The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

01.11.2016 10:19  Google и Apple присоединились к блокировке сертификатов WoSign и StartCom

Следом за Mozilla компания Google объявила о введении ограничений в отношении сертификатов, выданных удостоверяющими центрами WoSign и StartCom. Начиная с Chrome 56 сертификаты, выданные WoSign и StartCom после 21 октября 2016 года, будут помечаться как не заслуживающие доверия. Похожее решение принято компанией Apple, которая начнёт помечать в iOS как небезопасные сертификаты WoSign и StartCom, выписанные после 19 сентября.

В ответ компания WoSign сообщила о прекращении бесплатной выдачи сертификатов, аудите и повышению безопасности своей внутренней инфраструктуры, проведении работы по выполнению требований Mozilla и запуске процесса перехода на новые корневые сертификаты. Компания WoSign также опубликовала отчёт с разбором отмеченных представителями Mozilla нарушений, в том числе августовского инцидента, в результате которого была зафиксирована выдача постороннему лицу сертификата для одного из доменов GitHub.

  1. Главная ссылка к новости (https://security.googleblog.co...)
  2. OpenNews: Mozilla перестаёт доверять новым сертификатам WoSign и StartCom
  3. OpenNews: Mozilla обсуждает прекращение доверия к удостоверяющему центру WoSign
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: wosign, cert, chrome
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.2, mozgoprav (ok), 10:52, 01/11/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +8 +/
    Отлично, WoSign сразу засуетились. Mozilla так держать!
     
     
  • 2.15, НеуловимыйДжо (?), 12:44, 01/11/2016 [^] [ответить]    [к модератору]
  • +2 +/
    Ага кунг-ФУ ПАЛЕЦ все уважают
     
  • 2.19, Michael Shigorin (ok), 13:42, 01/11/2016 [^] [ответить]    [к модератору]
  • +2 +/
    > Отлично, WoSign сразу засуетились. Mozilla так держать!

    Таки опять вспоминаю про комодо.  Где обструкция всем парткомом?

     
     
  • 3.34, Crazy Alex (ok), 20:27, 01/11/2016 [^] [ответить]    [к модератору]
  • –1 +/
    Тебе справедливость нужна? Ещё раз поймают комодо - придушат. Или нет - не суть. Суть в том, что прямо сейчас технических причин с ним бороться - никаких.
     
  • 3.36, Аноним (-), 22:32, 01/11/2016 [^] [ответить]    [к модератору]
  • +1 +/
    Тут я с вами полностью согласен. Не банановый бизнес...
     
  • 1.5, Genues (?), 11:09, 01/11/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +12 +/
    Китайца птица гордая - пока не пнёшь, не полетит.
     
     
  • 2.7, odd.mean (ok), 11:30, 01/11/2016 [^] [ответить]     [к модератору]  
  • +/
    Как и любой BigBiz никто не любит накладные расходы и исполнение обязательств ... весь текст скрыт [показать]
     
  • 1.8, Какаянахренразница (ok), 11:33, 01/11/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    > присоединились к блокировке

    Гуртом і батька добре бити © древняя мудрость

    > В ответ компания WoSign сообщила о прекращении бесплатной выдачи сертификатов

    Идиоты. Единственный шанс выжить -- это раздавать сертификаты бесплатно всем желающим и надеяться, что крупный УЦ не станут банить.

     
  • 1.9, asdf (?), 11:51, 01/11/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    > В ответ компания WoSign сообщила о прекращении бесплатной выдачи сертификатов

    Гдеже теперь делать бесплатные сертификаты? Платить за них так не хочется....

     
     
  • 2.11, Какаянахренразница (ok), 12:01, 01/11/2016 [^] [ответить]    [к модератору]  
  • +6 +/
    > Гдеже теперь делать бесплатные сертификаты?

    [шёпотом] letsencrypt

     
     
  • 3.18, Адекват (ok), 13:23, 01/11/2016 [^] [ответить]     [к модератору]  
  • +2 +/
    А чё шепотом то, даже такой ленивец как я разобрался, как их делать ЭТО КАКПЕЦ ... весь текст скрыт [показать]
     
     
  • 4.51, Snaut (ok), 13:38, 07/11/2016 [^] [ответить]     [к модератору]  
  • +/
    попробуйте их сделать не имея доступ до технической учетки и не имея linux на ко... весь текст скрыт [показать]
     
     
  • 5.52, Anonimous (?), 15:48, 07/11/2016 [^] [ответить]    [к модератору]  
  • +/
    > попробуйте их сделать не имея доступ до технической учетки и не имея linux на компьютере. будете сильно удивлены

    Попробуйте их сделать вообще без компьютера и интернета!

     
     
  • 6.53, Snaut (ok), 15:52, 07/11/2016 [^] [ответить]     [к модератору]  
  • +/
    сарказм не уместен я владелец сайта третьего уровня, хостинг у меня у меня нет... весь текст скрыт [показать]
     
  • 1.10, Аноним (-), 11:56, 01/11/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +12 +/
    Пипец браткам пришел. Только LET'S ENCRYPT.
     
     
  • 2.12, Tihon (??), 12:06, 01/11/2016 [^] [ответить]     [к модератору]  
  • –7 +/
    1 С его помощью ты не сделаешь нормальную авторизацию TLS если у тебя нет своег... весь текст скрыт [показать]
     
     
  • 3.13, XXXasd (ok), 12:20, 01/11/2016 [^] [ответить]    [к модератору]  
  • +8 +/
    > К тому же Lets Encrypt научился его использовать лишь недавно.

    и где тут проблема?

    он научился недавно, а ты что -- якобы свой комментарий написал типа давно в прошлом?

    пусть хоть научился вчера. главное что теперь эта точка невозврата пройдена

     
  • 3.14, XXXasd (ok), 12:26, 01/11/2016 [^] [ответить]     [к модератору]  
  • –3 +/
    всё правильно говнотехнологии не нужны это я про вашу мега секъюрную клиенск... весь текст скрыт [показать]
     
     
  • 4.20, Michael Shigorin (ok), 13:44, 01/11/2016 [^] [ответить]    [к модератору]  
  • +/
    > попробуй использовать для авторизации -- логин-пароль (через HTTPS).

    Где, на SMTP?

     
     
  • 5.37, xm (ok), 00:47, 02/11/2016 [^] [ответить]    [к модератору]  
  • +/
    Что, логины и пароли для клиентской аутентификации в SMTP уже отменили?
     
     
  • 6.42, angra (ok), 05:57, 02/11/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Нет, https не завезли. Михаил тонко намекнул, что кроме http/https есть и другие протоколы, где сертификаты, в том числе заверенные, бывают востребованы.


     
  • 4.21, Crazy Alex (ok), 15:12, 01/11/2016 [^] [ответить]     [к модератору]  
  • +/
    Говоря как пользователь - я был бы рад иметь один, внятный и стандартизированный... весь текст скрыт [показать]
     
  • 4.46, Аноним (-), 11:01, 02/11/2016 [^] [ответить]    [к модератору]  
  • +/
    Есть масса протоколов отличных от HTTP(s): SIPS, SRTP, SMTP, IMAP и некоторые СУБД также могут (и будут, если это настроенно) заворачивать данные в TLS.
     
  • 2.48, Аноним (-), 23:01, 02/11/2016 [^] [ответить]    [к модератору]  
  • +/
    > Только LET'S ENCRYPT.

    Лучше не только, чтобы конкуренция не давала им особо расслабляться.

     
  • 1.16, Аноним (-), 13:13, 01/11/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Про первый УЦ (WoSign) помню новости, а что произошло со вторым? Почему их блочить решили?
     
     
  • 2.17, Аноним (-), 13:23, 01/11/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    > Про первый УЦ (WoSign) помню новости, а что произошло со вторым? Почему
    > их блочить решили?

    StartCom принадлежит WoSign и используется для перекрёстного утверждения сертификатов.

     
  • 2.25, Аноним (-), 17:58, 01/11/2016 [^] [ответить]     [к модератору]  
  • +/
    Второй был втихую куплен WoSign, но отрицал это Однако, под грузом неопровержим... весь текст скрыт [показать]
     
  • 1.22, Аноним (-), 16:54, 01/11/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    Вот бы они еще добавили в JavaScript возможность получить доступ к тем же параме... весь текст скрыт [показать]
     
     
  • 2.24, XoRe (ok), 17:50, 01/11/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    https en wikipedia org wiki HTTP_Public_Key_Pinning Тоже неплохо информирует п... весь текст скрыт [показать]
     
     
  • 3.27, Аноним (-), 18:54, 01/11/2016 [^] [ответить]     [к модератору]  
  • +/
    По мне так это абсолютно бесполезная технология Мелкие сайты она не защитит, а ... весь текст скрыт [показать]
     
     
  • 4.32, гооглер (?), 20:01, 01/11/2016 [^] [ответить]     [к модератору]  
  • +/
    Беда ещё и в том, что у гугла, амазона, и учи других больших контор одновременно... весь текст скрыт [показать]
     
  • 4.38, xm (ok), 00:52, 02/11/2016 [^] [ответить]    [к модератору]  
  • +/
    > У HTTP_Public_Key_Pinning эффективность меньше 10%.

    Очень хочется ответа за этот базар...
    Но "проблему первой ночи" с HPKP и частично с HSTS вы правильно заметили.

     
  • 3.39, xm (ok), 00:54, 02/11/2016 [^] [ответить]    [к модератору]  
  • +/
    > https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning
    > Тоже неплохо информирует пользователя.

    Она не информирует - она заходить не даёт через соединение с внезапно новым сертификатом.

     
     
  • 4.50, XoRe (ok), 23:10, 03/11/2016 [^] [ответить]    [к модератору]  
  • +/
    >> https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning
    >> Тоже неплохо информирует пользователя.
    > Она не информирует - она заходить не даёт через соединение с внезапно
    > новым сертификатом.

    И это очень неплохо информирует пользователя о MITM, не находите? :)

     
  • 2.28, odd.mean (ok), 18:59, 01/11/2016 [^] [ответить]    [к модератору]  
  • +/
    JavaScript разучился в запросы? Ну curl тогда используйте, раз такое бедствие... Или через пых там, не знаю, а ответ распарсить пайтоном... У openssl есть биндинги для любого фрик-языка, не то что для мэйнстримных, как не нашли?
     
     
  • 3.29, Аноним (-), 19:16, 01/11/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Ты о чем вообще Я написал про такой сценарий пользователь со своего браузера ... весь текст скрыт [показать]
     
     
  • 4.33, Crazy Alex (ok), 20:25, 01/11/2016 [^] [ответить]    [к модератору]  
  • +/
    И что помешает MITM подменить эти данные при отправке на сервер? Ну, то есть что-то такое накрутить можно, но только в варианте security by obscurity - пока никто не знает, что сайт грузит такой JS. Дальше - можно воротить всякие хитрые схемы с полиморфной генерацией скрипта, но мне тсрашно думать, как такое сделать работим на сколько-нибудь большом продакшне.
     
     
  • 5.35, Аноним (-), 20:39, 01/11/2016 [^] [ответить]     [к модератору]  
  • +/
    MITM придется либо исправить скрипт проверки, причем так, чтобы все остальные ... весь текст скрыт [показать]
     
     
  • 6.44, angra (ok), 06:12, 02/11/2016 [^] [ответить]    [к модератору]  
  • +4 +/
    Зачем искусственный интеллект, если MITM это целевая атака и на этапе ее подготовки присутствует естественный интеллект, которому эта задача на раз плюнуть.
     
  • 4.40, xm (ok), 01:03, 02/11/2016 [^] [ответить]    [к модератору]  
  • +/
    > Я написал про такой сценарий: ...

    "Нет, сынок, это фантастика".
    Вы заранее не можете знать какой сертификат именно "тот самый", который нужно проверять, если ранее не были на этом сервере. То есть та же "проблема первой ночи", которая возникает и с HPKP.
    Поскольку сначала идёт коннект (и, соответственно, акцепт сертификата), то что помешает MitM'щику отдать вам исправленный скрипт проверки или не отдавать его вовсе?
    На практике может спасти единая база выданных сертификатов, попытку создать которую предпринял Comodo - https://crt.sh Тогда, прежде чем соединяться, можно получить данные о выданных для сайта сертификатах и уже требовать при коннекте именно их.
    Но встаёт вопрос, во-первых, поддержки такого механизма на стороне браузера, а, во-вторых, и это главное, степени доверия содержимому такой базы.

     
  • 4.45, noway (??), 11:01, 02/11/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    чувак, прекрати https переизобретать
     
  • 2.41, Аноним (-), 01:17, 02/11/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Тогда MITM-ы, очевидно, начнут вырубать скрипт или патчить его чтобы не выделыва... весь текст скрыт [показать]
     
  • 2.43, angra (ok), 06:08, 02/11/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    > мог эти данные отправить на сервер, для обнаружения MITM proxy и информировании пользователя.

    Неужто мысль о том, что MITM возьмет и заменит эти данные на свои, даже не приходит в голову?


     
     
  • 3.49, Crazy Alex (ok), 00:28, 03/11/2016 [^] [ответить]    [к модератору]  
  • +/
    можно сделать, чтобы это было нетривиально. О массовой подмены, вроде корпоративной - спасёт
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor