OpenNews: Mozilla обсуждает прекращение доверия к удостоверяющему центру WoSign

30.08.2016 21:32 Mozilla обсуждает прекращение доверия к удостоверяющему центру WoSign

Уязвимость в WoSign, одном из крупнейших китайских удостоверяющих центров, позволила злоумышленникам получить корректно заверенные сертификации для многих известных сайтов, допускающих размещение пользовательской информации на поддоменах. В частности, удалось выписать фиктивные сертификаты для сайтов GitHub, Microsoft и Alibaba.

Проблема вызвана недоработкой в системе верификации заявки. Для получения сертификата WoSign следует подтвердить владение сайтом, для чего достаточно разместить на сайте специально предоставленный проверочный ключ. Суть уязвимости в том, что злоумышленник может запросить сертификат для поддомена и заодно получить сертификат на основной домен, подтвердив лишь контроль над поддоменом. Например, имея возможность размещения информации на сайте test.github.io, можно получить сертификат и для github.io.

При анализе последствий уязвимости выявлено 33 сертификата, выписанных для основных доменов на основе верификации через поддомен. Примечательно, что о наличии уязвимости WoSign было сообщено ещё 14 месяцев назад и до сих пор проблема остаётся неисправленной. Более того, лишь часть полученных подобным путём сертификатов отозваны, а остальные WoSign соглашается отозвать только после заявки владельца домена. Игнорирование требований устранить уязвимость привело к обсуждению разработчиками Mozilla возможности исключения WoSign из поставляемого в Firefox хранилища корневых сертификатов. Решение пока не принято, но большинство участников обсуждения уже высказались за блокировку.

исправить +24 +/–

Лицензия: CC-BY

Тип: Проблемы безопасности

Ключевые слова: cert

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение

Ajax/Линейный | Показать все | RSS

1.1, sabakka, 22:58, 30/08/2016 [ответить] [смотреть все] [к модератору]	+/–
"Примечательно, что о наличии уязвимости WoSign было сообщено ещё 14 месяцев назад и до сих пор проблема остаётся неисправленной. Более того, лишь часть полученных подобным путём сертификатов отозваны" что они там курят-то эти китаёзы?

2.7, Аноним, 00:05, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+15 +/–
> то они там курят-то эти китаёзы? Бамбук же!

1.3, Аноним, 23:04, 30/08/2016 [ответить] [смотреть все] [к модератору]	+16 +/–
Удаляют правильно, нафиг такое раздолбайство в трастах держать. На опеннете может перехать на что-то другое, например LetsEncrypt? А то тут, неожиданно, тоже WowSign.

2.5, Аноним, 23:31, 30/08/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+4 +/–
Только самоподписанный сертификат. Только хардкор.

2.30, Аноним, 09:05, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+4 +/–
Хорошо бы чтобы они и к американским удостоверяющим центрам так же относились П... весь текст скрыт [показать] [показать ветку]

3.98, Аноним, 21:57, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+2 +/–
Вот кстати да, комоду давно надо было гнать тряпками.

2.36, t28, 10:37, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+1 +/–
В том то и дело, что не удаляют, а ограничиваются deep concern-ами ... весь текст скрыт [показать] [показать ветку]

2.84, Anon43210, 20:08, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
Удивляюсь, что так долго ждали: 14 месяцев.

3.117, Аноним, 20:04, 01/09/2016 [^] [ответить] [смотреть все] [к модератору]	–1 +/–
Ты хоть когда-нибудь работал в коллективе свыше 50 чел Не в Рога-И-Копыта-Инкор... весь текст скрыт [показать]

2.99, Аноним, 22:00, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
Я с Восайном попрощался еще год назад, как появился ЛетсЭнкрипт!

1.4, S.Atahl, 23:19, 30/08/2016 [ответить] [смотреть все] [к модератору]	+/–
то оперу хакнули то этих теперь. Небось обвал цен на рис у кетайцев

1.6, Crazy Alex, 23:40, 30/08/2016 [ответить] [смотреть все] [к модератору]	+4 +/–
Ну а пока - напоминаю, можно и ручками вынести у себя

2.11, anonymous, 00:35, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
Запилите man плз, я ленивое и, думаю, ряд анонов тоже сообщение отреда... весь текст скрыт [показать] [показать ветку]

3.13, Crazy Alex, 01:03, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+5 +/–
Seamonkey Edit - Preferences - Privacy and Security - Certificates Кнопка Mana... весь текст скрыт [показать]

4.17, Аноним, 03:01, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Есть смысл ставить Seamonkey на OS X?

5.18, Crazy Alex, 03:28, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
Откровенно говоря, его и на линукс ставить нет большого смысла, сижу потому что ... весь текст скрыт [показать]

6.20, Crazy Alex, 03:32, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Да ещё одна особенность - сборщик Pale Moon наотрез отказывается поддерживать в... весь текст скрыт [показать]

7.24, Другой анон, 06:40, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Это как он отказывается? В альфе уже завезли.

8.44, Crazy Alex, 13:47, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Хм, не знал Он ругался на форуме, что это извращение и здесь он прав , которог... весь текст скрыт [показать]

7.34, iPony, 10:10, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	–1 +/–
Об этих полтора фурфагах как-то смешно говорить в тоне наотрез Они вчера так,... весь текст скрыт [показать]

4.37, Аноним, 11:24, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
тыкаем кнопку Delete or Distrust внизу, в открывшемся окошке тыкаем Ok Нажим... весь текст скрыт [показать]

5.48, Crazy Alex, 13:59, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Покопал - не всё так страшно Встроенные сертификаты не убиваются, но у них отб... весь текст скрыт [показать]

4.43, vantoo, 13:45, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Подскажите, действительно ли Pale Moon работает заметно быстрее Firefox-а Есть ... весь текст скрыт [показать]

5.49, Crazy Alex, 14:01, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Из моего опыта - да, быстрее, на сайтах вроде Amazon очень заметно А в seamonke... весь текст скрыт [показать]

5.91, Zampolit, 21:01, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Жрет существенно меньше оперативки и быстрее грузит страницы Одно НО имеются пр... весь текст скрыт [показать]

3.108, Аноним, 09:16, 01/09/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Обычное ленивое 8470 и не размещает на этих сайтах ничего Всем до одного ... весь текст скрыт [показать]

2.31, ано, 09:29, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
Пользуясь случаем А можно сделать белый список корневых сертификатов Тормозил... весь текст скрыт [показать] [показать ветку]

3.51, Crazy Alex, 14:07, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
Насчёт синхронизации - теоретически можно, хромиум использует гномовское хранили... весь текст скрыт [показать]

4.52, Crazy Alex, 14:09, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
Ага, для файрфокса https developer mozilla org en-US docs Mozilla Projects NS... весь текст скрыт [показать]

1.8, t, 00:06, 31/08/2016 [ответить] [смотреть все] [к модератору]	–3 +/–
WoSign - на деле единственный, кто сейчас выдавал сертификаты бесплатно, да ещё ... весь текст скрыт [показать]

2.9, X2asd, 00:11, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+4 +/–
Ну запили тогда скрипт, который будет это делать за тебя каждые 60 дней ... весь текст скрыт [показать] [показать ветку]

3.15, xm, 01:18, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
Да там даже и скрипта не надо - официальный клиент всё умеет Типа certbot renew... весь текст скрыт [показать]

2.12, Аноним, 00:53, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+3 +/–
Letsencrypt же Один раз засетапил и забыл Официальный клиент, конечно, у них с... весь текст скрыт [показать] [показать ветку]

3.14, xm, 01:15, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+2 +/–
Да кроме python и некоторых библиотек ничего и не тянет, собственно Но pure she... весь текст скрыт [показать]

4.21, Ergil, 04:37, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
Помимо python и шелла там еще гора вариантов, надо заметить, вплоть до работы че... весь текст скрыт [показать]

5.56, Аноним, 15:06, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Мне не нравится идея делать из nginx-а апач Ну или systemd При вменяемой рас... весь текст скрыт [показать]

6.63, rob pike, 16:50, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Никому не нравится Но что делать, если на Апач все забили давно и основательно ... весь текст скрыт [показать]

7.100, Аноним, 22:02, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
nginx прекрасен декларативностью и очевидностью конфига, модуль rewrite - ошибка... весь текст скрыт [показать]

8.103, rob pike, 01:17, 01/09/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Игорь вместе с этим советует побольше копипастить и ничего никогда не реюзать Т... весь текст скрыт [показать]

9.111, Аноним, 15:27, 01/09/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Копипастить лучше, чем разгребать приоритеты в апаче копипасту можно заменить г... весь текст скрыт [показать]

6.81, Ergil, 19:33, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Анон, ты не понимаешь, что я о возможности слушать domain tld и получать автом... весь текст скрыт [показать]

7.93, Аноним, 21:51, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Прям вообще к любому А если я на твой сервачок запущу что-то такое while do... весь текст скрыт [показать]

8.101, Ergil, 23:00, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Про ограничения на стороне nginx и iptables на количество коннектов анон не поду... весь текст скрыт [показать]

9.112, Аноним, 15:32, 01/09/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Если кому-то понадобится - могут и через список проксей, или вообще ботнетом В ... весь текст скрыт [показать]

4.47, Аноним, 13:51, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
А нафига мне python на веб-фронтенде, где кроме nginx ничего нет?

5.105, Аноним, 05:16, 01/09/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
скоро и там понадобится, не сглазьте вона уже и в bind и в netfilter c nft - ... весь текст скрыт [показать]

5.109, Past, 11:25, 01/09/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Если не нравится питон используйте letsencrypt.sh, например.

5.113, Аноним, 15:41, 01/09/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
у меня его там тоже нет, а серты есть Магия ... весь текст скрыт [показать]

3.58, Я, 15:24, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	–1 +/–
Извращение это. Вместо нормального сертификата лазающий в интернеты скрипт.

2.32, winadmin, 09:30, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	–1 +/–
летсэнкрипт.

1.16, Аноним, 02:26, 31/08/2016 [ответить] [смотреть все] [к модератору]	+/–
Надо не обсуждать, а отзывать, и как можно быстрее.

2.19, Crazy Alex, 03:29, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+2 +/–
С Comodo вообще не собрались...

3.27, Аноним, 08:37, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+5 +/–
Комодо 8212 свободный демократический уц, выпускающий левые серты во славу ли... весь текст скрыт [показать]

4.53, Crazy Alex, 14:11, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	–2 +/–
Кстати, в этом есть доля истины - в том плане, что аудитить комодо куда как прощ... весь текст скрыт [показать]

1.22, Аноним, 05:01, 31/08/2016 [ответить] [смотреть все] [к модератору]	+1 +/–
Пока они думают в это время идут векторы аттак.

1.23, iCat, 06:15, 31/08/2016 [ответить] [смотреть все] [к модератору]	+10 +/–
Да вообще пора ликвидировать такой дырявый институт как "доверенные удостоверяющие центры"! Коррупция, разгильдяйство и недобросовестность разрушили всю идею доверия. И "замочек" в строке браузера уже ни о чём серьёзном не говорят.

2.28, Аноним, 08:37, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	–3 +/–
что тебе мешает управлять доверием своего браузера, болезный ... весь текст скрыт [показать] [показать ветку]

2.54, Crazy Alex, 14:12, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+1 +/–
И на что заменить Ну хотя бы чтобы соседский Вася трафик не смотрел и это не тр... весь текст скрыт [показать] [показать ветку]

3.67, Аноним, 16:57, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
Заменить на Namecoin и *.bit домены.

4.75, Crazy Alex, 18:07, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Ну разве что. Но там до промышленного применения совсем далеко.

3.104, iCat, 02:00, 01/09/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Вот сейчас при всём разнообразии и изобилии доверенных удостоверяющих центров ... весь текст скрыт [показать]

4.119, Аноним, 20:08, 01/09/2016 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
Иллюзия безопасности хуже отсутствия безопасности с Брюс ... весь текст скрыт [показать]

4.124, Аноним, 12:48, 08/07/2017 [^] [ответить] [смотреть все] [к модератору]	+/–
Больной совсем?

1.25, Аноним, 07:17, 31/08/2016 [ответить] [смотреть все] [к модератору]	+/–
Вроде как везде написано, что сертификаты очень серьезное дело и потому странно ... весь текст скрыт [показать]

2.29, Аноним, 08:41, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
Они любят себе пихать радуги и всякие вещи в одно место перед выпиливанием Bren... весь текст скрыт [показать] [показать ветку]

1.33, CHERTS, 09:59, 31/08/2016 [ответить] [смотреть все] [к модератору]	–1 +/–
Как у какого-нибудь COMODO или другого УЦ выдача левым людям сертификатов, дак все шито крыто, это случайно мы для google.com выдали сертификаты васе пупкину, он чисто поиграться их взял, не не не, никаких MITM не будет. А как WoSign то, да, нужно удалить, они же китайцы, да еще прямые конкуренты LetsEncrypt, а кто у нас крышует LetsEncrypt, всем известно! В ж..у этот LetsEncrypt с их 3-х месячными сертификатами, поставил от WoSign на 3 года и забыл про это как страшный сон.

2.45, Аноним, 13:48, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
ты шоле руками серты letsencrypt обслуживал лучше в ж у эту жизнь, лежи дома н... весь текст скрыт [показать] [показать ветку]

2.64, rob pike, 16:52, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+2 +/–
> а кто у нас крышует LetsEncrypt, всем известно Ротшильды или Рокфеллеры?

3.106, Аноним, 05:17, 01/09/2016 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
рептилоиды рептилоиды, бро и мертвые с косаме - вдоль дорог стоят русыми ... весь текст скрыт [показать]

1.35, t28, 10:35, 31/08/2016 [ответить] [смотреть все] [к модератору]	+/–
> привело к обсуждению разработчиками Mozilla возможности исключения > WoSign из поставляемого в Firefox хранилища корневых сертификатов. > Решение пока не принято Deep concern.

2.38, Andrey Mitrofanov, 11:51, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
https duckduckgo com q certificate-authority deep-packet-inspection О-о Глуб... весь текст скрыт [показать] [показать ветку]

1.39, Анончег, 12:56, 31/08/2016 [ответить] [смотреть все] [к модератору]	+1 +/–
Кто юзает этот треш, когда есть Let's Encrypt?

2.82, sorrymak, 19:40, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+1 +/–
Я юзаю.

3.97, Аноним, 21:54, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	–1 +/–
И это печально...

2.114, Ilya Indigo, 17:49, 01/09/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
Я тоже использую, как и админ этого сайта, и много других вэб-разработчиков и ад... весь текст скрыт [показать] [показать ветку]

1.40, Анончег, 12:57, 31/08/2016 [ответить] [смотреть все] [к модератору]	+/–
Тем более доверять безопасность китаезам, с какой стати?

2.115, Ilya Indigo, 17:50, 01/09/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
Ну конечно же, только пендосам и супермену, куда да них китайцам ... весь текст скрыт [показать] [показать ветку]

1.41, Анончег, 12:58, 31/08/2016 [ответить] [смотреть все] [к модератору]	+1 +/–
Мне во всей этой истории непонятно, какого ляда Мозилла ждала целый год.

1.42, Анончег, 12:59, 31/08/2016 [ответить] [смотреть все] [к модератору]	–2 +/–
Я вообще не понимаю как люди жили до появления Let's Encrypt, это была катастрофа!

2.46, Аноним, 13:49, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+1 +/–
копошились руками в восигне и старттлсе, а если было лень 8212 пользовались с... весь текст скрыт [показать] [показать ветку]

3.57, Crazy Alex, 15:14, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Ничего, через пару лет будут все подобное как страшный сон вспоминать

4.65, rob pike, 16:54, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
Как сейчас вспоминают хардверную защиту от buffer overflow в Burroughs B5000 196... весь текст скрыт [показать]

5.73, Crazy Alex, 18:02, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Нет. Эту хрень никто даже не помнит.

6.85, rob pike, 20:30, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Это ведь довольно странно Каждый день публикуют очередные эксплойты, 90 которы... весь текст скрыт [показать]

7.88, angra, 20:38, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Еще в 80186 добавили инструкцию bound для проверки выхода за границы массива и ч... весь текст скрыт [показать]

5.80, angra, 19:32, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Поделись, чем этот факт тебя так впечатлил, что ты носишься с ним из треда в тре... весь текст скрыт [показать]

6.86, rob pike, 20:31, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Отпишись и не читай.

7.90, angra, 20:42, 31/08/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
А по существу ответить слабо?

5.107, Аноним, 05:18, 01/09/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
судя по темпам внедрения NXP DEP во всех архитектурах по Power, Sparc и hitach, ... весь текст скрыт [показать]

2.116, Ilya Indigo, 17:53, 01/09/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+1 +/–
Ты не поверишь, или вообще не использовали https, или использовали само подписан... весь текст скрыт [показать] [показать ветку]

3.120, Crazy Alex, 01:35, 02/09/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Ну, то есть хреново жили

4.123, Ilya Indigo, 19:59, 02/09/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Хреново было, когда не было nic ua и pp ua, и зарегистрировать бесплатный домен ... весь текст скрыт [показать]

1.59, Аноним, 15:53, 31/08/2016 [ответить] [смотреть все] [к модератору]	+/–
Плохо что мозилла теряет в рейтинге, браузером пользуется все меньше людей, им б... весь текст скрыт [показать]

2.66, rob pike, 16:55, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
XUL мешает Вот выпилят XUL, сделают всё остальное как в Chrome - тогда и займут... весь текст скрыт [показать] [показать ветку]

3.102, Crazy Alex, 01:16, 01/09/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
Ага, гугловцы

3.122, Аноним, 10:16, 02/09/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
так уж-ж помаленьку начиная с 38 версии - выпиливают XUL покомпонентно и втаски... весь текст скрыт [показать]

1.77, Аноним, 18:44, 31/08/2016 [ответить] [смотреть все] [к модератору]	+1 +/–
Лол Мозилле китайцы как всегда занесут, сделают видимость устранения уязвимости... весь текст скрыт [показать]

2.95, Аноним, 21:52, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
Есть подтверждение твоим словам? Кто там заносит мозилке?

3.110, Аноним, 13:57, 01/09/2016 [^] [ответить] [смотреть все] [к модератору]	+/–
А текста этой новости недостаточно По уму они должны были в ту же секунду обно... весь текст скрыт [показать]

1.121, Аноним, 07:23, 02/09/2016 [ответить] [смотреть все] [к модератору]	+/–
Думаю всем тем, кто редко пользуется китайскими сайтами, лучше всего отключить е... весь текст скрыт [показать]

Добавить комментарий