The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

28.02.2018 01:57  Google вводит в Chrome обязательное логирование для SSL-сертификатов

Браузер Chrome будет требовать от удостоверяющих центров, чтобы все выданные ими публичные сертификаты, созданные после 30 апреля 2018 года, включались как минимум в два общедоступных журнала Certificate Transparency. Это означает, что с этой даты все сертификаты, которые не будут логироваться в Certificate Transparency, будут автоматически отвергнуты браузером, с отображением соответствующей ошибки.

В настоящее время все удостоверяющие центры, зарегистрированные в CCADB (Common CA Database), получили уведомление о предстоящих изменениях и готовятся к применению Certificate Transparency. Для предприятий, на которых используются собственные внутренние сертификаты, предоставлена опция, позволяющая отключить обязательную проверку в Certificate Transparency через задание централизованных правил, привязанных к учётным записям пользователей.

Certificate Transparency базируется на идее ведения независимого публичного лога всех выданных сертификатов, не позволяющего удостоверяющему центру сгенерировать сертификат без отражения в этом логе. Владельцам сертификатов и пользователям публичный лог даёт возможность проводить независимый аудит всех изменений и действий удостоверяющих центров, что позволит сразу отслеживать любые попытки скрытого создания поддельных записей.

Для защиты от искажения данных задним числом при хранении в логе Certificate Transparency применяется древовидная структура "Дерево Меркла" (Merkle Tree), в которой каждая ветка верифицирует все нижележащие ветки и узлы, благодаря совместному (древовидному) хешированию. Имея конечный хэш пользователь может удостовериться в корректности всей истории операций, а также в корректности прошлых состояний БД (корневой проверочный хэш нового состояния базы вычисляется с учётом прошлого состояния).

  1. Главная ссылка к новости (https://groups.google.com/a/ch...)
  2. OpenNews: Let's Encrypt преодолел рубеж в 50 млн активных сертификатов
  3. OpenNews: Chrome 68 начнёт помечать все HTTP-соединения небезопасными
  4. OpenNews: Злоумышленники устроили MitM-атаку на компанию Fox-IT, захватив её домен
  5. OpenNews: В Chrome планируют удалить поддержку технологии PKP (Public Key Pinning)
  6. OpenNews: Google представил Key Transparency, альтернативу серверам криптографических ключей
Автор новости: Аноним
Тип: К сведению
Ключевые слова: cert, chrome
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 09:46, 28/02/2018 [ответить] [показать ветку] [···]    [к модератору]
  • –2 +/
    И все самодельные серты от домашнего уц тоже надо будет туда отправлять?
     
     
  • 2.7, Аноним (-), 09:59, 28/02/2018 [^] [ответить]    [к модератору]
  • +29 +/
    Нет, надо удалить Chrome.
     
     
  • 3.8, Майнер (?), 10:02, 28/02/2018 [^] [ответить]    [к модератору]
  • +3 +/
    И установить Firefox на предприятия с Active Directory и стюардессами!
     
  • 3.9, Майнер (?), 10:06, 28/02/2018 [^] [ответить]    [к модератору]
  • +1 +/
    https://wiki.mozilla.org/Deployment:Deploying_Firefox
    https://www.mozilla.org/en-US/firefox/organizations/
     
     
  • 4.18, Anonymoustus (ok), 11:07, 28/02/2018 [^] [ответить]    [к модератору]
  • +/
    Да-да, и с навечно отключённым жабоскриптом.
     
  • 4.90, Пдшз (?), 22:42, 01/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Вы сами-то по ссылке ходили? Сходите.
    Никаких работающих тулзов для централизованой настройки мозилл нет. Те, что были — были так себе, но это не важно, потому что они много лет не актуальны.
     
  • 3.56, rvs2016 (ok), 16:02, 28/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Не поможет Это даст лишь временную передышку, ибо шизофрения в этой теме - зара... весь текст скрыт [показать]
     
     
  • 4.66, гы (?), 17:51, 28/02/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Ничего не изменится Сложности для разработчиков сайтов только прибавилось чуток... весь текст скрыт [показать]
     
  • 1.2, Аноним (-), 09:47, 28/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –11 +/
    Привет letsencrypt? Во всех смыслах.

    Гугл - чудаки.

     
     
  • 2.20, Аноним (-), 11:15, 28/02/2018 [^] [ответить]    [к модератору]  
  • +8 +/
    Let's Encrypt изначально логи Certificate Transparency поддерживает.
     
  • 2.33, Аноним (-), 12:49, 28/02/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    > Привет letsencrypt? Во всех смыслах.
    > Гугл - чудаки.

    Гугл один из главных спонсоров вышеупомянутого letsencrypt-а


     
  • 2.53, Аноним (-), 15:12, 28/02/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    > Привет letsencrypt? Во всех смыслах.
    > Гугл - чудаки.

    иксперты опеннета тут как тут

     
  • 2.57, rvs2016 (ok), 16:03, 28/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Не то слово Но более важная проблема в том, что они такие не одни За ними посл... весь текст скрыт [показать]
     
     
  • 3.60, Anonim 2.0 (?), 16:35, 28/02/2018 [^] [ответить]    [к модератору]  
  • +7 +/
    И грядет конец света! Истинно говоря я Вам !!!
     
  • 3.67, гы (?), 17:53, 28/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Если кто-то сможет самолично удалять сертификаты из списка, то это будет контрол... весь текст скрыт [показать]
     
  • 1.3, Аноним (-), 09:52, 28/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    А доступ к CT? По Https? :)
     
  • 1.4, Аноним (-), 09:55, 28/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    IP клиента/анонима при заходе на HTTPS/1.0-1.1 и HTTP/2.0 сайты тоже будет записывать?
     
     
  • 2.27, Аноним (-), 12:38, 28/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    >IP клиента

    Записывает любой вебсервер.
    >анонима

    Анонимность в интернете это миф.

     
     
  • 3.47, Аноним (-), 14:10, 28/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Анонимность в интернете это миф.

    Ну давай, деанонимизируй меня.


     
     
  • 4.77, Аноним (-), 22:49, 28/02/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Ща Мишаня придёт и деонанирует нас всех.
     
  • 1.5, Аноним (-), 09:58, 28/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    надо же, полный абзац вместо бузворда "блокчейн"
     
     
  • 2.11, Аноним (-), 10:06, 28/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Я считаю, что hashmap - это блокчейн. Сатоси Накамото - гений.
     
     
  • 3.14, тоже Аноним (ok), 11:01, 28/02/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Вы можете считать, что угодно, но в абзаце, насколько я вижу, описан именно блокчейн.
    Только не линейный, а древовидный.
     
     
  • 4.17, Аноним (-), 11:05, 28/02/2018 [^] [ответить]    [к модератору]  
  • +/
    В mercurial тоже описан блокчейн, не линейный, а древовидный. Или нет?
     
  • 4.42, DFgertert (?), 13:20, 28/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Сэр, почитайте про блокчейн, в нем ничего суперинновационного нет, технологии старые. Так что писать везде про блокчейн слегка глупо.
     
     
  • 5.89, _ (??), 19:36, 01/03/2018 [^] [ответить]    [к модератору]  
  • +/
    >Сэр, почитайте про блокчейн, в нем ничего суперинновационного нет, технологии старые.

    Школоте ещё не объясняли что всё новое делается из старого и хорошо знакомого? :)

     
     
  • 6.91, Anonymoustus (ok), 22:57, 01/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Зачем открывать школоте страшные тайны бытия Этак школота перестанет покупать к... весь текст скрыт [показать]
     
  • 4.45, Crazy Alex (ok), 13:29, 28/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Блокчейн без блоков?
     
     
  • 5.49, тоже Аноним (ok), 14:31, 28/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Если частью каждой записи является хэш предыдущей записи, то эта запись - блок блокчейна.
    Я не прав?
     
     
  • 6.58, Аноним (-), 16:17, 28/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Нет, просто запись содержит часть предыдущей записи.
     
     
  • 7.62, тоже Аноним (ok), 16:52, 28/02/2018 [^] [ответить]    [к модератору]  
  • +/
    О учитель! Я, позднорожденный, безрассуден и глуп.
    Укажи же мне это критичное отличие, которого мои старые и слабые глаза не могут увидеть.
     
  • 6.63, Crazy Alex (ok), 17:00, 28/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Разве что в очень вырожденном виде По-хорошему блокчейн подразумевает именно гр... весь текст скрыт [показать]
     
     
  • 7.64, тоже Аноним (ok), 17:17, 28/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Я так понимаю, что записи в обсуждаемом дереве как раз должны вписываться в фикс... весь текст скрыт [показать]
     
     
  • 8.79, Crazy Alex (ok), 00:05, 01/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Фиксированный размер - имеется в виду фиксированный максимальный размер блока. Пустые блоки надо плодить, когда потока нет, разумеется. Если есть - то их, конечно, не будет.
     
  • 1.6, Майнер (?), 09:59, 28/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –4 +/
    > древовидная структура "Дерево Меркла" (Merkle Tree)

    так и пишите подобно смарт-контрактам

     
     
  • 2.10, Ан (??), 10:06, 28/02/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    тогда уже блокчейну. Смарт контракт это о другом.
     
  • 2.28, Аноним (-), 12:39, 28/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Торент файлы использовали эту структуру задолго до.
     
  • 2.55, Аноним (-), 15:38, 28/02/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    >> древовидная структура "Дерево Меркла" (Merkle Tree)
    > так и пишите подобно смарт-контрактам

    иксперты опеннета, золотая коллекция

     
  • 1.12, Аноним (-), 10:12, 28/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –4 +/
    я хоть и ярый фанатик гугла, но даже я чутка возмущен
     
     
  • 2.29, Аноним (-), 12:41, 28/02/2018 [^] [ответить]    [к модератору]  
  • +11 +/
    > я хоть и ярый фанатик гугла, но даже я чутка возмущен

    Чем? Тем что китайские удостоверяющие центы не смогут продавать на черном рынке валидные сертификаты ко всему интернету?

     
     
  • 3.70, нах (?), 19:11, 28/02/2018 [^] [ответить]     [к модератору]  
  • +/
    и некитайские на белом тоже не смогут - потому что мало поклониться в ноженьки в... весь текст скрыт [показать]
     
     
  • 4.74, Аноним (-), 20:41, 28/02/2018 [^] [ответить]    [к модератору]  
  • +/
    > there should be only ONE.

    СAN be only one
    Если ты конечно не фанат гугла и не выражаешь сугубо свое личное мнение.
    Hold fast!

     
     
  • 5.84, КО (?), 10:19, 01/03/2018 [^] [ответить]    [к модератору]  
  • +/
    В том то и дело, что фраза
    >как минимум в два

    сразу приводит идею к изначальной ситуации.

     
  • 1.13, ойой (?), 10:42, 28/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Я правильно понял, что новость касается только удостоверяющих центров, которые выпускают сертификаты, и они сами будут информировать CT о выпусках?
    Т.е. конечного владельца сертификата это мало должно волновать?
     
     
  • 2.15, тоже Аноним (ok), 11:04, 28/02/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Да, пока все идет, как задумано Задумано, что теперь для подделки сертификата н... весь текст скрыт [показать]
     
     
  • 3.34, Аноним (-), 12:49, 28/02/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Публичный лог нужен не для блокировки выпуска сертификата от имени другуго CA, ... весь текст скрыт [показать]
     
     
  • 4.38, Аноним (-), 13:07, 28/02/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Что не как не помешает тому СА что выдал ваш сертификат, распространять его поба... весь текст скрыт [показать]
     
     
  • 5.50, Аноним (-), 15:03, 28/02/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Побайтовые копии даже сейчас никто не может распространять. Приватный ключ сертификата генериуется вами локально, а в ЦС на подпись передаётся только публичная часть.
     
  • 5.68, Тузя (ok), 18:14, 28/02/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    А какое отношение инфраструктура PKI имеет к понятию безопасность Когда незнако... весь текст скрыт [показать]
     
     
  • 6.76, Аноним (-), 21:36, 28/02/2018 [^] [ответить]    [к модератору]  
  • +/
    > не отличает туалетную бумагу "страховай полис" от криптографических гарантий
     
  • 6.80, Crazy Alex (ok), 00:14, 01/03/2018 [^] [ответить]     [к модератору]  
  • +/
    В большинстве случаев в интернете вообще наплевать, какое там лицо или совсем ... весь текст скрыт [показать]
     
  • 5.73, нах (?), 19:23, 28/02/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    вы бы это хоть википедию бы почитали, что-ли Побайтовая копия и так выдается... весь текст скрыт [показать]
     
  • 2.71, нах (?), 19:13, 28/02/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    да, он просто получит письмо щастья примерно такого содержания бла-бла-бла, des... весь текст скрыт [показать]
     
     ....нить скрыта, показать (9)

  • 1.19, Аноним (19), 11:14, 28/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –4 +/
    Вроде только к сертификатам привыкли. Буквально пару лет назад у юзверей-сайтошлепов были вопросы. Так снова все переделывают костыльно, так ещё и централизованно.
     
     
  • 2.36, Аноним (-), 13:00, 28/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Все быстро, решительно сочуствуем туповатым юзверям-сайтошлепам.
     
  • 2.37, Аноним (-), 13:05, 28/02/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Расслабься, больно не будет. Даже ничего не почувствуешь.
     
  • 1.22, поледанныхотсутств (?), 11:18, 28/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    Даёшь все сертификаты в публичный децентрализованный блокчейн!
     
     
  • 2.30, Аноним (-), 12:44, 28/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Намного лучшее решение, чем Давайте дадим левым Васям полное право удостоверять... весь текст скрыт [показать]
     
     
  • 3.51, Michael Shigorin (ok), 15:05, 28/02/2018 [^] [ответить]    [к модератору]  
  • +5 +/
    > "Почему конткретно вот тем Васям а не вот этим? Вам знать не нужно."

    Вместо xkcd: https://bugzilla.mozilla.org/show_bug.cgi?id=647959 :]

     
     
  • 4.59, Kuromi (ok), 16:35, 28/02/2018 [^] [ответить]    [к модератору]  
  • +/
    "Отличная шутка" (с) Петросян
     
  • 4.69, Stop (?), 19:00, 28/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Первый раз вижу Мишу без минусов.
     
  • 1.23, Аноним (-), 12:16, 28/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Когда уже эту сертификацию сделают простой до немогу
     
     
  • 2.31, Аноним (-), 12:45, 28/02/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    code dnf install letsencrypt letsencrypt --text --email vasia pupkin com --d... весь текст скрыт [показать]
     
     
  • 3.39, Аноним (-), 13:07, 28/02/2018 [^] [ответить]    [к модератору]  
  • +/
    > dnf install letsencrypt

    Неужто в федорке до сих пор letsencrypt, а не certbot?

     
     
  • 4.41, Аноним (-), 13:14, 28/02/2018 [^] [ответить]    [к модератору]  
  • +/
    >> dnf install letsencrypt
    > Неужто в федорке до сих пор letsencrypt, а не certbot?

    [code]
    dnf provides letsencrypt

    certbot-0.21.1-1.fc27.noarch
    [/code]

     
  • 1.25, Аноним (-), 12:37, 28/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    кстати блокчейн это похоже как раз для этого отлично подойдет, а вот для денег он совсем не катит, но его туда впихивают вовсю
     
  • 1.35, X4asd (ok), 12:50, 28/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    а потом когда логирующих серверов тоже образуется челая куча -- они придумают ещё один серер с цифровой подписью который будет проверять что логирующие серверы тоже не накосячили?

    то есть -- не проще ли тогда было бы -- наоборот -- удалить все CA-центры кроме например одного.

    вместо придумывания очередной контролирующей сущности?

     
     
  • 2.40, Аноним (-), 13:10, 28/02/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    > то есть -- не проще ли тогда было бы -- наоборот --
    > удалить все CA-центры кроме например одного.

    Удалить все CA-центры ДО одного.
    Поправил.

     
  • 2.43, Аноним (-), 13:21, 28/02/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    ЦА не нужны Нужно как в ssh, если что-то поменялось при подключении сразу сообщ... весь текст скрыт [показать]
     
     
  • 3.93, Гентушник (ok), 00:31, 02/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Как узнать что подключение к сайту валидное при первом заходе на сайт?
    А после смены сертификата владельцем?
     
  • 2.72, нах (?), 19:15, 28/02/2018 [^] [ответить]     [к модератору]  
  • +/
    принадлежащего гуглю Именно над этим и работаем это временная подпорка ... весь текст скрыт [показать]
     
  • 1.44, Аноним (-), 13:22, 28/02/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Очередной велосипед по захвату власти над сертификатами Как по мне возможность ... весь текст скрыт [показать]
     
     
  • 2.86, Аноним (-), 11:51, 01/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Этак Вам каждое утро придется заходить в гости к товарищам обслуживающих все Вам... весь текст скрыт [показать]
     
     
  • 3.87, Аноним (-), 17:21, 01/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну так по крайней мере источник не один.
    Сейчас остается надеяться, что разработчикам браузера чего не приснилось
    при выпуске новой версии браузера.
     
  • 1.46, никто (??), 13:42, 28/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    слудующий шаг отказ от СА :-)

    Когда каждый сможет туда запихнуть свой самоподписанный церт и тем самым поддтвердить что верить ему можно.

     
  • 1.48, хрю (?), 14:28, 28/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Усё пытаются и пытаются плохую концепция са подпорками подпереть.
    ню-ню - бох в помощь.
     
     
  • 2.65, Crazy Alex (ok), 17:20, 28/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Частенько в итоге получаются вполне рабочие штуки. TCP/IP тот же вспомнить - там костылей - Эйфелеву башню построить хватит.
     
     
  • 3.83, Майнер (?), 07:10, 01/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Просто роутеры не умеют в SCTP...
     
  • 1.75, Аноним (-), 21:33, 28/02/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    И это правильно Надеюсь можно будет внести УЦ в исключения ... весь текст скрыт [показать]
     
  • 1.82, Аноним (-), 01:41, 01/03/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    Мы конечно рады за компнию Гугль, что они в своём собственнном ЦА выписали себе ... весь текст скрыт [показать]
     
     
  • 2.85, Аноним (-), 11:45, 01/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Слово print  в хостнейме в случае гугла, скорее, говорит о том, что это часть сервиса google cloud print, а не принт-сервер.
     
     
  • 3.92, Аноним (-), 23:58, 01/03/2018 [^] [ответить]    [к модератору]  
  • +/
    А хто их знаеть...

    printserver.msk.corp.google.com для примера.

     
  • 2.95, 1 (??), 16:47, 05/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Хотите сказать, что одного президента вам вполне хватает? Второй не нужен?
     
  • 1.96, Аноним (-), 13:52, 03/05/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    созданные после 30 апреля 2018 года, включались как минимум в два общедоступных ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor