The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

28.02.2018 01:57  Google вводит в Chrome обязательное логирование для SSL-сертификатов

Браузер Chrome будет требовать от удостоверяющих центров, чтобы все выданные ими публичные сертификаты, созданные после 30 апреля 2018 года, включались как минимум в два общедоступных журнала Certificate Transparency. Это означает, что с этой даты все сертификаты, которые не будут логироваться в Certificate Transparency, будут автоматически отвергнуты браузером, с отображением соответствующей ошибки.

В настоящее время все удостоверяющие центры, зарегистрированные в CCADB (Common CA Database), получили уведомление о предстоящих изменениях и готовятся к применению Certificate Transparency. Для предприятий, на которых используются собственные внутренние сертификаты, предоставлена опция, позволяющая отключить обязательную проверку в Certificate Transparency через задание централизованных правил, привязанных к учётным записям пользователей.

Certificate Transparency базируется на идее ведения независимого публичного лога всех выданных сертификатов, не позволяющего удостоверяющему центру сгенерировать сертификат без отражения в этом логе. Владельцам сертификатов и пользователям публичный лог даёт возможность проводить независимый аудит всех изменений и действий удостоверяющих центров, что позволит сразу отслеживать любые попытки скрытого создания поддельных записей.

Для защиты от искажения данных задним числом при хранении в логе Certificate Transparency применяется древовидная структура "Дерево Меркла" (Merkle Tree), в которой каждая ветка верифицирует все нижележащие ветки и узлы, благодаря совместному (древовидному) хешированию. Имея конечный хэш пользователь может удостовериться в корректности всей истории операций, а также в корректности прошлых состояний БД (корневой проверочный хэш нового состояния базы вычисляется с учётом прошлого состояния).

  1. Главная ссылка к новости (https://groups.google.com/a/ch...)
  2. OpenNews: Let's Encrypt преодолел рубеж в 50 млн активных сертификатов
  3. OpenNews: Chrome 68 начнёт помечать все HTTP-соединения небезопасными
  4. OpenNews: Злоумышленники устроили MitM-атаку на компанию Fox-IT, захватив её домен
  5. OpenNews: В Chrome планируют удалить поддержку технологии PKP (Public Key Pinning)
  6. OpenNews: Google представил Key Transparency, альтернативу серверам криптографических ключей
Автор новости: Аноним
Тип: К сведению
Ключевые слова: cert, chrome
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Аноним, 09:46, 28/02/2018 [ответить] [смотреть все]    [к модератору]
  • –2 +/
    И все самодельные серты от домашнего уц тоже надо будет туда отправлять?
     
     
  • 2.7, Аноним, 09:59, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • +29 +/
    Нет, надо удалить Chrome.
     
     
  • 3.8, Майнер, 10:02, 28/02/2018 [^] [ответить] [смотреть все]    [к модератору]
  • +3 +/
    И установить Firefox на предприятия с Active Directory и стюардессами!
     
  • 3.9, Майнер, 10:06, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]
  • +1 +/
    https wiki mozilla org Deployment Deploying_Firefox https www mozilla org en... весь текст скрыт [показать]
     
     
  • 4.18, Anonymoustus, 11:07, 28/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Да-да, и с навечно отключённым жабоскриптом.
     
  • 4.90, Пдшз, 22:42, 01/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Вы сами-то по ссылке ходили Сходите Никаких работающих тулзов для централизова... весь текст скрыт [показать]
     
  • 3.56, rvs2016, 16:02, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Не поможет Это даст лишь временную передышку, ибо шизофрения в этой теме - зара... весь текст скрыт [показать]
     
     
  • 4.66, гы, 17:51, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Ничего не изменится Сложности для разработчиков сайтов только прибавилось чуток... весь текст скрыт [показать]
     
  • 1.2, Аноним, 09:47, 28/02/2018 [ответить] [смотреть все]    [к модератору]  
  • –11 +/
    Привет letsencrypt? Во всех смыслах.

    Гугл - чудаки.

     
     
  • 2.20, Аноним, 11:15, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +8 +/
    Let's Encrypt изначально логи Certificate Transparency поддерживает.
     
