The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Mozilla перестаёт доверять новым сертификатам WoSign и StartCom

25.10.2016 09:06

Компания Mozilla предупредила пользователей о скорой утрате доверия к части сертификатов одного их крупнейших китайских удостоверяющих центров WoSign, а также скрыто купленного ими удостоверяющего центра StartCom. Начиная с Firefox 51, релиз которого намечен на 24 января 2017 года, сайты, использующие сертификаты WoSign и StartCom, выписанные после 21 октября 2016 года, будут помечаться как небезопасные.

Кроме того, будет прекращено доверие к ранее выписанным задним числом сертификатам WoSign и StartCom, использующим цифровые подписи на базе SHA-1. В дальнейшем планируется полностью удалить корневые сертификаты WoSign и StartCom, но время их удаления пока не определено и может быть соотнесено с планами по переводу клиентов на новые корневые сертификаты. При отсутствии действий по замене сертификатов, Mozilla оставляет за собой право удалить данные корневые сертификаты в любой момент после марта 2017 года.

Столь кардинальные меры в отношении удостоверяющих центров WoSign и StartCom приняты после выявления многочисленных нарушений. После того как для алгоритма SHA-1 был выявлен ускоренный метод подбора коллизий, в регламентирующие деятельность удостоверяющих центров документы были внесены изменения, предписывающие с 1 января 2016 года полностью прекратить использование SHA-1 при создании сертификатов. WoSign и StartCom нарушили данное предписание и продолжили использование SHA-1 для формирования сертификатов, выписывая их задним числом, а также игнорируя требования по окончанию срока действия подобных сертификатов.

Другим серьёзным нарушением стало получение WoSign полного контроля за другим удостоверяющим центром - StartCom, без раскрытия сведений о совершённой сделке. Mozilla требует информирования о поглощении удостоверяющих центров, но WoSign и StartCom продолжают отрицать факт поглощения, даже после демонстрации доказательств, свидетельствующих об обратном. В том числе выявлены факты использования WoSign инфраструктуры StartCom и перекрёстного утверждения сертификатов.

Критике также подверглось отношение WoSign к обеспечению безопасности. Например, было выявлено применение в WoSign устаревших версий сетевых приложений, без надлежащей установки обновлений (используемый на DNS-сервере пакет Bind последний раз обновлялся в 2011 году и содержит 19 неисправленных уязвимостей). Кроме того, недавно были опубликованы сведения об уязвимости, позволяющей получить корректно заверенные сертификаты для сайтов, допускающих размещение пользовательской информации на поддоменах. Уязвимость оставалась неисправленной 14 месяцев после уведомления о проблеме и до сих пор не все полученные через эксплуатацию уязвимости сертификаты отозваны.

  1. Главная ссылка к новости (https://blog.mozilla.org/secur...)
  2. OpenNews: Mozilla обсуждает прекращение доверия к удостоверяющему центру WoSign
  3. OpenNews: В Firefox 51 будет ограничена поддержка сертификатов на основе SHA-1
  4. OpenNews: Опубликован полный список обманных SSL-сертификатов. В списке ЦРУ и МИ-6
  5. OpenNews: GlobalSign временно приостановил выдачу SSL-сертификатов из-за возможной компрометации
  6. OpenNews: Уязвимость удостоверяющего центра StartSSL позволяла получить сертификат для чужого домена
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/45368-wosign
Ключевые слова: wosign, startcom, cert, mozilla
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (117) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 09:37, 25/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +13 +/
    и это правильно
     
     
  • 2.66, УставшийОтФарэфокс (?), 18:56, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • –15 +/
    похоже мазила только в этом отличается
     

  • 1.3, Нанобот (ok), 09:48, 25/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >прекращает доверие

    как-то это не по-русски звучит. может лучше "перестаёт доверять" или "больше не доверяет"?

     
     
  • 2.17, Джо (?), 10:58, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +12 +/
    "В связи с утратой доверия" - во так надо по-русски
     
  • 2.21, A.Stahl (ok), 11:36, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Может таки "перестанет доверять"? А то "перестаёт" как-то... в процессе получается. Всё перестают и перестают, никак не перестанут:)
     
     
  • 3.23, тоже Аноним (ok), 12:02, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    "Исключает из списка доверенных" - технически верно и не ломает русский язык.
     
  • 3.44, Michael Shigorin (ok), 13:15, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Может таки "перестанет доверять"? А то "перестаёт" как-то... в процессе получается.
    > Всё перестают и перестают, никак не перестанут:)

    "я такая доверчивая, непредсказуемая такая..."

    PS: что-то не припоминаю таких метаний MoCo по поводу всё того же Comodo, который куда как серьёзней накосячил.  Глянул быренько -- тоже не вижу.  Никто не напомнит?

     
     
  • 4.62, KonstantinB (ok), 18:08, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Комода по всем законам природы должна была ещё в 2011-м проследовать туда же, куда в то же время направился DigiNotar. Полагаю, Комода всех тогда неплохо проспонсировала, и с тех пор это стало регулярной практикой.
     

  • 1.4, Нанобот (ok), 09:51, 25/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    т.е. https://opennet.ru скоро превратится в тыкву?

     
     
  • 2.5, Pinkie Pie (?), 09:55, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    В заголовке же написано, "к новым", не?
     
     
  • 3.74, fi (ok), 23:13, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    зато далее:

    > Mozilla оставляет за собой право удалить данные корневые сертификаты в любой момент после марта 2017 года.

     
  • 2.12, cvb (??), 10:47, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    И это правильно (должна быть оценка A+):
    https://www.ssllabs.com/ssltest/analyze.html?d=opennet.ru&latest

    Давно пора включить HTTP/2 с TLS1.2
    IPv6, DNSSEC тоже не помешает.

     
     
  • 3.95, xm (ok), 18:06, 26/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Для А+ там HTTP/2 не нужен, а вот TLS 1.2 и набор шифров подкрутить да. Плюс HSTS для "плюса" :-)
     
  • 2.53, Sw00p aka Jerom (?), 15:09, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    хех в первые вижу на опёнке https )))

    пс: врубите блин HSTS

     
     
  • 3.123, Snaut (ok), 10:18, 07/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > хех в первые вижу на опёнке https )))
    > пс: врубите блин HSTS

    если включить HSTS, то в ближайшие полгода ты не сможешь перейти обратно на работу сайта по http.

     
  • 2.54, Z (??), 15:28, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    opennet.ru - WoSign

    LOR - Comodo

    LetsEncrypt - да ну его...

     
  • 2.70, Аноним (-), 20:37, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > т.е. https://opennet.ru скоро превратится в тыкву?

    А я ведь предупреждал ...
    > http://mobile.opennet.ru/openforum/vsluhforumID3/109420.html#3

     
  • 2.121, Snaut (ok), 10:07, 07/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > т.е. https://opennet.ru скоро превратится в тыкву?

    Он уже давно тыква, посмотрите отчет об уязвимостях https://dev.ssllabs.com/ssltest/analyze.html?d=www.opennet.ru&hideResults=on

    он уже дыра на дыре

    ну раз есть https, то почему бы хотя бы не логинить пользователей через https. нет же, авторизация по http. мрак

    на сервере стоит bginx 1.0.9. выпущен, минуточку, 5 лет назад. там админ вообще супер наивный человек. поражаюсь, как еще не поломали. видимо, просто интереса никакого нет

    2011-11-01
    nginx-1.0.9 stable version has been released.

     
     
  • 3.122, Аноним (-), 10:15, 07/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Это не уязвимости, а настройки HTTPS Не нужно слепо верить нагнетаемой вокруг H... большой текст свёрнут, показать
     
  • 3.124, Аноним (-), 10:21, 07/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > на сервере стоит bginx 1.0.9. выпущен, минуточку, 5 лет назад.

    Покажите хоть одну дыру в  nginx 1.0.9, серьёзных дыр в нём не было. А вот в более новых версиях, обросших http2 и прочим кодом не из рук Сысоева не факт, что дыр меньше и найдут их в первую очередь.

     

  • 1.6, anonimous (?), 09:56, 25/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > opennet.ru
    > Verified by: WoSign CA Limited

    Ахахаха

     
     
  • 2.7, Тыквонимус (?), 10:00, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не стреляйте в тапера, он играет как умеет. Когда приспичит, переведут на вменяемое, что вы зубоскалите.
     
     
  • 3.81, Аноним (-), 09:55, 26/10/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нафига на сайте размещено 100500 статей о Let's encrypt? Давайте еще форум на ASP.NET перепишем, чего уж там.
     
  • 2.18, Аноним (-), 10:59, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> opennet.ru
    >> Verified by: WoSign CA Limited
    > Ахахаха

    Там SHA-256, поэтому действия Mozilla его не накроют.

     
  • 2.36, А (??), 12:52, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Да ладно, Opennet доберется и прикрутить Let's Encrypt, да и все, проблема-то. Прямо по теме сайта и будет.

