LINUX.ORG.RU
ФорумTalks

Из-за шатдауна правительства США не продлены более 80 сертификатов TLS

 , , , ,


1

2

https://habr.com/post/435934/

Согласно исследованию Netcraft, десятки государственных сайтов США стали или небезопасными, или недоступными во время продолжающегося федерального шатдауна. Среди них важные платёжные порталы и службы удалённого доступа, которыми пользуются НАСА, Министерство юстиции США и Апелляционный суд.

Около 400 000 федеральных служащих в настоящее время находятся в вынужденном отпуске. Поэтому не слишком удивляет, что никто не удосужился продлить более 80 сертификатов TLS на государственных сайтах в зоне .gov. Cитуацию усугубляет то, что некоторые из этих заброшенных сайтов стали недоступны из-за строгой политики безопасности HSTS, которую внедрили до шатдауна.

И тут как нельзя кстати пригодятся советы из предыдущего треда: Смотреть сайты с протухшими сертификатами

Вам там конечно это очень важно.

Shulman ()

А вот использовали бы бесплатный летс крипт то и денег сэкономили и цертбот сам бы обновил сертификат :-)

Behem0th ★★★★★ ()
Ответ на: комментарий от Behem0th

А что, если это была спланированная атака от LE, чтобы попиариться?

Unicode4all ★★★★★ ()

Индейцев проблема шерифа не волнует.

ilovewindows ★★★★★ ()

Я думаю, что без русских хакеров не обошлось. Трамп, явно, наш агент.

pacify ★★★★★ ()
Ответ на: комментарий от pacify

Я думаю, что без русских хакеров не обошлось

У нас на аутсорсе есть несколько .gov сайтов

Из комментариев на хабре.

h578b1bde ★☆ ()
Ответ на: комментарий от Behem0th

А вот использовали бы бесплатный летс крипт то и денег сэкономили и цертбот сам бы обновил сертификат

Это если бы обновление было настроено, а не как у этих ребят: https://rnq.ru/forum/ideas/44803-c-28-декабря-мы-перестаём-поддерживать-стары...

h578b1bde ★☆ ()
Ответ на: комментарий от h578b1bde

У нас на аутсорсе есть несколько .gov сайтов
Из комментариев на хабре.

Т.е. русских хакеров тоже отправили в отпуск?

Mirage1_ ()

А какая разница, если правительство не работает?

kirk_johnson ★☆ ()

У нас бы в такой ситуации народ продолжал бы пахать за бесплатно ещё месяца три как минимум.

snizovtsev ★★★★ ()
Ответ на: комментарий от Mirage1_

Конечно, русские какиры (которых как известно делают в Одессе) лысые штоле пахать без зряплаты.

bread ()
Ответ на: комментарий от Behem0th

Я тут фшоке, решил проверить несколько .gov сайтов, внезапно у nsa.gov сертификат таки от Let's Encrypt. По крайней мере мне так показывает

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            03:fd:aa:84:c4:e1:f8:a9:b9:c5:6b:10:0b:12:48:c2:e8:a3
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
        Validity
            Not Before: Dec 14 20:54:07 2018 GMT
            Not After : Mar 14 20:54:07 2019 GMT
        Subject: CN=www.defense.gov
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:e8:27:8c:79:1c:ce:03:0b:23:ca:0b:9a:41:b3:
                    19:b7:05:0a:a5:85:4d:1c:01:36:af:d9:ff:97:e8:
                    51:72:66:fd:81:f9:86:03:7e:c4:cf:72:5c:0f:76:
                    0f:6e:4a:7b:35:da:36:c6:14:84:d2:56:d5:bd:3c:
                    e7:82:0f:c7:70:32:a6:8f:86:f1:7c:4a:46:e1:91:
                    b3:05:a8:32:bb:32:30:74:23:49:0e:ae:2c:f1:40:
                    eb:24:ee:35:a0:f9:82:b5:e7:0e:01:31:d7:34:9a:
                    d2:06:87:d5:fd:42:d2:8f:57:95:fe:12:48:ef:21:
                    40:c9:56:23:a2:38:f9:fe:71:a5:a4:2d:06:10:bd:
                    17:ab:4a:2f:92:68:f5:7f:9b:ec:19:76:c3:3c:f3:
                    a5:74:44:68:ae:31:54:7d:c7:95:74:d8:56:cd:63:
                    24:99:68:85:d9:2b:64:0d:cd:82:13:94:64:19:24:
                    58:aa:10:55:1a:9b:73:96:08:6b:60:22:ff:52:d8:
                    1f:64:ba:0d:41:7c:a7:83:f9:9c:5f:ff:48:ff:52:
                    fd:4d:43:bd:cf:a6:f9:05:41:60:e2:5e:70:51:c1:
                    01:b1:70:4b:5f:4b:e6:d4:70:82:32:85:58:73:67:
                    66:77:9c:99:b7:ea:dd:9b:cf:aa:68:ec:d7:83:3d:
                    ef:41
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 Basic Constraints: critical
                CA:FALSE
            X509v3 Subject Key Identifier: 
                5E:0C:1E:AD:51:42:35:57:62:7A:C0:F9:AA:57:73:1F:6C:60:B0:8B
            X509v3 Authority Key Identifier: 
                keyid:A8:4A:6A:63:04:7D:DD:BA:E6:D1:39:B7:A6:45:65:EF:F3:A8:EC:A1

            Authority Information Access: 
                OCSP - URI:http://ocsp.int-x3.letsencrypt.org
                CA Issuers - URI:http://cert.int-x3.letsencrypt.org/

            X509v3 Subject Alternative Name: 
                DNS:2017dodtransition.defense.gov, DNS:actuary.defense.gov, DNS:afd.defense.gov, DNS:afpimstest-www.nsa.gov, DNS:archive.defense.gov, DNS:armedforcessports.defense.gov, DNS:atsdio.defense.gov, DNS:basicresearch.defense.gov, DNS:business.defense.gov, DNS:cmo.defense.gov, DNS:comptroller.defense.gov, DNS:ctip.defense.gov, DNS:dacowits.defense.gov, DNS:data.defense.gov, DNS:dbb.defense.gov, DNS:dcips.defense.gov, DNS:dcmo.defense.gov, DNS:diversity.defense.gov, DNS:dod.defense.gov, DNS:dodcertpmo.defense.gov, DNS:dodcio.defense.gov, DNS:dodsioo.defense.gov, DNS:dpcld.defense.gov, DNS:dpclo.defense.gov, DNS:energy.defense.gov, DNS:execsec.defense.gov, DNS:financialreadiness.defense.gov, DNS:history.defense.gov, DNS:innovation.defense.gov, DNS:irt.defense.gov, DNS:jamrs.defense.gov, DNS:jnlwp.defense.gov, DNS:jsc.defense.gov, DNS:la.defense.gov, DNS:m.nsa.gov, DNS:militarypay.defense.gov, DNS:minerva.defense.gov, DNS:nmio.ise.gov, DNS:nsa.gov, DNS:oig.nsa.gov, DNS:opa.defense.gov, DNS:open.defense.gov, DNS:ousdi.defense.gov, DNS:policy.defense.gov, DNS:prhome.defense.gov, DNS:ra.defense.gov, DNS:rfpb.defense.gov, DNS:rwtf.defense.gov, DNS:servicedesk.defense.gov, DNS:valor.defense.gov, DNS:vwac.defense.gov, DNS:www.business.defense.gov, DNS:www.businessdefense.gov, DNS:www.defense.gov, DNS:www.dod.defense.gov, DNS:www.dod.gov, DNS:www.nsa.gov, DNS:www.pentagon.gov
            X509v3 Certificate Policies: 
                Policy: 2.23.140.1.2.1
                Policy: 1.3.6.1.4.1.44947.1.1.1
                  CPS: http://cps.letsencrypt.org

            CT Precertificate SCTs: 
                Signed Certificate Timestamp:
                    Version   : v1(0)
                    Log ID    : E2:69:4B:AE:26:E8:E9:40:09:E8:86:1B:B6:3B:83:D4:
                                3E:E7:FE:74:88:FB:A4:8F:28:93:01:9D:DD:F1:DB:FE
                    Timestamp : Dec 14 21:54:07.816 2018 GMT
                    Extensions: none
                    Signature : ecdsa-with-SHA256
                                30:44:02:20:21:FD:B0:DC:A0:25:22:B4:D3:F3:B8:25:
                                B7:41:56:34:DB:2A:0F:68:3B:D3:94:D2:60:90:21:84:
                                EE:ED:80:5B:02:20:70:11:30:F5:FF:68:2F:4B:BA:CF:
                                65:50:01:9B:E7:EE:16:7F:98:FF:89:24:53:D9:4B:33:
                                3D:D9:A6:C4:58:55
                Signed Certificate Timestamp:
                    Version   : v1(0)
                    Log ID    : 29:3C:51:96:54:C8:39:65:BA:AA:50:FC:58:07:D4:B7:
                                6F:BF:58:7A:29:72:DC:A4:C3:0C:F4:E5:45:47:F4:78
                    Timestamp : Dec 14 21:54:07.315 2018 GMT
                    Extensions: none
                    Signature : ecdsa-with-SHA256
                                30:45:02:21:00:D0:46:5F:B0:41:12:44:29:FD:D1:1D:
                                B0:67:79:DB:7F:D1:42:03:86:F4:78:83:50:83:A9:66:
                                90:53:49:93:E7:02:20:32:9C:C0:33:65:A8:BB:6D:9C:
                                94:CD:D7:49:46:A8:C8:11:D3:5B:19:F4:7C:66:DD:B6:
                                59:FA:26:AD:D1:AC:CF
    Signature Algorithm: sha256WithRSAEncryption
         86:c2:9b:8c:ee:e5:70:e2:cb:60:36:89:40:1c:80:6e:c5:ea:
         f5:7e:ac:ad:dc:30:c2:07:ad:6d:46:75:cf:94:2a:08:16:c7:
         84:e6:a2:de:de:8a:aa:3d:03:e2:3c:00:d2:27:65:21:7d:a8:
         65:44:a9:3c:0b:36:c7:0a:41:eb:95:ab:11:1e:fc:27:63:fc:
         95:cc:1a:a3:bf:a6:c1:d7:27:4c:53:df:ea:67:b0:20:1e:5a:
         38:2f:5f:a0:bf:05:d8:46:18:00:d1:5d:83:16:48:c8:53:05:
         43:fa:fb:cf:29:dc:f4:f8:bf:ec:2a:c8:1c:2d:09:fa:86:db:
         11:9b:b3:51:c3:8d:94:c7:f8:36:fb:94:05:b9:b2:bc:b0:de:
         4b:58:59:3d:65:e4:eb:8e:e0:f2:3c:e9:d6:e9:91:74:db:d8:
         b5:c8:f2:4c:09:76:e6:f0:29:2d:74:24:34:c4:f1:21:05:91:
         02:9a:a0:73:60:bb:38:00:50:46:e3:85:63:6d:f7:de:59:b3:
         f2:cc:65:88:09:b6:d3:c0:1a:0f:22:93:fe:c1:75:bb:2c:17:
         e7:e9:4c:fd:fe:da:85:de:8b:f2:71:f4:65:db:99:40:47:7a:
         32:5c:c3:a7:5b:8f:0d:7a:06:af:29:40:e4:14:ee:56:e9:70:
         9b:6a:9e:d2

Harald ★★★★★ ()

Весь прикол в том, что очень не всегда TLS реально нужен для этих сайтов. Просто стараниями некоторых корпораций (гугла в первую очередь) продавлено, что это ж зашквар какой-то, если соединение не https.

praseodim ★★★★☆ ()
Ответ на: комментарий от snizovtsev

У нас бы в такой ситуации народ продолжал бы пахать за бесплатно ещё месяца три как минимум.

Не за бесплатно, а за обещание заплатить. С надеждой, что хоть что-то заплатят.

А у них шатдаун объявлен, и сколько не работай сверхурочно — не заплатят. Потому что не положено. Ещё и профсоюз, где он есть, проследит, чтобы не работали.

olegd ★★ ()
Ответ на: комментарий от Harald

Я тут фшоке

В каком ключе, положительном или отрицательном7 Я лично ничего плохого в летскрипте не вижу. Ну если это только не супер что то важное типа банков.

Behem0th ★★★★★ ()
Ответ на: комментарий от h578b1bde

Те, кто пользуются LE и продлевают сертификаты вручную — ССЗБ.

theNamelessOne ★★★★★ ()
Ответ на: комментарий от theNamelessOne

Те, кто пользуются LE и продлевают сертификаты вручную — ССЗБ.

Но страдают в конечном итоге пользователи, которых банально огородили браузероделы, ибо просроченный на пару дней сертификат — это у них пипец как несекурно. Даже если это бложик васяна про котиков.

h578b1bde ★☆ ()
Последнее исправление: h578b1bde (всего исправлений: 1)
Ответ на: комментарий от h578b1bde

Зачем страдать? Если ты знаешь, что это бложик васяна про котиков, ты всегда можешь добавить для него исключение (временное или постоянное). В чём проблема?

theNamelessOne ★★★★★ ()
Последнее исправление: theNamelessOne (всего исправлений: 1)
Ответ на: комментарий от theNamelessOne

Зачем страдать? Если ты знаешь, что это бложик васяна про котиков, ты всегда можешь добавить для него исключение (временное или постоянное). В чём проблема?

В том что не всегда. Если раньше ты уже ходил на этот сайт и там был включён HSTS, то после протухания сертификата браузер предложит лишь уйти, варианта с добавлением исключения там не будет. См. Смотреть сайты с протухшими сертификатами

h578b1bde ★☆ ()
Ответ на: комментарий от theNamelessOne

Но если ты НЕ знаешь что это бложик васяна про котиков и вообще первый раз в жизни на него заходишь то да, возможность добавить исключение появится. Такое вот секурити.

h578b1bde ★☆ ()
Ответ на: комментарий от h578b1bde

Но страдают в конечном итоге пользователи, которых банально огородили браузероделы, ибо просроченный на пару дней сертификат — это у них пипец как несекурно.

А насколько сертификат может быть просрочен, чтобы это было относительно секьюрно?

Deleted ()
Ответ на: комментарий от h578b1bde

Если раньше ты уже ходил на этот сайт и там был включён HSTS, то после протухания сертификата браузер предложит лишь уйти, варианта с добавлением исключения там не будет

Пинай хозяина сайта, если он настолько безответственный, что не удосужился продлить сертификат, имея при этом HSTS в заголовках.

Deleted ()
Ответ на: комментарий от Deleted

А насколько сертификат может быть просрочен, чтобы это было относительно секьюрно?

Следуя логике браузероделов — настолько чтобы запись об HSTS для этого сайта в профиле браузера успела пропасть, тогда можно добавлять временное исключение.

h578b1bde ★☆ ()
Последнее исправление: h578b1bde (всего исправлений: 2)
Ответ на: комментарий от Deleted

Пинай хозяина сайта, если он настолько безответственный, что не удосужился продлить сертификат, имея при этом HSTS в заголовках.

Тысячи их, всех не попинаешь.

h578b1bde ★☆ ()
Ответ на: комментарий от h578b1bde

Судя по логике браузероделов — настолько чтобы запись об HSTS в профиле браузера успела пропасть, тогда можно добавлять временное исключение.

Если что, цель этого хедера - не допустить незащищенное использование сайта, в том числе без шифрования или с шифрованием с использованием протухших сертификатов. Твой васян сам виноват, что поставил его.

Тысячи их, всех не попинаешь.

Значит, рынок порешает, чо.

Deleted ()
Ответ на: комментарий от Deleted

Если что, цель этого хедера - не допустить незащищенное использование сайта, в том числе без шифрования или с шифрованием с использованием протухших сертификатов. Твой васян сам виноват, что поставил его.

Только тут ещё пользователя этого самого говнобраузера забыли спросить, собственно для которого этот говнобраузер и делается.

Значит, рынок порешает, чо.

Какой может быть рынок в случае васянского бложика про котиков или полузаброшенного форума опенсорсного проекта?

h578b1bde ★☆ ()
Последнее исправление: h578b1bde (всего исправлений: 1)
Ответ на: комментарий от h578b1bde

Только тут ещё пользователя этого самого говнобраузера забыли спросить, собственно для которого этот говнобраузер и делается.

Работа сайта - обязанность прежде всего самого сайта. Не надо сваливать вину на браузер, если хозяин сайта не следит за ним. Если ты этого не понимаешь, то я не знаю, что еще добавить.

Какой может быть рынок в случае васянского бложика про котиков или полузаброшенного форума опенсорсного проекта?

Такой, что альтернатива может появиться в любой момент. И если кому-то плевать на аудиторию, то это явно не плюс к конкурентоспособности.

Deleted ()
Ответ на: комментарий от Deleted

Не надо сваливать вину на браузер

Если говнобраузер предлагает пользователю безальтернативно идти нафиг вместо предупреждения и описания рисков при продолжении с кнопкой „я всё понял, беру всю ответственность на себя” — это таки проблема говнобраузера. А то так и возможность скачивания файлов можно совсем выпилить, вдруг пользователь ширусов накачает и превратит компуктер в тыкву.

h578b1bde ★☆ ()
Ответ на: комментарий от Leupold_cat

Я wannabe, до make Trump president again не дорос.

Deleted ()
Ответ на: комментарий от Deleted

Не убедительно. Даже если вы из тех самых русских хакеров, то вы все равно будете все отрицать.

Leupold_cat ★★★ ()
Последнее исправление: Leupold_cat (всего исправлений: 1)
Ответ на: комментарий от Pacmu3ka

не то, что не палятся, а видимо денег на «приличные» платные сертификаты не выделили, вот админ и выкручивался, как мог :)

причём сертификат один на вот эту кучу доменов

NS Name: 2017dodtransition.defense.gov
DNS Name: actuary.defense.gov
DNS Name: afd.defense.gov
DNS Name: afpimstest-www.nsa.gov
DNS Name: archive.defense.gov
DNS Name: armedforcessports.defense.gov
DNS Name: atsdio.defense.gov
DNS Name: basicresearch.defense.gov
DNS Name: business.defense.gov
DNS Name: cmo.defense.gov
DNS Name: comptroller.defense.gov
DNS Name: ctip.defense.gov
DNS Name: dacowits.defense.gov
DNS Name: data.defense.gov
DNS Name: dbb.defense.gov
DNS Name: dcips.defense.gov
DNS Name: dcmo.defense.gov
DNS Name: diversity.defense.gov
DNS Name: dod.defense.gov
DNS Name: dodcertpmo.defense.gov
DNS Name: dodcio.defense.gov
DNS Name: dodsioo.defense.gov
DNS Name: dpcld.defense.gov
DNS Name: dpclo.defense.gov
DNS Name: energy.defense.gov
DNS Name: execsec.defense.gov
DNS Name: financialreadiness.defense.gov
DNS Name: history.defense.gov
DNS Name: innovation.defense.gov
DNS Name: irt.defense.gov
DNS Name: jamrs.defense.gov
DNS Name: jnlwp.defense.gov
DNS Name: jsc.defense.gov
DNS Name: la.defense.gov
DNS Name: m.nsa.gov
DNS Name: militarypay.defense.gov
DNS Name: minerva.defense.gov
DNS Name: nmio.ise.gov
DNS Name: nsa.gov
DNS Name: oig.nsa.gov
DNS Name: opa.defense.gov
DNS Name: open.defense.gov
DNS Name: ousdi.defense.gov
DNS Name: policy.defense.gov
DNS Name: prhome.defense.gov
DNS Name: ra.defense.gov
DNS Name: rfpb.defense.gov
DNS Name: rwtf.defense.gov
DNS Name: servicedesk.defense.gov
DNS Name: valor.defense.gov
DNS Name: vwac.defense.gov
DNS Name: www.business.defense.gov
DNS Name: www.businessdefense.gov
DNS Name: www.defense.gov
DNS Name: www.dod.defense.gov
DNS Name: www.dod.gov
DNS Name: www.nsa.gov
DNS Name: www.pentagon.gov

Harald ★★★★★ ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)