LINUX.ORG.RU

Цирк с сертификатами

 , ,


0

1

http://www.opennet.ru/opennews/art.shtml?num=49431

Ъ:

Разработчики Mozilla отменили намеченное на Firefox 63 прекращение доверия к сертификатам удостоверяющего центра Symantec, и связанных с ним брендов GeoTrust, RapidSSL и Thawte. Прекращение доверия к сертификатам Symantec отложено из-за продолжения применения данных сертификатов на популярных сайтах.

По оценке Mozilla, связанный с продолжением использования сертификатов Symantec риск не перекрывает негативное влияние на пользователей в случае невозможности установить полноценное защищённое соединение с 10 тысячами популярных сайтов, продолжающих использовать сертификаты Symantec.

Лавров.jpg

Непонятно, а что мешает установить полноценное соединение, но предупреждать, типа эти серты потенциально ненадежные. В принципе, это и сейчас есть для недоверенных сертификатов, но требуется слишком много телодвижений, чтобы ими все-таки воспользоваться

Вот так вот.

# : > /etc/ca-certificates.conf 
# update-ca-certificate

gentoo1love ()
Ответ на: комментарий от gentoo1love

Ну и все, которые в браузере удалить. А сертификат ЛОР-а добавить. А другие сайты не нужны.

gentoo1love ()

А что будет, если на странице данные надо загрузить ещё с другого домена/поддомена?

boowai ()
Ответ на: комментарий от gentoo1love

Да, нужен один сайт для деградации, конкуренты не нужны

azaza ()

а разве юзер не сам решает, каким сертификатам доверять?

Iron_Bug ★★★★ ()

Разработчики Mozilla отменили намеченное на Firefox 63 прекращение доверия к сертификатам удостоверяющего центра Symantec, и связанных с ним брендов GeoTrust, RapidSSL и Thawte.

Поясните, теперь надо перегенерировать сертификаты?

https://knowledge.digicert.com/alerts/ALERT2562.html?inid=rctfl_knowledge_rep...

для RapidSSL, https://knowledge.digicert.com/generalinformation/INFO3575.html

То есть, просто заменить промежуточный и корневой .pem на свежие не получится?

pacify ★★★★★ ()
Ответ на: комментарий от pacify

Видимо да. Так что я понимаю и доводы против прекращения. Но однако вся эта торговля воздухом (сертификатами) начинает выглядеть какой-то ерундой.

praseodim ★★★ ()
Ответ на: комментарий от praseodim

Видимо да. Так что я понимаю и доводы против прекращения.

В общем, читайте свежие announcements.

Сертификат, сгенерированный в марте(сентябре) 2018 нормально работает в паре с промежуточным/корневым, выложенным на тот момент времени. Вот как быть в последующем с регенерацией - непонятно, там надо иметь аккаунт у CA. Хотя, странно, что Chrome 66/69 нормально работают с сертификатами от начала 2018. Может, ничего и не надо будет менять.

pacify ★★★★★ ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)