    А вот куча народа, набравшая себе "бесплатных", но не беспалевных сертов от китайцев, они не все осилят запилить LE себе (почему-то).

     
     
  • 3.49, Аноним (-), 13:27, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Let's Encrypt на 3 месяца выдаёт, а WoSign на три года
    LE идёт лесом
     
     
  • 4.51, Crazy Alex (ok), 14:05, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Мечта тех, кто три года серве не апдейтит?
     
     
  • 5.72, Sw00p aka Jerom (?), 23:00, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    вы во время каждого апдейта сервера отзываете сертификаты и регаете по новой ?
     
     
  • 6.75, Crazy Alex (ok), 00:21, 26/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У меня есть инструменты для автоматизации апдейтов. И то же самое относится к сертификатам.
     
  • 4.52, Аноним (-), 15:06, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А есть разница? Да хоть на неделю. Разве что вы собрались их руками обновлять...
     
     
  • 5.73, Sw00p aka Jerom (?), 23:04, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > А есть разница? Да хоть на неделю. Разве что вы собрались их
    > руками обновлять...

    а чем вы раньше обновляли ? япосмотрю как вы EV будете обновлять.

    пс: ждите, скоро повалит в новостях как через ЛЕ подписывают сертификаты на чёжие домены.

     
     
  • 6.76, Crazy Alex (ok), 00:25, 26/10/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну как бы вся идея IT  в том, чтобы переложить ручной труд на машину. А с EV - пройдёт пара лет, устаканится протокол Let's Encrypt, повыловят баги - там и поглядим. Когда-то и файлик hosts вручную между машинами тягали.

    А то, что уязвимости могут быть - так ясен пень. Вот поэтому и надо подождать с серьёзным применением, как и с любыми другими новинками. Но это ж, блин, не повод хотеть вечно руками сертификаты пихать!

     
     
  • 7.86, Sw00p aka Jerom (?), 13:07, 26/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    По поводу автоматизации, она нужна тем у кого парк серверов, сам ЛЕ расчитан на одиночные массовые vps-ки, а что касается крупных игроков с парком серверов то им легче свой CA поднимать, чем пользоваться ЛЕ.

    Пс: касаемо vps-ок, то я считаю, что каждый уважающий себя (крупный) хостер должен выдавать своим клиентам бесплатно.

    Пс2: 1 раз в год - не вечность, зачем нужно было менять период валидности сертитката? Тут и всплывает возмущение, зачем нужно каждые 90 дней оюновлять его, если стандартная практика - один раз в год. Халявщиков, даже если и минута, будет устраивать, отнекиватьс автоматизацией не нужно, механизм автоматизации ЛЕ - костыль. Верификацию нужно было делать на базе днс, и толкать всех узать днссек.


     
     
  • 8.87, Crazy Alex (ok), 13:37, 26/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Вот как раз на одиночных массовых впс-ках и нужна автоматизация - чтобы поднял и... текст свёрнут, показать
     
     
  • 9.91, Sw00p aka Jerom (?), 17:08, 26/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    одиночные массовые впс-ки - никак не связаны друг с другом, из вашего предложени... большой текст свёрнут, показать
     
     
  • 10.101, xm (ok), 23:28, 26/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Срок действия короток не от того, что он не продакшн реди , а секьюрности ради ... текст свёрнут, показать
     
     
  • 11.103, Sw00p aka Jerom (?), 00:08, 27/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    уверены, что именно секурности ради а помоему, чтобы не держать кучу отозванных... текст свёрнут, показать
     
     
  • 12.104, xm (ok), 00:40, 27/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну так тоже секурность - А я и так У меня скриптом на базе Let s Encrypt Ав... текст свёрнут, показать
     
     
  • 13.118, Аноним (118), 06:26, 29/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А что мешает вирусописателям скриптом менять сертификаты ... текст свёрнут, показать
     
     
  • 14.120, xm (ok), 21:22, 30/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Не понял смысла вопроса в приложении к дискуссии ... текст свёрнут, показать
     
  • 10.105, Crazy Alex (ok), 03:16, 27/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    С Let s Encrypt можно полностью автоматизировать всю возню с сертификатами Подн... текст свёрнут, показать
     
  • 6.78, Аноним (-), 00:56, 26/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Lets Encrypt, если не ошибаюсь, не выдает EV-сертификаты, поэтому их не придется обновлять руками.
     
     
  • 7.85, Sw00p aka Jerom (?), 12:52, 26/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ну ясен пень, кто знаком с EV поймет, что просто по API его не получишь, и нуно ждать 3 дня звонка. А ЛЕ просто не осилило продумать этот механизм
     
     
  • 8.88, Crazy Alex (ok), 13:39, 26/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Механизм ожидания звонка И на кой это счастье Вообще - там, где кажется, что н... текст свёрнут, показать
     
     
  • 9.92, Sw00p aka Jerom (?), 17:11, 26/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Так и есть, всё на бумаге и официально Они чуть ли не в налоговую службу страны... текст свёрнут, показать
     
     
  • 10.106, Crazy Alex (ok), 03:19, 27/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Да просто на кой оно надо Если я крупные деньги перевожу - я и так договор со с... текст свёрнут, показать
     

  • 1.8, abi (?), 10:22, 25/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Отлично, ну и куда мигрировать? Стартком удобен был для личного почтового сервера.
     
     
  • 2.9, noname.htm (?), 10:32, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Let's Encrypt же.
     
     
  • 3.10, abi (?), 10:35, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Разве он не требует http-сервер для валидации?
     
     
  • 4.11, abi (?), 10:36, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Разве он не требует http-сервер для валидации?
     
  • 4.13, cvb (??), 10:49, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Разве он не требует http-сервер для валидации?

    Можно подтвердить владение через DNS, можно через HTTP.
    А тем, кому python не по душе, а любит shell - есть https://github.com/lukas2511/dehydrated

     
  • 4.19, Аноним (-), 11:03, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Неужели трудно запустить рядом с почтовым сервером и http-сервер? В Let's Encrypt он даже из коробки есть.
     
  • 4.25, angra (ok), 12:14, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Если у тебя нет http сервера, то какая тебе разница чему доверяет или не доверяет браузер?
     
     
  • 5.83, abi (?), 10:33, 26/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Браузер - никакой разницы, но Thunderbird будет в бешенстве, да и на спамоловках наверняка накинут штрафных баллов.

    Видимо, придётся внутри поднять простейший www-сервер и пробрасывать http в клетку.

     
  • 3.15, Аноним (-), 10:57, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Корневой сертификат Let's Encrypt  только в хранилище Mozilla. В Google, Apple и MS его ещё не приняли, поэтому он держится только на кросс-сертификате от IdenTrust, т.е. полностью зависит от IdenTrust. IdenTrust может закрыться, он может быть скомпрометирован или просто отозвать кросс-сертификат. Поэтому с Let's Encrypt  не всё так хорошо как кажется.
     
     
  • 4.34, Аноним (-), 12:50, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> IdenTrust может закрыться

    Это не аргумент, поскольку он применим вообще к любому УЦ.

     
     
  • 5.45, Michael Shigorin (ok), 13:17, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >>> IdenTrust может закрыться
    > Это не аргумент, поскольку он применим вообще к любому УЦ.

    Это аргумент, который применим к любому УЦ.

     
     
  • 6.79, Аноним (-), 00:58, 26/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>>> IdenTrust может закрыться
    >> Это не аргумент, поскольку он применим вообще к любому УЦ.
    > Это аргумент, который применим к любому УЦ.

    Окей, но это не аргумент против _конкретного_ УЦ.

     
  • 4.37, А (??), 12:53, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    С китайцами вообще ничего не хорошо, кроме того, что давали одно времени на 3 года бесплатно. Ну и покупка тайная криво выглядит, зачем они так?

    > Поэтому с Let's Encrypt  не всё так хорошо как кажется.

     
  • 4.96, xm (ok), 18:13, 26/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > IdenTrust может закрыться

    Они будут в числе последних тогда, поскольку поддерживают инфраструктуру крупнейших мировых финансовых учреждений, а также ряда американских государственных структур.

     

  • 1.14, поледанныхотсутств (?), 10:50, 25/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Давно пора..
     
  • 1.16, rmrm (?), 10:57, 25/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Ну что ж, картель CA успешно потопил посмевших раздавать бесплатные сертификаты "наглецов", сейчас ещё прикроют Let's Encrypt (под тем или иным предлогом, либо сам закроется), и у миллионов человек не останется никакого выхода кроме как покупать платные сертификаты. Пути миграции с HTTPS обратно на HTTP нет никакого, даже если поставить редирект - чтобы браузер не нарисовал красную страницу на весь экран, с HTTPS-стороны обязательно должен быть валидный сертификат. Возможно таким и был план с самого начала, в том числе причина запуска LE как такового. Подсадить всех на HTTPS, потом поубирать один за другим бесплатные варианты (два из трёх только что прибили одним махом), и вуаля, кол-во клиентов которым нужны серты увеличивается на порядок.
     
