The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В Firefox 58 будет прекращено доверие ко всем сертификатам WoSign и StartCom

31.08.2017 09:36

Разработчики Mozilla утвердили план полного прекращения доверия к сертификатам, выданным удостоверяющими центрами WoSign и StartCom (ранее были заблокированы только сертификаты, выданные после 21 октября 2016 года). В ноябре корневые сертификаты WoSign и StartCom будут удалены из состава NSS (Network Security Services). Изменение будет применено в Firefox 58, намеченном на январь 2018 года.

Напомним, что аналогичное решение в прошлом месяце было принято разработчиками Chrome. Доверие к сертификатам WoSign и StartCom будет прекращено начиная с выпуска Chrome 61, который ожидается в середине сентября. Параллельно разработчиками Chrome и Firefox рассматривается вопрос прекращения доверия к корневым сертификатам удостоверяющего центра Symantec, который в итоге был продан компании DigiCert.

  1. Главная ссылка к новости (https://blog.mozilla.org/secur...)
  2. OpenNews: Google предупредил о скором прекращении доверия ко всем сертификатам WoSign и StartCom
  3. OpenNews: Google и Apple присоединились к блокировке сертификатов WoSign и StartCom
  4. OpenNews: Mozilla перестаёт доверять новым сертификатам WoSign и StartCom
  5. OpenNews: Mozilla обсуждает прекращение доверия к удостоверяющему центру WoSign
  6. OpenNews: В Chrome и Firefox будет прекращено доверие к удостоверяющему центру Symantec
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/47106-wosign
Ключевые слова: wosign, firefox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (37) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, A.Stahl (ok), 09:54, 31/08/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >WoSign и StartCom

    В таких новостях было бы любопытно иметь список широкоизвестных сайтов, которые используют такие сертификаты. А то, может, все уже с них перешли и сами УЦ существуют лишь формально на бумаге не выдавая более сертификатов.

     
     
  • 2.2, X4asd (ok), 10:06, 31/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > В таких новостях было бы любопытно иметь список широкоизвестных сайтов, которые используют такие сертификаты

    не важно что там было на момент написания новости -- сразу после новости уж наверняка все перейдут...

    > А то, может, все уже с них перешли и сами УЦ существуют лишь формально на бумаге не выдавая более сертификатов.

    а вот к существованию на бумаге -- ещё надо добавить фальшивые сертификаты. то есть так и писать: "существуют только на бумаге, не щитая фальшивые сертификаты"

     
     
  • 3.5, _hide_ (ok), 10:32, 31/08/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ну вот теперь все догадываются, что не нужно вводить никаких законов и никаких Роскомнадзоров - достаточно отозвать сертификат - и сайт тютю.
    А с простым HTTP скоро тоже покончат (начнут пугать пользователей сайтов). Про то, что вернуться с HTTPs обратно не просто - я вообще молчу  (браузер сайт открывать не будет).
    Добро пожаловать, О дивный новый мир, Мы так ждали, грезили и боялись, а ты сам пришел.

    Я к чему эту всю истерику: старые сайты, которые, по глупости владельцев, использовали HTTPs теперь стали недоступны из хрома (алгоритмы старые). А кто-то говорил "сеть помнит все"... Эту проблему уже решили в Google - теперь без него очень мало что можно найти, потому что сайты, без поддержки, работают крайне малый срок (10-15 лет - это максимум), а с HTTPs-ом можно срок сократить до нескольких лет. А если старого сайта нет - милости просим в поиск, который Вам подскажет за кого голосовать и что покупать.

     
     
  • 4.6, Alexey (??), 11:17, 31/08/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет, просто придется сделать два дополнительных нажатия, чтобы зайти на сайт. В отличие от полной блокировки.
     
     
  • 5.9, пох (?), 12:46, 31/08/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Нет, просто придется сделать два дополнительных нажатия, чтобы зайти на сайт.

    это тебе. обычный пользователь, к сожалению, пожмет плечами и закроет непонятное окошко.

    > В отличие от полной блокировки.

    боюсь, ты недалеко ушел от обычного пользователя - "полная блокировка" представляла собой галочку в настройках, и да, ее можно было вручную сбросить.

     
     
  • 6.19, Аноним (-), 18:26, 31/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ты заблуждаешься.
    Никаких кнопочек для входа на сайт с заблокированным сертификатом startcom нет ни в фаерфрксе ни в хроме.
    Не говоря уже о входе на сайт с выкинутыми из-за компрометации протоколами и алгоритмами шифрования.
     
     
  • 7.21, пох (?), 20:13, 31/08/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Никаких кнопочек для входа на сайт с заблокированным сертификатом startcom нет ни в
    > фаерфрксе ни в хроме.

    открываем диалог с настройками. Ищем advanced или как там его. Идем в certificates, ищем там "заблокированный" startssl CA (он в "authorities"), тычем в edit trust, возвращаем на место все три галочки, проверяем sub-certs на предмет тех же галочек. Опционально ищем его в хостах, но вроде такого мазила не позволяла себе.
    Спрашиваем себя, какого хрена выбирали профессию, связанную с компьютерами, если вам нужна эта инструкция, а не вы можете ее сами придумать.

    Ну или апгрейдим фуфлофокс до 58, там все за нас сделано, сайт, разумеется, будет untrusted, добавить его вручную правильней, чем добавлять CA. К тому же у меня вчера ночью протух последний стартовский сертификат из "неблокируемой" серии, а я его получал уже совсем-совсем в последние дни. То есть сайтов с подобными сертификатами уже не должно было остаться в любом случае, или они на днях буквально накроются.
    (сейчас стартssl редиректит на стартком, перевыпустить старый серт невозможно, а про стартком CA знает только MSIE)

    Забавно, что не нашлось никого желающего подписать старткомовский CA своим (как это делали для летсхакёсайт в свое время). У всех все схвачено, или "когда они пришли за евреями - я молчал"?

     
     
  • 8.36, Аноним (-), 19:03, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Мне не нужна эта инструкция Я писал о том, что у рандомного пльзователя, наткну... текст свёрнут, показать
     
     
  • 9.39, пох (?), 21:22, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    рандомному пользователю абсолютно _все_равно_ - наткнулся он на сайт с забаненым... текст свёрнут, показать
     
  • 8.37, Аноним (-), 19:05, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А для чего Какую проблему это могло бы решить легче, чем просто покупка нового ... текст свёрнут, показать
     
     
  • 9.40, пох (?), 21:28, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    чтобы оставить мозилу и гугля с ем нельзя купить новый сертификат CA Надо дат... текст свёрнут, показать
     
  • 4.7, xxxx (??), 12:19, 31/08/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    таблетки выпить забыл?
     
  • 4.12, GG (ok), 15:06, 31/08/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Очередной неасилятор автоматизировать обновление сертификатов.

    100% гoвносайтов из твоего примера это гoвносайты на гoвнохостингах.
    И работают они именно потому, что гoвнохостинг никуда не сдыхает и продолжает обновлять и поддерживать инфраструктуру.

    А ты — просто безграмотное криворукое гoвно, которое не смогло настроить https на своём гoвнохостинге. Лучше бы вместо введение общества в заблуждение осилил бы маны прочитать наконец.

     
     
  • 5.13, нах (?), 15:32, 31/08/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Очередной неасилятор автоматизировать обновление сертификатов.

    очередной осилятор запустить чужие неизвестно кем и как сделанные скрипты, тащащие на твой сайт чужие untrusted-данные (осилятор же не слышал о бесконечных remote exec в *ssl при наличии таковых) без твоего личного контроля. И напоследок - делающие эти операции от рута или его эквивалента. Ман он прочитал, ага - "как каждому барану не напрягая межушный ганглий нахаляву получить свой сертификат".
    Причем подписанные кем-то, кому доверия нет ни на ломанный грош. "Зато бебебебебезопастно!"

    Ну чо, неосиляторы - го платить комоде - там, хотя бы, не нужны автоматические скрипты, запускающиеся раз в три дня, и можно доверять _серфтификату_, если умеешь (а для незамутненных сознаний все еще остается робкая надежда, что комоде ты неинтересен, а купить ее слишком дорого выйдет).

     
     
  • 6.18, KonstantinB (ok), 17:15, 31/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Как будто кто-то заставляет пользоваться certbot-ом.

    Вот, например: https://github.com/lukas2511/dehydrated

    Обычный шелл-скрипт, достаточно небольшой, чтобы изучить при желании целиком. Рут не нужен, можно запускать в изолированной среде.

     
     
  • 7.22, пох (?), 20:24, 31/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Как будто кто-то заставляет пользоваться certbot-ом.

    а какая разница? Там и там у тебя скрипты, а не ты, тащат критичную вещь из сомнительного источника, на полном автопилоте (потому что следить за этим заманаешься и плюнешь).

    > Обычный шелл-скрипт, достаточно небольшой, чтобы изучить при желании целиком. Рут не
    > нужен,

    нужны права на перезапуск веб-сервера, чтобы он перечитал сертификат. "Рут ненужен" - в смысле, если у меня есть такие права, на большинстве систем я уже и так все имею, что хочу, поскольку раз ты закрыл это ssl'ем, значит именно оно и представляет тут ценность.

    Ну и отдельная песня - что будет, если вместо сертификата сервер в один непрекрасный день прочитает какую-нибудь пакость.

    До кучи - лишаешься возможности защитить ключ паролем, поскольку вводить его тоже некому.

    В общем, на всех серверах, где ценность содержимого (или репутации) превышает $80, лучше уж отдать эти $80 комоду. Да, тоже помойка, но недешевая помойка, поэтому за копейку не продастся.


     
     
  • 8.26, KonstantinB (ok), 21:51, 31/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Что, правда Аж перезапуск А я сингал просто отправляю Самописный сервер на но... текст свёрнут, показать
     
     
  • 9.27, angra (ok), 00:49, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    То есть ты не знаешь, ни как именно осуществляется перезапуск, ни что для отправ... текст свёрнут, показать
     
     
  • 10.31, KonstantinB (ok), 07:11, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Это с чего вы взяли С привилегиями вообще нерелевантно, какое отношение это им... текст свёрнут, показать
     
  • 10.35, пох (?), 15:11, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    что характерно - те же самые В общем, что один осилятор, осилил недумая запусти... текст свёрнут, показать
     
  • 2.3, Ilya Indigo (ok), 10:11, 31/08/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вам, как минимум, понадобится знание китайского, в противном случае для Вас это будет выглядеть как бессмысленная простыня из иероглифов.
     
     
  • 3.4, A.Stahl (ok), 10:22, 31/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ну это уже мои проблемы. Хотя, раз уж такое дело, то можно было бы и указать, что эти УЦ работали в основном с китайскими потребителями. Это поумерило бы любопытство.
     
     
  • 4.8, пох (?), 12:45, 31/08/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Хотя, раз уж такое дело, то можно было бы и указать, что эти УЦ работали в основном с
    > китайскими потребителями.

    чушь. Они работали с любыми потребителями, не желавшими платить три-пять сотен долларов за синенькую кляксу, и выдавали им сертификаты, которым можно было доверять - потому что те не менялись раз в неделю. Именно это и надо было уничтожить, ну а задно обеспечить себе простую и легкую возможность установки бэкдоров в любой веб-сервер, кроме, конечно, оплативших. Впрочем, что-что там с симантеком?

     

  • 1.10, Аноним (-), 13:20, 31/08/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Следующая новость: компания, владеющая 90% рынком сертификатов SSL, приобретает WoSign и StartCom
     
     
  • 2.11, пох (?), 13:31, 31/08/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Следующая новость: компания, владеющая 90% рынком сертификатов SSL, приобретает WoSign и
    > StartCom

    зачем? Они уже приобрели всех их коммерческих пользователей, не заплатив за это ни копейки.

    А некоммерческих "приобрел" летсхакюсайт или как там его.

     
     
  • 3.14, Аноним (-), 15:38, 31/08/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сначала позволили WoSign и прочим "ныне неугодным" набрать  пользователей, сняли с них стружку самую "сочную", а потом решили запретить этот самый WoSign  чтобы забрать всех клиентов  себе. Все ок, так и надо работать.
    Учитесь делать деньги, товарищи... :D
     
     
  • 4.15, Аноним (-), 15:40, 31/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >  а потом решили запретить этот самый WoSign
    >  чтобы На халяву забрать всех клиентов  себе.

    Fixed.

     
     
  • 5.24, Комод (?), 20:28, 31/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >>  а потом решили запретить этот самый WoSign
    >>  чтобы На халяву забрать всех клиентов  себе.
    > Fixed.

    чего это вот "на халяву"? Мы так не договаривались - платите и нам $400 за синенькое с зелененьким, нам -то что с того, что вы уже китайцу заплатил?


     
     
  • 6.29, Аноним (-), 04:24, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно же на халяву для себя, а не для пользователей.
     
  • 3.16, key (??), 16:17, 31/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    а что не так с лестенкриптом?
    Можно пруфы на небезопасность?
     
     
  • 4.20, Аноним (-), 18:55, 31/08/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты что, это ж главный местный эксперт! Ему надо верить на слово.
     
  • 4.23, пох (?), 20:26, 31/08/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > а что не так с лестенкриптом?

    я уже даже тут трижды перечислял, что с ним "не так".

     
     
  • 5.28, Аноним (-), 03:45, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    он о пруфах спрашивал, а не в четвертый раз повторить параноидальные фантазии.
     

  • 1.25, Аноним (-), 20:51, 31/08/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Какого хрена браузер указывает мне, кому я не должен доверять??

    Его функция - послушно открывать страницы, которые я указал в поле "адрес". Максимум, что разрешаю - ненавязчиво предупредить в уголке, что сертификат мол "по моему мнению ненадёжный".

     
     
  • 2.30, Какаянахренразница (ok), 05:33, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Максимум, что разрешаю - ненавязчиво предупредить в уголке, что сертификат
    > мол "по моему мнению ненадёжный".

    Ага, ненавязчиво предопреждать, что у тебя дыра в безопасности (или, вернее, твоя безопасность в полной ... э ... дыре), и при этом продолжать черепыжить тебя в эту дыру. Я бы на месте разрабов вообще писал: "Этот вебсайт опасен. Мы не будем устанавливать с ним соединение. Хочешь смотреть такие сайты -- скачай себе эксплорер и оставь нас в покое."

     
     
  • 3.34, гмозилла (?), 15:05, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ага, ненавязчиво предопреждать, что у тебя дыра в безопасности (или, вернее, твоя

    да, очень ненавязчиво - например, сайт открыть, но неработающий.
    Потому что, внезапно, с тех самых пор как всплывающий диалог заменили идиотской страницей (заметьте - во всех браузерах разом) браузеру стало вообще негде тебя предупредить, что он не хочет загружать css. Или js. Потому что они берутся из cdn/сабдомена/еще чего-то, а оно им, видите ли, не понравилось.

    Ну или, на крайняк - выдать вместо сайта непонятную ни одному нормальному пользователю страницу с хитро спрятанной возможностью все же заставить продолжить работу (причем на кнопке надо написать любую муру, кроме этой).

    > безопасность в полной ... э ... дыре), и при этом продолжать
    > черепыжить тебя в эту дыру. Я бы на месте разрабов вообще

    скажи, барашек-истеричка - ты сам-то хотя бы раз в жизни видел на самом деле существующий вредоносный сайт, пользующийся поддельным/перехваченным сертификатом?

    А то я вот ни одного - а идиотской провокационной страницей любуюсь - каждый день десятки раз.

    > писал: "Этот вебсайт опасен. Мы не будем устанавливать с ним соединение.

    причем писать так про любой вообще сайт, отличный от гугля, факбука и подконтрольных mailru, правильно, одобряю. Нахрен не надо даже и сертификаты проверять.

    > Хочешь смотреть такие сайты -- скачай себе эксплорер и оставь нас
    > в покое."

    зато бебебебезопасно, да.

     
  • 2.32, Владимир Путин (?), 10:31, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Иди своей маме пожалуйся зачем она тебе указывала как себя вести в детстве.
     
     
  • 3.42, Аноним (-), 10:07, 02/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    папаня?!

     
  • 2.33, гмозилла (?), 14:58, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Какого хрена браузер указывает мне, кому я не должен доверять??

    подчиняйся, раб!

    > Его функция - послушно открывать страницы, которые я указал в поле "адрес". Максимум,
    > что разрешаю

    разрешать ты будешь своему браузеру. А этот - НАШ. И разрешать ему будем мы.

     
  • 2.41, Аноним (-), 23:54, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Если такой умный — поддерживай свой список доверенных корневых сертификатов сам, никто тебе это делать не запрещает.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру