The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

25.10.2016 09:06  Mozilla перестаёт доверять новым сертификатам WoSign и StartCom

Компания Mozilla предупредила пользователей о скорой утрате доверия к части сертификатов одного их крупнейших китайских удостоверяющих центров WoSign, а также скрыто купленного ими удостоверяющего центра StartCom. Начиная с Firefox 51, релиз которого намечен на 24 января 2017 года, сайты, использующие сертификаты WoSign и StartCom, выписанные после 21 октября 2016 года, будут помечаться как небезопасные.

Кроме того, будет прекращено доверие к ранее выписанным задним числом сертификатам WoSign и StartCom, использующим цифровые подписи на базе SHA-1. В дальнейшем планируется полностью удалить корневые сертификаты WoSign и StartCom, но время их удаления пока не определено и может быть соотнесено с планами по переводу клиентов на новые корневые сертификаты. При отсутствии действий по замене сертификатов, Mozilla оставляет за собой право удалить данные корневые сертификаты в любой момент после марта 2017 года.

Столь кардинальные меры в отношении удостоверяющих центров WoSign и StartCom приняты после выявления многочисленных нарушений. После того как для алгоритма SHA-1 был выявлен ускоренный метод подбора коллизий, в регламентирующие деятельность удостоверяющих центров документы были внесены изменения, предписывающие с 1 января 2016 года полностью прекратить использование SHA-1 при создании сертификатов. WoSign и StartCom нарушили данное предписание и продолжили использование SHA-1 для формирования сертификатов, выписывая их задним числом, а также игнорируя требования по окончанию срока действия подобных сертификатов.

Другим серьёзным нарушением стало получение WoSign полного контроля за другим удостоверяющим центром - StartCom, без раскрытия сведений о совершённой сделке. Mozilla требует информирования о поглощении удостоверяющих центров, но WoSign и StartCom продолжают отрицать факт поглощения, даже после демонстрации доказательств, свидетельствующих об обратном. В том числе выявлены факты использования WoSign инфраструктуры StartCom и перекрёстного утверждения сертификатов.

Критике также подверглось отношение WoSign к обеспечению безопасности. Например, было выявлено применение в WoSign устаревших версий сетевых приложений, без надлежащей установки обновлений (используемый на DNS-сервере пакет Bind последний раз обновлялся в 2011 году и содержит 19 неисправленных уязвимостей). Кроме того, недавно были опубликованы сведения об уязвимости, позволяющей получить корректно заверенные сертификаты для сайтов, допускающих размещение пользовательской информации на поддоменах. Уязвимость оставалась неисправленной 14 месяцев после уведомления о проблеме и до сих пор не все полученные через эксплуатацию уязвимости сертификаты отозваны.

  1. Главная ссылка к новости (https://blog.mozilla.org/secur...)
  2. OpenNews: Mozilla обсуждает прекращение доверия к удостоверяющему центру WoSign
  3. OpenNews: В Firefox 51 будет ограничена поддержка сертификатов на основе SHA-1
  4. OpenNews: Опубликован полный список обманных SSL-сертификатов. В списке ЦРУ и МИ-6
  5. OpenNews: GlobalSign временно приостановил выдачу SSL-сертификатов из-за возможной компрометации
  6. OpenNews: Уязвимость удостоверяющего центра StartSSL позволяла получить сертификат для чужого домена
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: wosign, startcom, cert, mozilla
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 09:37, 25/10/2016 [ответить] [смотреть все]    [к модератору]
  • +13 +/
    и это правильно
     
     
  • 2.66, УставшийОтФарэфокс, 18:56, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • –15 +/
    похоже мазила только в этом отличается
     
  • 1.3, Нанобот, 09:48, 25/10/2016 [ответить] [смотреть все]    [к модератору]
  • +/
    >прекращает доверие

    как-то это не по-русски звучит. может лучше "перестаёт доверять" или "больше не доверяет"?

     
     
  • 2.17, Джо, 10:58, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • +12 +/
    "В связи с утратой доверия" - во так надо по-русски
     
  • 2.21, A.Stahl, 11:36, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]
  • +2 +/
    Может таки перестанет доверять А то перестаёт как-то в процессе получает... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.23, тоже Аноним, 12:02, 25/10/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    "Исключает из списка доверенных" - технически верно и не ломает русский язык.
     
  • 3.44, Michael Shigorin, 13:15, 25/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    я такая доверчивая, непредсказуемая такая PS что-то не припоминаю таких ме... весь текст скрыт [показать]
     
     
  • 4.62, KonstantinB, 18:08, 25/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Комода по всем законам природы должна была ещё в 2011-м проследовать туда же, ку... весь текст скрыт [показать]
     
  • 1.4, Нанобот, 09:51, 25/10/2016 [ответить] [смотреть все]    [к модератору]  
  • +7 +/
    т.е. https://opennet.ru скоро превратится в тыкву?

     
     
  • 2.5, Pinkie Pie, 09:55, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    В заголовке же написано, "к новым", не?
     
     
  • 3.74, fi, 23:13, 25/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    зато далее ... весь текст скрыт [показать]
     
  • 2.12, cvb, 10:47, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    И это правильно должна быть оценка A https www ssllabs com ssltest analyze... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.95, xm, 18:06, 26/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Для А там HTTP 2 не нужен, а вот TLS 1 2 и набор шифров подкрутить да Плюс HST... весь текст скрыт [показать]
     
  • 2.53, Sw00p aka Jerom, 15:09, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    хех в первые вижу на опёнке https )))

    пс: врубите блин HSTS

     
     
  • 3.123, Snaut, 10:18, 07/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    если включить HSTS, то в ближайшие полгода ты не сможешь перейти обратно на рабо... весь текст скрыт [показать]
     
  • 2.54, Z, 15:28, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +3 +/
    opennet.ru - WoSign

    LOR - Comodo

    LetsEncrypt - да ну его...

     
  • 2.70, Аноним, 20:37, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    А я ведь предупреждал ... весь текст скрыт [показать] [показать ветку]
     
  • 2.121, Snaut, 10:07, 07/11/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Он уже давно тыква, посмотрите отчет об уязвимостях https dev ssllabs com sslt... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.122, Аноним, 10:15, 07/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Это не уязвимости, а настройки HTTPS Не нужно слепо верить нагнетаемой вокруг H... весь текст скрыт [показать]
     
  • 3.124, Аноним, 10:21, 07/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Покажите хоть одну дыру в nginx 1 0 9, серьёзных дыр в нём не было А вот в бол... весь текст скрыт [показать]
     
  • 1.6, anonimous, 09:56, 25/10/2016 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    > opennet.ru
    > Verified by: WoSign CA Limited

    Ахахаха

     
     
  • 2.7, Тыквонимус, 10:00, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Не стреляйте в тапера, он играет как умеет Когда приспичит, переведут на вменяе... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.81, Аноним, 09:55, 26/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Нафига на сайте размещено 100500 статей о Let s encrypt Давайте еще форум на AS... весь текст скрыт [показать]
     
  • 2.18, Аноним, 10:59, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Там SHA-256, поэтому действия Mozilla его не накроют ... весь текст скрыт [показать] [показать ветку]
     
  • 2.36, А, 12:52, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Да ладно, Opennet доберется и прикрутить Let s Encrypt, да и все, проблема-то П... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.49, Аноним, 13:27, 25/10/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • –3 +/
    Let's Encrypt на 3 месяца выдаёт, а WoSign на три года
    LE идёт лесом
     
     
  • 4.51, Crazy Alex, 14:05, 25/10/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +4 +/
    Мечта тех, кто три года серве не апдейтит?
     
     
  • 5.72, Sw00p aka Jerom, 23:00, 25/10/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    вы во время каждого апдейта сервера отзываете сертификаты и регаете по новой ?
     
     
  • 6.75, Crazy Alex, 00:21, 26/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    У меня есть инструменты для автоматизации апдейтов И то же самое относится к се... весь текст скрыт [показать]
     
  • 4.52, Аноним, 15:06, 25/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    А есть разница Да хоть на неделю Разве что вы собрались их руками обновлять ... весь текст скрыт [показать]
     
     
  • 5.73, Sw00p aka Jerom, 23:04, 25/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    а чем вы раньше обновляли япосмотрю как вы EV будете обновлять пс ждите, ско... весь текст скрыт [показать]
     
     
  • 6.76, Crazy Alex, 00:25, 26/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Ну как бы вся идея IT в том, чтобы переложить ручной труд на машину А с EV - п... весь текст скрыт [показать]
     
     
  • 7.86, Sw00p aka Jerom, 13:07, 26/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    По поводу автоматизации, она нужна тем у кого парк серверов, сам ЛЕ расчитан на ... весь текст скрыт [показать]
     
     
  • 8.87, Crazy Alex, 13:37, 26/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Вот как раз на одиночных массовых впс-ках и нужна автоматизация - чтобы поднял и... весь текст скрыт [показать]
     
     
  • 9.91, Sw00p aka Jerom, 17:08, 26/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    одиночные массовые впс-ки - никак не связаны друг с другом, из вашего предложени... весь текст скрыт [показать]
     
     
  • 10.101, xm, 23:28, 26/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Срок действия короток не от того, что он не продакшн реди , а секьюрности ради ... весь текст скрыт [показать]
     
     
  • 11.103, Sw00p aka Jerom, 00:08, 27/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    уверены, что именно секурности ради а помоему, чтобы не держать кучу отозванных... весь текст скрыт [показать]
     
     
  • 12.104, xm, 00:40, 27/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Ну так тоже секурность - А я и так У меня скриптом на базе Let s Encrypt Ав... весь текст скрыт [показать]
     
     
  • 13.118, Аноним, 06:26, 29/10/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    А что мешает вирусописателям скриптом менять сертификаты?
     
     
  • 14.120, xm, 21:22, 30/10/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Не понял смысла вопроса в приложении к дискуссии.
     
  • 10.105, Crazy Alex, 03:16, 27/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    С Let s Encrypt можно полностью автоматизировать всю возню с сертификатами Подн... весь текст скрыт [показать]
     
  • 6.78, Аноним, 00:56, 26/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Lets Encrypt, если не ошибаюсь, не выдает EV-сертификаты, поэтому их не придется... весь текст скрыт [показать]
     
     
  • 7.85, Sw00p aka Jerom, 12:52, 26/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну ясен пень, кто знаком с EV поймет, что просто по API его не получишь, и нуно ... весь текст скрыт [показать]
     
     
  • 8.88, Crazy Alex, 13:39, 26/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Механизм ожидания звонка И на кой это счастье Вообще - там, где кажется, что н... весь текст скрыт [показать]
     
     
  • 9.92, Sw00p aka Jerom, 17:11, 26/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Так и есть, всё на бумаге и официально Они чуть ли не в налоговую службу страны... весь текст скрыт [показать]
     
     
  • 10.106, Crazy Alex, 03:19, 27/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Да просто на кой оно надо Если я крупные деньги перевожу - я и так договор со с... весь текст скрыт [показать]
     
  • 1.8, abi, 10:22, 25/10/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    Отлично, ну и куда мигрировать? Стартком удобен был для личного почтового сервера.
     
     
  • 2.9, noname.htm, 10:32, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +3 +/
    Let's Encrypt же.
     
     
  • 3.10, abi, 10:35, 25/10/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Разве он не требует http-сервер для валидации?
     
     
  • 4.11, abi, 10:36, 25/10/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Разве он не требует http-сервер для валидации?
     
  • 4.13, cvb, 10:49, 25/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Можно подтвердить владение через DNS, можно через HTTP А тем, кому python не по... весь текст скрыт [показать]
     
  • 4.19, Аноним, 11:03, 25/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Неужели трудно запустить рядом с почтовым сервером и http-сервер В Let s Encryp... весь текст скрыт [показать]
     
  • 4.25, angra, 12:14, 25/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Если у тебя нет http сервера, то какая тебе разница чему доверяет или не доверяе... весь текст скрыт [показать]
     
     
  • 5.83, abi, 10:33, 26/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Браузер - никакой разницы, но Thunderbird будет в бешенстве, да и на спамоловках... весь текст скрыт [показать]
     
  • 3.15, Аноним, 10:57, 25/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Корневой сертификат Let s Encrypt только в хранилище Mozilla В Google, Apple и... весь текст скрыт [показать]
     
     
  • 4.34, Аноним, 12:50, 25/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Это не аргумент, поскольку он применим вообще к любому УЦ ... весь текст скрыт [показать]
     
     
  • 5.45, Michael Shigorin, 13:17, 25/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Это аргумент, который применим к любому УЦ ... весь текст скрыт [показать]
     
     
  • 6.79, Аноним, 00:58, 26/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Окей, но это не аргумент против _конкретного_ УЦ ... весь текст скрыт [показать]
     
  • 4.37, А, 12:53, 25/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    С китайцами вообще ничего не хорошо, кроме того, что давали одно времени на 3 го... весь текст скрыт [показать]
     
  • 4.96, xm, 18:13, 26/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Они будут в числе последних тогда, поскольку поддерживают инфраструктуру крупней... весь текст скрыт [показать]
     
  • 1.14, поледанныхотсутств, 10:50, 25/10/2016 [ответить] [смотреть все]    [к модератору]  
  • –5 +/
    Давно пора..
     
  • 1.16, rmrm, 10:57, 25/10/2016 [ответить] [смотреть все]    [к модератору]  
  • +6 +/
    Ну что ж, картель CA успешно потопил посмевших раздавать бесплатные сертификаты "наглецов", сейчас ещё прикроют Let's Encrypt (под тем или иным предлогом, либо сам закроется), и у миллионов человек не останется никакого выхода кроме как покупать платные сертификаты. Пути миграции с HTTPS обратно на HTTP нет никакого, даже если поставить редирект - чтобы браузер не нарисовал красную страницу на весь экран, с HTTPS-стороны обязательно должен быть валидный сертификат. Возможно таким и был план с самого начала, в том числе причина запуска LE как такового. Подсадить всех на HTTPS, потом поубирать один за другим бесплатные варианты (два из трёх только что прибили одним махом), и вуаля, кол-во клиентов которым нужны серты увеличивается на порядок.
     
     
  • 2.27, pkdr, 12:14, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +7 +/
    При этом дырявый comodo мозилла что-то не хочет убирать.
     
  • 2.30, arzeth, 12:28, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –3 +/
    Да какой ещё тут корыстный умысел, тут обычный здравый смысл который иногда жес... весь текст скрыт [показать] [показать ветку]
     
  • 2.35, Аноним, 12:51, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    А вести дела добросовестно - не Или надо обязательно придерживаться принципа дя... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.47, Michael Shigorin, 13:21, 25/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Это в принципе не про коммерческие CA, как мне кажется Также не про банки и ст... весь текст скрыт [показать]
     
  • 2.39, Аноним, 12:57, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Расследование всех этих инцидентов инициировала и провела сама Mozilla А теперь... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.48, Gemorroj, 13:26, 25/10/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    они топят конкурентов.
     
  • 2.46, Michael Shigorin, 13:20, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –2 +/
    Ну почему, самоподписанный в качестве полпожара Но ведь ещё на всякий HSTS под... весь текст скрыт [показать] [показать ветку]
     
  • 2.59, Аноним, 16:42, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Пусть прикрывают Эти ребята изначально хотели всех насадить на свою систему, чт... весь текст скрыт [показать] [показать ветку]
     
  • 2.93, нах, 17:29, 26/10/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    1 не прикроют, это член картеля Собственно, для него и старались или научитьс... весь текст скрыт [показать] [показать ветку]
     
  • 1.20, Аноним, 11:03, 25/10/2016 [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    Mozilla, как учредитель Let s Encrypt, устраняет конкурентов Бесплатные сертифи... весь текст скрыт [показать]
     
     
  • 2.31, Crazy Alex, 12:31, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Проблемы с почтой были во времена бета-тестирования Но если кто его собирается ... весь текст скрыт [показать] [показать ветку]
     
  • 2.33, XXXasd, 12:43, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    и лучше бы устранил их всех вся этп продажа воздуха -- очень вредит конечным ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.41, Crazy Alex, 13:01, 25/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    DANE DNSSEC - тупая идея Заставляет доверять не выбранной тобой сущности, а вла... весь текст скрыт [показать]
     
     
  • 4.94, Sw00p aka Jerom, 17:45, 26/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Родили меня мои родители, а я им не доверяю Роди меня святой дух пжлста как... весь текст скрыт [показать]
     
     
  • 5.97, xm, 18:19, 26/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Смешались в кучу кони, люди ... весь текст скрыт [показать]
     
     
  • 6.98, Sw00p aka Jerom, 21:58, 26/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Чаво Все сводится к вайтлистингу самого домена hsts и его ключа certifiate p... весь текст скрыт [показать]
     
     
  • 7.99, xm, 23:03, 26/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Я ничего против DANE не имею и даже планирую его реализовать на своих серверах в... весь текст скрыт [показать]
     
     
  • 8.102, Sw00p aka Jerom, 23:42, 26/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    100500 Костыли всё это MitM всё равно можно произвести Как в случае с HSTS та... весь текст скрыт [показать]
     
     
  • 9.117, Аноним, 20:12, 28/10/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Начать лучше таки с учебника русского языка.
     
     
  • 10.119, Sw00p aka Jerom, 17:22, 29/10/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    ссылки не вижу
     
  • 4.100, xm, 23:16, 26/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А в случае с сертификатами TLS о ужас заставляет доверять владельцам сертифик... весь текст скрыт [показать]
     
     
  • 5.107, Crazy Alex, 03:27, 27/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Вопрос в другом Что бывает, когда ловят CA - мы знаем Что будет, когда поймают... весь текст скрыт [показать]
     
     
  • 6.109, Sw00p aka Jerom, 12:21, 27/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    На счет CA сделали демократию, позволили любому стать CA спокойно, зависимости ... весь текст скрыт [показать]
     
     
  • 7.110, Crazy Alex, 12:38, 27/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну вот Certificate Transparency даёт возможность и спать спокойно и иметь выбор ... весь текст скрыт [показать]
     
     
  • 8.115, Sw00p aka Jerom, 16:59, 27/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Не будете спокойно спать, пример тому валварь вроде стакснета пример код сайнин... весь текст скрыт [показать]
     
  • 2.50, arzeth, 13:48, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +3 +/
    Удобнее в краткосрочном плане В долгосрочном же 1 Можно забыть обновить серты... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.71, alex53, 20:43, 25/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    1 Сам себе злобный буратино startcom уведомляет об истечении сертификата за 2 ... весь текст скрыт [показать]
     
  • 1.22, mva, 11:55, 25/10/2016 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    1) утёкшая база E-mail это, всё же, не выпуск задним числом и не выпуск на чужой домен.
    Согласитесь, разного порядка косяки-то

    2) на самом деле, есть ещё один способ получать бесплатные сертификаты (даже вайлдкарды) подписанные GlobalSign, но я вам его не скажу, лол :)

     
     
  • 2.38, А, 12:54, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    https www globalsign com en ssl ssl-open-source ... весь текст скрыт [показать] [показать ветку]
     
  • 2.40, Аноним, 12:58, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Жадинаговядина Ь ... весь текст скрыт [показать] [показать ветку]
     
  • 1.24, Аноним, 12:07, 25/10/2016 [ответить] [смотреть все]     [к модератору]  
  • +/
    Если кто-то использует старый браузер, где он может взять списки действительных ... весь текст скрыт [показать]
     
     
  • 2.32, Анонимус 223, 12:36, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    В нормальных ОСях используют пакет ca-certs, а не в каждом браузере список спис... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.42, Crazy Alex, 13:02, 25/10/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    А тот же файрфокс ими пользуется в результате? Я вот смутно вспоминаю, что нет.
     
     
  • 4.57, Аноним, 15:30, 25/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Вот, например https packages debian org stable ca-certificates Действительно,... весь текст скрыт [показать]
     
     
  • 5.60, Ergil, 17:23, 25/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Проверяется просто Mozilla Firefox и его производные используют собственные вст... весь текст скрыт [показать]
     
     
  • 6.64, Аноним, 18:44, 25/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Спасибо А если кто-то использует старый Firefox, где он может взять списки дейс... весь текст скрыт [показать]
     
     
  • 7.65, Ergil, 18:49, 25/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    https wiki mozilla org CA IncludedCAs Смотрите отсюда и там дальше по ссылкам ... весь текст скрыт [показать]
     
  • 3.55, Аноним, 15:28, 25/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Спасибо, нашел, например, такой https packages debian org stable ca-certifica... весь текст скрыт [показать]
     
  • 2.116, xm, 21:41, 27/10/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Вот здесь попробуйте
    https://crt.sh/
     
  • 1.26, Аноним, 12:14, 25/10/2016 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Зато в в Opera WoSign теперь будет самым доверенным. ;-)
     
  • 1.28, Какаянахренразница, 12:22, 25/10/2016 [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    Наш товарищ Берия
    Вышел из доверия
    И товарищ Маленков
    Надавал ему пинков.

    © частушка

     
     
  • 2.29, Аноним, 12:27, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    Внедрение свободного ПО с 50-х годов?
     
  • 1.43, tehnikpc, 13:06, 25/10/2016 [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    Так а Mozille никто не доверяет. Как перестанет тормозить, так и сразу ...
     
  • 1.58, Аноним, 16:37, 25/10/2016 [ответить] [смотреть все]     [к модератору]  
  • +/
    Е-моё Скоро Мозилла превратится в Оракл и начнет требовать бабло чтобы в нашем... весь текст скрыт [показать]
     
     
  • 2.63, Аноним, 18:13, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Думаете как совок Другие браузеры тоже внедряют прозрачную валидацию и поддержи... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.108, Аноним, 11:23, 27/10/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Но с аддонами они именно это и сделали - залочили все подписями, без возможности... весь текст скрыт [показать]
     
  • 1.67, CHERTS, 20:01, 25/10/2016 [ответить] [смотреть все]     [к модератору]  
  • –5 +/
    Гори в аду чертова Мозилла вместе с Let s Encrypt WoSign единственный CA которы... весь текст скрыт [показать]
     
     
  • 2.77, Crazy Alex, 00:29, 26/10/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Да что будет - найдут дыру и поправят А найдут быстро - на то есть pinning и CT... весь текст скрыт [показать] [показать ветку]
     
  • 2.113, Адекват, 15:07, 27/10/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Виновата не моззила, а WoSing Это как правильный пацан , который сначала по си... весь текст скрыт [показать] [показать ветку]
     
  • 1.80, FSA, 07:27, 26/10/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    Всё-таки я не понял, StartCom - это тот самый, что выдаёт сертификаты на StartSSL.com или нет?
     
     
  • 2.82, Влад, 10:24, 26/10/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Да, тот самый
     
  • 1.84, Пользователь StartSSL, 11:29, 26/10/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    Они уже отреагировали, вот что в в их панели управления:
    Mozilla decided to distrust all StartCom root certificates as of 21st of October, this situation will have an impact in the upcoming release of Firefox in January. StartCom will provide an interim solution soon and will replace all the issued certificates from that date in case of requested. Meanwhile StartCom is updating all their systems and will generate new root CAs as requested by Mozilla.
     
     
  • 2.111, Аноним, 14:20, 27/10/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Sounds good.
     
  • 1.112, Аноним, 14:22, 27/10/2016 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Меня неприятно удивляет количество комментаторов, для которых важен только срок ... весь текст скрыт [показать]
     
     
  • 2.114, Адекват, 15:09, 27/10/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    > Меня неприятно удивляет количество комментаторов, для которых важен только срок действия
    > сертификата.
    > // И даже никто не посетовал о wildcard'ах...

    А нам это не нужно, нам нужно, чтобы на моем джаббер-сервере были валидные сертификаты на cs2 и s2s соединения. И да - обязательное межсерверное шифрование.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor