LINUX.ORG.RU
ФорумTalks

WoSign обосрамс II

 , , ,


0

2

!Ъ: https://support.apple.com/en-us/HT204132

Ъ:

Certificate Authority WoSign experienced multiple control failures in their certificate issuance processes for the WoSign CA Free SSL Certificate G2 intermediate CA. Although no WoSign root is in the list of Apple trusted roots, this intermediate CA used cross-signed certificate relationships with StartCom and Comodo to establish trust on Apple products. In light of these findings, we are taking action to protect users in an upcoming security update. Apple products will no longer trust the WoSign CA Free SSL Certificate G2 intermediate CA.

Deleted

Очередной яблочной пиар, под прикрытием борьбы на безопасность. Хотя у WoSign есть шанс и с других мест вылететь. Так им вроде сказали: исправляйте, разбирайтесь, приводите все в порядок.

anonymous_sama ★★★★★
()
Ответ на: комментарий от ptarh

Так получается, что выпилили даже не за нарушения, а потому-что кто-то c WoSign купил StartCom через смежную компанию в UK? Весело.
Т.е. в теории теперь и StartSSL можеть пасть, если вскроется, что StartSSL находится в Китае.

anonymous_sama ★★★★★
()
Ответ на: комментарий от anonymous_sama

Умеющий читать, да осилит:

The relationship is unclear, but it seems as if the StartCom technical infrastructure was being used by WoSign when they were caught issuing about a hundred improperly validated SSL certificates, including a certificate for github.com

Но читать сложнее, чем пускать слюну, увидев слово Apple, поэтому какие к тебе претензии.

ptarh ★★★★★
()
Ответ на: комментарий от ptarh

Я не конкретно про то, что ты дал по ссылке, я вообще. А, например:
http://www.percya.com/2016/09/wosigns-secret-purchase-of-startcom.html
https://pierrekim.github.io/blog/2016-02-16-why-i-stopped-using-startssl-beca...
Короче теперь вполне возможно, что не только «апельсиновый дассом» но и любой правительственный хакер в Китае имеет доступ к информации о юзерах, которые подтверждали или вбили реальные данные в StartSSL при регистрации.

anonymous_sama ★★★★★
()
Последнее исправление: anonymous_sama (всего исправлений: 1)
Ответ на: комментарий от anonymous_sama

Вопрос, как это озвучивают, даже не в каких-то конкретных претензиях, а в том, что им до выяснения обстоятельств не доверяют, поэтому и выносят из списков доверенных CA. «Все правильно делают.» (с)

ptarh ★★★★★
()

это жесть, зашел на ЛОР побугуртить по поводу отвалившихся https. чертовы китайцы, поставил letsencrypt, надеюсь там такого не будет.

dib2 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Talks