The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

25.10.2016 09:06  Mozilla перестаёт доверять новым сертификатам WoSign и StartCom

Компания Mozilla предупредила пользователей о скорой утрате доверия к части сертификатов одного их крупнейших китайских удостоверяющих центров WoSign, а также скрыто купленного ими удостоверяющего центра StartCom. Начиная с Firefox 51, релиз которого намечен на 24 января 2017 года, сайты, использующие сертификаты WoSign и StartCom, выписанные после 21 октября 2016 года, будут помечаться как небезопасные.

Кроме того, будет прекращено доверие к ранее выписанным задним числом сертификатам WoSign и StartCom, использующим цифровые подписи на базе SHA-1. В дальнейшем планируется полностью удалить корневые сертификаты WoSign и StartCom, но время их удаления пока не определено и может быть соотнесено с планами по переводу клиентов на новые корневые сертификаты. При отсутствии действий по замене сертификатов, Mozilla оставляет за собой право удалить данные корневые сертификаты в любой момент после марта 2017 года.

Столь кардинальные меры в отношении удостоверяющих центров WoSign и StartCom приняты после выявления многочисленных нарушений. После того как для алгоритма SHA-1 был выявлен ускоренный метод подбора коллизий, в регламентирующие деятельность удостоверяющих центров документы были внесены изменения, предписывающие с 1 января 2016 года полностью прекратить использование SHA-1 при создании сертификатов. WoSign и StartCom нарушили данное предписание и продолжили использование SHA-1 для формирования сертификатов, выписывая их задним числом, а также игнорируя требования по окончанию срока действия подобных сертификатов.

Другим серьёзным нарушением стало получение WoSign полного контроля за другим удостоверяющим центром - StartCom, без раскрытия сведений о совершённой сделке. Mozilla требует информирования о поглощении удостоверяющих центров, но WoSign и StartCom продолжают отрицать факт поглощения, даже после демонстрации доказательств, свидетельствующих об обратном. В том числе выявлены факты использования WoSign инфраструктуры StartCom и перекрёстного утверждения сертификатов.

Критике также подверглось отношение WoSign к обеспечению безопасности. Например, было выявлено применение в WoSign устаревших версий сетевых приложений, без надлежащей установки обновлений (используемый на DNS-сервере пакет Bind последний раз обновлялся в 2011 году и содержит 19 неисправленных уязвимостей). Кроме того, недавно были опубликованы сведения об уязвимости, позволяющей получить корректно заверенные сертификаты для сайтов, допускающих размещение пользовательской информации на поддоменах. Уязвимость оставалась неисправленной 14 месяцев после уведомления о проблеме и до сих пор не все полученные через эксплуатацию уязвимости сертификаты отозваны.

  1. Главная ссылка к новости (https://blog.mozilla.org/secur...)
  2. OpenNews: Mozilla обсуждает прекращение доверия к удостоверяющему центру WoSign
  3. OpenNews: В Firefox 51 будет ограничена поддержка сертификатов на основе SHA-1
  4. OpenNews: Опубликован полный список обманных SSL-сертификатов. В списке ЦРУ и МИ-6
  5. OpenNews: GlobalSign временно приостановил выдачу SSL-сертификатов из-за возможной компрометации
  6. OpenNews: Уязвимость удостоверяющего центра StartSSL позволяла получить сертификат для чужого домена
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: wosign, startcom, cert, mozilla
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 09:37, 25/10/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +13 +/
    и это правильно
     
     
  • 2.66, УставшийОтФарэфокс (?), 18:56, 25/10/2016 [^] [ответить]    [к модератору]
  • –15 +/
    похоже мазила только в этом отличается
     
  • 1.3, Нанобот (ok), 09:48, 25/10/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    >прекращает доверие

    как-то это не по-русски звучит. может лучше "перестаёт доверять" или "больше не доверяет"?

     
     
  • 2.17, Джо (?), 10:58, 25/10/2016 [^] [ответить]    [к модератору]
  • +12 +/
    "В связи с утратой доверия" - во так надо по-русски
     
  • 2.21, A.Stahl (ok), 11:36, 25/10/2016 [^] [ответить]    [к модератору]
  • +2 +/
    Может таки "перестанет доверять"? А то "перестаёт" как-то... в процессе получается. Всё перестают и перестают, никак не перестанут:)
     
     
  • 3.23, тоже Аноним (ok), 12:02, 25/10/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    "Исключает из списка доверенных" - технически верно и не ломает русский язык.
     
  • 3.44, Michael Shigorin (ok), 13:15, 25/10/2016 [^] [ответить]     [к модератору]  
  • +/
    я такая доверчивая, непредсказуемая такая PS что-то не припоминаю таких ме... весь текст скрыт [показать]
     
     
  • 4.62, KonstantinB (ok), 18:08, 25/10/2016 [^] [ответить]     [к модератору]  
  • +3 +/
    Комода по всем законам природы должна была ещё в 2011-м проследовать туда же, ку... весь текст скрыт [показать]
     
  • 1.4, Нанобот (ok), 09:51, 25/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +7 +/
    т.е. https://opennet.ru скоро превратится в тыкву?

     
     
  • 2.5, Pinkie Pie (?), 09:55, 25/10/2016 [^] [ответить]    [к модератору]  
  • +/
    В заголовке же написано, "к новым", не?
     
     
  • 3.74, fi (ok), 23:13, 25/10/2016 [^] [ответить]    [к модератору]  
  • +/
    зато далее:

    > Mozilla оставляет за собой право удалить данные корневые сертификаты в любой момент после марта 2017 года.

     
  • 2.12, cvb (??), 10:47, 25/10/2016 [^] [ответить]    [к модератору]  
  • +/
    И это правильно (должна быть оценка A+):
    https://www.ssllabs.com/ssltest/analyze.html?d=opennet.ru&latest

    Давно пора включить HTTP/2 с TLS1.2
    IPv6, DNSSEC тоже не помешает.

     
     
  • 3.95, xm (ok), 18:06, 26/10/2016 [^] [ответить]    [к модератору]  
  • +/
    Для А+ там HTTP/2 не нужен, а вот TLS 1.2 и набор шифров подкрутить да. Плюс HSTS для "плюса" :-)
     
  • 2.53, Sw00p aka Jerom (?), 15:09, 25/10/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    хех в первые вижу на опёнке https )))

    пс: врубите блин HSTS

     
     
  • 3.123, Snaut (ok), 10:18, 07/11/2016 [^] [ответить]    [к модератору]  
  • +/
    > хех в первые вижу на опёнке https )))
    > пс: врубите блин HSTS

    если включить HSTS, то в ближайшие полгода ты не сможешь перейти обратно на работу сайта по http.

     
  • 2.54, Z (??), 15:28, 25/10/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    opennet.ru - WoSign

    LOR - Comodo

    LetsEncrypt - да ну его...

     
  • 2.70, Аноним (-), 20:37, 25/10/2016 [^] [ответить]    [к модератору]  
  • +/
    > т.е. https://opennet.ru скоро превратится в тыкву?

    А я ведь предупреждал ...
    > http://mobile.opennet.ru/openforum/vsluhforumID3/109420.html#3

     
  • 2.121, Snaut (ok), 10:07, 07/11/2016 [^] [ответить]     [к модератору]  
  • +/
    Он уже давно тыква, посмотрите отчет об уязвимостях https dev ssllabs com sslt... весь текст скрыт [показать]
     
     
  • 3.122, Аноним (-), 10:15, 07/11/2016 [^] [ответить]     [к модератору]  
  • +/
    Это не уязвимости, а настройки HTTPS Не нужно слепо верить нагнетаемой вокруг H... весь текст скрыт [показать]
     
  • 3.124, Аноним (-), 10:21, 07/11/2016 [^] [ответить]     [к модератору]  
  • +/
    Покажите хоть одну дыру в nginx 1 0 9, серьёзных дыр в нём не было А вот в бол... весь текст скрыт [показать]
     
  • 1.6, anonimous (?), 09:56, 25/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > opennet.ru
    > Verified by: WoSign CA Limited

    Ахахаха

     
     
  • 2.7, Тыквонимус (?), 10:00, 25/10/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Не стреляйте в тапера, он играет как умеет. Когда приспичит, переведут на вменяемое, что вы зубоскалите.
     
     
  • 3.81, Аноним (-), 09:55, 26/10/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    Нафига на сайте размещено 100500 статей о Let's encrypt? Давайте еще форум на ASP.NET перепишем, чего уж там.
     
  • 2.18, Аноним (-), 10:59, 25/10/2016 [^] [ответить]    [к модератору]  
  • +/
    >> opennet.ru
    >> Verified by: WoSign CA Limited
    > Ахахаха

    Там SHA-256, поэтому действия Mozilla его не накроют.

     
  • 2.36, А (??), 12:52, 25/10/2016 [^] [ответить]     [к модератору]  
  • +/
    Да ладно, Opennet доберется и прикрутить Let s Encrypt, да и все, проблема-то П... весь текст скрыт [показать]
     
     
  • 3.49, Аноним (-), 13:27, 25/10/2016 [^] [ответить]    [к модератору]  
  • –3 +/
    Let's Encrypt на 3 месяца выдаёт, а WoSign на три года
    LE идёт лесом
     
     
  • 4.51, Crazy Alex (ok), 14:05, 25/10/2016 [^] [ответить]    [к модератору]  
  • +4 +/
    Мечта тех, кто три года серве не апдейтит?
     
     
  • 5.72, Sw00p aka Jerom (?), 23:00, 25/10/2016 [^] [ответить]    [к модератору]  
  • +/
    вы во время каждого апдейта сервера отзываете сертификаты и регаете по новой ?
     
     
  • 6.75, Crazy Alex (ok), 00:21, 26/10/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    У меня есть инструменты для автоматизации апдейтов. И то же самое относится к сертификатам.
     
  • 4.52, Аноним (-), 15:06, 25/10/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    А есть разница? Да хоть на неделю. Разве что вы собрались их руками обновлять...
     
     
  • 5.73, Sw00p aka Jerom (?), 23:04, 25/10/2016 [^] [ответить]     [к модератору]  
  • +/
    а чем вы раньше обновляли япосмотрю как вы EV будете обновлять пс ждите, ско... весь текст скрыт [показать]
     
     
  • 6.76, Crazy Alex (ok), 00:25, 26/10/2016 [^] [ответить]     [к модератору]  
  • +2 +/
    Ну как бы вся идея IT в том, чтобы переложить ручной труд на машину А с EV - п... весь текст скрыт [показать]
     
     
  • 7.86, Sw00p aka Jerom (?), 13:07, 26/10/2016 [^] [ответить]     [к модератору]  
  • +/
    По поводу автоматизации, она нужна тем у кого парк серверов, сам ЛЕ расчитан на ... весь текст скрыт [показать]
     
     
  • 8.87, Crazy Alex (ok), 13:37, 26/10/2016 [^] [ответить]     [к модератору]  
  • +/
    Вот как раз на одиночных массовых впс-ках и нужна автоматизация - чтобы поднял и... весь текст скрыт [показать]
     
     
  • 9.91, Sw00p aka Jerom (?), 17:08, 26/10/2016 [^] [ответить]     [к модератору]  
  • +/
    одиночные массовые впс-ки - никак не связаны друг с другом, из вашего предложени... весь текст скрыт [показать]
     
     
  • 10.101, xm (ok), 23:28, 26/10/2016 [^] [ответить]    [к модератору]  
  • +/
    Срок действия короток не от того, что он "не продакшн реди", а секьюрности ради.
    Кроме того, они обсуждали планы по сокращению его в будущем до 30 дней.
     
     
  • 11.103, Sw00p aka Jerom (?), 00:08, 27/10/2016 [^] [ответить]     [к модератору]  
  • +/
    уверены, что именно секурности ради а помоему, чтобы не держать кучу отозванных... весь текст скрыт [показать]
     
     
  • 12.104, xm (ok), 00:40, 27/10/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Ну так тоже секурность. :-)
    > пс: и каждые 30 дней будете менять HPKP

    А я и так. У меня скриптом на базе Let's Encrypt. Автоматом.

     
     
  • 13.118, Аноним (118), 06:26, 29/10/2016 [^] [ответить]    [к модератору]  
  • +/
    А что мешает вирусописателям скриптом менять сертификаты?
     
     
  • 14.120, xm (ok), 21:22, 30/10/2016 [^] [ответить]    [к модератору]  
  • +/
    Не понял смысла вопроса в приложении к дискуссии.
     
  • 10.105, Crazy Alex (ok), 03:16, 27/10/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    С Let s Encrypt можно полностью автоматизировать всю возню с сертификатами Подн... весь текст скрыт [показать]
     
  • 6.78, Аноним (-), 00:56, 26/10/2016 [^] [ответить]    [к модератору]  
  • +/
    Lets Encrypt, если не ошибаюсь, не выдает EV-сертификаты, поэтому их не придется обновлять руками.
     
     
  • 7.85, Sw00p aka Jerom (?), 12:52, 26/10/2016 [^] [ответить]    [к модератору]  
  • +/
    Ну ясен пень, кто знаком с EV поймет, что просто по API его не получишь, и нуно ждать 3 дня звонка. А ЛЕ просто не осилило продумать этот механизм
     
     
  • 8.88, Crazy Alex (ok), 13:39, 26/10/2016 [^] [ответить]    [к модератору]  
  • +/
    Механизм ожидания звонка? И на кой это счастье? Вообще - там, где кажется, что нужен EV, по факту нужна дополительная механика аутентификации.
     
     
  • 9.92, Sw00p aka Jerom (?), 17:11, 26/10/2016 [^] [ответить]     [к модератору]  
  • +/
    Так и есть, всё на бумаге и официально Они чуть ли не в налоговую службу страны... весь текст скрыт [показать]
     
     
  • 10.106, Crazy Alex (ok), 03:19, 27/10/2016 [^] [ответить]     [к модератору]  
  • +/
    Да просто на кой оно надо Если я крупные деньги перевожу - я и так договор со с... весь текст скрыт [показать]
     
     ....нить скрыта, показать (25)

  • 1.8, abi (?), 10:22, 25/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Отлично, ну и куда мигрировать? Стартком удобен был для личного почтового сервера.
     
     
  • 2.9, noname.htm (?), 10:32, 25/10/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    Let's Encrypt же.
     
     
  • 3.10, abi (?), 10:35, 25/10/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Разве он не требует http-сервер для валидации?
     
     
  • 4.11, abi (?), 10:36, 25/10/2016 [^] [ответить]    [к модератору]  
  • +/
    > Разве он не требует http-сервер для валидации?
     
  • 4.13, cvb (??), 10:49, 25/10/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Можно подтвердить владение через DNS, можно через HTTP А тем, кому python не по... весь текст скрыт [показать]
     
  • 4.19, Аноним (-), 11:03, 25/10/2016 [^] [ответить]    [к модератору]  
  • +/
    Неужели трудно запустить рядом с почтовым сервером и http-сервер? В Let's Encrypt он даже из коробки есть.
     
  • 4.25, angra (ok), 12:14, 25/10/2016 [^] [ответить]    [к модератору]  
  • –2 +/
    Если у тебя нет http сервера, то какая тебе разница чему доверяет или не доверяет браузер?
     
     
  • 5.83, abi (?), 10:33, 26/10/2016 [^] [ответить]     [к модератору]  
  • +/
    Браузер - никакой разницы, но Thunderbird будет в бешенстве, да и на спамоловках... весь текст скрыт [показать]
     
  • 3.15, Аноним (-), 10:57, 25/10/2016 [^] [ответить]     [к модератору]  
  • +2 +/
    Корневой сертификат Let s Encrypt только в хранилище Mozilla В Google, Apple и... весь текст скрыт [показать]
     
     
  • 4.34, Аноним (-), 12:50, 25/10/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    >> IdenTrust может закрыться

    Это не аргумент, поскольку он применим вообще к любому УЦ.

