URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 108955
[ Назад ]
Исходное сообщение
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено opennews , 30-Авг-16 22:58 
Уязвимость в WoSign, одном из крупнейших китайских удостоверяющих центров, позволила (http://www.percya.com/2016/08/chinese-ca-wosign-faces-revoca...) злоумышленникам получить корректно заверенные сертификации для многих известных сайтов, допускающих размещение пользовательской информации на поддоменах. В частности, удалось выписать фиктивные сертификаты для сайтов GitHub (https://www.google.com/transparencyreport/https/ct/#domain=g...),  Microsoft (https://www.google.com/transparencyreport/https/ct/#domain=c...) и Alibaba (https://www.google.com/transparencyreport/https/ct/#domain=a...).

Проблема вызвана недоработкой в системе верификации заявки. Для получения сертификата WoSign следует подтвердить владение сайтом, для чего достаточно разместить на сайте специально предоставленный проверочный ключ. Суть уязвимости, что злоумышленник может запросить сертификат для поддомена и заодно получить сертификат на основной домен, подтвердив лишь контроль над поддоменом. Например, имея возможность размещения информации на сайте test.github.io можно получить сертификат и для github.io.

При анализе последствий уязвимости выявлено 33 сертификата, выписанных для основных доменов на основе верификации через поддомен. Примечательно, что о наличии уязвимости  WoSign было сообщено ещё 14 месяцев назад и до сих пор проблема остаётся неисправленной. Более того, лишь часть полученных подобным путём сертификатов отозваны, а остальные WoSign соглашается отозвать только после заявки владельца домена. Игнорирование требований устранить уязвимость привело к обсуждению (https://groups.google.com/forum/#!topic/mozilla.dev.security...) разработчиками Mozilla возможности исключения WoSign из поставляемого в Firefox хранилища корневых сертификатов. Решение пока не принято, но большинство участников обсуждения уже высказались за блокировку.


URL: http://www.percya.com/2016/08/chinese-ca-wosign-faces-revoca...
Новость: https://www.opennet.ru/opennews/art.shtml?num=45049

Содержание
Сообщения в этом обсуждении
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено sabakka , 30-Авг-16 22:58 
"Примечательно, что о наличии уязвимости WoSign было сообщено ещё 14 месяцев назад и до сих пор проблема остаётся неисправленной. Более того, лишь часть полученных подобным путём сертификатов отозваны"

что они там курят-то эти китаёзы?

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 31-Авг-16 00:05 
> то они там курят-то эти китаёзы?

Бамбук же!

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 30-Авг-16 23:04 
Удаляют правильно, нафиг такое раздолбайство в трастах держать. На опеннете может перехать на что-то другое, например LetsEncrypt? А то тут, неожиданно, тоже WowSign.
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 30-Авг-16 23:31 
Только самоподписанный сертификат. Только хардкор.
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 31-Авг-16 09:05 
Хорошо бы чтобы они и к американским удостоверяющим центрам так же относились. Потому что сейчас китайцев-раздолбаев банят на раз, а про штатовские центры потрындят и забудут.

Демократия-съ

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 31-Авг-16 21:57 
Вот кстати да, комоду давно надо было гнать тряпками.
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено t28 , 31-Авг-16 10:37 
> Удаляют правильно

В том то и дело, что не удаляют, а ограничиваются deep concern-ами.

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Anon43210 , 31-Авг-16 20:08 
Удивляюсь, что так долго ждали: 14 месяцев.
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 01-Сен-16 20:04 
> Удивляюсь, что так долго ждали: 14 месяцев.

Ты хоть когда-нибудь работал в коллективе свыше 50 чел? Не в Рога-И-Копыта-Инкорпорейтед?

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 31-Авг-16 22:00 
Я с Восайном попрощался еще год назад, как появился ЛетсЭнкрипт!
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено S.Atahl , 30-Авг-16 23:19 
то оперу хакнули то этих теперь. Небось обвал цен на рис у кетайцев
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Crazy Alex , 30-Авг-16 23:40 
Ну а пока - напоминаю, можно и ручками вынести у себя
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено anonymous , 31-Авг-16 00:35 
Запилите man плз, я ленивое #%#%@#@ и, думаю, ряд анонов тоже.

[сообщение отредактировано модератором]

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Crazy Alex , 31-Авг-16 01:03 
Seamonkey:

Edit - Preferences - Privacy and Security - Certificates. Кнопка Manage Certificates. Долистываем в конец, видим раздел WoSign, для каждого подпункта в нём: тыкаем на подпункт чтобы выбрать, тыкаем кнопку Delete or Distrust внизу, в открывшемся окошке выбираем пункт (обычно он там один), тыкаем Ok

Pale Moon:

edit - Preferences - Advanced - Certificates, кнопка View Certificates. Долистываем в конец, видим раздел WoSign, для каждого подпункта в нём: тыкаем на подпункт чтобы выбрать, тыкаем кнопку Delete or Distrust внизу, в открывшемся окошке тыкаем Ok

Больше никаких браузеров под рукой нет, у кого хромиум - могут добавить.

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 31-Авг-16 03:01 
Есть смысл ставить Seamonkey на OS X?
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Crazy Alex , 31-Авг-16 03:28 
Откровенно говоря, его и на линукс ставить нет большого смысла, сижу потому что почтовик его я тоже использую, и он так жрёт существенно меньше, чем thunderbird + pale moon по отдельности. Плюс у меня довольно специфичные настройки - uMatrix, NoScript + uMatrix рубят всё, что можно и нельзя (т.е джаваскрипт почти нигде не включён и страницы сильно обрезаны), и куча вкладок, для которой памяти жалко. А так -  сотня вкладок + почтовик - 1 гиг virt, 700M res.

Но вообще - SeaMonkey подтупывает на джаваскрипте. Pale Moon существенно быстрее - уж не знаю, почему, но разница очень заметна.

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Crazy Alex , 31-Авг-16 03:32 
Да. ещё одна особенность - сборщик Pale Moon наотрез отказывается поддерживать в нём MSE. В SeaMonkey же оно есть.
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Другой анон , 31-Авг-16 06:40 
Это как он отказывается? В альфе уже завезли.
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Crazy Alex , 31-Авг-16 13:47 
Хм, не знал. Он ругался на форуме, что это извращение (и здесь он прав), которого в Pale Moon не будет.
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено iPony , 31-Авг-16 10:10 
Об этих полтора фурфагах как-то смешно говорить в тоне "наотрез".
Они вчера так, а завтра уже так. Естественно они идут следом с отставанием от фурифокса.
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 31-Авг-16 11:24 
... тыкаем кнопку Delete or Distrust внизу, в открывшемся окошке тыкаем Ok
Нажимаем View Certificates. Долистываем в конец, видим раздел WoSign, всё удалённое на месте, как было.
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Crazy Alex , 31-Авг-16 13:59 
Покопал - не всё так страшно.

Встроенные сертификаты не убиваются, но у них отбирается доверие (что, по факту, то же самое). НО. Требуется рестарт браузера чтобы изменения вступили в силу.

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено vantoo , 31-Авг-16 13:45 
Подскажите, действительно ли Pale Moon работает заметно быстрее Firefox-а? Есть смысл переходить на него?
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Crazy Alex , 31-Авг-16 14:01 
Из моего опыта - да, быстрее, на сайтах вроде Amazon очень заметно. А в seamonkey морда приятнее :-)
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Zampolit , 31-Авг-16 21:01 
Жрет существенно меньше оперативки и быстрее грузит страницы.
Одно НО имеются проблемы с работой некоторых сайтов. Например невозможно залогиниться на хабре.
Palemoon x64 ос Win7 x64
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 01-Сен-16 09:16 
Обычное ленивое ;%№% и не размещает на этих сайтах ничего. Всем до одного места, пока любимый банк клиент не хакнут.
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено ано , 31-Авг-16 09:29 
Пользуясь случаем..
А можно сделать белый список корневых сертификатов? Тормозилла и хромиум.

И ещё чтобы синхронизация этих сертификатов меж браузерами была. Но не было автоматического выкачивания из интернетов, только руками.

Было бы неплохо ещё у нужных сайтов запоминать сертификаты, кем и кому выданы и т.д. и при изменении громко возмущаться

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Crazy Alex , 31-Авг-16 14:07 
Насчёт синхронизации - теоретически можно, хромиум использует гномовское хранилище, файрфокс - см. cert8.db и key3.db (Berkeley db) в профиле. Но после обновления сертификатов явно придётся файрфокс перезапускать.

Для "запоминания" (pinning) - http://patrol.psyced.org/

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Crazy Alex , 31-Авг-16 14:09 
Ага, для файрфокса: https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NS...
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено t , 31-Авг-16 00:06 
WoSign - на деле единственный, кто сейчас выдавал сертификаты бесплатно, да ещё на три года. startssl скатился в нечто совсем дурное. Поэтому и opennet в том числе, и куча других ресурсов (включая, тот что в зоне моей ответственности) используют сертификаты от китайцев.
Новость удручающая. Китайцы как обычно - раздолбаи.
Менять сертификаты нет желания :-(
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено X2asd , 31-Авг-16 00:11 
> Менять сертификаты нет желания

Ну запили тогда скрипт, который будет это делать за тебя (каждые 60 дней)

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено xm , 31-Авг-16 01:18 
>> Менять сертификаты нет желания
> Ну запили тогда скрипт, который будет это делать за тебя (каждые 60
> дней)

Да там даже и скрипта не надо - официальный клиент всё умеет.
Типа certbot renew && service www restart по крону раз в неделю.

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 31-Авг-16 00:53 
Letsencrypt же. Один раз засетапил и забыл.

Официальный клиент, конечно, у них стремный и тянет ненужное, но он и не нужен, есть прекрасная альтернатива на bash:
https://github.com/lukas2511/letsencrypt.sh

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено xm , 31-Авг-16 01:15 
Да кроме python и некоторых библиотек ничего и не тянет, собственно.
Но pure shell кошернее, конечно.
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Ergil , 31-Авг-16 04:37 
Помимо python и шелла там еще гора вариантов, надо заметить, вплоть до работы через луашку в openresty, которая вообще дает автоматическое генерение сертификатов самим веб-сервером, один раз настроил и забыл, при чем настраивается и возможность генерения при первом обращении к домену(у меня так на одном из доменов слушается *.domain.tld и отвечается, а при первом обращении получается сертификат).

При этом сам я, после долгого перебора имеющихся средств остановился на https://github.com/hlandau/acme, в качестве основного, а openresty остался там, где именно он и используется, не возникло желания все nginx'ы на него менять.

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 31-Авг-16 15:06 
Мне не нравится идея делать из nginx-а апач. (Ну или systemd).

При вменяемой раскладке конфигурации нет никаких проблем с получением списка серверов шелл-скриптом в пару строк. Если в конфигурацию добавляем ручками, запустить еще один скрипт перед service nginx reload не проблема, если автоматически генерируем - так там же, после генерации, его и дергать.

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено rob pike , 31-Авг-16 16:50 
> Мне не нравится идея делать из nginx-а апач

Никому не нравится. Но что делать, если на Апач все забили давно и основательно.

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 31-Авг-16 22:02 
nginx прекрасен декларативностью и очевидностью конфига, модуль rewrite - ошибка юности, которую Сысоев сам признает.

А почему забили? mod_perl работать перестал разве?

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено rob pike , 01-Сен-16 01:17 
Игорь вместе с этим советует побольше копипастить и ничего никогда не реюзать.
Так что к его советам стоит относиться с уважением за заслуги, но и только.

Забили потому что его уже почти никто из тех кто мог бы что-то починить, улучшить, или хотя бы внятно зарепортить баг, не использует.

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 01-Сен-16 15:27 
Копипастить лучше, чем разгребать приоритеты в апаче: копипасту можно заменить генерацией конфигов по шаблонам, а конфликтующие Location/Directory/LocationMatch с наследованием разгребать - только ручками и с матом.
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Ergil , 31-Авг-16 19:33 
Анон, ты не понимаешь, что я о возможности слушать *.domain.tld и получать автоматом сертификат при обращении к ЛЮБОМУ домену третьего уровня на автомате? И моментальный корректный ответ с валидным сертификатом. Как ты это планируешь реализовать что-то где-то читая?
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 31-Авг-16 21:51 
Прям вообще к любому?

А если я на твой сервачок запущу что-то такое:

while :; do curl -I https://1.2.3.4/ -H Host:$(cat /dev/urandom | tr -dc 'a-zA-Z0-9' | head -c $(($RANDOM / 512 + 1))).domain.tld; done

через сколько минут он сломается? :-)

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Ergil , 31-Авг-16 23:00 
Про ограничения на стороне nginx и iptables на количество коннектов анон не подумал? Ну и про то, что еще нужно знать куда идти, ага.
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 01-Сен-16 15:32 
> Про ограничения на стороне nginx и iptables на количество коннектов анон не
> подумал?

Если кому-то понадобится - могут и через список проксей, или вообще ботнетом.

В 99% случаев известно событие, по которому добавляется субдомен - на уровне приложения или базы данных. Сделать там событие/триггер, по которому субдомен добавляется в очередь, гораздо безопаснее, а сложнее это совсем чуть.

> Ну и про то, что еще нужно знать куда идти, ага.

Ну, если в твоем случае принцип неуловимого Джо работает, то сойдет, ага.

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 31-Авг-16 13:51 
А нафига мне python на веб-фронтенде, где кроме nginx ничего нет?
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 01-Сен-16 05:16 
скоро и там понадобится, не сглазьте ;)
вона уже и в bind и в netfilter c nft - бидон тянут и в даже в ядра управление ажно(один из экспериментальных вариантов modultils :)
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Past , 01-Сен-16 11:25 
Если не нравится питон используйте letsencrypt.sh, например.
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 01-Сен-16 15:41 
> А нафига мне python на веб-фронтенде, где кроме nginx ничего нет?

у меня его там тоже нет, а серты есть. Магия!

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Я , 31-Авг-16 15:24 
Извращение это. Вместо нормального сертификата лазающий в интернеты скрипт.
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено winadmin , 31-Авг-16 09:30 
летсэнкрипт.
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 31-Авг-16 02:26 
Надо не обсуждать, а отзывать, и как можно быстрее.
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Crazy Alex , 31-Авг-16 03:29 
С Comodo вообще не собрались...
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 31-Авг-16 08:37 
Комодо — свободный демократический уц, выпускающий левые серты во славу либеральных ценностей, а этот ваш восигн — тоталитарный конкурент, небось ещё и с химическим оружием.
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Crazy Alex , 31-Авг-16 14:11 
Кстати, в этом есть доля истины - в том плане, что аудитить комодо куда как проще.
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 31-Авг-16 05:01 
Пока они думают в это время идут векторы аттак.
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено iCat , 31-Авг-16 06:15 
Да вообще пора ликвидировать такой дырявый институт как "доверенные удостоверяющие центры"!
Коррупция, разгильдяйство и недобросовестность разрушили всю идею доверия. И "замочек" в строке браузера уже ни о чём серьёзном не говорят.
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 31-Авг-16 08:37 
> Да вообще пора ликвидировать такой дырявый институт как "доверенные удостоверяющие центры"!
> Коррупция, разгильдяйство и недобросовестность разрушили всю идею доверия. И "замочек"
> в строке браузера уже ни о чём серьёзном не говорят.

что тебе мешает управлять доверием своего браузера, болезный?

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Crazy Alex , 31-Авг-16 14:12 
И на что заменить? Ну хотя бы чтобы соседский Вася трафик не смотрел и это не требовало никаких действий от пользователя?
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 31-Авг-16 16:57 
Заменить на Namecoin и *.bit домены.
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Crazy Alex , 31-Авг-16 18:07 
Ну разве что. Но там до промышленного применения совсем далеко.
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено iCat , 01-Сен-16 02:00 
> И на что заменить? Ну хотя бы чтобы соседский Вася трафик не
> смотрел и это не требовало никаких действий от пользователя?

Вот сейчас при всём разнообразии и изобилии "доверенных удостоверяющих центров" пресловутый соседский Вася трафик смотрит, да ещё и посмеивается над всеми этими индикаторами защищённости...
Это не беспокоит?

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 01-Сен-16 20:08 
>> И на что заменить? Ну хотя бы чтобы соседский Вася трафик не
>> смотрел и это не требовало никаких действий от пользователя?
> Вот сейчас при всём разнообразии и изобилии "доверенных удостоверяющих центров" пресловутый
> соседский Вася трафик смотрит, да ещё и посмеивается над всеми этими
> индикаторами защищённости...
> Это не беспокоит?

Иллюзия безопасности хуже отсутствия безопасности (с) Брюс

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 08-Июл-17 12:48 
Больной совсем?
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 31-Авг-16 07:17 
Вроде как везде написано, что сертификаты очень серьезное дело и потому странно что не убрали из доверенных в первый же день
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 31-Авг-16 08:41 
Они любят себе пихать радуги и всякие вещи в одно место перед выпиливанием.
Brendan Eich не одобряет.
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено CHERTS , 31-Авг-16 09:59 
Как у какого-нибудь COMODO или другого УЦ выдача левым людям сертификатов, дак все шито крыто, это случайно мы для google.com выдали сертификаты васе пупкину, он чисто поиграться их взял, не не не, никаких MITM не будет.
А как WoSign то, да, нужно удалить, они же китайцы, да еще прямые конкуренты LetsEncrypt, а кто у нас крышует LetsEncrypt, всем известно!
В ж..у этот LetsEncrypt с их 3-х месячными сертификатами, поставил от WoSign на 3 года и забыл про это как страшный сон.
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 31-Авг-16 13:48 
ты шоле руками серты letsencrypt обслуживал? лучше в ж..у эту жизнь, лежи дома на печи и забудь всё как страшный сон
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено rob pike , 31-Авг-16 16:52 
> а кто у нас крышует LetsEncrypt, всем известно

Ротшильды или Рокфеллеры?

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 01-Сен-16 05:17 
>> а кто у нас крышует LetsEncrypt, всем известно
> Ротшильды или Рокфеллеры?

рептилоиды.
рептилоиды, бро.
и мертвые с косаме - вдоль дорог стоят. русыми.

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено t28 , 31-Авг-16 10:35 
> привело к обсуждению разработчиками Mozilla возможности исключения
> WoSign из поставляемого в Firefox хранилища корневых сертификатов.
> Решение пока не принято

Deep concern.

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Andrey Mitrofanov , 31-Авг-16 11:51 
> Deep

https://duckduckgo.com/?q=certificate-authority+deep-packet-... О-о! Глубже.

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Анончег , 31-Авг-16 12:56 
Кто юзает этот треш, когда есть Let's Encrypt?
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено sorrymak , 31-Авг-16 19:40 
Я юзаю.
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 31-Авг-16 21:54 
И это печально...
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Ilya Indigo , 01-Сен-16 17:49 
Я тоже использую, как и админ этого сайта, и много других вэб-разработчиков и админов некоммерческих проектов.
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Анончег , 31-Авг-16 12:57 
Тем более доверять безопасность китаезам, с какой стати?
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Ilya Indigo , 01-Сен-16 17:50 
> Тем более доверять безопасность китаезам, с какой стати?

Ну конечно же, только пендосам и супермену, куда да них китайцам?

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Анончег , 31-Авг-16 12:58 
Мне во всей этой истории непонятно, какого ляда Мозилла ждала целый год.
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Анончег , 31-Авг-16 12:59 
Я вообще не понимаю как люди жили до появления Let's Encrypt, это была катастрофа!
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 31-Авг-16 13:49 
> Я вообще не понимаю как люди жили до появления Let's Encrypt, это
> была катастрофа!

копошились руками в восигне и старттлсе, а если было лень — пользовались самодельными сертами

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Crazy Alex , 31-Авг-16 15:14 
Ничего, через пару лет будут все подобное как страшный сон вспоминать
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено rob pike , 31-Авг-16 16:54 
Как сейчас вспоминают хардверную защиту от buffer overflow в Burroughs B5000 1961 года?
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Crazy Alex , 31-Авг-16 18:02 
Нет. Эту хрень никто даже не помнит.
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено rob pike , 31-Авг-16 20:30 
Это ведь довольно странно. Каждый день публикуют очередные эксплойты, 90% которых именно buffer overflow, и никто не помнит. А ведь могли бы радоваться каждый день, что прогресс, хардверной защиты нет, эксплойты на каждом шагу, счастье наступило, не то что при царском режиме.
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено angra , 31-Авг-16 20:38 
Еще в 80186 добавили инструкцию bound для проверки выхода за границы массива и что изменилось от наличия такой хардварной проверки?
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено angra , 31-Авг-16 19:32 
Поделись, чем этот факт тебя так впечатлил, что ты носишься с ним из треда в тред как дурак с писаной торбой?
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено rob pike , 31-Авг-16 20:31 
Отпишись и не читай.
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено angra , 31-Авг-16 20:42 
А по существу ответить слабо?
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 01-Сен-16 05:18 
> Как сейчас вспоминают хардверную защиту от buffer overflow в Burroughs B5000 1961
> года?

судя по темпам внедрения NXP/DEP во всех архитектурах по Power, Sparc и hitach, r500, включительно - вполне позитивно смотрят =)

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Ilya Indigo , 01-Сен-16 17:53 
> Я вообще не понимаю как люди жили до появления Let's Encrypt, это
> была катастрофа!

Ты не поверишь, или вообще не использовали https, или использовали само подписанные сертификаты на 10 лет.

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Crazy Alex , 02-Сен-16 01:35 
Ну, то есть хреново жили
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Ilya Indigo , 02-Сен-16 19:59 
> Ну, то есть хреново жили

Хреново было, когда не было nic.ua и pp.ua, и зарегистрировать бесплатный домен в зоне org.ua было очень геморно и почти нереально. И от провайдера получить реальник было геморно и дорого. А сейчас, 2 клика, смс-ка или код в телеграмме и бесплатный домен в зоне pp.ua, с бесплатным dns готов. А Триолан аж 2 реальника даёт бесплатно.
А на https было просто насрать, да и сейчас он нужен лишь для галочки, что бы пользователи видя зелёный замочек испытывали чувство защищённости. Хотя, если бы http2 работал бы без него, и input type="password" не ругался бы на его отсутствие, то срал бы на него до сих пор.
А вот если Китайцев выкинут из списка доверия, то вот теперь-то и будет хреново.
Но думаю, разбирутся, как и с Комодо.

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 31-Авг-16 15:53 
Плохо что мозилла теряет в рейтинге, браузером пользуется все меньше людей, им бы поменьше распыляться на сторонние проекты и заняться браузером...
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено rob pike , 31-Авг-16 16:55 
XUL мешает. Вот выпилят XUL, сделают всё остальное как в Chrome - тогда и займутся.
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Crazy Alex , 01-Сен-16 01:16 
Ага, гугловцы
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 02-Сен-16 10:16 
так уж-ж.
помаленьку начиная с 38 версии - выпиливают XUL покомпонентно и втаскивают Bink туда(правда форкнутый лихо).
применительно к креведке это где-то 2.11/2.12 версия, например, про тандерберд и прочие проекты(оттуда тоже XUL выпихивают но с меньшим нажимом и кое-где - решилми оставить, например в средствах для разработки веб-а).
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 31-Авг-16 18:44 
Лол. Мозилле китайцы как всегда занесут, сделают видимость устранения уязвимости, и дядя Ляо из партии и дальше будет продолжать читать вашу переписку как ни в чем ни бывало.
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 31-Авг-16 21:52 
Есть подтверждение твоим словам? Кто там заносит мозилке?
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 01-Сен-16 13:57 
А текста этой новости недостаточно?

По уму они должны были в ту же секунду обновить версию и заставить полмира валить на другой УД. Но нет, затаились, намекая, что сумма за молчание слишком маленькая.

"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено Аноним , 02-Сен-16 07:23 
Думаю всем тем, кто редко пользуется китайскими сайтами, лучше всего отключить его самим, не дожидаясь пока в Мозилле раздуплятся, и в Хроме и в IE тоже...
"Mozilla обсуждает прекращение доверия к удостоверяющему цент..."
Отправлено KonstantinNuh , 08-Май-20 10:11 
Обходились как-то до этого без всяких сертификатов, сейчас приходится бегать по всяким Хострадарам с выпученными глазами, разыскивать хостинг с дешёвым или бесплатным SSl.