  • 2.33, Аноним, 12:49, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +3 +/
    Гугл один из главных спонсоров вышеупомянутого letsencrypt-а ... весь текст скрыт [показать] [показать ветку]
     
  • 2.53, Аноним, 15:12, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +4 +/
    иксперты опеннета тут как тут... весь текст скрыт [показать] [показать ветку]
     
  • 2.57, rvs2016, 16:03, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Не то слово Но более важная проблема в том, что они такие не одни За ними посл... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.60, Anonim 2.0, 16:35, 28/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +7 +/
    И грядет конец света! Истинно говоря я Вам !!!
     
  • 3.67, гы, 17:53, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Если кто-то сможет самолично удалять сертификаты из списка, то это будет контрол... весь текст скрыт [показать]
     
  • 1.3, Аноним, 09:52, 28/02/2018 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    А доступ к CT? По Https? :)
     
  • 1.4, Аноним, 09:55, 28/02/2018 [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    IP клиента анонима при заходе на HTTPS 1 0-1 1 и HTTP 2 0 сайты тоже будет запис... весь текст скрыт [показать]
     
     
  • 2.27, Аноним, 12:38, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Записывает любой вебсервер Анонимность в интернете это миф ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.47, Аноним, 14:10, 28/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    > Анонимность в интернете это миф.

    Ну давай, деанонимизируй меня.


     
     
  • 4.77, Аноним, 22:49, 28/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Ща Мишаня придёт и деонанирует нас всех.
     
  • 1.5, Аноним, 09:58, 28/02/2018 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    надо же, полный абзац вместо бузворда "блокчейн"
     
     
  • 2.11, Аноним, 10:06, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Я считаю, что hashmap - это блокчейн. Сатоси Накамото - гений.
     
     
  • 3.14, тоже Аноним, 11:01, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Вы можете считать, что угодно, но в абзаце, насколько я вижу, описан именно блок... весь текст скрыт [показать]
     
     
  • 4.17, Аноним, 11:05, 28/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    В mercurial тоже описан блокчейн, не линейный, а древовидный. Или нет?
     
  • 4.42, DFgertert, 13:20, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Сэр, почитайте про блокчейн, в нем ничего суперинновационного нет, технологии ст... весь текст скрыт [показать]
     
     
  • 5.89, _, 19:36, 01/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Школоте ещё не объясняли что всё новое делается из старого и хорошо знакомого ... весь текст скрыт [показать]
     
     
  • 6.91, Anonymoustus, 22:57, 01/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Зачем открывать школоте страшные тайны бытия Этак школота перестанет покупать к... весь текст скрыт [показать]
     
  • 4.45, Crazy Alex, 13:29, 28/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Блокчейн без блоков?
     
     
  • 5.49, тоже Аноним, 14:31, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Если частью каждой записи является хэш предыдущей записи, то эта запись - блок б... весь текст скрыт [показать]
     
     
  • 6.58, Аноним, 16:17, 28/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Нет, просто запись содержит часть предыдущей записи.
     
     
  • 7.62, тоже Аноним, 16:52, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    О учитель Я, позднорожденный, безрассуден и глуп Укажи же мне это критичное от... весь текст скрыт [показать]
     
  • 6.63, Crazy Alex, 17:00, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Разве что в очень вырожденном виде По-хорошему блокчейн подразумевает именно гр... весь текст скрыт [показать]
     
     
  • 7.64, тоже Аноним, 17:17, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Я так понимаю, что записи в обсуждаемом дереве как раз должны вписываться в фикс... весь текст скрыт [показать]
     
     
  • 8.79, Crazy Alex, 00:05, 01/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Фиксированный размер - имеется в виду фиксированный максимальный размер блока П... весь текст скрыт [показать]
     
  • 1.6, Майнер, 09:59, 28/02/2018 [ответить] [смотреть все]     [к модератору]  
  • –4 +/
    так и пишите подобно смарт-контрактам... весь текст скрыт [показать]
     
     
  • 2.10, Ан, 10:06, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +2 +/
    тогда уже блокчейну. Смарт контракт это о другом.
     
  • 2.28, Аноним, 12:39, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    Торент файлы использовали эту структуру задолго до.
     
  • 2.55, Аноним, 15:38, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    иксперты опеннета, золотая коллекция ... весь текст скрыт [показать] [показать ветку]
     
  • 1.12, Аноним, 10:12, 28/02/2018 [ответить] [смотреть все]    [к модератору]  
  • –4 +/
    я хоть и ярый фанатик гугла, но даже я чутка возмущен
     
     
  • 2.29, Аноним, 12:41, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +11 +/
    > я хоть и ярый фанатик гугла, но даже я чутка возмущен

    Чем? Тем что китайские удостоверяющие центы не смогут продавать на черном рынке валидные сертификаты ко всему интернету?

     
     
  • 3.70, нах, 19:11, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    и некитайские на белом тоже не смогут - потому что мало поклониться в ноженьки в... весь текст скрыт [показать]
     
     
  • 4.74, Аноним, 20:41, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    СAN be only one Если ты конечно не фанат гугла и не выражаешь сугубо свое личное... весь текст скрыт [показать]
     
     
  • 5.84, КО, 10:19, 01/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    В том то и дело, что фраза сразу приводит идею к изначальной ситуации ... весь текст скрыт [показать]
     
  • 1.13, ойой, 10:42, 28/02/2018 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Я правильно понял, что новость касается только удостоверяющих центров, которые выпускают сертификаты, и они сами будут информировать CT о выпусках?
    Т.е. конечного владельца сертификата это мало должно волновать?
     
     
  • 2.15, тоже Аноним, 11:04, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Да, пока все идет, как задумано Задумано, что теперь для подделки сертификата н... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.34, Аноним, 12:49, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Публичный лог нужен не для блокировки выпуска сертификата от имени другуго CA, ... весь текст скрыт [показать]
     
     
  • 4.38, Аноним, 13:07, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Что не как не помешает тому СА что выдал ваш сертификат, распространять его поба... весь текст скрыт [показать]
     
     
  • 5.50, Аноним, 15:03, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Побайтовые копии даже сейчас никто не может распространять Приватный ключ серти... весь текст скрыт [показать]
     
  • 5.68, Тузя, 18:14, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    А какое отношение инфраструктура PKI имеет к понятию безопасность Когда незнако... весь текст скрыт [показать]
     
     
  • 6.76, Аноним, 21:36, 28/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > не отличает туалетную бумагу "страховай полис" от криптографических гарантий
     
  • 6.80, Crazy Alex, 00:14, 01/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    В большинстве случаев в интернете вообще наплевать, какое там лицо или совсем ... весь текст скрыт [показать]
     
  • 5.73, нах, 19:23, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    вы бы это хоть википедию бы почитали, что-ли Побайтовая копия и так выдается... весь текст скрыт [показать]
     
  • 2.71, нах, 19:13, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –2 +/
    да, он просто получит письмо щастья примерно такого содержания бла-бла-бла, des... весь текст скрыт [показать] [показать ветку]
     
  • 1.19, Аноним, 11:14, 28/02/2018 [ответить] [смотреть все]     [к модератору]  
  • –4 +/
    Вроде только к сертификатам привыкли Буквально пару лет назад у юзверей-сайтошл... весь текст скрыт [показать]
     
     
  • 2.36, Аноним, 13:00, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    Все быстро, решительно сочуствуем туповатым юзверям-сайтошлепам.
     
  • 2.37, Аноним, 13:05, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +2 +/
    Расслабься, больно не будет. Даже ничего не почувствуешь.
     
  • 1.22, поледанныхотсутств, 11:18, 28/02/2018 [ответить] [смотреть все]    [к модератору]  
  • +5 +/
    Даёшь все сертификаты в публичный децентрализованный блокчейн!
     
     
  • 2.30, Аноним, 12:44, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Намного лучшее решение, чем Давайте дадим левым Васям полное право удостоверять... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.51, Michael Shigorin, 15:05, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +5 +/
    Вместо xkcd https bugzilla mozilla org show_bug cgi id 647959 ... весь текст скрыт [показать]
     
     
  • 4.59, Kuromi, 16:35, 28/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    "Отличная шутка" (с) Петросян
     
  • 4.69, Stop, 19:00, 28/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Первый раз вижу Мишу без минусов.
     
  • 1.23, Аноним, 12:16, 28/02/2018 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Когда уже эту сертификацию сделают простой до немогу
     
     
  • 2.31, Аноним, 12:45, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    code dnf install letsencrypt letsencrypt --text --email vasia pupkin com --d... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.39, Аноним, 13:07, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Неужто в федорке до сих пор letsencrypt, а не certbot ... весь текст скрыт [показать]
     
     
  • 4.41, Аноним, 13:14, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    code dnf provides letsencrypt certbot-0 21 1-1 fc27 noarch code ... весь текст скрыт [показать]
     
  • 1.25, Аноним, 12:37, 28/02/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    кстати блокчейн это похоже как раз для этого отлично подойдет, а вот для денег о... весь текст скрыт [показать]
     
  • 1.35, X4asd, 12:50, 28/02/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    а потом когда логирующих серверов тоже образуется челая куча -- они придумают ещё один серер с цифровой подписью который будет проверять что логирующие серверы тоже не накосячили?

    то есть -- не проще ли тогда было бы -- наоборот -- удалить все CA-центры кроме например одного.

    вместо придумывания очередной контролирующей сущности?

     
     
  • 2.40, Аноним, 13:10, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Удалить все CA-центры ДО одного Поправил ... весь текст скрыт [показать] [показать ветку]
     
  • 2.43, Аноним, 13:21, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    ЦА не нужны Нужно как в ssh, если что-то поменялось при подключении сразу сообщ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.93, Гентушник, 00:31, 02/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Как узнать что подключение к сайту валидное при первом заходе на сайт А после с... весь текст скрыт [показать]
     
  • 2.72, нах, 19:15, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    принадлежащего гуглю Именно над этим и работаем это временная подпорка ... весь текст скрыт [показать] [показать ветку]
     
  • 1.44, Аноним, 13:22, 28/02/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    Очередной велосипед по захвату власти над сертификатами Как по мне возможность ... весь текст скрыт [показать]
     
     
  • 2.86, Аноним, 11:51, 01/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Этак Вам каждое утро придется заходить в гости к товарищам обслуживающих все Вам... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.87, Аноним, 17:21, 01/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну так по крайней мере источник не один Сейчас остается надеяться, что разработ... весь текст скрыт [показать]
     
  • 1.46, никто, 13:42, 28/02/2018 [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    слудующий шаг отказ от СА :-)

    Когда каждый сможет туда запихнуть свой самоподписанный церт и тем самым поддтвердить что верить ему можно.

     
  • 1.48, хрю, 14:28, 28/02/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Усё пытаются и пытаются плохую концепция са подпорками подпереть.
    ню-ню - бох в помощь.
     
     
  • 2.65, Crazy Alex, 17:20, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Частенько в итоге получаются вполне рабочие штуки TCP IP тот же вспомнить - там... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.83, Майнер, 07:10, 01/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Просто роутеры не умеют в SCTP...
     
  • 1.75, Аноним, 21:33, 28/02/2018 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    И это правильно Надеюсь можно будет внести УЦ в исключения ... весь текст скрыт [показать]
     
  • 1.82, Аноним, 01:41, 01/03/2018 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Мы конечно рады за компнию Гугль, что они в своём собственнном ЦА выписали себе ... весь текст скрыт [показать]
     
     
  • 2.85, Аноним, 11:45, 01/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Слово print в хостнейме в случае гугла, скорее, говорит о том, что это часть се... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.92, Аноним, 23:58, 01/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    А хто их знаеть...

    printserver.msk.corp.google.com для примера.

     
  • 2.95, 1, 16:47, 05/03/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Хотите сказать, что одного президента вам вполне хватает? Второй не нужен?
     
  • 1.96, Аноним, 13:52, 03/05/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    созданные после 30 апреля 2018 года, включались как минимум в два общедоступных ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor