон ещё жив?
     
     
  • 2.9, A.Stahl (ok), 11:12, 29/07/2017 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Ты так говоришь, как будто он в первую мировую австралийцам орудия на кораблях настраивал. Он не очень-то и старый.
     
     
  • 3.19, Аноним (-), 14:49, 29/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Австрийцам?
     
     
  • 4.20, Аноним (-), 14:56, 29/07/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Австралийцы победили в первой мировой. Учите историю!
     

  • 1.10, Аноним (-), 11:46, 29/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Все, к чему прикасается симантек, превращается в... В общем, такой Мидас наоборот.
     
     
  • 2.12, A.Stahl (ok), 12:30, 29/07/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >Мидас наоборот

    Превращает куски металла, интересного лишь химикам, электронщикам и бабам, в широчайший ассортимент полезных изделий?

     
     
  • 3.26, Аноним (-), 16:17, 29/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    В полезное удобрение.
     
  • 3.39, элвис жив (?), 03:47, 31/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Любит народ широчайший ассортимент полезных изделий.
     

  • 1.11, mimocrocodile (?), 12:03, 29/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    В конце останется только один^W два: комода и летсэнкрипт
     
     
  • 2.34, пох (?), 22:49, 29/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    один, зачем там комода.
    А Честный Ахмед так и сидит без CA.

     

  • 1.14, Аноним (-), 13:03, 29/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    комоду тоже скоро прижмут - у них не такая большая доля рынка CA-crt.
    и тут, внимание, на сцену выйдет CA-G00GLE, лол. ну или им подконтрольная система.
    Яблочная компания тоже запилит свой СА, но  в золотистой обертке, и очень дорого, и очень мало функций.

    "кто владеет браузерами - тот владеет миром".

     
     
  • 2.15, A.Stahl (ok), 13:32, 29/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Разработчики Lynx: Подайте на пропитание скромным владыкам мира...
     
     
  • 3.17, Аноним (-), 14:12, 29/07/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это не владыки мира, это такие партизаны с кремниевым мушкетом.
     
     
  • 4.21, A.Stahl (ok), 14:58, 29/07/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну... это... кремневым. Это микросхемы кремниевые (кремний это элемент такой), а мушкеты кремневые (кремень это минерал такой)
     
     
  • 5.41, Аноним (-), 13:36, 31/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Он игру слов заюзал же.
     

  • 1.16, Аноним (-), 14:06, 29/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    с одной стороны - оно хорошо, что кто то обращает внимание на злоупотребления. С другой - напрягает то, что заинтересованному лицу (гуглу) принадлежит самый популярный браузер, что, в теории, позволяет ему быковать абсолютно кого угодно в сфере веба (а мозилла, по традиции, будет поддерживать). Антимонополистов на них нет
     
     
  • 2.18, A.Stahl (ok), 14:36, 29/07/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >Антимонополистов на них нет

    Это шикарный бизнес-план -- быковать на огромные компании, а когда они начнут возмущаться, то жаловаться антимонопольщикам.

     

  • 1.22, бедный буратино (ok), 15:23, 29/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    в моих осях сертификаты определяют дистростроители
     
     
  • 2.29, Ivan_83 (ok), 18:19, 29/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ну давай, расскажи нам про пакет ca_root_nss где nss это либа мазиллы.
     
     
  • 3.30, бедный буратино (ok), 18:38, 29/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ну давай, расскажи нам про пакет ca_root_nss где nss это либа мазиллы.

    у неё уже закрыли код?

     
     
  • 4.31, Аноним (-), 19:05, 29/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А ты уже много софта переписал? Или тебя весь софт устраивает?
     
  • 4.35, Ivan_83 (ok), 02:11, 30/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Это я к тому, что набор сертификатов в твоей ОС определяет мазилла и те кто за ними стоит.
     

  • 1.28, Ivan_83 (ok), 18:18, 29/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Очередная PR компания в стиле: смотри какие мы правильные, даже своих гигантов гнобим защищая ваши секреты.
    По факту и симантек продолжит жить, а кто с симатнтека будет свалить наверняка побежит опять же в ихний летсенкрипт, который явно сговорчивее...
     
     
  • 2.36, qsdg (ok), 02:37, 30/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Да не, просто симантек спалил свой корневой сертификат. Удивительно почему раньше не отобрали, ведь уже скомпрометировано всё.
     

  • 1.33, Аноним (-), 22:37, 29/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    где пруфы, зин?
    где примеры поддельных сертификатов?
    примеры ev сертов с левыми данными и т.д. и т.п.
    что за гопстайл такой
     
  • 1.40, Аноним (-), 08:24, 31/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А потом LetsEncrypt сделает свои сертификаты платными и админы с настроенными HSTS сделают "ку!"
     
  • 1.42, Аноним (-), 09:27, 01/08/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    lego.com как они могли??? Нелюди.
     
  • 1.43, Аноним (-), 09:29, 01/08/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ответный шаг, symantec в своих антивирусах блокирует напрочь рекламные площадки гугла и аналитику в целях защиты пользователей от слежения и показа им рекламы :)
     
  • 1.45, ALex_hha (ok), 12:15, 31/08/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Ответный шаг, symantec в своих антивирусах блокирует напрочь рекламные площадки гугла и
    > аналитику в целях защиты пользователей от слежения и показа им рекламы
    > :)

    напугал ежа голой жопой. Их антивирусом пользуется 3 колеки, так что не вилики потери

     
     
  • 2.46, Andrey Mitrofanov (?), 12:27, 31/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >>symantec в своих антивирусах блокирует
    > напугал ежа голой жопой. Их антивирусом пользуется 3 колеки, так что не
    > вилики потери

    Не! Толпа скандирует: "Роскомнадзор! Фаталити!!" Надо [I]больше[/I] блокировок[I]!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру