The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

31.08.2017 09:36  В Firefox 58 будет прекращено доверие ко всем сертификатам WoSign и StartCom

Разработчики Mozilla утвердили план полного прекращения доверия к сертификатам, выданным удостоверяющими центрами WoSign и StartCom (ранее были заблокированы только сертификаты, выданные после 21 октября 2016 года). В ноябре корневые сертификаты WoSign и StartCom будут удалены из состава NSS (Network Security Services). Изменение будет применено в Firefox 58, намеченном на январь 2018 года.

Напомним, что аналогичное решение в прошлом месяце было принято разработчиками Chrome. Доверие к сертификатам WoSign и StartCom будет прекращено начиная с выпуска Chrome 61, который ожидается в середине сентября. Параллельно разработчиками Chrome и Firefox рассматривается вопрос прекращения доверия к корневым сертификатам удостоверяющего центра Symantec, который в итоге был продан компании DigiCert.

  1. Главная ссылка к новости (https://blog.mozilla.org/secur...)
  2. OpenNews: Google предупредил о скором прекращении доверия ко всем сертификатам WoSign и StartCom
  3. OpenNews: Google и Apple присоединились к блокировке сертификатов WoSign и StartCom
  4. OpenNews: Mozilla перестаёт доверять новым сертификатам WoSign и StartCom
  5. OpenNews: Mozilla обсуждает прекращение доверия к удостоверяющему центру WoSign
  6. OpenNews: В Chrome и Firefox будет прекращено доверие к удостоверяющему центру Symantec
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: wosign, firefox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, A.Stahl, 09:54, 31/08/2017 [ответить] [смотреть все]
  • +/
    >WoSign и StartCom

    В таких новостях было бы любопытно иметь список широкоизвестных сайтов, которые используют такие сертификаты. А то, может, все уже с них перешли и сами УЦ существуют лишь формально на бумаге не выдавая более сертификатов.

     
     
  • 2.2, X4asd, 10:06, 31/08/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    не важно что там было на момент написания новости -- сразу после новости уж наве... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.5, _hide_, 10:32, 31/08/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    Ну вот теперь все догадываются, что не нужно вводить никаких законов и никаких Р... весь текст скрыт [показать]
     
     
  • 4.6, Alexey, 11:17, 31/08/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Нет, просто придется сделать два дополнительных нажатия, чтобы зайти на сайт В ... весь текст скрыт [показать]
     
     
  • 5.9, пох, 12:46, 31/08/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    > Нет, просто придется сделать два дополнительных нажатия, чтобы зайти на сайт.

    это тебе. обычный пользователь, к сожалению, пожмет плечами и закроет непонятное окошко.

    > В отличие от полной блокировки.

    боюсь, ты недалеко ушел от обычного пользователя - "полная блокировка" представляла собой галочку в настройках, и да, ее можно было вручную сбросить.

     
     
  • 6.19, Аноним, 18:26, 31/08/2017 [^] [ответить] [смотреть все]  
  • +/
    Ты заблуждаешься Никаких кнопочек для входа на сайт с заблокированным сертифика... весь текст скрыт [показать]
     
     
  • 7.21, пох, 20:13, 31/08/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    открываем диалог с настройками Ищем advanced или как там его Идем в certificat... весь текст скрыт [показать]
     
     
  • 8.36, Аноним, 19:03, 01/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Мне не нужна эта инструкция Я писал о том, что у рандомного пльзователя, наткну... весь текст скрыт [показать]
     
     
  • 9.39, пох, 21:22, 01/09/2017 [^] [ответить] [смотреть все]  
  • +/
    > Я писал о том, что у рандомного пльзователя, наткнувшегося на такой сайт

    рандомному пользователю абсолютно _все_равно_ - наткнулся он на сайт с забаненым, self-signed или неведомой CA сертификатом - "перед глазами" в новых-модных браузерах у него ровно две кнопочки - "анестезиолог, срочно, введите котиков!" и "полиция!".

    Чтобы увидеть какие-то еще варианты, требуются действия, рандомному пользователю совершенно недоступные, да еще и сопровождаемые угрожающими надписями, что его прям щас поимеют злобные хакеры, ФСБ и ФБР разом.

     
  • 8.37, Аноним, 19:05, 01/09/2017 [^] [ответить] [смотреть все]  
  • +/
    А для чего Какую проблему это могло бы решить легче, чем просто покупка нового ... весь текст скрыт [показать]
     
     
  • 9.40, пох, 21:28, 01/09/2017 [^] [ответить] [смотреть все]  
  • +/
    >> Забавно, что не нашлось никого желающего подписать старткомовский CA своим (как это
    >> делали для летсхакёсайт в свое время). У всех все схвачено, или
    >> "когда они пришли за евреями - я молчал"?
    > А для чего?

    чтобы оставить мозилу и гугля с %ем.
    > Какую проблему это могло бы решить легче, чем просто покупка нового сертифимката?

    нельзя купить новый сертификат CA. Надо дать денег совершенно откровенным п-сам, получить от них формальный одобрямс что мафии уплочено, и на коленях ползти умолять мазилу добавить теперь тебя в списки. Поэтому Честный Ахмед так и сидит без CA.

    Но можно, если ты - сам CA, и твой сертификат имеет такие разрешения (у комоды это так) подписать своим сертификатом любой другой. И он, волшебным образом, становится ничуть не хуже любого из trusted списка (по сути, превращаясь в intermediate).

    Именно так долгое время работал letsencrypt - мазила торговалась.


     
  • 4.7, xxxx, 12:19, 31/08/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    таблетки выпить забыл?
     
  • 4.12, GG, 15:06, 31/08/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    Очередной неасилятор автоматизировать обновление сертификатов 100 гoвносайтов ... весь текст скрыт [показать]
     
     
  • 5.13, нах, 15:32, 31/08/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    > Очередной неасилятор автоматизировать обновление сертификатов.

    очередной осилятор запустить чужие неизвестно кем и как сделанные скрипты, тащащие на твой сайт чужие untrusted-данные (осилятор же не слышал о бесконечных remote exec в *ssl при наличии таковых) без твоего личного контроля. И напоследок - делающие эти операции от рута или его эквивалента. Ман он прочитал, ага - "как каждому барану не напрягая межушный ганглий нахаляву получить свой сертификат".
    Причем подписанные кем-то, кому доверия нет ни на ломанный грош. "Зато бебебебебезопастно!"

    Ну чо, неосиляторы - го платить комоде - там, хотя бы, не нужны автоматические скрипты, запускающиеся раз в три дня, и можно доверять _серфтификату_, если умеешь (а для незамутненных сознаний все еще остается робкая надежда, что комоде ты неинтересен, а купить ее слишком дорого выйдет).

     
     
  • 6.18, KonstantinB, 17:15, 31/08/2017 [^] [ответить] [смотреть все]  
  • +/
    Как будто кто-то заставляет пользоваться certbot-ом.

    Вот, например: https://github.com/lukas2511/dehydrated

    Обычный шелл-скрипт, достаточно небольшой, чтобы изучить при желании целиком. Рут не нужен, можно запускать в изолированной среде.

     
     
  • 7.22, пох, 20:24, 31/08/2017 [^] [ответить] [смотреть все]  
  • +/
    а какая разница Там и там у тебя скрипты, а не ты, тащат критичную вещь из сомн... весь текст скрыт [показать]
     
     
  • 8.26, KonstantinB, 21:51, 31/08/2017 [^] [ответить] [смотреть все]  
  • +/
    > нужны права на перезапуск веб-сервера, чтобы он перечитал сертификат

    Что, правда? Аж перезапуск? А я сингал просто отправляю. Самописный сервер на ноджсе, чтоли?

    > раз ты закрыл это ssl'ем, значит именно оно и представляет тут ценность.

    Эээ щито? https терминируется на балансере, самое ценное там - это список IP-адресов апстримов.

    > что будет, если вместо сертификата сервер в один непрекрасный день прочитает какую-нибудь пакость

    Что будет? Запись в nginx/error.log и продолжение работы со старой конфигурацией.

    > лишаешься возможности защитить ключ паролем

    В authorized_keys (внезапно!) можно добавлять несколько строк. А еще (внезапно!) там можно указать command.

    > комоду.. за копейку не продастся

    Про mail.google.com напомнить?

     
     
  • 9.27, angra, 00:49, 01/09/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    > Что, правда? Аж перезапуск? А я сингал просто отправляю.

    То есть ты не знаешь, ни как именно осуществляется перезапуск, ни что для отправки сигналов процессу тоже нужны привилегии.


    >> лишаешься возможности защитить ключ паролем
    > В authorized_keys (внезапно!) можно добавлять несколько строк.

    То есть ты не знаешь, что ключи для ssh и для сертификатов это разные вещи и что последние тоже можно защищать паролем.

     
     
  • 10.31, KonstantinB, 07:11, 01/09/2017 [^] [ответить] [смотреть все]  
  • +/
    > То есть ты не знаешь, ни как именно осуществляется перезапуск, ни что для отправки сигналов процессу тоже нужны привилегии.

    Это с чего вы взяли?

    С привилегиями вообще нерелевантно, какое отношение это имеет к привилегиям, которые нужны для получения сертификата? Тут стопицот решений, начиная с sudo и заканчивая получением сертификата на другой машине.

    > То есть ты не знаешь, что ключи для ssh и для сертификатов это разные вещи и что последние тоже можно защищать паролем.

    А, про это. Можно, но на практике бессмысленно.

     
  • 10.35, пох, 15:11, 01/09/2017 [^] [ответить] [смотреть все]  
  • +/
    > То есть ты не знаешь, ни как именно осуществляется перезапуск, ни что
    > для отправки сигналов процессу тоже нужны привилегии.

    что характерно - те же самые. В общем, что один осилятор, осилил недумая запустить левый скрипт от рута, что второй, думающий что сильно круче, он же аж другой скрипт запускает, не ведая, что творит.

    Уровень грамотности околонулевой, зато пафоса полные штаны. Типикал для юзеров летскенкрипта, ага.

    (а во внутренней сети они даже на ssl не потратились - зачем, так же ж удобнее, любому дятлу, установившему сниффер)

     
  • 2.3, Ilya Indigo, 10:11, 31/08/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Вам, как минимум, понадобится знание китайского, в противном случае для Вас это ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.4, A.Stahl, 10:22, 31/08/2017 [^] [ответить] [смотреть все]  
  • +/
    Ну это уже мои проблемы Хотя, раз уж такое дело, то можно было бы и указать, чт... весь текст скрыт [показать]
     
     
  • 4.8, пох, 12:45, 31/08/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    > Хотя, раз уж такое дело, то можно было бы и указать, что эти УЦ работали в основном с
    > китайскими потребителями.

    чушь. Они работали с любыми потребителями, не желавшими платить три-пять сотен долларов за синенькую кляксу, и выдавали им сертификаты, которым можно было доверять - потому что те не менялись раз в неделю. Именно это и надо было уничтожить, ну а задно обеспечить себе простую и легкую возможность установки бэкдоров в любой веб-сервер, кроме, конечно, оплативших. Впрочем, что-что там с симантеком?

     
  • 1.10, Аноним, 13:20, 31/08/2017 [ответить] [смотреть все]  
  • +/
    Следующая новость компания, владеющая 90 рынком сертификатов SSL, приобретает ... весь текст скрыт [показать]
     
     
  • 2.11, пох, 13:31, 31/08/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    > Следующая новость: компания, владеющая 90% рынком сертификатов SSL, приобретает WoSign и
    > StartCom

    зачем? Они уже приобрели всех их коммерческих пользователей, не заплатив за это ни копейки.

    А некоммерческих "приобрел" летсхакюсайт или как там его.

     
     
  • 3.14, Аноним, 15:38, 31/08/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Сначала позволили WoSign и прочим ныне неугодным набрать пользователей, сняли... весь текст скрыт [показать]
     
     
  • 4.15, Аноним, 15:40, 31/08/2017 [^] [ответить] [смотреть все]  
  • +/
    Fixed ... весь текст скрыт [показать]
     
     
  • 5.24, Комод, 20:28, 31/08/2017 [^] [ответить] [смотреть все]  
  • +/
    >>  а потом решили запретить этот самый WoSign
    >>  чтобы На халяву забрать всех клиентов  себе.
    > Fixed.

    чего это вот "на халяву"? Мы так не договаривались - платите и нам $400 за синенькое с зелененьким, нам -то что с того, что вы уже китайцу заплатил?


     
     
  • 6.29, Аноним, 04:24, 01/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Конечно же на халяву для себя, а не для пользователей.
     
  • 3.16, key, 16:17, 31/08/2017 [^] [ответить] [смотреть все]  
  • +/
    а что не так с лестенкриптом?
    Можно пруфы на небезопасность?
     
     
  • 4.20, Аноним, 18:55, 31/08/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Ты что, это ж главный местный эксперт! Ему надо верить на слово.
     
  • 4.23, пох, 20:26, 31/08/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    > а что не так с лестенкриптом?

    я уже даже тут трижды перечислял, что с ним "не так".

     
     
  • 5.28, Аноним, 03:45, 01/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    он о пруфах спрашивал, а не в четвертый раз повторить параноидальные фантазии.
     
  • 1.25, Аноним, 20:51, 31/08/2017 [ответить] [смотреть все]  
  • –1 +/
    Какого хрена браузер указывает мне, кому я не должен доверять Его функция - по... весь текст скрыт [показать]
     
     
  • 2.30, Какаянахренразница, 05:33, 01/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > Максимум, что разрешаю - ненавязчиво предупредить в уголке, что сертификат
    > мол "по моему мнению ненадёжный".

    Ага, ненавязчиво предопреждать, что у тебя дыра в безопасности (или, вернее, твоя безопасность в полной ... э ... дыре), и при этом продолжать черепыжить тебя в эту дыру. Я бы на месте разрабов вообще писал: "Этот вебсайт опасен. Мы не будем устанавливать с ним соединение. Хочешь смотреть такие сайты -- скачай себе эксплорер и оставь нас в покое."

     
     
  • 3.34, гмозилла, 15:05, 01/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    да, очень ненавязчиво - например, сайт открыть, но неработающий Потому что, вне... весь текст скрыт [показать]
     
  • 2.32, Владимир Путин, 10:31, 01/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Иди своей маме пожалуйся зачем она тебе указывала как себя вести в детстве.
     
     
  • 3.42, Аноним, 10:07, 02/09/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    папаня?!

     
  • 2.33, гмозилла, 14:58, 01/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > Какого хрена браузер указывает мне, кому я не должен доверять??

    подчиняйся, раб!

    > Его функция - послушно открывать страницы, которые я указал в поле "адрес". Максимум,
    > что разрешаю

    разрешать ты будешь своему браузеру. А этот - НАШ. И разрешать ему будем мы.

     
  • 2.41, Аноним, 23:54, 01/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Если такой умный 8212 поддерживай свой список доверенных корневых сертификато... весь текст скрыт [показать] [показать ветку]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor