The OpenNET Project

 
Поиск (теги):    НОВОСТИ (+) КОНТЕНТ WIKI MAN'ы ФОРУМ twitter

25.10.2016 09:06  Mozilla перестаёт доверять новым сертификатам WoSign и StartCom

Компания Mozilla предупредила пользователей о скорой утрате доверия к части сертификатов одного их крупнейших китайских удостоверяющих центров WoSign, а также скрыто купленного ими удостоверяющего центра StartCom. Начиная с Firefox 51, релиз которого намечен на 24 января 2017 года, сайты, использующие сертификаты WoSign и StartCom, выписанные после 21 октября 2016 года, будут помечаться как небезопасные.

Кроме того, будет прекращено доверие к ранее выписанным задним числом сертификатам WoSign и StartCom, использующим цифровые подписи на базе SHA-1. В дальнейшем планируется полностью удалить корневые сертификаты WoSign и StartCom, но время их удаления пока не определено и может быть соотнесено с планами по переводу клиентов на новые корневые сертификаты. При отсутствии действий по замене сертификатов, Mozilla оставляет за собой право удалить данные корневые сертификаты в любой момент после марта 2017 года.

Столь кардинальные меры в отношении удостоверяющих центров WoSign и StartCom приняты после выявления многочисленных нарушений. После того как для алгоритма SHA-1 был выявлен ускоренный метод подбора коллизий, в регламентирующие деятельность удостоверяющих центров документы были внесены изменения, предписывающие с 1 января 2016 года полностью прекратить использование SHA-1 при создании сертификатов. WoSign и StartCom нарушили данное предписание и продолжили использование SHA-1 для формирования сертификатов, выписывая их задним числом, а также игнорируя требования по окончанию срока действия подобных сертификатов.

Другим серьёзным нарушением стало получение WoSign полного контроля за другим удостоверяющим центром - StartCom, без раскрытия сведений о совершённой сделке. Mozilla требует информирования о поглощении удостоверяющих центров, но WoSign и StartCom продолжают отрицать факт поглощения, даже после демонстрации доказательств, свидетельствующих об обратном. В том числе выявлены факты использования WoSign инфраструктуры StartCom и перекрёстного утверждения сертификатов.

Критике также подверглось отношение WoSign к обеспечению безопасности. Например, было выявлено применение в WoSign устаревших версий сетевых приложений, без надлежащей установки обновлений (используемый на DNS-сервере пакет Bind последний раз обновлялся в 2011 году и содержит 19 неисправленных уязвимостей). Кроме того, недавно были опубликованы сведения об уязвимости, позволяющей получить корректно заверенные сертификаты для сайтов, допускающих размещение пользовательской информации на поддоменах. Уязвимость оставалась неисправленной 14 месяцев после уведомления о проблеме и до сих пор не все полученные через эксплуатацию уязвимости сертификаты отозваны.

  1. Главная ссылка к новости (https://blog.mozilla.org/secur...)
  2. OpenNews: Mozilla обсуждает прекращение доверия к удостоверяющему центру WoSign
  3. OpenNews: В Firefox 51 будет ограничена поддержка сертификатов на основе SHA-1
  4. OpenNews: Опубликован полный список обманных SSL-сертификатов. В списке ЦРУ и МИ-6
  5. OpenNews: GlobalSign временно приостановил выдачу SSL-сертификатов из-за возможной компрометации
  6. OpenNews: Уязвимость удостоверяющего центра StartSSL позволяла получить сертификат для чужого домена
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: wosign, startcom, cert, mozilla
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 09:37, 25/10/2016 [ответить] [смотреть все]
  • +13 +/
    и это правильно
     
     
  • 2.66, УставшийОтФарэфокс, 18:56, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]
  • –15 +/
    похоже мазила только в этом отличается
     
  • 1.3, Нанобот, 09:48, 25/10/2016 [ответить] [смотреть все]
  • +/
    >прекращает доверие

    как-то это не по-русски звучит. может лучше "перестаёт доверять" или "больше не доверяет"?

     
     
  • 2.17, Джо, 10:58, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +12 +/
    "В связи с утратой доверия" - во так надо по-русски
     
  • 2.21, A.Stahl, 11:36, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +2 +/
    Может таки перестанет доверять А то перестаёт как-то в процессе получает... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.23, тоже Аноним, 12:02, 25/10/2016 [^] [ответить] [смотреть все]  
  • +3 +/
    "Исключает из списка доверенных" - технически верно и не ломает русский язык.
     
  • 3.44, Michael Shigorin, 13:15, 25/10/2016 [^] [ответить] [смотреть все]  
  • +/
    я такая доверчивая, непредсказуемая такая PS что-то не припоминаю таких ме... весь текст скрыт [показать]
     
     
  • 4.62, KonstantinB, 18:08, 25/10/2016 [^] [ответить] [смотреть все]  
  • +3 +/
    Комода по всем законам природы должна была ещё в 2011-м проследовать туда же, ку... весь текст скрыт [показать]
     
  • 1.4, Нанобот, 09:51, 25/10/2016 [ответить] [смотреть все]  
  • +7 +/
    т.е. https://opennet.ru скоро превратится в тыкву?

     
     
  • 2.5, Pinkie Pie, 09:55, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    В заголовке же написано, "к новым", не?
     
     
  • 3.74, fi, 23:13, 25/10/2016 [^] [ответить] [смотреть все]  
  • +/
    зато далее ... весь текст скрыт [показать]
     
  • 2.12, cvb, 10:47, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    И это правильно должна быть оценка A https www ssllabs com ssltest analyze... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.95, xm, 18:06, 26/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Для А там HTTP 2 не нужен, а вот TLS 1 2 и набор шифров подкрутить да Плюс HST... весь текст скрыт [показать]
     
  • 2.53, Sw00p aka Jerom, 15:09, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    хех в первые вижу на опёнке https )))

    пс: врубите блин HSTS

     
     
  • 3.123, Snaut, 10:18, 07/11/2016 [^] [ответить] [смотреть все]  
  • +/
    если включить HSTS, то в ближайшие полгода ты не сможешь перейти обратно на рабо... весь текст скрыт [показать]
     
  • 2.54, Z, 15:28, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    opennet.ru - WoSign

    LOR - Comodo

    LetsEncrypt - да ну его...

     
  • 2.70, Аноним, 20:37, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А я ведь предупреждал ... весь текст скрыт [показать] [показать ветку]
     
  • 2.121, Snaut, 10:07, 07/11/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Он уже давно тыква, посмотрите отчет об уязвимостях https dev ssllabs com sslt... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.122, Аноним, 10:15, 07/11/2016 [^] [ответить] [смотреть все]  
  • +/
    Это не уязвимости, а настройки HTTPS Не нужно слепо верить нагнетаемой вокруг H... весь текст скрыт [показать]
     
  • 3.124, Аноним, 10:21, 07/11/2016 [^] [ответить] [смотреть все]  
  • +/
    Покажите хоть одну дыру в nginx 1 0 9, серьёзных дыр в нём не было А вот в бол... весь текст скрыт [показать]
     
  • 1.6, anonimous, 09:56, 25/10/2016 [ответить] [смотреть все]  
  • +1 +/
    > opennet.ru
    > Verified by: WoSign CA Limited

    Ахахаха

     
     
  • 2.7, Тыквонимус, 10:00, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Не стреляйте в тапера, он играет как умеет Когда приспичит, переведут на вменяе... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.81, Аноним, 09:55, 26/10/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Нафига на сайте размещено 100500 статей о Let s encrypt Давайте еще форум на AS... весь текст скрыт [показать]
     
  • 2.18, Аноним, 10:59, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Там SHA-256, поэтому действия Mozilla его не накроют ... весь текст скрыт [показать] [показать ветку]
     
  • 2.36, А, 12:52, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да ладно, Opennet доберется и прикрутить Let s Encrypt, да и все, проблема-то П... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.49, Аноним, 13:27, 25/10/2016 [^] [ответить] [смотреть все]  
  • –3 +/
    Let's Encrypt на 3 месяца выдаёт, а WoSign на три года
    LE идёт лесом
     
     
  • 4.51, Crazy Alex, 14:05, 25/10/2016 [^] [ответить] [смотреть все]  
  • +4 +/
    Мечта тех, кто три года серве не апдейтит?
     
     
  • 5.72, Sw00p aka Jerom, 23:00, 25/10/2016 [^] [ответить] [смотреть все]  
  • +/
    вы во время каждого апдейта сервера отзываете сертификаты и регаете по новой ?
     
     
  • 6.75, Crazy Alex, 00:21, 26/10/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    У меня есть инструменты для автоматизации апдейтов И то же самое относится к се... весь текст скрыт [показать]
     
  • 4.52, Аноним, 15:06, 25/10/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    А есть разница Да хоть на неделю Разве что вы собрались их руками обновлять ... весь текст скрыт [показать]
     
     
  • 5.73, Sw00p aka Jerom, 23:04, 25/10/2016 [^] [ответить] [смотреть все]  
  • +/
    а чем вы раньше обновляли япосмотрю как вы EV будете обновлять пс ждите, ско... весь текст скрыт [показать]
     
     
  • 6.76, Crazy Alex, 00:25, 26/10/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Ну как бы вся идея IT в том, чтобы переложить ручной труд на машину А с EV - п... весь текст скрыт [показать]
     
     
  • 7.86, Sw00p aka Jerom, 13:07, 26/10/2016 [^] [ответить] [смотреть все]  
  • +/
    По поводу автоматизации, она нужна тем у кого парк серверов, сам ЛЕ расчитан на ... весь текст скрыт [показать]
     
     
  • 8.87, Crazy Alex, 13:37, 26/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Вот как раз на одиночных массовых впс-ках и нужна автоматизация - чтобы поднял и... весь текст скрыт [показать]
     
     
  • 9.91, Sw00p aka Jerom, 17:08, 26/10/2016 [^] [ответить] [смотреть все]  
  • +/
    одиночные массовые впс-ки - никак не связаны друг с другом, из вашего предложени... весь текст скрыт [показать]
     
     
  • 10.101, xm, 23:28, 26/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Срок действия короток не от того, что он не продакшн реди , а секьюрности ради ... весь текст скрыт [показать]
     
     
  • 11.103, Sw00p aka Jerom, 00:08, 27/10/2016 [^] [ответить] [смотреть все]  
  • +/
    уверены, что именно секурности ради а помоему, чтобы не держать кучу отозванных... весь текст скрыт [показать]
     
     
  • 12.104, xm, 00:40, 27/10/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Ну так тоже секурность - А я и так У меня скриптом на базе Let s Encrypt Ав... весь текст скрыт [показать]
     
     
  • 13.118, Аноним, 06:26, 29/10/2016 [^] [ответить] [смотреть все]  
  • +/
    А что мешает вирусописателям скриптом менять сертификаты?
     
     
  • 14.120, xm, 21:22, 30/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Не понял смысла вопроса в приложении к дискуссии.
     
  • 10.105, Crazy Alex, 03:16, 27/10/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    С Let s Encrypt можно полностью автоматизировать всю возню с сертификатами Подн... весь текст скрыт [показать]
     
  • 6.78, Аноним, 00:56, 26/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Lets Encrypt, если не ошибаюсь, не выдает EV-сертификаты, поэтому их не придется... весь текст скрыт [показать]
     
     
  • 7.85, Sw00p aka Jerom, 12:52, 26/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Ну ясен пень, кто знаком с EV поймет, что просто по API его не получишь, и нуно ... весь текст скрыт [показать]
     
     
  • 8.88, Crazy Alex, 13:39, 26/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Механизм ожидания звонка И на кой это счастье Вообще - там, где кажется, что н... весь текст скрыт [показать]
     
     
  • 9.92, Sw00p aka Jerom, 17:11, 26/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Так и есть, всё на бумаге и официально Они чуть ли не в налоговую службу страны... весь текст скрыт [показать]
     
     
  • 10.106, Crazy Alex, 03:19, 27/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Да просто на кой оно надо Если я крупные деньги перевожу - я и так договор со с... весь текст скрыт [показать]
     
  • 1.8, abi, 10:22, 25/10/2016 [ответить] [смотреть все]  
  • +/
    Отлично, ну и куда мигрировать? Стартком удобен был для личного почтового сервера.
     
     
  • 2.9, noname.htm, 10:32, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Let's Encrypt же.
     
     
  • 3.10, abi, 10:35, 25/10/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Разве он не требует http-сервер для валидации?
     
     
  • 4.11, abi, 10:36, 25/10/2016 [^] [ответить] [смотреть все]  
  • +/
    > Разве он не требует http-сервер для валидации?
     
  • 4.13, cvb, 10:49, 25/10/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Можно подтвердить владение через DNS, можно через HTTP А тем, кому python не по... весь текст скрыт [показать]
     
  • 4.19, Аноним, 11:03, 25/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Неужели трудно запустить рядом с почтовым сервером и http-сервер В Let s Encryp... весь текст скрыт [показать]
     
  • 4.25, angra, 12:14, 25/10/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    Если у тебя нет http сервера, то какая тебе разница чему доверяет или не доверяе... весь текст скрыт [показать]
     
     
  • 5.83, abi, 10:33, 26/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Браузер - никакой разницы, но Thunderbird будет в бешенстве, да и на спамоловках... весь текст скрыт [показать]
     
  • 3.15, Аноним, 10:57, 25/10/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Корневой сертификат Let s Encrypt только в хранилище Mozilla В Google, Apple и... весь текст скрыт [показать]
     
     
  • 4.34, Аноним, 12:50, 25/10/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Это не аргумент, поскольку он применим вообще к любому УЦ ... весь текст скрыт [показать]
     
     
  • 5.45, Michael Shigorin, 13:17, 25/10/2016 [^] [ответить] [смотреть все]  
  • +3 +/
    Это аргумент, который применим к любому УЦ ... весь текст скрыт [показать]
     
     
  • 6.79, Аноним, 00:58, 26/10/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Окей, но это не аргумент против _конкретного_ УЦ ... весь текст скрыт [показать]
     
  • 4.37, А, 12:53, 25/10/2016 [^] [ответить] [смотреть все]  
  • +/
    С китайцами вообще ничего не хорошо, кроме того, что давали одно времени на 3 го... весь текст скрыт [показать]
     
  • 4.96, xm, 18:13, 26/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Они будут в числе последних тогда, поскольку поддерживают инфраструктуру крупней... весь текст скрыт [показать]
     
  • 1.14, поледанныхотсутств, 10:50, 25/10/2016 [ответить] [смотреть все]  
  • –5 +/
    Давно пора..
     
  • 1.16, rmrm, 10:57, 25/10/2016 [ответить] [смотреть все]  
  • +6 +/
    Ну что ж, картель CA успешно потопил посмевших раздавать бесплатные сертификаты "наглецов", сейчас ещё прикроют Let's Encrypt (под тем или иным предлогом, либо сам закроется), и у миллионов человек не останется никакого выхода кроме как покупать платные сертификаты. Пути миграции с HTTPS обратно на HTTP нет никакого, даже если поставить редирект - чтобы браузер не нарисовал красную страницу на весь экран, с HTTPS-стороны обязательно должен быть валидный сертификат. Возможно таким и был план с самого начала, в том числе причина запуска LE как такового. Подсадить всех на HTTPS, потом поубирать один за другим бесплатные варианты (два из трёх только что прибили одним махом), и вуаля, кол-во клиентов которым нужны серты увеличивается на порядок.
     
     
  • 2.27, pkdr, 12:14, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +7 +/
    При этом дырявый comodo мозилла что-то не хочет убирать.
     
  • 2.30, arzeth, 12:28, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    Да какой ещё тут корыстный умысел, тут обычный здравый смысл который иногда жес... весь текст скрыт [показать] [показать ветку]
     
  • 2.35, Аноним, 12:51, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    А вести дела добросовестно - не Или надо обязательно придерживаться принципа дя... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.47, Michael Shigorin, 13:21, 25/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Это в принципе не про коммерческие CA, как мне кажется Также не про банки и ст... весь текст скрыт [показать]
     
  • 2.39, Аноним, 12:57, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Расследование всех этих инцидентов инициировала и провела сама Mozilla А теперь... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.48, Gemorroj, 13:26, 25/10/2016 [^] [ответить] [смотреть все]  
  • +/
    они топят конкурентов.
     
  • 2.46, Michael Shigorin, 13:20, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Ну почему, самоподписанный в качестве полпожара Но ведь ещё на всякий HSTS под... весь текст скрыт [показать] [показать ветку]
     
  • 2.59, Аноним, 16:42, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Пусть прикрывают Эти ребята изначально хотели всех насадить на свою систему, чт... весь текст скрыт [показать] [показать ветку]
     
  • 2.93, нах, 17:29, 26/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    1 не прикроют, это член картеля Собственно, для него и старались или научитьс... весь текст скрыт [показать] [показать ветку]
     
  • 1.20, Аноним, 11:03, 25/10/2016 [ответить] [смотреть все]  
  • +4 +/
    Mozilla, как учредитель Let s Encrypt, устраняет конкурентов Бесплатные сертифи... весь текст скрыт [показать]
     
     
  • 2.31, Crazy Alex, 12:31, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Проблемы с почтой были во времена бета-тестирования Но если кто его собирается ... весь текст скрыт [показать] [показать ветку]
     
  • 2.33, XXXasd, 12:43, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    и лучше бы устранил их всех вся этп продажа воздуха -- очень вредит конечным ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.41, Crazy Alex, 13:01, 25/10/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    DANE DNSSEC - тупая идея Заставляет доверять не выбранной тобой сущности, а вла... весь текст скрыт [показать]
     
     
  • 4.94, Sw00p aka Jerom, 17:45, 26/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Родили меня мои родители, а я им не доверяю Роди меня святой дух пжлста как... весь текст скрыт [показать]
     
     
  • 5.97, xm, 18:19, 26/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Смешались в кучу кони, люди ... весь текст скрыт [показать]
     
     
  • 6.98, Sw00p aka Jerom, 21:58, 26/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Чаво Все сводится к вайтлистингу самого домена hsts и его ключа certifiate p... весь текст скрыт [показать]
     
     
  • 7.99, xm, 23:03, 26/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Я ничего против DANE не имею и даже планирую его реализовать на своих серверах в... весь текст скрыт [показать]
     
     
  • 8.102, Sw00p aka Jerom, 23:42, 26/10/2016 [^] [ответить] [смотреть все]  
  • +/
    100500 Костыли всё это MitM всё равно можно произвести Как в случае с HSTS та... весь текст скрыт [показать]
     
     
  • 9.117, Аноним, 20:12, 28/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Начать лучше таки с учебника русского языка.
     
     
  • 10.119, Sw00p aka Jerom, 17:22, 29/10/2016 [^] [ответить] [смотреть все]  
  • +/
    ссылки не вижу
     
  • 4.100, xm, 23:16, 26/10/2016 [^] [ответить] [смотреть все]  
  • +/
    А в случае с сертификатами TLS о ужас заставляет доверять владельцам сертифик... весь текст скрыт [показать]
     
     
  • 5.107, Crazy Alex, 03:27, 27/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Вопрос в другом Что бывает, когда ловят CA - мы знаем Что будет, когда поймают... весь текст скрыт [показать]
     
     
  • 6.109, Sw00p aka Jerom, 12:21, 27/10/2016 [^] [ответить] [смотреть все]  
  • +/
    На счет CA сделали демократию, позволили любому стать CA спокойно, зависимости ... весь текст скрыт [показать]
     
     
  • 7.110, Crazy Alex, 12:38, 27/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Ну вот Certificate Transparency даёт возможность и спать спокойно и иметь выбор ... весь текст скрыт [показать]
     
     
  • 8.115, Sw00p aka Jerom, 16:59, 27/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Не будете спокойно спать, пример тому валварь вроде стакснета пример код сайнин... весь текст скрыт [показать]
     
  • 2.50, arzeth, 13:48, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Удобнее в краткосрочном плане В долгосрочном же 1 Можно забыть обновить серты... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.71, alex53, 20:43, 25/10/2016 [^] [ответить] [смотреть все]  
  • +/
    1 Сам себе злобный буратино startcom уведомляет об истечении сертификата за 2 ... весь текст скрыт [показать]
     
  • 1.22, mva, 11:55, 25/10/2016 [ответить] [смотреть все]  
  • +1 +/
    1) утёкшая база E-mail это, всё же, не выпуск задним числом и не выпуск на чужой домен.
    Согласитесь, разного порядка косяки-то

    2) на самом деле, есть ещё один способ получать бесплатные сертификаты (даже вайлдкарды) подписанные GlobalSign, но я вам его не скажу, лол :)

     
     
  • 2.38, А, 12:54, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    https www globalsign com en ssl ssl-open-source ... весь текст скрыт [показать] [показать ветку]
     
  • 2.40, Аноним, 12:58, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Жадинаговядина Ь ... весь текст скрыт [показать] [показать ветку]
     
  • 1.24, Аноним, 12:07, 25/10/2016 [ответить] [смотреть все]  
  • +/
    Если кто-то использует старый браузер, где он может взять списки действительных ... весь текст скрыт [показать]
     
     
  • 2.32, Анонимус 223, 12:36, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    В нормальных ОСях используют пакет ca-certs, а не в каждом браузере список спис... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.42, Crazy Alex, 13:02, 25/10/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    А тот же файрфокс ими пользуется в результате? Я вот смутно вспоминаю, что нет.
     
     
  • 4.57, Аноним, 15:30, 25/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Вот, например https packages debian org stable ca-certificates Действительно,... весь текст скрыт [показать]
     
     
  • 5.60, Ergil, 17:23, 25/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Проверяется просто Mozilla Firefox и его производные используют собственные вст... весь текст скрыт [показать]
     
     
  • 6.64, Аноним, 18:44, 25/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Спасибо А если кто-то использует старый Firefox, где он может взять списки дейс... весь текст скрыт [показать]
     
     
  • 7.65, Ergil, 18:49, 25/10/2016 [^] [ответить] [смотреть все]  
  • +/
    https wiki mozilla org CA IncludedCAs Смотрите отсюда и там дальше по ссылкам ... весь текст скрыт [показать]
     
  • 3.55, Аноним, 15:28, 25/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Спасибо, нашел, например, такой https packages debian org stable ca-certifica... весь текст скрыт [показать]
     
  • 2.116, xm, 21:41, 27/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вот здесь попробуйте
    https://crt.sh/
     
  • 1.26, Аноним, 12:14, 25/10/2016 [ответить] [смотреть все]  
  • +1 +/
    Зато в в Opera WoSign теперь будет самым доверенным. ;-)
     
  • 1.28, Какаянахренразница, 12:22, 25/10/2016 [ответить] [смотреть все]  
  • +3 +/
    Наш товарищ Берия
    Вышел из доверия
    И товарищ Маленков
    Надавал ему пинков.

    © частушка

     
     
  • 2.29, Аноним, 12:27, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Внедрение свободного ПО с 50-х годов?
     
  • 1.43, tehnikpc, 13:06, 25/10/2016 [ответить] [смотреть все]  
  • –2 +/
    Так а Mozille никто не доверяет. Как перестанет тормозить, так и сразу ...
     
  • 1.58, Аноним, 16:37, 25/10/2016 [ответить] [смотреть все]  
  • +/
    Е-моё Скоро Мозилла превратится в Оракл и начнет требовать бабло чтобы в нашем... весь текст скрыт [показать]
     
     
  • 2.63, Аноним, 18:13, 25/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Думаете как совок Другие браузеры тоже внедряют прозрачную валидацию и поддержи... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.108, Аноним, 11:23, 27/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Но с аддонами они именно это и сделали - залочили все подписями, без возможности... весь текст скрыт [показать]
     
  • 1.67, CHERTS, 20:01, 25/10/2016 [ответить] [смотреть все]  
  • –5 +/
    Гори в аду чертова Мозилла вместе с Let s Encrypt WoSign единственный CA которы... весь текст скрыт [показать]
     
     
  • 2.77, Crazy Alex, 00:29, 26/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да что будет - найдут дыру и поправят А найдут быстро - на то есть pinning и CT... весь текст скрыт [показать] [показать ветку]
     
  • 2.113, Адекват, 15:07, 27/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Виновата не моззила, а WoSing Это как правильный пацан , который сначала по си... весь текст скрыт [показать] [показать ветку]
     
  • 1.80, FSA, 07:27, 26/10/2016 [ответить] [смотреть все]  
  • +/
    Всё-таки я не понял, StartCom - это тот самый, что выдаёт сертификаты на StartSSL.com или нет?
     
     
  • 2.82, Влад, 10:24, 26/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да, тот самый
     
  • 1.84, Пользователь StartSSL, 11:29, 26/10/2016 [ответить] [смотреть все]  
  • +/
    Они уже отреагировали, вот что в в их панели управления:
    Mozilla decided to distrust all StartCom root certificates as of 21st of October, this situation will have an impact in the upcoming release of Firefox in January. StartCom will provide an interim solution soon and will replace all the issued certificates from that date in case of requested. Meanwhile StartCom is updating all their systems and will generate new root CAs as requested by Mozilla.
     
     
  • 2.111, Аноним, 14:20, 27/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Sounds good.
     
  • 1.112, Аноним, 14:22, 27/10/2016 [ответить] [смотреть все]  
  • +1 +/
    Меня неприятно удивляет количество комментаторов, для которых важен только срок ... весь текст скрыт [показать]
     
     
  • 2.114, Адекват, 15:09, 27/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > Меня неприятно удивляет количество комментаторов, для которых важен только срок действия
    > сертификата.
    > // И даже никто не посетовал о wildcard'ах...

    А нам это не нужно, нам нужно, чтобы на моем джаббер-сервере были валидные сертификаты на cs2 и s2s соединения. И да - обязательное межсерверное шифрование.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2016 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by BSH TopList