     
     
  • 5.45, Michael Shigorin (ok), 13:17, 25/10/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    >>> IdenTrust может закрыться
    > Это не аргумент, поскольку он применим вообще к любому УЦ.

    Это аргумент, который применим к любому УЦ.

     
     
  • 6.79, Аноним (-), 00:58, 26/10/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    >>>> IdenTrust может закрыться
    >> Это не аргумент, поскольку он применим вообще к любому УЦ.
    > Это аргумент, который применим к любому УЦ.

    Окей, но это не аргумент против _конкретного_ УЦ.

     
  • 4.37, А (??), 12:53, 25/10/2016 [^] [ответить]     [к модератору]  
  • +/
    С китайцами вообще ничего не хорошо, кроме того, что давали одно времени на 3 го... весь текст скрыт [показать]
     
  • 4.96, xm (ok), 18:13, 26/10/2016 [^] [ответить]    [к модератору]  
  • +/
    > IdenTrust может закрыться

    Они будут в числе последних тогда, поскольку поддерживают инфраструктуру крупнейших мировых финансовых учреждений, а также ряда американских государственных структур.

     
  • 1.14, поледанныхотсутств (?), 10:50, 25/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –5 +/
    Давно пора..
     
  • 1.16, rmrm (?), 10:57, 25/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +6 +/
    Ну что ж, картель CA успешно потопил посмевших раздавать бесплатные сертификаты "наглецов", сейчас ещё прикроют Let's Encrypt (под тем или иным предлогом, либо сам закроется), и у миллионов человек не останется никакого выхода кроме как покупать платные сертификаты. Пути миграции с HTTPS обратно на HTTP нет никакого, даже если поставить редирект - чтобы браузер не нарисовал красную страницу на весь экран, с HTTPS-стороны обязательно должен быть валидный сертификат. Возможно таким и был план с самого начала, в том числе причина запуска LE как такового. Подсадить всех на HTTPS, потом поубирать один за другим бесплатные варианты (два из трёх только что прибили одним махом), и вуаля, кол-во клиентов которым нужны серты увеличивается на порядок.
     
     
  • 2.27, pkdr (ok), 12:14, 25/10/2016 [^] [ответить]    [к модератору]  
  • +7 +/
    При этом дырявый comodo мозилла что-то не хочет убирать.
     
  • 2.30, arzeth (ok), 12:28, 25/10/2016 [^] [ответить]     [к модератору]  
  • –3 +/
    Да какой ещё тут корыстный умысел, тут обычный здравый смысл который иногда жес... весь текст скрыт [показать]
     
  • 2.35, Аноним (-), 12:51, 25/10/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    А вести дела добросовестно - не? Или надо обязательно придерживаться принципа дядюшки Ляо - если продукт выглядит как настоящий, то этого достаточно, чтобы выйти с ним на рынок?
     
     
  • 3.47, Michael Shigorin (ok), 13:21, 25/10/2016 [^] [ответить]    [к модератору]  
  • +/
    > А вести дела добросовестно - не?

    Это в принципе не про коммерческие CA, как мне кажется.  Также не про банки и страховщиков.

     
  • 2.39, Аноним (-), 12:57, 25/10/2016 [^] [ответить]     [к модератору]  
  • +/
    Расследование всех этих инцидентов инициировала и провела сама Mozilla А теперь... весь текст скрыт [показать]
     
     
  • 3.48, Gemorroj (ok), 13:26, 25/10/2016 [^] [ответить]    [к модератору]  
  • +/
    они топят конкурентов.
     
  • 2.46, Michael Shigorin (ok), 13:20, 25/10/2016 [^] [ответить]     [к модератору]  
  • –2 +/
    Ну почему, самоподписанный в качестве полпожара Но ведь ещё на всякий HSTS под... весь текст скрыт [показать]
     
  • 2.59, Аноним (-), 16:42, 25/10/2016 [^] [ответить]     [к модератору]  
  • +/
    Пусть прикрывают Эти ребята изначально хотели всех насадить на свою систему, чт... весь текст скрыт [показать]
     
  • 2.93, нах (?), 17:29, 26/10/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    1 не прикроют, это член картеля Собственно, для него и старались или научитьс... весь текст скрыт [показать]
     
  • 1.20, Аноним (-), 11:03, 25/10/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • +4 +/
    Mozilla, как учредитель Let s Encrypt, устраняет конкурентов Бесплатные сертифи... весь текст скрыт [показать]
     
     
  • 2.31, Crazy Alex (ok), 12:31, 25/10/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Проблемы с почтой были во времена бета-тестирования Но если кто его собирается ... весь текст скрыт [показать]
     
  • 2.33, XXXasd (ok), 12:43, 25/10/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    и лучше бы устранил их всех вся этп продажа воздуха -- очень вредит конечным ... весь текст скрыт [показать]
     
     
  • 3.41, Crazy Alex (ok), 13:01, 25/10/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    DANE DNSSEC - тупая идея Заставляет доверять не выбранной тобой сущности, а вла... весь текст скрыт [показать]
     
     
  • 4.94, Sw00p aka Jerom (?), 17:45, 26/10/2016 [^] [ответить]     [к модератору]  
  • +/
    Родили меня мои родители, а я им не доверяю Роди меня святой дух пжлста как... весь текст скрыт [показать]
     
     
  • 5.97, xm (ok), 18:19, 26/10/2016 [^] [ответить]    [к модератору]  
  • +/
    > Certificate Pinning, HSTS это всё костыли, если реализовать безопасную схему ДНС(СЕК) то всё автоматом встанет на свои места

    "Смешались в кучу кони, люди..."

     
     
  • 6.98, Sw00p aka Jerom (?), 21:58, 26/10/2016 [^] [ответить]     [к модератору]  
  • +/
    Чаво Все сводится к вайтлистингу самого домена hsts и его ключа certifiate p... весь текст скрыт [показать]
     
     
  • 7.99, xm (ok), 23:03, 26/10/2016 [^] [ответить]     [к модератору]  
  • +/
    Я ничего против DANE не имею и даже планирую его реализовать на своих серверах в... весь текст скрыт [показать]
     
     
  • 8.102, Sw00p aka Jerom (?), 23:42, 26/10/2016 [^] [ответить]     [к модератору]  
  • +/
    100500 Костыли всё это MitM всё равно можно произвести Как в случае с HSTS та... весь текст скрыт [показать]
     
     
  • 9.117, Аноним (-), 20:12, 28/10/2016 [^] [ответить]    [к модератору]  
  • +/
    Начать лучше таки с учебника русского языка.
     
     
  • 10.119, Sw00p aka Jerom (?), 17:22, 29/10/2016 [^] [ответить]    [к модератору]  
  • +/
    ссылки не вижу
     
  • 4.100, xm (ok), 23:16, 26/10/2016 [^] [ответить]     [к модератору]  
  • +/
    А в случае с сертификатами TLS о ужас заставляет доверять владельцам сертифик... весь текст скрыт [показать]
     
     
  • 5.107, Crazy Alex (ok), 03:27, 27/10/2016 [^] [ответить]     [к модератору]  
  • +/
    Вопрос в другом Что бывает, когда ловят CA - мы знаем Что будет, когда поймают... весь текст скрыт [показать]
     
     
  • 6.109, Sw00p aka Jerom (?), 12:21, 27/10/2016 [^] [ответить]     [к модератору]  
  • +/
    На счет CA сделали демократию, позволили любому стать CA спокойно, зависимости ... весь текст скрыт [показать]
     
     
  • 7.110, Crazy Alex (ok), 12:38, 27/10/2016 [^] [ответить]    [к модератору]  
  • +/
    Ну вот Certificate Transparency даёт возможность и спать спокойно и иметь выбор.
     
     
  • 8.115, Sw00p aka Jerom (?), 16:59, 27/10/2016 [^] [ответить]     [к модератору]  
  • +/
    Не будете спокойно спать, пример тому валварь вроде стакснета пример код сайнин... весь текст скрыт [показать]
     
  • 2.50, arzeth (ok), 13:48, 25/10/2016 [^] [ответить]     [к модератору]  
  • +3 +/
    Удобнее в краткосрочном плане В долгосрочном же 1 Можно забыть обновить серты... весь текст скрыт [показать]
     
     
  • 3.71, alex53 (ok), 20:43, 25/10/2016 [^] [ответить]    [к модератору]  
  • +/
    1. Сам себе злобный буратино. startcom уведомляет об истечении сертификата за 2 недели.
    2. У startcom недавно появился API. Теперь все можно скриптовать.
    3. См п.1
     
     ....нить скрыта, показать (17)

  • 1.22, mva (??), 11:55, 25/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    1) утёкшая база E-mail это, всё же, не выпуск задним числом и не выпуск на чужой домен.
    Согласитесь, разного порядка косяки-то

    2) на самом деле, есть ещё один способ получать бесплатные сертификаты (даже вайлдкарды) подписанные GlobalSign, но я вам его не скажу, лол :)

     
     
  • 2.38, А (??), 12:54, 25/10/2016 [^] [ответить]     [к модератору]  
  • +2 +/
    https www globalsign com en ssl ssl-open-source ... весь текст скрыт [показать]
     
  • 2.40, Аноним (-), 12:58, 25/10/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    > 2) на самом деле, есть ещё один способ получать бесплатные сертификаты (даже
    > вайлдкарды) подписанные GlobalSign, но я вам его не скажу, лол :)

    Жадинаговядина :Ь

     
  • 1.24, Аноним (-), 12:07, 25/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Если кто-то использует старый браузер, где он может взять списки действительных и отозванных сертификатов?
    Можно ссылки?
     
     
  • 2.32, Анонимус 223 (?), 12:36, 25/10/2016 [^] [ответить]    [к модератору]  
  • +/
    В нормальных ОСях используют пакет ca-certs, а не в  каждом браузере список спискоа
     
     
  • 3.42, Crazy Alex (ok), 13:02, 25/10/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    А тот же файрфокс ими пользуется в результате? Я вот смутно вспоминаю, что нет.
     
     
  • 4.57, Аноним (-), 15:30, 25/10/2016 [^] [ответить]     [к модератору]  
  • +/
    Вот, например https packages debian org stable ca-certificates Действительно,... весь текст скрыт [показать]
     
     
  • 5.60, Ergil (ok), 17:23, 25/10/2016 [^] [ответить]    [к модератору]  
  • +/
    Проверяется просто. Mozilla Firefox и его производные используют собственные встроенные списки. Chromium и его производные используют системные той системы в которой установлены.
     
     
  • 6.64, Аноним (-), 18:44, 25/10/2016 [^] [ответить]    [к модератору]  
  • +/
    Спасибо.
    А если кто-то использует старый Firefox, где он может взять списки действительных и отозванных сертификатов?
    Можно ссылки?
     
     
  • 7.65, Ergil (ok), 18:49, 25/10/2016 [^] [ответить]     [к модератору]  
  • +/
    https wiki mozilla org CA IncludedCAs Смотрите отсюда и там дальше по ссылкам ... весь текст скрыт [показать]
     
  • 3.55, Аноним (-), 15:28, 25/10/2016 [^] [ответить]    [к модератору]  
  • +/
    Спасибо, нашел, например, такой:
    https://packages.debian.org/stable/ca-certificates
     
  • 2.116, xm (ok), 21:41, 27/10/2016 [^] [ответить]    [к модератору]  
  • +/
    Вот здесь попробуйте
    https://crt.sh/
     
  • 1.26, Аноним (-), 12:14, 25/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Зато в в Opera WoSign теперь будет самым доверенным. ;-)
     
  • 1.28, Какаянахренразница (ok), 12:22, 25/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Наш товарищ Берия
    Вышел из доверия
    И товарищ Маленков
    Надавал ему пинков.

    © частушка

     
     
  • 2.29, Аноним (-), 12:27, 25/10/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Внедрение свободного ПО с 50-х годов?
     
  • 1.43, tehnikpc (ok), 13:06, 25/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Так а Mozille никто не доверяет. Как перестанет тормозить, так и сразу ...
     
  • 1.58, Аноним (-), 16:37, 25/10/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Е-моё Скоро Мозилла превратится в Оракл и начнет требовать бабло чтобы в нашем... весь текст скрыт [показать]
     
     
  • 2.63, Аноним (-), 18:13, 25/10/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    Думаете как совок! Другие браузеры тоже внедряют прозрачную валидацию и поддерживают фонды Lets Encrypt
     
     
  • 3.108, Аноним (-), 11:23, 27/10/2016 [^] [ответить]     [к модератору]  
  • +/
    Но с аддонами они именно это и сделали - залочили все подписями, без возможности... весь текст скрыт [показать]
     
  • 1.67, CHERTS (??), 20:01, 25/10/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • –5 +/
    Гори в аду чертова Мозилла вместе с Let s Encrypt WoSign единственный CA которы... весь текст скрыт [показать]
     
     
  • 2.77, Crazy Alex (ok), 00:29, 26/10/2016 [^] [ответить]    [к модератору]  
  • +/
    Да что будет - найдут дыру и поправят. А найдут быстро - на то есть pinning и CT.
     
  • 2.113, Адекват (ok), 15:07, 27/10/2016 [^] [ответить]    [к модератору]  
  • +/
    > Гори в аду чертова Мозилла вместе с Let's Encrypt!
    > WoSign единственный CA который выпускал бесплатно сертификаты > 1 года, теперь не

    Виновата не моззила, а WoSing.

    Это как "правильный пацан", который сначала по синей лавочек отпинал прохожего (ни в чем не виноватого), а потом слезы льет, что на него дело завели. И его кореша еще к отпинаному предъявляют - ну ты че не мужик, с кем не бывает, ну отпинали тебя, у тебя поболит и пройдет, а наш кореш на зону отправиться !!

     
  • 1.80, FSA (??), 07:27, 26/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Всё-таки я не понял, StartCom - это тот самый, что выдаёт сертификаты на StartSSL.com или нет?
     
     
  • 2.82, Влад (??), 10:24, 26/10/2016 [^] [ответить]    [к модератору]  
  • +/
    Да, тот самый
     
  • 1.84, Пользователь StartSSL (?), 11:29, 26/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Они уже отреагировали, вот что в в их панели управления:
    Mozilla decided to distrust all StartCom root certificates as of 21st of October, this situation will have an impact in the upcoming release of Firefox in January. StartCom will provide an interim solution soon and will replace all the issued certificates from that date in case of requested. Meanwhile StartCom is updating all their systems and will generate new root CAs as requested by Mozilla.
     
     
  • 2.111, Аноним (-), 14:20, 27/10/2016 [^] [ответить]    [к модератору]  
  • +/
    Sounds good.
     
  • 1.112, Аноним (-), 14:22, 27/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Меня неприятно удивляет количество комментаторов, для которых важен только срок действия сертификата.

    // И даже никто не посетовал о wildcard'ах...

     
     
  • 2.114, Адекват (ok), 15:09, 27/10/2016 [^] [ответить]    [к модератору]  
  • +/
    > Меня неприятно удивляет количество комментаторов, для которых важен только срок действия
    > сертификата.
    > // И даже никто не посетовал о wildcard'ах...

    А нам это не нужно, нам нужно, чтобы на моем джаббер-сервере были валидные сертификаты на cs2 и s2s соединения. И да - обязательное межсерверное шифрование.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor