forum.opennet.ru

"Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Mozilla прекращает доверие к новым сертификатам WoSign и Sta..."	+/–
Сообщение от xm (ok), 26-Окт-16, 23:16
> DANE/DNSSEC - тупая идея. Заставляет доверять не выбранной тобой сущности, а владельцу домена верхнего уровня А в случае с сертификатами TLS (о ужас!) заставляет доверять владельцам сертификатов более высокого уровня. И да, прибивать CA идея хреновая, потому что, например, с его помощью (до дефекту реализации, как это случилось у WoSign и иже с ним или по злому умыслу) может выпустить левый сертификат для вашего домена. Так что прибивать надо leaf'ы.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Mozilla прекращает доверие к новым сертификатам WoSign и Sta..., opennews, 25-Окт-16, 09:37 [смотреть все]

и это правильно, Аноним, 25-Окт-16, 09:37 (1) //
- похоже мазила только в этом отличается, УставшийОтФарэфокс, 25-Окт-16, 18:56 (66)
как-то это не по-русски звучит может лучше перестаёт доверять или больше не , Нанобот, 25-Окт-16, 09:48 (3) //
- В связи с утратой доверия - во так надо по-русски, Джо, 25-Окт-16, 10:58 (17)
- Может таки перестанет доверять А то перестаёт как-то в процессе получает, A.Stahl, 25-Окт-16, 11:36 (21) //
  - Исключает из списка доверенных - технически верно и не ломает русский язык , тоже Аноним, 25-Окт-16, 12:02 (23)
  - я такая доверчивая, непредсказуемая такая PS что-то не припоминаю таких мет, Michael Shigorin, 25-Окт-16, 13:15 (44) //
    - Комода по всем законам природы должна была ещё в 2011-м проследовать туда же, ку, KonstantinB, 25-Окт-16, 18:08 (62)
т е https opennet ru скоро превратится в тыкву , Нанобот, 25-Окт-16, 09:51 (4) //
- В заголовке же написано, к новым , не , Pinkie Pie, 25-Окт-16, 09:55 (5) //
  - зато далее , fi, 25-Окт-16, 23:13 (74)
- И это правильно должна быть оценка A https www ssllabs com ssltest analyze , cvb, 25-Окт-16, 10:47 (12) //
  - Для А там HTTP 2 не нужен, а вот TLS 1 2 и набор шифров подкрутить да Плюс HST, xm, 26-Окт-16, 18:06 (95)
- хех в первые вижу на опёнке https пс врубите блин HSTS, Sw00p aka Jerom, 25-Окт-16, 15:09 (53) //
  - если включить HSTS, то в ближайшие полгода ты не сможешь перейти обратно на рабо, Snaut, 07-Ноя-16, 10:18 (123)
- opennet ru - WoSignLOR - ComodoLetsEncrypt - да ну его , Z, 25-Окт-16, 15:28 (54)
- А я ведь предупреждал , Аноним, 25-Окт-16, 20:37 (70)
- Он уже давно тыква, посмотрите отчет об уязвимостях https dev ssllabs com sslt, Snaut, 07-Ноя-16, 10:07 (121) //
  - Это не уязвимости, а настройки HTTPS Не нужно слепо верить нагнетаемой вокруг H, Аноним, 07-Ноя-16, 10:15 (122)
  - Покажите хоть одну дыру в nginx 1 0 9, серьёзных дыр в нём не было А вот в бол, Аноним, 07-Ноя-16, 10:21 (124)
Ахахаха, anonimous, 25-Окт-16, 09:56 (6) //
- Не стреляйте в тапера, он играет как умеет Когда приспичит, переведут на вменяе, Тыквонимус, 25-Окт-16, 10:00 (7) //
  - Нафига на сайте размещено 100500 статей о Let s encrypt Давайте еще форум на AS, Аноним, 26-Окт-16, 09:55 (81)
- Там SHA-256, поэтому действия Mozilla его не накроют , Аноним, 25-Окт-16, 10:59 (18)
- Да ладно, Opennet доберется и прикрутить Let s Encrypt, да и все, проблема-то П, А, 25-Окт-16, 12:52 (36) //
  - Let s Encrypt на 3 месяца выдаёт, а WoSign на три годаLE идёт лесом, Аноним, 25-Окт-16, 13:27 (49) //
    - Мечта тех, кто три года серве не апдейтит , Crazy Alex, 25-Окт-16, 14:05 (51)
      - вы во время каждого апдейта сервера отзываете сертификаты и регаете по новой , Sw00p aka Jerom, 25-Окт-16, 23:00 (72)
        
        У меня есть инструменты для автоматизации апдейтов И то же самое относится к се, Crazy Alex, 26-Окт-16, 00:21 (75)
    - А есть разница Да хоть на неделю Разве что вы собрались их руками обновлять , Аноним, 25-Окт-16, 15:06 (52)
      - а чем вы раньше обновляли япосмотрю как вы EV будете обновлять пс ждите, скор, Sw00p aka Jerom, 25-Окт-16, 23:04 (73)
        
        Ну как бы вся идея IT в том, чтобы переложить ручной труд на машину А с EV - п, Crazy Alex, 26-Окт-16, 00:25 (76)
        
        По поводу автоматизации, она нужна тем у кого парк серверов, сам ЛЕ расчитан на , Sw00p aka Jerom, 26-Окт-16, 13:07 (86)
        
        Вот как раз на одиночных массовых впс-ках и нужна автоматизация - чтобы поднял и, Crazy Alex, 26-Окт-16, 13:37 (87)
        
        одиночные массовые впс-ки - никак не связаны друг с другом, из вашего предложени, Sw00p aka Jerom, 26-Окт-16, 17:08 (91)
        
        Срок действия короток не от того, что он не продакшн реди , а секьюрности ради , xm, 26-Окт-16, 23:28 (101)
        
        уверены, что именно секурности ради а помоему, чтобы не держать кучу отозванных, Sw00p aka Jerom, 27-Окт-16, 00:08 (103)
        
        Ну так тоже секурность - А я и так У меня скриптом на базе Let s Encrypt Авт, xm, 27-Окт-16, 00:40 (104)
        А что мешает вирусописателям скриптом менять сертификаты , Аноним, 29-Окт-16, 06:26 (118)
        Не понял смысла вопроса в приложении к дискуссии , xm, 30-Окт-16, 21:22 (120)
        
        С Let s Encrypt можно полностью автоматизировать всю возню с сертификатами Подн, Crazy Alex, 27-Окт-16, 03:16 (105)
        
        Lets Encrypt, если не ошибаюсь, не выдает EV-сертификаты, поэтому их не придется, Аноним, 26-Окт-16, 00:56 (78)
        
        Ну ясен пень, кто знаком с EV поймет, что просто по API его не получишь, и нуно , Sw00p aka Jerom, 26-Окт-16, 12:52 (85)
        
        Механизм ожидания звонка И на кой это счастье Вообще - там, где кажется, что н, Crazy Alex, 26-Окт-16, 13:39 (88)
        
        Так и есть, всё на бумаге и официально Они чуть ли не в налоговую службу страны, Sw00p aka Jerom, 26-Окт-16, 17:11 (92)
        
        Да просто на кой оно надо Если я крупные деньги перевожу - я и так договор со с, Crazy Alex, 27-Окт-16, 03:19 (106)
Отлично, ну и куда мигрировать Стартком удобен был для личного почтового сервер, abi, 25-Окт-16, 10:22 (8) //
- Let s Encrypt же , noname.htm, 25-Окт-16, 10:32 (9) //
  - Разве он не требует http-сервер для валидации , abi, 25-Окт-16, 10:35 (10) //
    - Mozilla прекращает доверие к новым сертификатам WoSign и Sta..., abi, 25-Окт-16, 10:36 (11)
    - Можно подтвердить владение через DNS, можно через HTTP А тем, кому python не по , cvb, 25-Окт-16, 10:49 (13)
    - Неужели трудно запустить рядом с почтовым сервером и http-сервер В Let s Encryp, Аноним, 25-Окт-16, 11:03 (19)
    - Если у тебя нет http сервера, то какая тебе разница чему доверяет или не доверяе, angra, 25-Окт-16, 12:14 (25)
      - Браузер - никакой разницы, но Thunderbird будет в бешенстве, да и на спамоловках, abi, 26-Окт-16, 10:33 (83)
  - Корневой сертификат Let s Encrypt только в хранилище Mozilla В Google, Apple и, Аноним, 25-Окт-16, 10:57 (15) //
    - Это не аргумент, поскольку он применим вообще к любому УЦ , Аноним, 25-Окт-16, 12:50 (34)
      - Это аргумент, который применим к любому УЦ , Michael Shigorin, 25-Окт-16, 13:17 (45)
        
        Окей, но это не аргумент против _конкретного_ УЦ , Аноним, 26-Окт-16, 00:58 (79)
    - С китайцами вообще ничего не хорошо, кроме того, что давали одно времени на 3 го, А, 25-Окт-16, 12:53 (37)
    - Они будут в числе последних тогда, поскольку поддерживают инфраструктуру крупней, xm, 26-Окт-16, 18:13 (96)
Давно пора , поледанныхотсутств, 25-Окт-16, 10:50 (14)
Ну что ж, картель CA успешно потопил посмевших раздавать бесплатные сертификаты , rmrm, 25-Окт-16, 10:57 (16) //
- При этом дырявый comodo мозилла что-то не хочет убирать , pkdr, 25-Окт-16, 12:14 (27)
- Да какой ещё тут корыстный умысел, тут обычный здравый смысл который иногда жес, arzeth, 25-Окт-16, 12:28 (30)
- А вести дела добросовестно - не Или надо обязательно придерживаться принципа дя, Аноним, 25-Окт-16, 12:51 (35) //
  - Это в принципе не про коммерческие CA, как мне кажется Также не про банки и ст, Michael Shigorin, 25-Окт-16, 13:21 (47)
- Расследование всех этих инцидентов инициировала и провела сама Mozilla А теперь, Аноним, 25-Окт-16, 12:57 (39) //
  - они топят конкурентов , Gemorroj, 25-Окт-16, 13:26 (48)
- Ну почему, самоподписанный в качестве полпожара Но ведь ещё на всякий HSTS под, Michael Shigorin, 25-Окт-16, 13:20 (46)
- Пусть прикрывают Эти ребята изначально хотели всех насадить на свою систему, чт, Аноним, 25-Окт-16, 16:42 (59)
- 1не прикроют, это член картеля Собственно, для него и старались или научиться , нах, 26-Окт-16, 17:29 (93)
Mozilla, как учредитель Let s Encrypt, устраняет конкурентов Бесплатные сертифи, Аноним, 25-Окт-16, 11:03 (20) //
- Проблемы с почтой были во времена бета-тестирования Но если кто его собирается , Crazy Alex, 25-Окт-16, 12:31 (31)
- и лучше бы устранил их всех вся этп продажа воздуха -- очень вредит конечным п, XXXasd, 25-Окт-16, 12:43 (33) //
  - DANE DNSSEC - тупая идея Заставляет доверять не выбранной тобой сущности, а вла, Crazy Alex, 25-Окт-16, 13:01 (41) //
    - Родили меня мои родители, а я им не доверяю Роди меня святой дух пжлста как, Sw00p aka Jerom, 26-Окт-16, 17:45 (94)
      - Смешались в кучу кони, люди , xm, 26-Окт-16, 18:19 (97)
        
        Чаво Все сводится к вайтлистингу самого домена hsts и его ключа certifiate p, Sw00p aka Jerom, 26-Окт-16, 21:58 (98)
        
        Я ничего против DANE не имею и даже планирую его реализовать на своих серверах в, xm, 26-Окт-16, 23:03 (99)
        
        100500Костыли всё это MitM всё равно можно произвести Как в случае с HSTS так, Sw00p aka Jerom, 26-Окт-16, 23:42 (102)
        
        Начать лучше таки с учебника русского языка , Аноним, 28-Окт-16, 20:12 (117)
        
        ссылки не вижу, Sw00p aka Jerom, 29-Окт-16, 17:22 (119)
    - А в случае с сертификатами TLS о ужас заставляет доверять владельцам сертифик , xm, 26-Окт-16, 23:16 (100)
      - Вопрос в другом Что бывает, когда ловят CA - мы знаем Что будет, когда поймают, Crazy Alex, 27-Окт-16, 03:27 (107)
        
        На счет CA сделали демократию, позволили любому стать CA спокойно, зависимости , Sw00p aka Jerom, 27-Окт-16, 12:21 (109)
        
        Ну вот Certificate Transparency даёт возможность и спать спокойно и иметь выбор , Crazy Alex, 27-Окт-16, 12:38 (110)
        
        Не будете спокойно спать, пример тому валварь вроде стакснета пример код сайнин, Sw00p aka Jerom, 27-Окт-16, 16:59 (115)
- Удобнее в краткосрочном плане В долгосрочном же 1 Можно забыть обновить серты , arzeth, 25-Окт-16, 13:48 (50) //
  - 1 Сам себе злобный буратино startcom уведомляет об истечении сертификата за 2 , alex53, 25-Окт-16, 20:43 (71)
1 утёкшая база E-mail это, всё же, не выпуск задним числом и не выпуск на чужой, mva, 25-Окт-16, 11:55 (22) //
- https www globalsign com en ssl ssl-open-source , А, 25-Окт-16, 12:54 (38)
- Жадинаговядина Ь, Аноним, 25-Окт-16, 12:58 (40)
Если кто-то использует старый браузер, где он может взять списки действительных , Аноним, 25-Окт-16, 12:07 (24) //
- В нормальных ОСях используют пакет ca-certs, а не в каждом браузере список спис, Анонимус 223, 25-Окт-16, 12:36 (32) //
  - А тот же файрфокс ими пользуется в результате Я вот смутно вспоминаю, что нет , Crazy Alex, 25-Окт-16, 13:02 (42) //
    - Вот, например https packages debian org stable ca-certificatesДействительно, к, Аноним, 25-Окт-16, 15:30 (57)
      - Проверяется просто Mozilla Firefox и его производные используют собственные вст, Ergil, 25-Окт-16, 17:23 (60)
        
        Спасибо А если кто-то использует старый Firefox, где он может взять списки дейст, Аноним, 25-Окт-16, 18:44 (64)
        
        https wiki mozilla org CA IncludedCAsСмотрите отсюда и там дальше по ссылкам , Ergil, 25-Окт-16, 18:49 (65)
  - Спасибо, нашел, например, такой https packages debian org stable ca-certificat, Аноним, 25-Окт-16, 15:28 (55)
- Вот здесь попробуйтеhttps crt sh , xm, 27-Окт-16, 21:41 (116)
Зато в в Opera WoSign теперь будет самым доверенным - , Аноним, 25-Окт-16, 12:14 (26)
Наш товарищ БерияВышел из доверияИ товарищ МаленковНадавал ему пинков частушка, Какаянахренразница, 25-Окт-16, 12:22 (28) //
- Внедрение свободного ПО с 50-х годов , Аноним, 25-Окт-16, 12:27 (29)
Так а Mozille никто не доверяет Как перестанет тормозить, так и сразу , tehnikpc, 25-Окт-16, 13:06 (43)
Е-моё Скоро Мозилла превратится в Оракл и начнет требовать бабло чтобы в нашем, Аноним, 25-Окт-16, 16:37 (58) //
- Думаете как совок Другие браузеры тоже внедряют прозрачную валидацию и поддержи, Аноним, 25-Окт-16, 18:13 (63) //
  - Но с аддонами они именно это и сделали - залочили все подписями, без возможности, Аноним, 27-Окт-16, 11:23 (108)
Гори в аду чертова Мозилла вместе с Let s Encrypt WoSign единственный CA который, CHERTS, 25-Окт-16, 20:01 (67) //
- Да что будет - найдут дыру и поправят А найдут быстро - на то есть pinning и CT, Crazy Alex, 26-Окт-16, 00:29 (77)
- Виновата не моззила, а WoSing Это как правильный пацан , который сначала по син, Адекват, 27-Окт-16, 15:07 (113)
Всё-таки я не понял, StartCom - это тот самый, что выдаёт сертификаты на StartSS, FSA, 26-Окт-16, 07:27 (80) //
- Да, тот самый, Влад, 26-Окт-16, 10:24 (82)
Они уже отреагировали, вот что в в их панели управления Mozilla decided to distr, Пользователь StartSSL, 26-Окт-16, 11:29 (84) //
- Sounds good , Аноним, 27-Окт-16, 14:20 (111)
Меня неприятно удивляет количество комментаторов, для которых важен только срок , Аноним, 27-Окт-16, 14:22 (112) //
- А нам это не нужно, нам нужно, чтобы на моем джаббер-сервере были валидные серти, Адекват, 27-Окт-16, 15:09 (114)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру