https://www.opennet.ru/openforum/vsluhforumID3/109532.html Следом за Mozilla (https://www.opennet.ru/opennews/art.shtml?num=45368) компания Google объявила (https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html) о введении ограничений в отношении сертификатов, выданных удостоверяющими центрами WoSign и StartCom. Начиная с Chrome 56 сертификаты, выданные WoSign и StartCom после 21 октября 2016 года, будут помечаться как не заслуживающие доверия. Похожее решение принято (https://support.apple.com/en-us/HT204132) компанией Apple, которая начнёт помечать в iOS как небезопасные сертификаты WoSign и StartCom, выписанные после 19 сентября. <br><br><br>В ответ компания WoSign сообщила (https://www.wosign.com/english/News/announcement_about_Mozilla_Action_20161024.htm) о прекращении бесплатной выдачи сертификатов, аудите и повышению безопасности своей внутренней инфраструктуры, проведении работы по выполнению требований Mozilla и запуске процесса перехода на новые корневые сертификаты. Компания WoSign также опубликовала отчёт (https://www.wosign.com/report/WoS https://www.opennet.ru/openforum/vsluhforumID3/109532.html#53 Mon, 07 Nov 2016 12:52:36 GMT &gt;&gt; попробуйте их сделать не имея доступ до технической учетки и не имея linux на компьютере. будете сильно удивлены <br>&gt; Попробуйте их сделать вообще без компьютера и интернета!<br><br>сарказм не уместен. я владелец сайта третьего уровня, хостинг у меня. у меня нету линукса, чтобы выписывать там не понятные скрипты летс энкрипт. у меня есть только доступ до веб=директории и возможность установить сертификат, передав его админу сервера. все. не сможете. <br><br>и да, у платных сервисов вы это сможете сделать, лишь имея доступ до веб-директории сайта... и о боже, можно прям из веб-интерфейса запросить сертификат, оплатить и получить код, разместив который вы получите свой сертификат.. <br> https://www.opennet.ru/openforum/vsluhforumID3/109532.html#52 Mon, 07 Nov 2016 12:48:28 GMT &gt; попробуйте их сделать не имея доступ до технической учетки и не имея linux на компьютере. будете сильно удивлены<br><br>Попробуйте их сделать вообще без компьютера и интернета!<br> https://www.opennet.ru/openforum/vsluhforumID3/109532.html#51 Mon, 07 Nov 2016 10:38:22 GMT &gt;&gt;&gt; Гдеже теперь делать бесплатные сертификаты?<br>&gt;&gt; [шёпотом] letsencrypt <br>&gt; А чё шепотом то, даже такой ленивец как я разобрался, как их <br>&gt; делать.<br>&gt; ЭТО КАКПЕЦ КАК ПРОСТО !!!<br>&gt; Я честно говоря в приятном шоке.<br><br>попробуйте их сделать не имея доступ до технической учетки и не имея linux на компьютере. будете сильно удивлены<br> https://www.opennet.ru/openforum/vsluhforumID3/109532.html#50 Thu, 03 Nov 2016 20:10:30 GMT &gt;&gt; https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning <br>&gt;&gt; Тоже неплохо информирует пользователя.<br>&gt; Она не информирует - она заходить не даёт через соединение с внезапно <br>&gt; новым сертификатом.<br><br>И это очень неплохо информирует пользователя о MITM, не находите? :)<br> https://www.opennet.ru/openforum/vsluhforumID3/109532.html#49 Wed, 02 Nov 2016 21:28:12 GMT можно сделать, чтобы это было нетривиально. О массовой подмены, вроде корпоративной - спасёт<br> https://www.opennet.ru/openforum/vsluhforumID3/109532.html#48 Wed, 02 Nov 2016 20:01:47 GMT &gt; Только LET'S ENCRYPT.<br><br>Лучше не только, чтобы конкуренция не давала им особо расслабляться.<br> https://www.opennet.ru/openforum/vsluhforumID3/109532.html#46 Wed, 02 Nov 2016 08:01:24 GMT Есть масса протоколов отличных от HTTP(s): SIPS, SRTP, SMTP, IMAP и некоторые СУБД также могут (и будут, если это настроенно) заворачивать данные в TLS.<br> https://www.opennet.ru/openforum/vsluhforumID3/109532.html#45 Wed, 02 Nov 2016 08:01:03 GMT чувак, прекрати https переизобретать<br> https://www.opennet.ru/openforum/vsluhforumID3/109532.html#44 Wed, 02 Nov 2016 03:12:51 GMT Зачем искусственный интеллект, если MITM это целевая атака и на этапе ее подготовки присутствует естественный интеллект, которому эта задача на раз плюнуть. <br>