https://opennet.ru/openforum/vsluhforumID3/112109.html Разработчики Mozilla утвердили (https://blog.mozilla.org/security/2017/08/30/removing-disabled-wosign-startcom-certificates-firefox-58/) план полного прекращения доверия к сертификатам, выданным удостоверяющими центрами WoSign и StartCom (ранее были заблокированы только сертификаты, выданные после 21 октября 2016 года). В ноябре будет корневые сертификаты WoSign и StartCom будут удалены из состава NSS (Network Security Services). Изменение будет применено в Firefox 58, намеченном на январь 2018 года.<br><br><br>Напомним, что аналогичное решение в прошлом месяце было принято (https://www.opennet.ru/opennews/art.shtml?num=46823) разработчиками Chrome. Доверие к сертификатам WoSign и StartCom будет прекращено начиная с выпуска Chrome 61, который ожидается в середине сентября. Параллельно разработчиками Chrome и Firefox рассматривается вопрос (https://www.opennet.ru/opennews/art.shtml?num=46941) прекращения доверия к корневым сертификатам удостоверяющего центра Symantec, который в итоге был продан (https://www.opennet https://opennet.ru/openforum/vsluhforumID3/112109.html#42 Sat, 02 Sep 2017 07:07:44 GMT папаня?!<br><br> https://opennet.ru/openforum/vsluhforumID3/112109.html#41 Fri, 01 Sep 2017 20:54:26 GMT Если такой умный &#8212; поддерживай свой список доверенных корневых сертификатов сам, никто тебе это делать не запрещает.<br> https://opennet.ru/openforum/vsluhforumID3/112109.html#40 Fri, 01 Sep 2017 18:28:02 GMT &gt;&gt; Забавно, что не нашлось никого желающего подписать старткомовский CA своим (как это <br>&gt;&gt; делали для летсхакёсайт в свое время). У всех все схвачено, или <br>&gt;&gt; "когда они пришли за евреями - я молчал"?<br>&gt; А для чего?<br><br>чтобы оставить мозилу и гугля с %ем.<br>&gt; Какую проблему это могло бы решить легче, чем просто покупка нового сертифимката? <br><br>нельзя купить новый сертификат CA. Надо дать денег совершенно откровенным п-сам, получить от них формальный одобрямс что мафии уплочено, и на коленях ползти умолять мазилу добавить теперь тебя в списки. Поэтому Честный Ахмед так и сидит без CA.<br><br>Но можно, если ты - сам CA, и твой сертификат имеет такие разрешения (у комоды это так) подписать своим сертификатом любой другой. И он, волшебным образом, становится ничуть не хуже любого из trusted списка (по сути, превращаясь в intermediate).<br><br>Именно так долгое время работал letsencrypt - мазила торговалась.<br><br><br> https://opennet.ru/openforum/vsluhforumID3/112109.html#39 Fri, 01 Sep 2017 18:22:00 GMT &gt; Я писал о том, что у рандомного пльзователя, наткнувшегося на такой сайт<br><br>рандомному пользователю абсолютно _все_равно_ - наткнулся он на сайт с забаненым, self-signed или неведомой CA сертификатом - "перед глазами" в новых-модных браузерах у него ровно две кнопочки - "анестезиолог, срочно, введите котиков!" и "полиция!".<br><br>Чтобы увидеть какие-то еще варианты, требуются действия, рандомному пользователю совершенно недоступные, да еще и сопровождаемые угрожающими надписями, что его прям щас поимеют злобные хакеры, ФСБ и ФБР разом.<br><br> https://opennet.ru/openforum/vsluhforumID3/112109.html#37 Fri, 01 Sep 2017 16:05:47 GMT &gt; Забавно, что не нашлось никого желающего подписать старткомовский CA своим (как это <br>&gt; делали для летсхакёсайт в свое время). У всех все схвачено, или <br>&gt; "когда они пришли за евреями - я молчал"?<br><br>А для чего?<br>Какую проблему это могло бы решить легче, чем просто покупка нового сертифимката?<br> https://opennet.ru/openforum/vsluhforumID3/112109.html#36 Fri, 01 Sep 2017 16:03:25 GMT Мне не нужна эта инструкция.<br>Я писал о том, что у рандомного пльзователя, наткнувшегося на такой сайт, нет перед глазами никаких кнопочек, нажав которые он может продолжить использоваие сайта с неугодным браузеру сертификатом.<br><br>&gt;[оверквотинг удален]<br>&gt; разумеется, будет untrusted, добавить его вручную правильней, чем добавлять CA. К <br>&gt; тому же у меня вчера ночью протух последний стартовский сертификат из <br>&gt; "неблокируемой" серии, а я его получал уже совсем-совсем в последние дни. <br>&gt; То есть сайтов с подобными сертификатами уже не должно было остаться <br>&gt; в любом случае, или они на днях буквально накроются.<br>&gt; (сейчас стартssl редиректит на стартком, перевыпустить старый серт невозможно, а про стартком <br>&gt; CA знает только MSIE) <br>&gt; Забавно, что не нашлось никого желающего подписать старткомовский CA своим (как это <br>&gt; делали для летсхакёсайт в свое время). У всех все схвачено, или <br>&gt; "когда они пришли за евреями - я молчал"?<br><br> https://opennet.ru/openforum/vsluhforumID3/112109.html#35 Fri, 01 Sep 2017 12:11:57 GMT &gt; То есть ты не знаешь, ни как именно осуществляется перезапуск, ни что <br>&gt; для отправки сигналов процессу тоже нужны привилегии.<br><br>что характерно - те же самые. В общем, что один осилятор, осилил недумая запустить левый скрипт от рута, что второй, думающий что сильно круче, он же аж другой скрипт запускает, не ведая, что творит.<br><br>Уровень грамотности околонулевой, зато пафоса полные штаны. Типикал для юзеров летскенкрипта, ага.<br><br>(а во внутренней сети они даже на ssl не потратились - зачем, так же ж удобнее, любому дятлу, установившему сниффер)<br><br> https://opennet.ru/openforum/vsluhforumID3/112109.html#34 Fri, 01 Sep 2017 12:05:04 GMT &gt; Ага, ненавязчиво предопреждать, что у тебя дыра в безопасности (или, вернее, твоя <br><br>да, очень ненавязчиво - например, сайт открыть, но неработающий.<br>Потому что, внезапно, с тех самых пор как всплывающий диалог заменили идиотской страницей (заметьте - во всех браузерах разом) браузеру стало вообще негде тебя предупредить, что он не хочет загружать css. Или js. Потому что они берутся из cdn/сабдомена/еще чего-то, а оно им, видите ли, не понравилось.<br><br>Ну или, на крайняк - выдать вместо сайта непонятную ни одному нормальному пользователю страницу с хитро спрятанной возможностью все же заставить продолжить работу (причем на кнопке надо написать любую муру, кроме этой).<br><br>&gt; безопасность в полной ... э ... дыре), и при этом продолжать <br>&gt; черепыжить тебя в эту дыру. Я бы на месте разрабов вообще <br><br>скажи, барашек-истеричка - ты сам-то хотя бы раз в жизни видел на самом деле существующий вредоносный сайт, пользующийся поддельным/перехваченным сертификатом?<br><br>А то я вот ни одного - а идиотской провокационной с https://opennet.ru/openforum/vsluhforumID3/112109.html#33 Fri, 01 Sep 2017 11:58:37 GMT &gt; Какого хрена браузер указывает мне, кому я не должен доверять??<br><br>подчиняйся, раб!<br><br>&gt; Его функция - послушно открывать страницы, которые я указал в поле "адрес". Максимум, <br>&gt; что разрешаю<br><br>разрешать ты будешь своему браузеру. А этот - НАШ. И разрешать ему будем мы.<br>