The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Digicert отзывает 50 тысяч TLS-сертификатов с расширенной верификацией

10.07.2020 18:41

Удостоверяющий центр Digicert намерен 11 июля отозвать около 50 тысяч TLS-сертификатов уровня EV (Extended Validation). Отзыву подлежат сертификаты, выданные через аккредитованные удостоверяющие центры, не фигурирующие в отчётах для аудита. EV-сертификаты подтверждают заявленные параметры идентификации и требуют проведения удостоверяющим центром проверки документов о принадлежности домена и физическое присутствие владельца ресурса.

Правила, регламентирующие деятельность удостоверяющих центров, предписывают обязательное проведение полного аудита в случае выдачи EV-сертификатов. Публикуемые DigiCert отчёты для аудита EV-сертификатов охватывали только основную инфраструктуру и не включали аккредитованные удостоверяющие центры, созданные в период с августа 2013 года по февраль 2018 года (по данным удостоверяющим центрам публиковались только общие отчёты аудита, а расширенные отчёты по EV-сертификатам были пропущены).

Чтобы устранить выявленное нарушение DigiCert согласился отозвать не упомянутые в отчётах аудита EV-сертификаты, выданные аккредитованными удостоверяющими центрами c использованием промежуточных сертификатов DigiCert Global CA G2, GeoTrust TLS RSA CA G1, Thawte TLS RSA CA G1, Secure Site CA, NCC Group Secure Server CA G2 и TERENA SSL High Assurance CA 3.

  1. Главная ссылка к новости (https://www.theregister.com/20...)
  2. OpenNews: Массовый отзыв сертификатов Let's Encrypt
  3. OpenNews: Устаревание корневого сертификата AddTrust привело к сбоям в системах с OpenSSL и GnuTLS
  4. OpenNews: Разработчики Mozilla отложили прекращение доверия к сертификатам Symantec
  5. OpenNews: Ожидается отзыв всех остальных сертификатов Trustico из-за полной компрометации сервера
  6. OpenNews: 23 тысячи SSL-сертификатов будут отозваны из-за инцидента в Trustico
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/53334-digicert
Ключевые слова: digicert, cert, tls
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (29) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 18:47, 10/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Диверсия?
     
     
  • 2.9, Аноним (9), 21:56, 10/07/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Саботаж
     
  • 2.21, Аноним (21), 11:19, 12/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Бритва Хенлона.
     

  • 1.2, Аноним (2), 19:04, 10/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –10 +/
    Есть только два типа центров сертификации:
    Let’s Encrypt и ненужный мусор,который скоро отомрёт.
     
     
  • 2.3, Повидло19 (?), 19:26, 10/07/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И собственные сертификаты для ограниченного круга лиц и служб.
     
  • 2.4, Аноним (4), 19:37, 10/07/2020 [^] [^^] [^^^] [ответить]  
  • +21 +/
    Есть два типа людей: те, которые делят всё на два типа, и те, которые такой глупостью не занимаются.
     
     
  • 3.5, A.Stahl (ok), 20:12, 10/07/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И среди тех, кто такой глупостью не занимается, есть множество людей которые делят на два типа только те понятия, которые удобно делить именно на два типа.
     
  • 3.16, InuYasha (??), 11:31, 11/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Есть два типа языков программирования: с явной типизацией и с неявной )
     
     
  • 4.18, БНОПНЯ (?), 18:01, 11/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Есть только один тип с явной типизацией. Остальное - мусор, не заслуживающий внимания.
     
     
  • 5.28, заминированный тапок (ok), 15:31, 13/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    и даже с явной типизацией есть два типа, жрущих ресурсы системы: мусор и сборщик мусора
     
  • 2.7, Сейд (ok), 20:47, 10/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А как же https://www.buypass.com/?
     
  • 2.8, Михрютка (ok), 21:30, 10/07/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    заметим, товарищи, потом этот аноним этими же самыми руками будет рассказывать нам про зонды от микрософта или там эппла.

    а в случае леценкрипт - сам вставляет, причем "добровольно и с песнями!"

     

  • 1.10, эти ваши интернеты (?), 22:01, 10/07/2020 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –1 +/
     
     
  • 2.11, Аноним (11), 23:11, 10/07/2020 Скрыто модератором
  • +3 +/
     
  • 2.13, OpenEcho (?), 00:40, 11/07/2020 Скрыто модератором
  • +2 +/
     

     ....ответы скрыты модератором (2)

  • 1.12, Аноним (12), 23:56, 10/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Суббота.. хорошо.

    Рабует только, что браузеры в массе своей болт клали на проверку, что серт отозван и все продолжит работать.. А на странные далобы от маргинальных браузеров все забьют :)

     
  • 1.15, Аноним (15), 08:27, 11/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В чем разница между самоподписным сертификатом и lests encrypt?Кроме как в зелёной иконке и немалой вероятностью, что ваш приватный ключ уже не такой и приватный?
     
     
  • 2.17, InuYasha (??), 11:34, 11/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В том что люди, заходя на самоподписанный сайт, будут срать кирпичами от "STOP RIGHT THERE CRIMINAL SCUM!" на весь экран в своём неуютном хроме. Маленькую ссылочку "continue to the site" многие даже искать не станут. А уж читать сертификат и понимать, почему он вызвал такой алерт - и подавно.
    Вывод: если твоя ЦА - быдло - покупай цердефекаты.
     
     
  • 3.23, Аноним (21), 11:25, 12/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > если твоя ЦА - быдло - покупай цердефекаты.

    Небыдлу плевать на MITM?

     
  • 2.19, юзер леценкрипта (?), 18:23, 11/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А можно поподробнее мнение профессионала на тему как утекает приватный ключ, если отправляется только подписанный этим ключом запрос на выпуск LE-сертификата?
     
     
  • 3.20, ваш К.О. (?), 10:30, 12/07/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    очень просто: это ты думаешь, что отправляется только что-то там, что тебе показалось правильным. А самообновляющийся (!) код шитбота (имеющий полный доступ ко всем твоим ключам, которые, кстати, сам же и сгенерит как ему хочется) отправит то, что ему скажет хозяин. И, кстати, тут же снова обновится, никакого палева.

    Хотя, разумеется, "тысясигласс" не заметит даже если прямо в открытую его сливать - как не замечал пять лет грепа по json в "простой, надежной, безопасной, с минимумом сторонних зависимостей" альтернативе шитбота.

    А меж тем закон о бэкдорах успешно миновал сенат.

     
     
  • 4.24, Аноним (21), 11:27, 12/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > это ты думаешь, что отправляется только что-то там, что тебе показалось правильным. А самообновляющийся (!) код шитбота (имеющий полный доступ ко всем твоим ключам, которые, кстати, сам же и сгенерит как ему хочется) отправит то, что ему скажет хозяин. И, кстати, тут же снова обновится, никакого палева.

    Если ты такой болван, что используешь certbot-auto, это не значит, что все остальные такие же.

     
     
  • 5.25, Аноним (25), 15:43, 12/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ЦА выписывающему сертификат зачем нужен приватный когда можно выписать себе другой, а среди логов  обновлений сертификатов каждый месяц найди где ты обновлял а где ЦА для себя.
     
     
  • 6.27, Аноним (21), 21:13, 12/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А это далеко не единственная и не главнвя причина не использовать certbot-auto.
     
  • 2.22, Аноним (21), 11:24, 12/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В том, что мозги надо иметь, чтобы понимать, почему иконка зелёная, и что происходит с приватным ключом (а чего не происходит).
     

  • 1.26, Аноним (25), 15:46, 12/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хром и мозила убили EV сертификаты отображая в браузере как обычный бесплатные LE сертификат, а чтобы увидеть информацию о сертификате это ещё постараться надо.
     
     
  • 2.29, Аноним (21), 18:09, 13/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    У меня рядом со значком замка отображается название организации для EV-сертификатов. Я отстал от жизни, и в не-ESR выпусках уже не так?
     
     
  • 3.30, Аноним (30), 23:20, 13/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вместо жирной зелёной строки теперь такое же как у всех серенький замочек.

    Отличие выражается в том, что если нажать на этот замочек появится всплывающее окно:
    DV/OV - "Защищенное соединение" зеленым цветом.
    EV - "Защищенное соединение" зеленым цветом. И снизу сереньким "Сертификат выдан: ООО Кишки и Ленточки".

    Разницу между DV и OV сертификатом можно увидеть только по наполнению полей внутри самого сертификата. У OV заполнены O, L, S, C

    EV от OV как раз и отличались всегда специальной пометкой внутри браузеров "зеленая строка". Уже 2018-ом году EV был мёртв. Google и Mozilla его убили даже MS его оставил только в Богом забытом ишаке и то, потому что ишак никто не обновляет. Может вам пора обновиться?

    Эпопея с тотальным внедрением HTTP2 вынуждающим к выпуску сертификатов привела к тому что DV стали бесплатными или стоить $10, если они на год, а EV стал не нужен. Нехер воздухом торговать.

    Отсутствие видимого отличия между DV и OV вынуждает тем кто продаёт OV предоставлять какие-то услуги наряду с продажей воздуха за деньги, типа удобный личный кабинет, API всякое итп.

     
     
  • 4.31, Аноним (21), 21:34, 14/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Может вам пора обновиться?

    68.10.0esr пока вполне актуален. Причём 68 версия вышла в 2019 году, так что сказки про 2018 вызывают сомнения.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру