OpenNews: Mozilla обсуждает прекращение доверия к удостоверяющему центру WoSign

30.08.2016 21:32 Mozilla обсуждает прекращение доверия к удостоверяющему центру WoSign

Уязвимость в WoSign, одном из крупнейших китайских удостоверяющих центров, позволила злоумышленникам получить корректно заверенные сертификации для многих известных сайтов, допускающих размещение пользовательской информации на поддоменах. В частности, удалось выписать фиктивные сертификаты для сайтов GitHub, Microsoft и Alibaba.

Проблема вызвана недоработкой в системе верификации заявки. Для получения сертификата WoSign следует подтвердить владение сайтом, для чего достаточно разместить на сайте специально предоставленный проверочный ключ. Суть уязвимости в том, что злоумышленник может запросить сертификат для поддомена и заодно получить сертификат на основной домен, подтвердив лишь контроль над поддоменом. Например, имея возможность размещения информации на сайте test.github.io, можно получить сертификат и для github.io.

При анализе последствий уязвимости выявлено 33 сертификата, выписанных для основных доменов на основе верификации через поддомен. Примечательно, что о наличии уязвимости WoSign было сообщено ещё 14 месяцев назад и до сих пор проблема остаётся неисправленной. Более того, лишь часть полученных подобным путём сертификатов отозваны, а остальные WoSign соглашается отозвать только после заявки владельца домена. Игнорирование требований устранить уязвимость привело к обсуждению разработчиками Mozilla возможности исключения WoSign из поставляемого в Firefox хранилища корневых сертификатов. Решение пока не принято, но большинство участников обсуждения уже высказались за блокировку.

исправить +24 +/–

Лицензия: CC-BY

Тип: Проблемы безопасности

Ключевые слова: cert

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение

Линейный вид | Ajax | Показать все | RSS

1.1, sabakka, 22:58, 30/08/2016 [ответить] [смотреть все]	+/–
"Примечательно, что о наличии уязвимости WoSign было сообщено ещё 14 месяцев назад и до сих пор проблема остаётся неисправленной. Более того, лишь часть полученных подобным путём сертификатов отозваны" что они там курят-то эти китаёзы?

2.7, Аноним, 00:05, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку]	+15 +/–
> то они там курят-то эти китаёзы? Бамбук же!

1.3, Аноним, 23:04, 30/08/2016 [ответить] [смотреть все]	+16 +/–
Удаляют правильно, нафиг такое раздолбайство в трастах держать. На опеннете может перехать на что-то другое, например LetsEncrypt? А то тут, неожиданно, тоже WowSign.

2.5, Аноним, 23:31, 30/08/2016 [^] [ответить] [смотреть все] [показать ветку]	+4 +/–
Только самоподписанный сертификат. Только хардкор.

2.30, Аноним, 09:05, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку]	+4 +/–
Хорошо бы чтобы они и к американским удостоверяющим центрам так же относились П... весь текст скрыт [показать] [показать ветку]

3.98, Аноним, 21:57, 31/08/2016 [^] [ответить] [смотреть все]	+2 +/–
Вот кстати да, комоду давно надо было гнать тряпками.

2.36, t28, 10:37, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку]	+1 +/–
В том то и дело, что не удаляют, а ограничиваются deep concern-ами ... весь текст скрыт [показать] [показать ветку]

2.84, Anon43210, 20:08, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку]	+/–
Удивляюсь, что так долго ждали: 14 месяцев.

3.117, Аноним, 20:04, 01/09/2016 [^] [ответить] [смотреть все]	–1 +/–
Ты хоть когда-нибудь работал в коллективе свыше 50 чел Не в Рога-И-Копыта-Инкор... весь текст скрыт [показать]

2.99, Аноним, 22:00, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку]	+/–
Я с Восайном попрощался еще год назад, как появился ЛетсЭнкрипт!

1.4, S.Atahl, 23:19, 30/08/2016 [ответить] [смотреть все]	+/–
то оперу хакнули то этих теперь. Небось обвал цен на рис у кетайцев

1.6, Crazy Alex, 23:40, 30/08/2016 [ответить] [смотреть все]	+4 +/–
Ну а пока - напоминаю, можно и ручками вынести у себя

2.11, anonymous, 00:35, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку]	+/–
Запилите man плз, я ленивое и, думаю, ряд анонов тоже сообщение отреда... весь текст скрыт [показать] [показать ветку]

3.13, Crazy Alex, 01:03, 31/08/2016 [^] [ответить] [смотреть все]	+5 +/–
Seamonkey Edit - Preferences - Privacy and Security - Certificates Кнопка Mana... весь текст скрыт [показать]

4.17, Аноним, 03:01, 31/08/2016 [^] [ответить] [смотреть все]	+/–
Есть смысл ставить Seamonkey на OS X?

5.18, Crazy Alex, 03:28, 31/08/2016 [^] [ответить] [смотреть все]	+1 +/–
Откровенно говоря, его и на линукс ставить нет большого смысла, сижу потому что ... весь текст скрыт [показать]

6.20, Crazy Alex, 03:32, 31/08/2016 [^] [ответить] [смотреть все]	+/–
Да ещё одна особенность - сборщик Pale Moon наотрез отказывается поддерживать в... весь текст скрыт [показать]

7.24, Другой анон, 06:40, 31/08/2016 [^] [ответить] [смотреть все]	+/–
Это как он отказывается? В альфе уже завезли.

8.44, Crazy Alex, 13:47, 31/08/2016 [^] [ответить] [смотреть все]	+/–
Хм, не знал Он ругался на форуме, что это извращение и здесь он прав , которог... весь текст скрыт [показать]

7.34, iPony, 10:10, 31/08/2016 [^] [ответить] [смотреть все]	–1 +/–
Об этих полтора фурфагах как-то смешно говорить в тоне наотрез Они вчера так,... весь текст скрыт [показать]

4.37, Аноним, 11:24, 31/08/2016 [^] [ответить] [смотреть все]	+/–
тыкаем кнопку Delete or Distrust внизу, в открывшемся окошке тыкаем Ok Нажим... весь текст скрыт [показать]

5.48, Crazy Alex, 13:59, 31/08/2016 [^] [ответить] [смотреть все]	+/–
Покопал - не всё так страшно Встроенные сертификаты не убиваются, но у них отб... весь текст скрыт [показать]

4.43, vantoo, 13:45, 31/08/2016 [^] [ответить] [смотреть все]	+/–
Подскажите, действительно ли Pale Moon работает заметно быстрее Firefox-а Есть ... весь текст скрыт [показать]

5.49, Crazy Alex, 14:01, 31/08/2016 [^] [ответить] [смотреть все]	+/–
Из моего опыта - да, быстрее, на сайтах вроде Amazon очень заметно А в seamonke... весь текст скрыт [показать]

5.91, Zampolit, 21:01, 31/08/2016 [^] [ответить] [смотреть все]	+/–
Жрет существенно меньше оперативки и быстрее грузит страницы Одно НО имеются пр... весь текст скрыт [показать]

3.108, Аноним, 09:16, 01/09/2016 [^] [ответить] [смотреть все]	+/–
Обычное ленивое 8470 и не размещает на этих сайтах ничего Всем до одного ... весь текст скрыт [показать]

2.31, ано, 09:29, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку]	+/–
Пользуясь случаем А можно сделать белый список корневых сертификатов Тормозил... весь текст скрыт [показать] [показать ветку]

3.51, Crazy Alex, 14:07, 31/08/2016 [^] [ответить] [смотреть все]	+1 +/–
Насчёт синхронизации - теоретически можно, хромиум использует гномовское хранили... весь текст скрыт [показать]

4.52, Crazy Alex, 14:09, 31/08/2016 [^] [ответить] [смотреть все]	+1 +/–
Ага, для файрфокса https developer mozilla org en-US docs Mozilla Projects NS... весь текст скрыт [показать]

1.8, t, 00:06, 31/08/2016 [ответить] [смотреть все]	–3 +/–
WoSign - на деле единственный, кто сейчас выдавал сертификаты бесплатно, да ещё ... весь текст скрыт [показать]

2.9, X2asd, 00:11, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку]	+4 +/–
Ну запили тогда скрипт, который будет это делать за тебя каждые 60 дней ... весь текст скрыт [показать] [показать ветку]

3.15, xm, 01:18, 31/08/2016 [^] [ответить] [смотреть все]	+1 +/–
Да там даже и скрипта не надо - официальный клиент всё умеет Типа certbot renew... весь текст скрыт [показать]

2.12, Аноним, 00:53, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку]	+3 +/–
Letsencrypt же Один раз засетапил и забыл Официальный клиент, конечно, у них с... весь текст скрыт [показать] [показать ветку]

3.14, xm, 01:15, 31/08/2016 [^] [ответить] [смотреть все]	+2 +/–
Да кроме python и некоторых библиотек ничего и не тянет, собственно Но pure she... весь текст скрыт [показать]

4.21, Ergil, 04:37, 31/08/2016 [^] [ответить] [смотреть все]	+1 +/–
Помимо python и шелла там еще гора вариантов, надо заметить, вплоть до работы че... весь текст скрыт [показать]

5.56, Аноним, 15:06, 31/08/2016 [^] [ответить] [смотреть все]	+/–
Мне не нравится идея делать из nginx-а апач Ну или systemd При вменяемой рас... весь текст скрыт [показать]

6.63, rob pike, 16:50, 31/08/2016 [^] [ответить] [смотреть все]	+/–
Никому не нравится Но что делать, если на Апач все забили давно и основательно ... весь текст скрыт [показать]

7.100, Аноним, 22:02, 31/08/2016 [^] [ответить] [смотреть все]	+/–
nginx прекрасен декларативностью и очевидностью конфига, модуль rewrite - ошибка... весь текст скрыт [показать]

8.103, rob pike, 01:17, 01/09/2016 [^] [ответить] [смотреть все]	+/–
Игорь вместе с этим советует побольше копипастить и ничего никогда не реюзать Т... весь текст скрыт [показать]

9.111, Аноним, 15:27, 01/09/2016 [^] [ответить] [смотреть все]	+/–
Копипастить лучше, чем разгребать приоритеты в апаче копипасту можно заменить г... весь текст скрыт [показать]

6.81, Ergil, 19:33, 31/08/2016 [^] [ответить] [смотреть все]	+/–
Анон, ты не понимаешь, что я о возможности слушать domain tld и получать автом... весь текст скрыт [показать]

7.93, Аноним, 21:51, 31/08/2016 [^] [ответить] [смотреть все]	+/–
Прям вообще к любому А если я на твой сервачок запущу что-то такое while do... весь текст скрыт [показать]

8.101, Ergil, 23:00, 31/08/2016 [^] [ответить] [смотреть все]	+/–
Про ограничения на стороне nginx и iptables на количество коннектов анон не поду... весь текст скрыт [показать]

9.112, Аноним, 15:32, 01/09/2016 [^] [ответить] [смотреть все]	+/–
Если кому-то понадобится - могут и через список проксей, или вообще ботнетом В ... весь текст скрыт [показать]

4.47, Аноним, 13:51, 31/08/2016 [^] [ответить] [смотреть все]	+/–
А нафига мне python на веб-фронтенде, где кроме nginx ничего нет?

5.105, Аноним, 05:16, 01/09/2016 [^] [ответить] [смотреть все]	+/–
скоро и там понадобится, не сглазьте вона уже и в bind и в netfilter c nft - ... весь текст скрыт [показать]

5.109, Past, 11:25, 01/09/2016 [^] [ответить] [смотреть все]	+/–
Если не нравится питон используйте letsencrypt.sh, например.

5.113, Аноним, 15:41, 01/09/2016 [^] [ответить] [смотреть все]	+/–
у меня его там тоже нет, а серты есть Магия ... весь текст скрыт [показать]

3.58, Я, 15:24, 31/08/2016 [^] [ответить] [смотреть все]	–1 +/–
Извращение это. Вместо нормального сертификата лазающий в интернеты скрипт.

2.32, winadmin, 09:30, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку]	–1 +/–
летсэнкрипт.

1.16, Аноним, 02:26, 31/08/2016 [ответить] [смотреть все]	+/–
Надо не обсуждать, а отзывать, и как можно быстрее.

2.19, Crazy Alex, 03:29, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку]	+2 +/–
С Comodo вообще не собрались...

3.27, Аноним, 08:37, 31/08/2016 [^] [ответить] [смотреть все]	+5 +/–
Комодо 8212 свободный демократический уц, выпускающий левые серты во славу ли... весь текст скрыт [показать]

4.53, Crazy Alex, 14:11, 31/08/2016 [^] [ответить] [смотреть все]	–2 +/–
Кстати, в этом есть доля истины - в том плане, что аудитить комодо куда как прощ... весь текст скрыт [показать]

1.22, Аноним, 05:01, 31/08/2016 [ответить] [смотреть все]	+1 +/–
Пока они думают в это время идут векторы аттак.

1.23, iCat, 06:15, 31/08/2016 [ответить] [смотреть все]	+10 +/–
Да вообще пора ликвидировать такой дырявый институт как "доверенные удостоверяющие центры"! Коррупция, разгильдяйство и недобросовестность разрушили всю идею доверия. И "замочек" в строке браузера уже ни о чём серьёзном не говорят.

2.28, Аноним, 08:37, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку]	–3 +/–
что тебе мешает управлять доверием своего браузера, болезный ... весь текст скрыт [показать] [показать ветку]

2.54, Crazy Alex, 14:12, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку]	+1 +/–
И на что заменить Ну хотя бы чтобы соседский Вася трафик не смотрел и это не тр... весь текст скрыт [показать] [показать ветку]

3.67, Аноним, 16:57, 31/08/2016 [^] [ответить] [смотреть все]	+1 +/–
Заменить на Namecoin и *.bit домены.

4.75, Crazy Alex, 18:07, 31/08/2016 [^] [ответить] [смотреть все]	+/–
Ну разве что. Но там до промышленного применения совсем далеко.

3.104, iCat, 02:00, 01/09/2016 [^] [ответить] [смотреть все]	+/–
Вот сейчас при всём разнообразии и изобилии доверенных удостоверяющих центров ... весь текст скрыт [показать]

4.119, Аноним, 20:08, 01/09/2016 [^] [ответить] [смотреть все]	+1 +/–
Иллюзия безопасности хуже отсутствия безопасности с Брюс ... весь текст скрыт [показать]

1.25, Аноним, 07:17, 31/08/2016 [ответить] [смотреть все]	+/–
Вроде как везде написано, что сертификаты очень серьезное дело и потому странно ... весь текст скрыт [показать]

2.29, Аноним, 08:41, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку]	+/–
Они любят себе пихать радуги и всякие вещи в одно место перед выпиливанием Bren... весь текст скрыт [показать] [показать ветку]

1.33, CHERTS, 09:59, 31/08/2016 [ответить] [смотреть все]	–1 +/–
Как у какого-нибудь COMODO или другого УЦ выдача левым людям сертификатов, дак все шито крыто, это случайно мы для google.com выдали сертификаты васе пупкину, он чисто поиграться их взял, не не не, никаких MITM не будет. А как WoSign то, да, нужно удалить, они же китайцы, да еще прямые конкуренты LetsEncrypt, а кто у нас крышует LetsEncrypt, всем известно! В ж..у этот LetsEncrypt с их 3-х месячными сертификатами, поставил от WoSign на 3 года и забыл про это как страшный сон.

2.45, Аноним, 13:48, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку]	+/–
ты шоле руками серты letsencrypt обслуживал лучше в ж у эту жизнь, лежи дома н... весь текст скрыт [показать] [показать ветку]

2.64, rob pike, 16:52, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку]	+2 +/–
> а кто у нас крышует LetsEncrypt, всем известно Ротшильды или Рокфеллеры?

3.106, Аноним, 05:17, 01/09/2016 [^] [ответить] [смотреть все]	+1 +/–
рептилоиды рептилоиды, бро и мертвые с косаме - вдоль дорог стоят русыми ... весь текст скрыт [показать]

1.35, t28, 10:35, 31/08/2016 [ответить] [смотреть все]	+/–
> привело к обсуждению разработчиками Mozilla возможности исключения > WoSign из поставляемого в Firefox хранилища корневых сертификатов. > Решение пока не принято Deep concern.

2.38, Andrey Mitrofanov, 11:51, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку]	+/–
https duckduckgo com q certificate-authority deep-packet-inspection О-о Глуб... весь текст скрыт [показать] [показать ветку]

1.39, Анончег, 12:56, 31/08/2016 [ответить] [смотреть все]	+1 +/–
Кто юзает этот треш, когда есть Let's Encrypt?

2.82, sorrymak, 19:40, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку]	+1 +/–
Я юзаю.

3.97, Аноним, 21:54, 31/08/2016 [^] [ответить] [смотреть все]	–1 +/–
И это печально...

2.114, Ilya Indigo, 17:49, 01/09/2016 [^] [ответить] [смотреть все] [показать ветку]	+/–
Я тоже использую, как и админ этого сайта, и много других вэб-разработчиков и ад... весь текст скрыт [показать] [показать ветку]

1.40, Анончег, 12:57, 31/08/2016 [ответить] [смотреть все]	+/–
Тем более доверять безопасность китаезам, с какой стати?

2.115, Ilya Indigo, 17:50, 01/09/2016 [^] [ответить] [смотреть все] [показать ветку]	+/–
Ну конечно же, только пендосам и супермену, куда да них китайцам ... весь текст скрыт [показать] [показать ветку]

1.41, Анончег, 12:58, 31/08/2016 [ответить] [смотреть все]	+1 +/–
Мне во всей этой истории непонятно, какого ляда Мозилла ждала целый год.

1.42, Анончег, 12:59, 31/08/2016 [ответить] [смотреть все]	–2 +/–
Я вообще не понимаю как люди жили до появления Let's Encrypt, это была катастрофа!

2.46, Аноним, 13:49, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку]	+1 +/–
копошились руками в восигне и старттлсе, а если было лень 8212 пользовались с... весь текст скрыт [показать] [показать ветку]

3.57, Crazy Alex, 15:14, 31/08/2016 [^] [ответить] [смотреть все]	+/–
Ничего, через пару лет будут все подобное как страшный сон вспоминать

4.65, rob pike, 16:54, 31/08/2016 [^] [ответить] [смотреть все]	+1 +/–
Как сейчас вспоминают хардверную защиту от buffer overflow в Burroughs B5000 196... весь текст скрыт [показать]

5.73, Crazy Alex, 18:02, 31/08/2016 [^] [ответить] [смотреть все]	+/–
Нет. Эту хрень никто даже не помнит.

6.85, rob pike, 20:30, 31/08/2016 [^] [ответить] [смотреть все]	+/–
Это ведь довольно странно Каждый день публикуют очередные эксплойты, 90 которы... весь текст скрыт [показать]

7.88, angra, 20:38, 31/08/2016 [^] [ответить] [смотреть все]	+/–
Еще в 80186 добавили инструкцию bound для проверки выхода за границы массива и ч... весь текст скрыт [показать]

5.80, angra, 19:32, 31/08/2016 [^] [ответить] [смотреть все]	+/–
Поделись, чем этот факт тебя так впечатлил, что ты носишься с ним из треда в тре... весь текст скрыт [показать]

6.86, rob pike, 20:31, 31/08/2016 [^] [ответить] [смотреть все]	+/–
Отпишись и не читай.

7.90, angra, 20:42, 31/08/2016 [^] [ответить] [смотреть все]	+/–
А по существу ответить слабо?

5.107, Аноним, 05:18, 01/09/2016 [^] [ответить] [смотреть все]	+/–
судя по темпам внедрения NXP DEP во всех архитектурах по Power, Sparc и hitach, ... весь текст скрыт [показать]

2.116, Ilya Indigo, 17:53, 01/09/2016 [^] [ответить] [смотреть все] [показать ветку]	+1 +/–
Ты не поверишь, или вообще не использовали https, или использовали само подписан... весь текст скрыт [показать] [показать ветку]

3.120, Crazy Alex, 01:35, 02/09/2016 [^] [ответить] [смотреть все]	+/–
Ну, то есть хреново жили

4.123, Ilya Indigo, 19:59, 02/09/2016 [^] [ответить] [смотреть все]	+/–
Хреново было, когда не было nic ua и pp ua, и зарегистрировать бесплатный домен ... весь текст скрыт [показать]

1.59, Аноним, 15:53, 31/08/2016 [ответить] [смотреть все]	+/–
Плохо что мозилла теряет в рейтинге, браузером пользуется все меньше людей, им б... весь текст скрыт [показать]

2.66, rob pike, 16:55, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку]	+/–
XUL мешает Вот выпилят XUL, сделают всё остальное как в Chrome - тогда и займут... весь текст скрыт [показать] [показать ветку]

3.102, Crazy Alex, 01:16, 01/09/2016 [^] [ответить] [смотреть все]	+/–
Ага, гугловцы

3.122, Аноним, 10:16, 02/09/2016 [^] [ответить] [смотреть все]	+/–
так уж-ж помаленьку начиная с 38 версии - выпиливают XUL покомпонентно и втаски... весь текст скрыт [показать]

1.77, Аноним, 18:44, 31/08/2016 [ответить] [смотреть все]	+1 +/–
Лол Мозилле китайцы как всегда занесут, сделают видимость устранения уязвимости... весь текст скрыт [показать]

2.95, Аноним, 21:52, 31/08/2016 [^] [ответить] [смотреть все] [показать ветку]	+/–
Есть подтверждение твоим словам? Кто там заносит мозилке?

3.110, Аноним, 13:57, 01/09/2016 [^] [ответить] [смотреть все]	+/–
А текста этой новости недостаточно По уму они должны были в ту же секунду обно... весь текст скрыт [показать]

1.121, Аноним, 07:23, 02/09/2016 [ответить] [смотреть все]	+/–
Думаю всем тем, кто редко пользуется китайскими сайтами, лучше всего отключить е... весь текст скрыт [показать]

Добавить комментарий