     
  • 2.27, pkdr (ok), 12:14, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +7 +/
    При этом дырявый comodo мозилла что-то не хочет убирать.
     
  • 2.30, arzeth (ok), 12:28, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Да какой ещё тут корыстный умысел, тут обычный здравый смысл который иногда жес... большой текст свёрнут, показать
     
  • 2.35, Аноним (-), 12:51, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А вести дела добросовестно - не? Или надо обязательно придерживаться принципа дядюшки Ляо - если продукт выглядит как настоящий, то этого достаточно, чтобы выйти с ним на рынок?
     
     
  • 3.47, Michael Shigorin (ok), 13:21, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > А вести дела добросовестно - не?

    Это в принципе не про коммерческие CA, как мне кажется.  Также не про банки и страховщиков.

     
  • 2.39, Аноним (-), 12:57, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну что ж, картель CA успешно потопил посмевших раздавать бесплатные сертификаты "наглецов",
    > сейчас ещё прикроют Let's Encrypt (под тем или иным предлогом

    Расследование всех этих инцидентов инициировала и провела сама Mozilla. А теперь они потопят свой же Let's Encrypt?

    Вы там завязывайте пороть чушь с умным видом.

     
     
  • 3.48, Gemorroj (ok), 13:26, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    они топят конкурентов.
     
  • 2.46, Michael Shigorin (ok), 13:20, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Пути миграции с HTTPS обратно на HTTP нет никакого

    Ну почему, самоподписанный в качестве полпожара.  Но ведь ещё на всякий HSTS подпёрли и "небезопасностью" нешифрованного соединения в браузерах (расскажите это "исключительным" спецслужбам, ага).

     
  • 2.59, Аноним (-), 16:42, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >сейчас ещё прикроют Let's Encrypt

    Пусть прикрывают. Эти ребята изначально хотели всех насадить на свою систему, чтобы потом бабло вытягивать. Но, общество поняло и послало их намерия. Они от безысходности начали делать "как правильно", но было уже поздно. Так что пусть загнутся. И чем раньше, тем лучше. А китайцы, вот, молодцы, тихо, удобно, без накруток и выкрутасов стали известны на весь мир.

     
  • 2.93, нах (?), 17:29, 26/10/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ну что ж, картель CA успешно потопил посмевших раздавать бесплатные сертификаты "наглецов"

    +1

    > сейчас ещё прикроют Let's Encrypt

    не прикроют, это член картеля. Собственно, для него и старались.

    > и у миллионов человек не останется никакого выхода кроме как покупать платные сертификаты

    или научиться устанавливать цепочки доверия вручную. Что и следовало сделать с самого начала.

    Я, вероятно, пойду этим путем, а не установкой LE с его чудо-скриптами с двойным дном.

     

  • 1.20, Аноним (-), 11:03, 25/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Mozilla, как учредитель Let's Encrypt, устраняет конкурентов? Бесплатные сертификаты WoSign и StartCom значительно удоблее и не нужно раз в три месяца продлять.
    Какой-то однобокий подход, в Let's Encrypt тоже были проблемы и база email пользователей утекала.
    Из самого свежего https://dan.enigmabridge.com/lets-encrypts-vulnerability-as-a-feature-authz-re
     
     
  • 2.31, Crazy Alex (ok), 12:31, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Проблемы с почтой были во времена бета-тестирования. Но если кто его собирается применять для чего-то важного в течение хотя бы года ещё - ССЗБ. Понятно, что должно пройти время и быть выловлены косяки. А так - подкрутят/пофиксят, делов-то.
     
  • 2.33, XXXasd (ok), 12:43, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Mozilla, как учредитель Let's Encrypt, устраняет конкурентов?

    и лучше бы устранил их всех..

    (вся этп продажа воздуха -- очень вредит конечным потребителям)

    ..а после внедрения DNSSEC (DANE) пусть и Letsencrypt тоже устранят

     
     
  • 3.41, Crazy Alex (ok), 13:01, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    DANE/DNSSEC - тупая идея. Заставляет доверять не выбранной тобой сущности, а владельцу домена верхнего уровня. Да и ключи там убогие. Единственное здравое зерно - возможность гвоздями прибить CA ещё до того, как клиент первый раз зашёл на сайт (потому что после это можно сделать через Certificate Pinning).
     
     
  • 4.94, Sw00p aka Jerom (?), 17:45, 26/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > DANE/DNSSEC - тупая идея. Заставляет доверять не выбранной тобой сущности, а владельцу
    > домена верхнего уровня.

    Родили меня мои родители, а я им не доверяю )) Роди меня святой дух пжлста. (как указал выше там цепь доверия - иерархия, что логично)

    Certificate Pinning, HSTS это всё костыли, если реализовать безопасную схему ДНС(СЕК) то всё автоматом встанет на свои места. Умрут все CA, и валидно для сайта то, что прописано у него в домене.

    цитата из вики:

    Принцип работы

    Перед установлением безопасного соединения (HTTPS, TLS для любого поддерживающего протокола) клиент совершает ряд дополнительных DNS-запросов. В ответах на эти запросы клиенту передаются параметры сертификата или сам сертификат. При этом клиент устанавливает связь с сервером, адрес которого валидирован DNS-сервером клиента посредством DNSSEC. После открытия соединения клиент верифицирует ответ сервера при помощи имеющегося сертификата либо его цифрового отпечатка (fingerprint).

    а для всего этого достаточно ввести надёжный механизм получения этих данных из ДНС, что и есть ДНССЕК.

     
     
  • 5.97, xm (ok), 18:19, 26/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Certificate Pinning, HSTS это всё костыли, если реализовать безопасную схему ДНС(СЕК) то всё автоматом встанет на свои места

    "Смешались в кучу кони, люди..."

     
     
  • 6.98, Sw00p aka Jerom (?), 21:58, 26/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Чаво? Все сводится к вайтлистингу самого домена (hsts) и его ключа (certifiate pinning) на стороне клиента, собственно браузера, аналогия с временами hosts файла когда не было dns, а раз уж есть dns и механизм защищенной передачи данных (dnssec) почемубы не хранить сертификаты, хеши публичных ключей и всякую хрень в самом dns? Dane как раз для этого и нужен
     
     
  • 7.99, xm (ok), 23:03, 26/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Я ничего против DANE не имею и даже планирую его реализовать на своих серверах в ближайшей перспективе. Однако не вижу причин автоматической аннуляции использования HSTS и HPKP, каковые уже реализованы. Последние же, как вы верно подметили, реализуются на уровне клиента.
    То есть налицо ещё один уровень защиты, отнюдь не лишний.
     
     
  • 8.102, Sw00p aka Jerom (?), 23:42, 26/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    100500 Костыли всё это MitM всё равно можно произвести Как в случае с HSTS та... текст свёрнут, показать
     
     
  • 9.117, Аноним (-), 20:12, 28/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Начать лучше таки с учебника русского языка ... текст свёрнут, показать
     
     
  • 10.119, Sw00p aka Jerom (?), 17:22, 29/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    ссылки не вижу ... текст свёрнут, показать
     
  • 4.100, xm (ok), 23:16, 26/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > DANE/DNSSEC - тупая идея. Заставляет доверять не выбранной тобой сущности, а владельцу домена верхнего уровня

    А в случае с сертификатами TLS (о ужас!) заставляет доверять владельцам сертификатов более высокого уровня.
    И да, прибивать CA идея хреновая, потому что, например, с его помощью (до дефекту реализации, как это случилось у WoSign и иже с ним или по злому умыслу) может выпустить левый сертификат для вашего домена.
    Так что прибивать надо leaf'ы.

     
     
  • 5.107, Crazy Alex (ok), 03:27, 27/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Вопрос в другом: Что бывает, когда ловят CA - мы знаем. Что будет, когда поймают за руку RIPN? Обычно всё же CA и владельцы доменов первого уровня сильно различаются по "весу" (Verisign - мрачное исключение).

    Опять же - не надо давать держателям доменов первого уровня лишний соблазн - CA поменять просто, а в другой домен уйти - морока гораздо большая.

    А что прибивать надо leaf-ы - согласен, конечно.

     
     
  • 6.109, Sw00p aka Jerom (?), 12:21, 27/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    На счет CA сделали демократию, позволили любому стать CA  спокойно, зависимости в одной точке нет, что и порождает всякие неприятные и не доверительные доводы. В случае с DNS все иерархично от одного корня и вниз по дереву, что порождает обязательную цепочку доверия, любые казусы на любом уровне можно пресечь, не на корневом уровне, хотя я сталкивался с казусом когда все это произошло на одном из корневых зеркал отвечающих за мой TLD, возникает вопрос - с кого спрашивать за это? Альтернативы нет, без так называемого вакуумного доверия подругому не построиш систеиу. Как по мне лучше бы CA также организовали от одного корня,
     
     
  • 7.110, Crazy Alex (ok), 12:38, 27/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот Certificate Transparency даёт возможность и спать спокойно и иметь выбор.
     
     
  • 8.115, Sw00p aka Jerom (?), 16:59, 27/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Не будете спокойно спать, пример тому валварь вроде стакснета пример код сайнин... текст свёрнут, показать
     
  • 2.50, arzeth (ok), 13:48, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Бесплатные сертификаты WoSign и StartCom значительно удоблее и не нужно раз в три месяца продлять.

    Удобнее в краткосрочном плане. В долгосрочном же:
    1) Можно забыть обновить серты. Люди постоянно забывают что-нибудь, даже если на почту слать письма. Let's Encrypt эту *уязвимость* (когда коммерческий сайт не доступен, деньги не появляются, следовательно это уязвимость) у Homo Sapiens Sapiens частично исправляют тем, что дают нам возможность это автоматизировать И создают нам мотивацию настроить крон.
    2) Надо каждый N лет заходить на сайт CA и выкачивать серт для каждого домена. У меня 40 доменов, я же замучаюсь. А ведь ещё можно попасть в больницу/запой/армию; или интернет отключат на неделю, пока находишься в глухой деревне.
    3) Наверное, это у меня такое было, но я зашёл в декабре 2015 на сайт StartCom, хотел обновить серт (за день до истечения), а авторизоваться не смог, потому что StartCom не принимал их специальный серт для авторизации (несколько браузеров пробовал и всё обгуглил), хотя раньше принимал.

    > Какой-то однобокий подход, в Let's Encrypt тоже были проблемы и база email пользователей утекала.

    Косяков не делает тот, кто ничего не делает. И если косяки и негигантские, и признаются, и исправляются быстро, то такому CA доверять стоит.

     
     
  • 3.71, alex53 (ok), 20:43, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    1. Сам себе злобный буратино. startcom уведомляет об истечении сертификата за 2 недели.
    2. У startcom недавно появился API. Теперь все можно скриптовать.
    3. См п.1
     

  • 1.22, mva (??), 11:55, 25/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    1) утёкшая база E-mail это, всё же, не выпуск задним числом и не выпуск на чужой домен.
    Согласитесь, разного порядка косяки-то

    2) на самом деле, есть ещё один способ получать бесплатные сертификаты (даже вайлдкарды) подписанные GlobalSign, но я вам его не скажу, лол :)

     
     
  • 2.38, А (??), 12:54, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > 1) утёкшая база E-mail это, всё же, не выпуск задним числом и
    > не выпуск на чужой домен.
    > Согласитесь, разного порядка косяки-то
    > 2) на самом деле, есть ещё один способ получать бесплатные сертификаты (даже
    > вайлдкарды) подписанные GlobalSign, но я вам его не скажу, лол :)

    https://www.globalsign.com/en/ssl/ssl-open-source/ ?

     
  • 2.40, Аноним (-), 12:58, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > 2) на самом деле, есть ещё один способ получать бесплатные сертификаты (даже
    > вайлдкарды) подписанные GlobalSign, но я вам его не скажу, лол :)

    Жадинаговядина :Ь

     

  • 1.24, Аноним (-), 12:07, 25/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если кто-то использует старый браузер, где он может взять списки действительных и отозванных сертификатов?
    Можно ссылки?
     
     
  • 2.32, Анонимус 223 (?), 12:36, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    В нормальных ОСях используют пакет ca-certs, а не в  каждом браузере список спискоа
     
     
  • 3.42, Crazy Alex (ok), 13:02, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А тот же файрфокс ими пользуется в результате? Я вот смутно вспоминаю, что нет.
     
     
  • 4.57, Аноним (-), 15:30, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > А тот же файрфокс ими пользуется в результате? Я вот смутно вспоминаю,
    > что нет.

    Вот, например:
    https://packages.debian.org/stable/ca-certificates
    Действительно, как проверить: пользуется им Firefox (Opera, Chromium) или нет?


     
     
  • 5.60, Ergil (ok), 17:23, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Проверяется просто. Mozilla Firefox и его производные используют собственные встроенные списки. Chromium и его производные используют системные той системы в которой установлены.
     
     
  • 6.64, Аноним (-), 18:44, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо.
    А если кто-то использует старый Firefox, где он может взять списки действительных и отозванных сертификатов?
    Можно ссылки?
     
     
  • 7.65, Ergil (ok), 18:49, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Спасибо.
    > А если кто-то использует старый Firefox, где он может взять списки действительных
    > и отозванных сертификатов?
    > Можно ссылки?

    https://wiki.mozilla.org/CA:IncludedCAs
    Смотрите отсюда и там дальше по ссылкам.

     
  • 3.55, Аноним (-), 15:28, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, нашел, например, такой:
    https://packages.debian.org/stable/ca-certificates
     
  • 2.116, xm (ok), 21:41, 27/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Вот здесь попробуйте
    https://crt.sh/
     

  • 1.26, Аноним (-), 12:14, 25/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Зато в в Opera WoSign теперь будет самым доверенным. ;-)
     
  • 1.28, Какаянахренразница (ok), 12:22, 25/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Наш товарищ Берия
    Вышел из доверия
    И товарищ Маленков
    Надавал ему пинков.

    © частушка

     
     
  • 2.29, Аноним (-), 12:27, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Внедрение свободного ПО с 50-х годов?
     

  • 1.43, tehnikpc (ok), 13:06, 25/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Так а Mozille никто не доверяет. Как перестанет тормозить, так и сразу ...
     
  • 1.58, Аноним (-), 16:37, 25/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Е-моё. Скоро Мозилла превратится в Оракл и начнет требовать бабло "чтобы в нашем броузере ваши серты были валидными". Кому какое дело откуда сертификаты, если люди, которые ими пользуются частные лица и используют их для частных нужд? Да и вообще, идиотов мозилловцы не вылечат, если человек при совершение баблосделок не проверяет сертификаты, источники, название сайта, кто, что, как, куда, зачем, то ЭТО (забота о центрах сертификации) их НЕ спасет. Как окручивали л--ов, так и будут. С вмешательством мозилловцев или без их участия.
     
     
  • 2.63, Аноним (-), 18:13, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Думаете как совок! Другие браузеры тоже внедряют прозрачную валидацию и поддерживают фонды Lets Encrypt
     
     
  • 3.108, Аноним (-), 11:23, 27/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Думаете как совок! Другие браузеры тоже внедряют прозрачную валидацию и поддерживают фонды
    > Lets Encrypt

    Но с аддонами они именно это и сделали - залочили все подписями, без возможности добавить свой ключ. Денег правда пока еще не требуют, но это наверное временно.

     

  • 1.67, CHERTS (??), 20:01, 25/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Гори в аду чертова Мозилла вместе с Let's Encrypt!
    WoSign единственный CA который выпускал бесплатно сертификаты > 1 года, теперь не осталось альтернатив, покупайте платные сертификаты называется.
    Посмотрим что будет когда Let's Encrypt облажается и выпишет сертификат на google.com левому человеку.
     
     
  • 2.77, Crazy Alex (ok), 00:29, 26/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Да что будет - найдут дыру и поправят. А найдут быстро - на то есть pinning и CT.
     
  • 2.113, Адекват (ok), 15:07, 27/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Гори в аду чертова Мозилла вместе с Let's Encrypt!
    > WoSign единственный CA который выпускал бесплатно сертификаты > 1 года, теперь не

    Виновата не моззила, а WoSing.

    Это как "правильный пацан", который сначала по синей лавочек отпинал прохожего (ни в чем не виноватого), а потом слезы льет, что на него дело завели. И его кореша еще к отпинаному предъявляют - ну ты че не мужик, с кем не бывает, ну отпинали тебя, у тебя поболит и пройдет, а наш кореш на зону отправиться !!

     

  • 1.80, FSA (??), 07:27, 26/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Всё-таки я не понял, StartCom - это тот самый, что выдаёт сертификаты на StartSSL.com или нет?
     
     
  • 2.82, Влад (??), 10:24, 26/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Да, тот самый
     

  • 1.84, Пользователь StartSSL (?), 11:29, 26/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Они уже отреагировали, вот что в в их панели управления:
    Mozilla decided to distrust all StartCom root certificates as of 21st of October, this situation will have an impact in the upcoming release of Firefox in January. StartCom will provide an interim solution soon and will replace all the issued certificates from that date in case of requested. Meanwhile StartCom is updating all their systems and will generate new root CAs as requested by Mozilla.
     
     
  • 2.111, Аноним (-), 14:20, 27/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Sounds good.
     

  • 1.112, Аноним (-), 14:22, 27/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Меня неприятно удивляет количество комментаторов, для которых важен только срок действия сертификата.

    // И даже никто не посетовал о wildcard'ах...

     
     
  • 2.114, Адекват (ok), 15:09, 27/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Меня неприятно удивляет количество комментаторов, для которых важен только срок действия
    > сертификата.
    > // И даже никто не посетовал о wildcard'ах...

    А нам это не нужно, нам нужно, чтобы на моем джаббер-сервере были валидные сертификаты на cs2 и s2s соединения. И да - обязательное межсерверное шифрование.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру