The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от opennews (??) on 25-Окт-16, 09:37 
Компания Mozilla предупредила (https://blog.mozilla.org/security/2016/10/24/distrusting-new.../) пользователей о скором прекращении доверия к части сертификатов одного их крупнейших китайских удостоверяющих центров WoSign, а также скрыто купленному им  удостоверяющему центру StartCom. Начиная с Firefox 51, релиз которого намечен на 24 января 2017 года, сайты, использующие сертификаты WoSign и StartCom, выписанные после 21 октября 2016 года, будут помечаться как небезопасные.


Кроме того, будет прекращено доверие к ранее выписанным задним числом сертификатам (https://bugzilla.mozilla.org/show_bug.cgi?id=1309707#c2) WoSign и StartCom, использующим цифровые подписи на базе SHA-1. В дальнейшем планируется полностью удалить завязанные на SHA-1 корневые сертификаты WoSign, но время их удаления пока не определено и может быть соотнесено с планами переводу клиентов на новые корневые сертификаты. При отсутствии действий по замене сертификатов, Mozilla оставляет за собой право удалить данные корневые сертификаты в любой момент после марта 2017 года.


Столь кардинальные меры в отношении удостоверяющих центров WoSign и StartCom приняты после выявления фактов продолжения генерации клиентских сертификатов, заверенных с использованием  алгоритма хэширования SHA-1. После того как для алгоритма SHA-1 был выявлен ускоренный метод (https://www.opennet.ru/opennews/art.shtml?num=43124) подбора коллизий, в регламентирующие деятельность удостоверяющих центров документы (https://cabforum.org/baseline-requirements-documents/) были внесены изменения, предписывавающие (https://cabforum.org/baseline-requirements/) с 1 января 2016 года полностью прекратить использование SHA-1 при создании сертификатов. WoSign и StartCom нарушили данное предписание и продолжили (https://wiki.mozilla.org/CA:WoSign_Issues#Issue_S:_Backdated...) использование SHA-1 для формирования сертификатов, выписывая их задним числом, а также игнорируя требования по окончанию срока действия подобных сертификатов.

Другим серьёзным нарушением стало получение WoSign полного контроля за другим удостоверяющим центром - StartCom, без раскрытия сведений о совершённой сделке. Mozilla требует информирования о поглощении удостоверяющих центров, но WoSign и StartCom продолжают отрицать факт поглощения, даже после демонстрации доказательств, свидетельствующих об обратном. В том числе выявлены (https://wiki.mozilla.org/CA:WoSign_Issues#Issue_V:_StartEncr...) факты использования WoSign инфраструктуры  StartCom и перекрёстному утверждению (https://wiki.mozilla.org/CA:WoSign_Issues#Cross_Signing) сертификатов.


Критике также подверглось (https://wiki.mozilla.org/CA:WoSign_Issues) отношение WoSign к обеспечению безопасности. Например, было выявлено (https://wiki.mozilla.org/CA:WoSign_Issues#Issue_X:_Unpatched...) применение в WoSign устаревших версий сетевых приложений, без надлежащей установки обновлений (используемый на DNS-сервере пакет Bind последний раз обновлялся в 2011 году и содержит 19 неисправленных уязвимостей). Кроме того, недавно были опубликованы (https://www.opennet.ru/opennews/art.shtml?num=45049) сведения об уязвимости, позволяющей получить корректно заверенные сертификации для сайтов, допускающих размещение пользовательской информации на поддоменах. Уязвимость оставалась неисправленной 14 месяцев после уведомления о проблеме и до сих пор не все полученные через эксплуатацию уязвимости сертификаты отозваны.


URL: https://blog.mozilla.org/security/2016/10/24/distrusting-new.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=45368

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +13 +/
Сообщение от Аноним (??) on 25-Окт-16, 09:37 
и это правильно
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

66. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  –15 +/
Сообщение от УставшийОтФарэфокс on 25-Окт-16, 18:56 
похоже мазила только в этом отличается
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от Нанобот (ok) on 25-Окт-16, 09:48 
>прекращает доверие

как-то это не по-русски звучит. может лучше "перестаёт доверять" или "больше не доверяет"?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +12 +/
Сообщение от Джо on 25-Окт-16, 10:58 
"В связи с утратой доверия" - во так надо по-русски
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

21. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +2 +/
Сообщение от A.Stahl (ok) on 25-Окт-16, 11:36 
Может таки "перестанет доверять"? А то "перестаёт" как-то... в процессе получается. Всё перестают и перестают, никак не перестанут:)
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

23. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +3 +/
Сообщение от тоже Аноним email(ok) on 25-Окт-16, 12:02 
"Исключает из списка доверенных" - технически верно и не ломает русский язык.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

44. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от Michael Shigorin email(ok) on 25-Окт-16, 13:15 
> Может таки "перестанет доверять"? А то "перестаёт" как-то... в процессе получается.
> Всё перестают и перестают, никак не перестанут:)

"я такая доверчивая, непредсказуемая такая..."

PS: что-то не припоминаю таких метаний MoCo по поводу всё того же Comodo, который куда как серьёзней накосячил.  Глянул быренько -- тоже не вижу.  Никто не напомнит?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

62. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +3 +/
Сообщение от KonstantinB (ok) on 25-Окт-16, 18:08 
Комода по всем законам природы должна была ещё в 2011-м проследовать туда же, куда в то же время направился DigiNotar. Полагаю, Комода всех тогда неплохо проспонсировала, и с тех пор это стало регулярной практикой.
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

4. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +7 +/
Сообщение от Нанобот (ok) on 25-Окт-16, 09:51 
т.е. https://opennet.ru скоро превратится в тыкву?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от Pinkie Pie on 25-Окт-16, 09:55 
В заголовке же написано, "к новым", не?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

74. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от fi (ok) on 25-Окт-16, 23:13 
зато далее:

> Mozilla оставляет за собой право удалить данные корневые сертификаты в любой момент после марта 2017 года.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

12. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от cvb (??) on 25-Окт-16, 10:47 
И это правильно (должна быть оценка A+):
https://www.ssllabs.com/ssltest/analyze.html?d=opennet.ru&la...

Давно пора включить HTTP/2 с TLS1.2
IPv6, DNSSEC тоже не помешает.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

95. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от xm (ok) on 26-Окт-16, 18:06 
Для А+ там HTTP/2 не нужен, а вот TLS 1.2 и набор шифров подкрутить да. Плюс HSTS для "плюса" :-)
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

53. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +1 +/
Сообщение от Sw00p aka Jerom on 25-Окт-16, 15:09 
хех в первые вижу на опёнке https )))

пс: врубите блин HSTS

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

123. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от Snaut (ok) on 07-Ноя-16, 10:18 
> хех в первые вижу на опёнке https )))
> пс: врубите блин HSTS

если включить HSTS, то в ближайшие полгода ты не сможешь перейти обратно на работу сайта по http.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

54. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +3 +/
Сообщение от Z (??) on 25-Окт-16, 15:28 
opennet.ru - WoSign

LOR - Comodo

LetsEncrypt - да ну его...

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

70. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от Аноним (??) on 25-Окт-16, 20:37 
> т.е. https://opennet.ru скоро превратится в тыкву?

А я ведь предупреждал ...
> http://mobile.opennet.ru/openforum/vsluhforumID3/109420.html#3

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

121. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от Snaut (ok) on 07-Ноя-16, 10:07 
> т.е. https://opennet.ru скоро превратится в тыкву?

Он уже давно тыква, посмотрите отчет об уязвимостях https://dev.ssllabs.com/ssltest/analyze.html?d=www.opennet.r...

он уже дыра на дыре

ну раз есть https, то почему бы хотя бы не логинить пользователей через https. нет же, авторизация по http. мрак

на сервере стоит bginx 1.0.9. выпущен, минуточку, 5 лет назад. там админ вообще супер наивный человек. поражаюсь, как еще не поломали. видимо, просто интереса никакого нет

2011-11-01    
nginx-1.0.9 stable version has been released.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

122. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от Аноним (??) on 07-Ноя-16, 10:15 
> Он уже давно тыква, посмотрите отчет об уязвимостях https://dev.ssllabs.com/ssltest/analyze.html?d=www.opennet.r...
> он уже дыра на дыре

Это не уязвимости, а настройки HTTPS. Не нужно слепо верить нагнетаемой вокруг HTTPS истерии, все эти проблемы очень специфичны и требуют колоссальных ресурсов для атаки. Того что есть более чем достаточно для защиты паролей на форуме и блокирования прослушки. Какая вам разница расшифруют ваш трафик за пол года на огромном кластере или за 1000 лет, в любом случае делать это никто не будет, так как нецелесообразно.

> нет же, авторизация по http. мрак

Вам предоставлен выбор, хотите защиты обращайтесь по HTTPS, не хотите по HTTP. Вы же предлагайте всех загнать в одно стойло и лишить возможности заходить на сайт тех, у кого заблокирован HTTPS или подменяются сертификаты.


Ответить | Правка | ^ к родителю #121 | Наверх | Cообщить модератору

124. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от Аноним (??) on 07-Ноя-16, 10:21 
> на сервере стоит bginx 1.0.9. выпущен, минуточку, 5 лет назад.

Покажите хоть одну дыру в  nginx 1.0.9, серьёзных дыр в нём не было. А вот в более новых версиях, обросших http2 и прочим кодом не из рук Сысоева не факт, что дыр меньше и найдут их в первую очередь.

Ответить | Правка | ^ к родителю #121 | Наверх | Cообщить модератору

6. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +1 +/
Сообщение от anonimous on 25-Окт-16, 09:56 
> opennet.ru
> Verified by: WoSign CA Limited

Ахахаха

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +1 +/
Сообщение от Тыквонимус on 25-Окт-16, 10:00 
Не стреляйте в тапера, он играет как умеет. Когда приспичит, переведут на вменяемое, что вы зубоскалите.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

81. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +2 +/
Сообщение от Аноним (??) on 26-Окт-16, 09:55 
Нафига на сайте размещено 100500 статей о Let's encrypt? Давайте еще форум на ASP.NET перепишем, чего уж там.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

18. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от Аноним (??) on 25-Окт-16, 10:59 
>> opennet.ru
>> Verified by: WoSign CA Limited
> Ахахаха

Там SHA-256, поэтому действия Mozilla его не накроют.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

36. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от А (??) on 25-Окт-16, 12:52 
Да ладно, Opennet доберется и прикрутить Let's Encrypt, да и все, проблема-то. Прямо по теме сайта и будет.

А вот куча народа, набравшая себе "бесплатных", но не беспалевных сертов от китайцев, они не все осилят запилить LE себе (почему-то).

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

49. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  –3 +/
Сообщение от Аноним (??) on 25-Окт-16, 13:27 
Let's Encrypt на 3 месяца выдаёт, а WoSign на три года
LE идёт лесом
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

51. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +4 +/
Сообщение от Crazy Alex (ok) on 25-Окт-16, 14:05 
Мечта тех, кто три года серве не апдейтит?
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

72. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от Sw00p aka Jerom on 25-Окт-16, 23:00 
вы во время каждого апдейта сервера отзываете сертификаты и регаете по новой ?
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

75. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +1 +/
Сообщение от Crazy Alex (ok) on 26-Окт-16, 00:21 
У меня есть инструменты для автоматизации апдейтов. И то же самое относится к сертификатам.
Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

52. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +2 +/
Сообщение от Аноним (??) on 25-Окт-16, 15:06 
А есть разница? Да хоть на неделю. Разве что вы собрались их руками обновлять...
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

73. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от Sw00p aka Jerom on 25-Окт-16, 23:04 
> А есть разница? Да хоть на неделю. Разве что вы собрались их
> руками обновлять...

а чем вы раньше обновляли ? япосмотрю как вы EV будете обновлять.

пс: ждите, скоро повалит в новостях как через ЛЕ подписывают сертификаты на чёжие домены.

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

76. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +2 +/
Сообщение от Crazy Alex (ok) on 26-Окт-16, 00:25 
Ну как бы вся идея IT  в том, чтобы переложить ручной труд на машину. А с EV - пройдёт пара лет, устаканится протокол Let's Encrypt, повыловят баги - там и поглядим. Когда-то и файлик hosts вручную между машинами тягали.

А то, что уязвимости могут быть - так ясен пень. Вот поэтому и надо подождать с серьёзным применением, как и с любыми другими новинками. Но это ж, блин, не повод хотеть вечно руками сертификаты пихать!

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

86. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от Sw00p aka Jerom on 26-Окт-16, 13:07 
По поводу автоматизации, она нужна тем у кого парк серверов, сам ЛЕ расчитан на одиночные массовые vps-ки, а что касается крупных игроков с парком серверов то им легче свой CA поднимать, чем пользоваться ЛЕ.

Пс: касаемо vps-ок, то я считаю, что каждый уважающий себя (крупный) хостер должен выдавать своим клиентам бесплатно.

Пс2: 1 раз в год - не вечность, зачем нужно было менять период валидности сертитката? Тут и всплывает возмущение, зачем нужно каждые 90 дней оюновлять его, если стандартная практика - один раз в год. Халявщиков, даже если и минута, будет устраивать, отнекиватьс автоматизацией не нужно, механизм автоматизации ЛЕ - костыль. Верификацию нужно было делать на базе днс, и толкать всех узать днссек.


Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

87. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от Crazy Alex (ok) on 26-Окт-16, 13:37 
Вот как раз на одиночных массовых впс-ках и нужна автоматизация - чтобы поднял и работало в дефолтной разумной конфигурации.

Насчёт выдачи хостером - может, было бы и неплохо, но, во-первых, это прибьёт домен к хостеру, во-вторых - этого таки нет. А летсэнкрипт - штука сторонняя.

И ещё раз - днссек заставляет доверять владельцу домена верхнего уровня. С тем, что есть сейчас - сам выбираешь иссуера.

И хоть убей не пойму - чем не нравятся 90 дней?

Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

91. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от Sw00p aka Jerom on 26-Окт-16, 17:08 
>>Вот как раз на одиночных массовых впс-ках и нужна автоматизация - чтобы поднял и работало в дефолтной разумной конфигурации.

одиночные массовые впс-ки - никак не связаны друг с другом, из вашего предложения следует - один прив ключь и разные сертификаты, как было в случае с host ключами на виртуалках )

>>это прибьёт домен к хостеру

не согласен, отказываешся от хостера - автоматом отзывается сертификат. Проблем не вижу.

>>И ещё раз - днссек заставляет доверять владельцу домена верхнего уровня. С тем, что есть сейчас - сам выбираешь иссуера.

Там обычная цепь доверия начиная от корневых, принуждение ? - думаю нет, точнее иерархия.  Про иссуера не понял.

>>И хоть убей не пойму - чем не нравятся 90 дней?

Честно скажу, я очень ждал когда всё же выйдет ЛЕ, но когда увидел весь этот их механизм - жутко не понравился, да мне удобнеей было бы завести на портальчике аккаунт, верефицировать через тот же днс владение доменом, пихнул бы в формочку свой CSR и получил бы стандартно на год валидный сертификат, мне больше ничего не нужно. А теперь посмотрим с другой стороны - имел бы смысл того же протокола ACME (или как он там называется) если бы минимальный период валидности сертификаты был бы в течении 1 года ? Нужно было бы городить костыльные баш скрипты, чтобы через год обновлять сертификат ?

пс: Я прекрасно понимаю, что ЛЕ ешё не совсем продакшен-реди, и ситуация со сроком выдачи в ближайшем будущем изменится.  

Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

101. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от xm (ok) on 26-Окт-16, 23:28 
Срок действия короток не от того, что он "не продакшн реди", а секьюрности ради.
Кроме того, они обсуждали планы по сокращению его в будущем до 30 дней.
Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

103. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от Sw00p aka Jerom on 27-Окт-16, 00:08 
>> а секьюрности ради.

уверены, что именно секурности ради? а помоему, чтобы не держать кучу отозванных сертификатов в CRL в течении года, а их будет очень много, учитывая халявность - и поголовный переход вирусописателей на https домены, а такие домены рано или поздно блокируют, соответственно их сертификаты должны отзываться.

пс: и каждые 30 дней будете менять HPKP )

Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору

104. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +1 +/
Сообщение от xm (ok) on 27-Окт-16, 00:40 
Ну так тоже секурность. :-)
> пс: и каждые 30 дней будете менять HPKP

А я и так. У меня скриптом на базе Let's Encrypt. Автоматом.

Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

118. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от Аноним email(??) on 29-Окт-16, 06:26 
А что мешает вирусописателям скриптом менять сертификаты?
Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

120. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от xm (ok) on 30-Окт-16, 21:22 
Не понял смысла вопроса в приложении к дискуссии.
Ответить | Правка | ^ к родителю #118 | Наверх | Cообщить модератору

105. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +1 +/
Сообщение от Crazy Alex (ok) on 27-Окт-16, 03:16 
С Let's Encrypt можно полностью автоматизировать всю возню с сертификатами. Поднял человек iRedMail - и автоматом шифрование для SMTP/IMAP встало. Поднял сайт - и он в дефолтной конфигурации имеет HTTP с корректным сертификатом. Вот зачем оно нужно для обычных VPS.

Выкинул хостер - а у тебя Pinning настроен, как у приличного человека - кукуй.

То же и с иссуером. Вот поймал ты CA на какой-то дряни - ушёл к другому, отозвал старый сертификат, поднял шум. Поймал на дряни RIPN - тебе, во-первых, домен придётся менять, а вторых - сделать с RIPN всё равно ничего не выйдет.

Ну и чем тебя эти скрипты ужасают вместе с коротким периодом действия - я так и не понял.

Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

78. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от Аноним (??) on 26-Окт-16, 00:56 
Lets Encrypt, если не ошибаюсь, не выдает EV-сертификаты, поэтому их не придется обновлять руками.
Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

85. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от Sw00p aka Jerom on 26-Окт-16, 12:52 
Ну ясен пень, кто знаком с EV поймет, что просто по API его не получишь, и нуно ждать 3 дня звонка. А ЛЕ просто не осилило продумать этот механизм
Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

88. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от Crazy Alex (ok) on 26-Окт-16, 13:39 
Механизм ожидания звонка? И на кой это счастье? Вообще - там, где кажется, что нужен EV, по факту нужна дополительная механика аутентификации.
Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

92. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от Sw00p aka Jerom on 26-Окт-16, 17:11 
> по факту нужна дополительная механика аутентификации.

Так и есть, всё на бумаге и официально. Они чуть ли не в налоговую службу страны звонят, чтоб убедиться в том, что вы те за кого себя выдаёте.


Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

106. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от Crazy Alex (ok) on 27-Окт-16, 03:19 
Да просто на кой оно надо? Если я крупные деньги перевожу - я и так договор со своим банком заключил и брелок с ключами имею, или ещё что. В других серьёзных ситуациях - аналогично, всегда есть ещё какие-то каналы. Никто не ведёт дела по-ерупному с рандомным Васей, найденным в гугле. А раз так - то всё, что интересует клиента - чтобы он соединялся действиельно с тем доменом, который в браузере написан. Идентификация хозяина домена происходит совершенно отдельно и до того.
Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

8. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от abi on 25-Окт-16, 10:22 
Отлично, ну и куда мигрировать? Стартком удобен был для личного почтового сервера.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +3 +/
Сообщение от noname.htm on 25-Окт-16, 10:32 
Let's Encrypt же.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +1 +/
Сообщение от abi on 25-Окт-16, 10:35 
Разве он не требует http-сервер для валидации?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от abi on 25-Окт-16, 10:36 
> Разве он не требует http-сервер для валидации?
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +1 +/
Сообщение от cvb (??) on 25-Окт-16, 10:49 
> Разве он не требует http-сервер для валидации?

Можно подтвердить владение через DNS, можно через HTTP.
А тем, кому python не по душе, а любит shell - есть https://github.com/lukas2511/dehydrated

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

19. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от Аноним (??) on 25-Окт-16, 11:03 
Неужели трудно запустить рядом с почтовым сервером и http-сервер? В Let's Encrypt он даже из коробки есть.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

25. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  –2 +/
Сообщение от angra (ok) on 25-Окт-16, 12:14 
Если у тебя нет http сервера, то какая тебе разница чему доверяет или не доверяет браузер?
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

83. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от abi on 26-Окт-16, 10:33 
Браузер - никакой разницы, но Thunderbird будет в бешенстве, да и на спамоловках наверняка накинут штрафных баллов.

Видимо, придётся внутри поднять простейший www-сервер и пробрасывать http в клетку.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

15. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +2 +/
Сообщение от Аноним (??) on 25-Окт-16, 10:57 
Корневой сертификат Let's Encrypt  только в хранилище Mozilla. В Google, Apple и MS его ещё не приняли, поэтому он держится только на кросс-сертификате от IdenTrust, т.е. полностью зависит от IdenTrust. IdenTrust может закрыться, он может быть скомпрометирован или просто отозвать кросс-сертификат. Поэтому с Let's Encrypt  не всё так хорошо как кажется.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

34. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  –1 +/
Сообщение от Аноним (??) on 25-Окт-16, 12:50 
>> IdenTrust может закрыться

Это не аргумент, поскольку он применим вообще к любому УЦ.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

45. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +3 +/
Сообщение от Michael Shigorin email(ok) on 25-Окт-16, 13:17 
>>> IdenTrust может закрыться
> Это не аргумент, поскольку он применим вообще к любому УЦ.

Это аргумент, который применим к любому УЦ.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

79. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +1 +/
Сообщение от Аноним (??) on 26-Окт-16, 00:58 
>>>> IdenTrust может закрыться
>> Это не аргумент, поскольку он применим вообще к любому УЦ.
> Это аргумент, который применим к любому УЦ.

Окей, но это не аргумент против _конкретного_ УЦ.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

37. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от А (??) on 25-Окт-16, 12:53 
С китайцами вообще ничего не хорошо, кроме того, что давали одно времени на 3 года бесплатно. Ну и покупка тайная криво выглядит, зачем они так?

> Поэтому с Let's Encrypt  не всё так хорошо как кажется.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

96. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от xm (ok) on 26-Окт-16, 18:13 
> IdenTrust может закрыться

Они будут в числе последних тогда, поскольку поддерживают инфраструктуру крупнейших мировых финансовых учреждений, а также ряда американских государственных структур.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

14. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  –5 +/
Сообщение от поледанныхотсутств on 25-Окт-16, 10:50 
Давно пора..
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  +6 +/
Сообщение от rmrm on 25-Окт-16, 10:57 
Ну что ж, картель CA успешно потопил посмевших раздавать бесплатные сертификаты "наглецов", сейчас ещё прикроют Let's Encrypt (под тем или иным предлогом, либо сам закроется), и у миллионов человек не останется никакого выхода кроме как покупать платные сертификаты. Пути миграции с HTTPS обратно на HTTP нет никакого, даже если поставить редирект - чтобы браузер не нарисовал красную страницу на весь экран, с HTTPS-стороны обязательно должен быть валидный сертификат. Возможно таким и был план с самого начала, в том числе причина запуска LE как такового. Подсадить всех на HTTPS, потом поубирать один за другим бесплатные варианты (два из трёх только что прибили одним махом), и вуаля, кол-во клиентов которым нужны серты увеличивается на порядок.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  +7 +/
Сообщение от pkdr (ok) on 25-Окт-16, 12:14 
При этом дырявый comodo мозилла что-то не хочет убирать.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

30. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  –3 +/
Сообщение от arzeth (ok) on 25-Окт-16, 12:28 
Да какой ещё тут корыстный умысел, тут обычный здравый смысл (который иногда жесток): WoSign выписывала кому попало сертификаты на любые домены, не осилили (!!!!!) настроить обновление системы по крону, скрыто купили StartCom (после чего он стал использовать инфраструктуру WoSign), 67 раз использовали SHA-1 (некоторые организации не могут обновить своё оборудование/софт, и им поэтому приходится SHA-1 использовать, поэтому эти организации заплатили китайцам), и после нахождения багов ничего не делали и отрицали несколько месяцев.

> кол-во клиентов которым нужны серты увеличивается на порядок.

Другие CA могут тоже начать выдавать серты на халяву. Опыт CloudFlare говорит, что люди любят халяву, а когда у этих халявщиков повышаются потребности, то они просто переходят на платный тариф тоже самого CloudFlare, потому что к нему привыкли.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

35. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  –1 +/
Сообщение от Аноним (??) on 25-Окт-16, 12:51 
А вести дела добросовестно - не? Или надо обязательно придерживаться принципа дядюшки Ляо - если продукт выглядит как настоящий, то этого достаточно, чтобы выйти с ним на рынок?
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

47. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  +/
Сообщение от Michael Shigorin email(ok) on 25-Окт-16, 13:21 
> А вести дела добросовестно - не?

Это в принципе не про коммерческие CA, как мне кажется.  Также не про банки и страховщиков.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

39. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  +/
Сообщение от Аноним (??) on 25-Окт-16, 12:57 
> Ну что ж, картель CA успешно потопил посмевших раздавать бесплатные сертификаты "наглецов",
> сейчас ещё прикроют Let's Encrypt (под тем или иным предлогом

Расследование всех этих инцидентов инициировала и провела сама Mozilla. А теперь они потопят свой же Let's Encrypt?

Вы там завязывайте пороть чушь с умным видом.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

48. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  +/
Сообщение от Gemorroj (ok) on 25-Окт-16, 13:26 
они топят конкурентов.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

46. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  –2 +/
Сообщение от Michael Shigorin email(ok) on 25-Окт-16, 13:20 
> Пути миграции с HTTPS обратно на HTTP нет никакого

Ну почему, самоподписанный в качестве полпожара.  Но ведь ещё на всякий HSTS подпёрли и "небезопасностью" нешифрованного соединения в браузерах (расскажите это "исключительным" спецслужбам, ага).

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

59. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  +/
Сообщение от Аноним (??) on 25-Окт-16, 16:42 
>сейчас ещё прикроют Let's Encrypt

Пусть прикрывают. Эти ребята изначально хотели всех насадить на свою систему, чтобы потом бабло вытягивать. Но, общество поняло и послало их намерия. Они от безысходности начали делать "как правильно", но было уже поздно. Так что пусть загнутся. И чем раньше, тем лучше. А китайцы, вот, молодцы, тихо, удобно, без накруток и выкрутасов стали известны на весь мир.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

93. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  –1 +/
Сообщение от нах on 26-Окт-16, 17:29 
> Ну что ж, картель CA успешно потопил посмевших раздавать бесплатные сертификаты "наглецов"

+1

> сейчас ещё прикроют Let's Encrypt

не прикроют, это член картеля. Собственно, для него и старались.

> и у миллионов человек не останется никакого выхода кроме как покупать платные сертификаты

или научиться устанавливать цепочки доверия вручную. Что и следовало сделать с самого начала.

Я, вероятно, пойду этим путем, а не установкой LE с его чудо-скриптами с двойным дном.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +4 +/
Сообщение от Аноним (??) on 25-Окт-16, 11:03 
Mozilla, как учредитель Let's Encrypt, устраняет конкурентов? Бесплатные сертификаты WoSign и StartCom значительно удоблее и не нужно раз в три месяца продлять.
Какой-то однобокий подход, в Let's Encrypt тоже были проблемы и база email пользователей утекала.
Из самого свежего https://dan.enigmabridge.com/lets-encrypts-vulnerability-as-.../
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +1 +/
Сообщение от Crazy Alex (ok) on 25-Окт-16, 12:31 
Проблемы с почтой были во времена бета-тестирования. Но если кто его собирается применять для чего-то важного в течение хотя бы года ещё - ССЗБ. Понятно, что должно пройти время и быть выловлены косяки. А так - подкрутят/пофиксят, делов-то.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

33. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  –1 +/
Сообщение от XXXasd (ok) on 25-Окт-16, 12:43 
> Mozilla, как учредитель Let's Encrypt, устраняет конкурентов?

и лучше бы устранил их всех..

(вся этп продажа воздуха -- очень вредит конечным потребителям)

..а после внедрения DNSSEC (DANE) пусть и Letsencrypt тоже устранят

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

41. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +1 +/
Сообщение от Crazy Alex (ok) on 25-Окт-16, 13:01 
DANE/DNSSEC - тупая идея. Заставляет доверять не выбранной тобой сущности, а владельцу домена верхнего уровня. Да и ключи там убогие. Единственное здравое зерно - возможность гвоздями прибить CA ещё до того, как клиент первый раз зашёл на сайт (потому что после это можно сделать через Certificate Pinning).
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

94. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от Sw00p aka Jerom on 26-Окт-16, 17:45 
> DANE/DNSSEC - тупая идея. Заставляет доверять не выбранной тобой сущности, а владельцу
> домена верхнего уровня.

Родили меня мои родители, а я им не доверяю )) Роди меня святой дух пжлста. (как указал выше там цепь доверия - иерархия, что логично)

Certificate Pinning, HSTS это всё костыли, если реализовать безопасную схему ДНС(СЕК) то всё автоматом встанет на свои места. Умрут все CA, и валидно для сайта то, что прописано у него в домене.

цитата из вики:

Принцип работы

Перед установлением безопасного соединения (HTTPS, TLS для любого поддерживающего протокола) клиент совершает ряд дополнительных DNS-запросов. В ответах на эти запросы клиенту передаются параметры сертификата или сам сертификат. При этом клиент устанавливает связь с сервером, адрес которого валидирован DNS-сервером клиента посредством DNSSEC. После открытия соединения клиент верифицирует ответ сервера при помощи имеющегося сертификата либо его цифрового отпечатка (fingerprint).

а для всего этого достаточно ввести надёжный механизм получения этих данных из ДНС, что и есть ДНССЕК.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

97. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от xm (ok) on 26-Окт-16, 18:19 
> Certificate Pinning, HSTS это всё костыли, если реализовать безопасную схему ДНС(СЕК) то всё автоматом встанет на свои места

"Смешались в кучу кони, люди..."

Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

98. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от Sw00p aka Jerom on 26-Окт-16, 21:58 
Чаво? Все сводится к вайтлистингу самого домена (hsts) и его ключа (certifiate pinning) на стороне клиента, собственно браузера, аналогия с временами hosts файла когда не было dns, а раз уж есть dns и механизм защищенной передачи данных (dnssec) почемубы не хранить сертификаты, хеши публичных ключей и всякую хрень в самом dns? Dane как раз для этого и нужен
Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

99. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от xm (ok) on 26-Окт-16, 23:03 
Я ничего против DANE не имею и даже планирую его реализовать на своих серверах в ближайшей перспективе. Однако не вижу причин автоматической аннуляции использования HSTS и HPKP, каковые уже реализованы. Последние же, как вы верно подметили, реализуются на уровне клиента.
То есть налицо ещё один уровень защиты, отнюдь не лишний.
Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

102. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от Sw00p aka Jerom on 26-Окт-16, 23:42 
>>Я ничего против DANE не имею и даже планирую его реализовать на своих серверах в ближайшей перспективе.

+100500

>>То есть налицо ещё один уровень защиты, отнюдь не лишний.

Костыли всё это. MitM всё равно можно произвести. Как в случае с HSTS так и с HPKP, главную роль тут играет "клиент в первые открывающий сайт". Инфу о 100500 сайтах вы же хранить у себя не будете.

пс: хочу закончить всю эту полемику на хорошей ноте и посоветовать всем не полениться почитать вот эту книгу и собствеенно все остальные книги сего автора Шнайер, Брюс. Прикладная криптография!!!


Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору

117. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от Аноним (??) on 28-Окт-16, 20:12 
Начать лучше таки с учебника русского языка.
Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

119. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от Sw00p aka Jerom on 29-Окт-16, 17:22 
ссылки не вижу
Ответить | Правка | ^ к родителю #117 | Наверх | Cообщить модератору

100. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от xm (ok) on 26-Окт-16, 23:16 
> DANE/DNSSEC - тупая идея. Заставляет доверять не выбранной тобой сущности, а владельцу домена верхнего уровня

А в случае с сертификатами TLS (о ужас!) заставляет доверять владельцам сертификатов более высокого уровня.
И да, прибивать CA идея хреновая, потому что, например, с его помощью (до дефекту реализации, как это случилось у WoSign и иже с ним или по злому умыслу) может выпустить левый сертификат для вашего домена.
Так что прибивать надо leaf'ы.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

107. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от Crazy Alex (ok) on 27-Окт-16, 03:27 
Вопрос в другом: Что бывает, когда ловят CA - мы знаем. Что будет, когда поймают за руку RIPN? Обычно всё же CA и владельцы доменов первого уровня сильно различаются по "весу" (Verisign - мрачное исключение).

Опять же - не надо давать держателям доменов первого уровня лишний соблазн - CA поменять просто, а в другой домен уйти - морока гораздо большая.

А что прибивать надо leaf-ы - согласен, конечно.

Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

109. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от Sw00p aka Jerom on 27-Окт-16, 12:21 
На счет CA сделали демократию, позволили любому стать CA  спокойно, зависимости в одной точке нет, что и порождает всякие неприятные и не доверительные доводы. В случае с DNS все иерархично от одного корня и вниз по дереву, что порождает обязательную цепочку доверия, любые казусы на любом уровне можно пресечь, не на корневом уровне, хотя я сталкивался с казусом когда все это произошло на одном из корневых зеркал отвечающих за мой TLD, возникает вопрос - с кого спрашивать за это? Альтернативы нет, без так называемого вакуумного доверия подругому не построиш систеиу. Как по мне лучше бы CA также организовали от одного корня,
Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

110. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от Crazy Alex (ok) on 27-Окт-16, 12:38 
Ну вот Certificate Transparency даёт возможность и спать спокойно и иметь выбор.
Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору

115. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от Sw00p aka Jerom on 27-Окт-16, 16:59 
Не будете спокойно спать, пример тому валварь вроде стакснета (пример код сайнинг сертификата). В случае с DANE можно в какойто степени спать спокойно, ибо есть централизованная иерархичная система DNS в которой буду хранится ключи, отпечатки, хеши и тд. и спокойно проверть валидность по цепочке доверия, браузеру не нужно хранить всё о всех у себя, пример тому HSTS, HPKP и тому подобные костыли, браузеру достаточно хранить root.key как в случае с DNSSEC.

И всякие Certificate Transparency созданы для тех сливок общества вроде гугла и прочих. Обычные сайты их не волнуют.

Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

50. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +3 +/
Сообщение от arzeth (ok) on 25-Окт-16, 13:48 
> Бесплатные сертификаты WoSign и StartCom значительно удоблее и не нужно раз в три месяца продлять.

Удобнее в краткосрочном плане. В долгосрочном же:
1) Можно забыть обновить серты. Люди постоянно забывают что-нибудь, даже если на почту слать письма. Let's Encrypt эту *уязвимость* (когда коммерческий сайт не доступен, деньги не появляются, следовательно это уязвимость) у Homo Sapiens Sapiens частично исправляют тем, что дают нам возможность это автоматизировать И создают нам мотивацию настроить крон.
2) Надо каждый N лет заходить на сайт CA и выкачивать серт для каждого домена. У меня 40 доменов, я же замучаюсь. А ведь ещё можно попасть в больницу/запой/армию; или интернет отключат на неделю, пока находишься в глухой деревне.
3) Наверное, это у меня такое было, но я зашёл в декабре 2015 на сайт StartCom, хотел обновить серт (за день до истечения), а авторизоваться не смог, потому что StartCom не принимал их специальный серт для авторизации (несколько браузеров пробовал и всё обгуглил), хотя раньше принимал.

> Какой-то однобокий подход, в Let's Encrypt тоже были проблемы и база email пользователей утекала.

Косяков не делает тот, кто ничего не делает. И если косяки и негигантские, и признаются, и исправляются быстро, то такому CA доверять стоит.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

71. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."  +/
Сообщение от alex53 (ok) on 25-Окт-16, 20:43 
1. Сам себе злобный буратино. startcom уведомляет об истечении сертификата за 2 недели.
2. У startcom недавно появился API. Теперь все можно скриптовать.
3. См п.1
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

22. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  +1 +/
Сообщение от mva email(??) on 25-Окт-16, 11:55 
1) утёкшая база E-mail это, всё же, не выпуск задним числом и не выпуск на чужой домен.
Согласитесь, разного порядка косяки-то

2) на самом деле, есть ещё один способ получать бесплатные сертификаты (даже вайлдкарды) подписанные GlobalSign, но я вам его не скажу, лол :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  +2 +/
Сообщение от А (??) on 25-Окт-16, 12:54 
> 1) утёкшая база E-mail это, всё же, не выпуск задним числом и
> не выпуск на чужой домен.
> Согласитесь, разного порядка косяки-то
> 2) на самом деле, есть ещё один способ получать бесплатные сертификаты (даже
> вайлдкарды) подписанные GlobalSign, но я вам его не скажу, лол :)

https://www.globalsign.com/en/ssl/ssl-open-source/ ?

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

40. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  +1 +/
Сообщение от Аноним (??) on 25-Окт-16, 12:58 
> 2) на самом деле, есть ещё один способ получать бесплатные сертификаты (даже
> вайлдкарды) подписанные GlobalSign, но я вам его не скажу, лол :)

Жадинаговядина :Ь

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  +/
Сообщение от Аноним (??) on 25-Окт-16, 12:07 
Если кто-то использует старый браузер, где он может взять списки действительных и отозванных сертификатов?
Можно ссылки?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  +/
Сообщение от Анонимус 223 on 25-Окт-16, 12:36 
В нормальных ОСях используют пакет ca-certs, а не в  каждом браузере список спискоа
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

42. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  +1 +/
Сообщение от Crazy Alex (ok) on 25-Окт-16, 13:02 
А тот же файрфокс ими пользуется в результате? Я вот смутно вспоминаю, что нет.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

57. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  +/
Сообщение от Аноним (??) on 25-Окт-16, 15:30 
> А тот же файрфокс ими пользуется в результате? Я вот смутно вспоминаю,
> что нет.

Вот, например:
https://packages.debian.org/stable/ca-certificates
Действительно, как проверить: пользуется им Firefox (Opera, Chromium) или нет?


Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

60. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  +/
Сообщение от Ergil (ok) on 25-Окт-16, 17:23 
Проверяется просто. Mozilla Firefox и его производные используют собственные встроенные списки. Chromium и его производные используют системные той системы в которой установлены.
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

64. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  +/
Сообщение от Аноним (??) on 25-Окт-16, 18:44 
Спасибо.
А если кто-то использует старый Firefox, где он может взять списки действительных и отозванных сертификатов?
Можно ссылки?
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

65. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  +/
Сообщение от Ergil (ok) on 25-Окт-16, 18:49 
> Спасибо.
> А если кто-то использует старый Firefox, где он может взять списки действительных
> и отозванных сертификатов?
> Можно ссылки?

https://wiki.mozilla.org/CA:IncludedCAs
Смотрите отсюда и там дальше по ссылкам.

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

55. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  +/
Сообщение от Аноним (??) on 25-Окт-16, 15:28 
Спасибо, нашел, например, такой:
https://packages.debian.org/stable/ca-certificates
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

116. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  +/
Сообщение от xm (ok) on 27-Окт-16, 21:41 
Вот здесь попробуйте
https://crt.sh/
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

26. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  +1 +/
Сообщение от Аноним (??) on 25-Окт-16, 12:14 
Зато в в Opera WoSign теперь будет самым доверенным. ;-)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  +3 +/
Сообщение от Какаянахренразница (ok) on 25-Окт-16, 12:22 
Наш товарищ Берия
Вышел из доверия
И товарищ Маленков
Надавал ему пинков.

© частушка

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  +1 +/
Сообщение от Аноним (??) on 25-Окт-16, 12:27 
Внедрение свободного ПО с 50-х годов?
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

43. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  –2 +/
Сообщение от tehnikpc email(ok) on 25-Окт-16, 13:06 
Так а Mozille никто не доверяет. Как перестанет тормозить, так и сразу ...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

58. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  +/
Сообщение от Аноним (??) on 25-Окт-16, 16:37 
Е-моё. Скоро Мозилла превратится в Оракл и начнет требовать бабло "чтобы в нашем броузере ваши серты были валидными". Кому какое дело откуда сертификаты, если люди, которые ими пользуются частные лица и используют их для частных нужд? Да и вообще, идиотов мозилловцы не вылечат, если человек при совершение баблосделок не проверяет сертификаты, источники, название сайта, кто, что, как, куда, зачем, то ЭТО (забота о центрах сертификации) их НЕ спасет. Как окручивали л--ов, так и будут. С вмешательством мозилловцев или без их участия.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

63. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  +2 +/
Сообщение от Аноним (??) on 25-Окт-16, 18:13 
Думаете как совок! Другие браузеры тоже внедряют прозрачную валидацию и поддерживают фонды Lets Encrypt
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

108. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  +/
Сообщение от Аноним (??) on 27-Окт-16, 11:23 
> Думаете как совок! Другие браузеры тоже внедряют прозрачную валидацию и поддерживают фонды
> Lets Encrypt

Но с аддонами они именно это и сделали - залочили все подписями, без возможности добавить свой ключ. Денег правда пока еще не требуют, но это наверное временно.

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

67. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  –5 +/
Сообщение от CHERTS email(??) on 25-Окт-16, 20:01 
Гори в аду чертова Мозилла вместе с Let's Encrypt!
WoSign единственный CA который выпускал бесплатно сертификаты > 1 года, теперь не осталось альтернатив, покупайте платные сертификаты называется.
Посмотрим что будет когда Let's Encrypt облажается и выпишет сертификат на google.com левому человеку.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

77. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  +/
Сообщение от Crazy Alex (ok) on 26-Окт-16, 00:29 
Да что будет - найдут дыру и поправят. А найдут быстро - на то есть pinning и CT.
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

113. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  +/
Сообщение от Адекват (ok) on 27-Окт-16, 15:07 
> Гори в аду чертова Мозилла вместе с Let's Encrypt!
> WoSign единственный CA который выпускал бесплатно сертификаты > 1 года, теперь не

Виновата не моззила, а WoSing.

Это как "правильный пацан", который сначала по синей лавочек отпинал прохожего (ни в чем не виноватого), а потом слезы льет, что на него дело завели. И его кореша еще к отпинаному предъявляют - ну ты че не мужик, с кем не бывает, ну отпинали тебя, у тебя поболит и пройдет, а наш кореш на зону отправиться !!

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

80. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  +/
Сообщение от FSA (??) on 26-Окт-16, 07:27 
Всё-таки я не понял, StartCom - это тот самый, что выдаёт сертификаты на StartSSL.com или нет?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

82. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  +/
Сообщение от Влад (??) on 26-Окт-16, 10:24 
Да, тот самый
Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

84. "Не все так плохо..."  +/
Сообщение от Пользователь StartSSL on 26-Окт-16, 11:29 
Они уже отреагировали, вот что в в их панели управления:
Mozilla decided to distrust all StartCom root certificates as of 21st of October, this situation will have an impact in the upcoming release of Firefox in January. StartCom will provide an interim solution soon and will replace all the issued certificates from that date in case of requested. Meanwhile StartCom is updating all their systems and will generate new root CAs as requested by Mozilla.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

111. "Не все так плохо..."  +/
Сообщение от Аноним (??) on 27-Окт-16, 14:20 
Sounds good.
Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

112. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  +1 +/
Сообщение от Аноним (??) on 27-Окт-16, 14:22 
Меня неприятно удивляет количество комментаторов, для которых важен только срок действия сертификата.

// И даже никто не посетовал о wildcard'ах...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

114. "Mozilla перестаёт доверять новым сертификатам WoSign и Start..."  +/
Сообщение от Адекват (ok) on 27-Окт-16, 15:09 
> Меня неприятно удивляет количество комментаторов, для которых важен только срок действия
> сертификата.
> // И даже никто не посетовал о wildcard'ах...

А нам это не нужно, нам нужно, чтобы на моем джаббер-сервере были валидные сертификаты на cs2 и s2s соединения. И да - обязательное межсерверное шифрование.

Ответить | Правка | ^ к родителю #112 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру