LINUX.ORG.RU

В Google Chrome рассматривают меры постепенной блокировки всех CA Symantec

 , , , ,


3

1

Разработчики Google Chrome рассматривают меры снижения доверия и постепенную блокировку сертификатов (через снижение срока их действия), выданных подконтрольными Symantec центрами сертификации. Недовольство и опасения вызвала политика выдачи сертификатов, которые компания проводила предыдущие несколько лет. Symantec недостаточно тщательно контролировала процесс выдачи сертификатов, что привело к снижению безопасности пользователей Google Chrome.

Такие «мягкие» меры объясняются тем, что подконтрольные Symantec центры занимают значительную долю: по разным данным 30-40% всех проверок касаются сертификатов выданных проблемными CA.

Предлагаемые меры:

  • EV-сертификаты предлагается рассматривать как DV сроком на год. Если не будет предпринято мер по исправлению ситуации со стороны CA, политика снижения доверия продолжит действовать.
  • В Chrome 59 значение максимального срока действия сертификатов Symantec планируется ограничить 33 месяцами, Chrome 60 — 27 месяцами, Chrome 61 — 21, и в итоге в Chrome 64 — 9 месяцами. Кроме того, для всех новых сертификатов предлагается сразу ограничить срок действия 9 месяцами.

За это время CA подконтрольным Symantec (Symantec, Thawte, GeoTrust) предлагается заменить все «малодоверенные» сертификаты и устранить недостатки в процессах их выдачи.

>>> Подробности

★★★★★

Проверено: Shaman007 ()

Ответ на: комментарий от AVL2

так давайте сделаем гугл единственным центром сертификации. зачем все эти verisign и tawte вообще нужны? или даже лучше: хром будет признавать сертификаты выданные только гуглом, ие будет признавать сертификаты выданые только майкрософтом, мозилла будет признавать сертификаты главного спонсора в этом году. ну и будут друг друга блочить конечно, и деньги не будут забывать брать за «правильные» сертификаты.

а так просто попахивает недобросовестной конкуренцией и шантажом. они же не только на симантек напали, они напали на 30-40% интернета которые пользуются сертификатами как-то связанными с симантек.

вангану, что эта вся драма закончится пшиком. наверняка их цель не реальное отключение сертификатов, а распугивание клиентов. на них по хорошему в суд надо было бы подать.

anonymous ()

Во мля. Norton Commander заблочили.

anonymous ()

правильно, пускай дальше закапывают свой никому не нужный хром.

anonymous ()
Ответ на: комментарий от anonymous

Так-то и человеческого интеллекта вполне достаточно.

MTIM всё равно часто подразумевает фишинг или подмену сетевого подключения (wi-fi сетка с левым SSID и прочее)

К вопросу о сертификации тот ещё вопрос почему какая нибудь EFF не приняла стандарт о PGP-подобной системе доверия.

energetix_user ()
Последнее исправление: energetix_user (всего исправлений: 2)
Ответ на: комментарий от energetix_user

К вопросу о сертификации тот ещё вопрос почему какая нибудь EFF не приняла стандарт о PGP-подобной системе доверия.

Они на этот счёт как-то комментировали?

h578b1bde ★☆ ()
Ответ на: комментарий от mr_Heisenberg

Вся фигня в том, что я вертел все эти теории заговора.

kas501 ★★★ ()
Ответ на: комментарий от Deathstalker

Приобрети новые сертификаты в Let's Encrypt.

У Let's encrypt тоже не всё радужно, его модель уж очень сильно облегчает выдачу фишинговых сертификатов https://geektimes.ru/post/287364/ . Это может привести (и приведёт) к очень серьезной потере доверия к ним, если они не придумают как ограничить выдачу сертификатов кому попало. Как это обычно бывает, широкая доступность порождает свои проблемы (причём непонятно как их решать).

Censo ()
Ответ на: комментарий от Censo

Прикольно, домохозяйка заходит на какой-нибудь %bankname%.vasyan.com, а ей в ответ зелёная надпись СЕКУРЕ во всех браузерах, в то время как переход на безобидный сайт с обычным самоподписанным или, например, просроченным сертификатом необходимо трижды подтверждать, читая страшные надписи на красном фоне. В общем, будет весело.

h578b1bde ★☆ ()
Ответ на: комментарий от Promusik

Гуглу нужно открыть свой центр сертификации и блочить всех кроме себя.

https://pki.google.com и они на пути к своему корневому, AFAIK.

ivlad ★★★★★ ()
Ответ на: комментарий от mandala

Предложи верификацию домена. По DNS?

Да. Так должно быть. DNS - первоисточник, всё остальное - костыли.

annonymous ★★ ()
Ответ на: комментарий от AVL2

Ересь. Наукой тебе шифрование, если ты даже не знаешь, кто перед тобой?

Ересь я вижу в жёстком скрещивании шифрования с авторизацией. Они должны быть отдельными сервисами. Шифруют трафик а первую очередь для защиты от перехвата третьими лицами, а авторизация сайта нужна для проверки попадания в нужное место. Разные задачи. Авторизация может быть нужна при ненужности шифрования.

Для примера - отправка денег в благотворительный фонд. Процедура не секретная совершенно, но важно передать деньги верному адресату. Так же и с шифрованием. Мне может быть пофиг, кто там на другом конце, но мне важна секретность канала связи. Пример? Да хотя бы секс по телефону.

annonymous ★★ ()

Вы наивные дурачки, если полагаете, что все делается для борьбы за чистоту. Все делается только для того, чтобы не только с андроида следить за вами, но напрямую в инете. Сертификат дает возможность дешифровки https-трафика. А теперь угадайте, какую силу зонда получает контора, фактически монополизировавшая https? Правильно, кушайте дальше.

MuZHiK-2 ★★★★ ()
Ответ на: комментарий от MuZHiK-2

Сертификат дает возможность дешифровки https-трафика

man forward secrecy, клоун

anonymous ()
Ответ на: комментарий от Censo

Автор по ссылке путает обычные и EV сертификаты. То, что пользователи идиоты, проблема пользователей, а не LE. Все наезды на LE беспочвенны.

Legioner ★★★★★ ()
Ответ на: комментарий от MuZHiK-2

Сертификат дает возможность дешифровки https-трафика.

Не даёт.

А теперь угадайте, какую силу зонда получает контора, фактически монополизировавшая https?

Объясни, какую? И чем сила этой конторы отличается от силы сотен других похожих контор, тоже объясни.

Правильно, кушайте дальше.

Спасибо.

Legioner ★★★★★ ()
Ответ на: комментарий от h578b1bde

Прикольно, домохозяйка заходит на какой-нибудь %bankname%.vasyan.com, а ей в ответ зелёная надпись СЕКУРЕ

Это проблемы домохозяйки. Я видел таких домохозяек. Притащили телефон, и хотели чтоб банковскую карту разблокировали, поговорив с владельцем по телефону, ведь ему видите ли тяжело ходить. Такие люди вполне закономерно будут наказаны за свою глупость. Нет такой кнопки сделать хорошо всем и сразу.

NextGenenration ★★ ()
Ответ на: комментарий от annonymous

Ну и как ты собрался делать одно без другого?

Ты собрался платить (аутентифицироваться) без шифрации? Ну отлично, третья сторона перехватывает твои реквизиты для платежа и оплачивает свои хотелки за твой счёт. Может это тоже твоя благотворительность?

Ты собрался шифровать трафик с васей, чтобы Петя не подслушал без аутентификации васи? Ок. Петя представляется васей, создаёт шифрованный канал с тобой и пересылает данные пете. Ну и ответы от него пересылает тебе. Все довольны. Ты шифруешь канал как бы с Петей, Вася слушает ваш разговор, все в шоколаде.

AVL2 ★★★★★ ()
Ответ на: комментарий от MuZHiK-2

Сертификат дает возможность дешифровки https-трафика.

Хочу такой сертификат .

AVL2 ★★★★★ ()
Ответ на: комментарий от NextGenenration

Это проблемы домохозяйки

Да, но вот это к проблемам домохозяек уже не относится:

в то время как переход на безобидный сайт с обычным самоподписанным или, например, просроченным сертификатом необходимо трижды подтверждать, читая страшные надписи на красном фоне

h578b1bde ★☆ ()
Ответ на: комментарий от h578b1bde

Явно подчёркиваю то что по этому поводу я ничего не говорил. Хотя мог бы упрекнуть хозяина сайта в том что сертификат просрочен.

NextGenenration ★★ ()
Ответ на: комментарий от NextGenenration

Явно подчёркиваю то что по этому поводу я ничего не говорил

Но акцент в моём посте был поставлен именно на это.

Хотя мог бы упрекнуть хозяина сайта в том что сертификат просрочен.

Вспомнилась, кстати, забавная история когда владельцы домена с жуйквери забыли продлить сертификат, в результате чего сотни поделок тупых веб-макак превратились в тыкву.

h578b1bde ★☆ ()
Ответ на: комментарий от h578b1bde

Вспомнилась, кстати, забавная история когда владельцы домена с жуйквери забыли продлить сертификат, в результате чего сотни поделок тупых веб-макак превратились в тыкву.

Где же твоё супер устойчивое к просроченному сертификату решение? Или шифрование вообще запретить?

NextGenenration ★★ ()
Ответ на: комментарий от NextGenenration

Где же твоё супер устойчивое к просроченному сертификату решение?

Выше уже предлагали внедрить что-то PGP-подобное, например.

h578b1bde ★☆ ()
Ответ на: комментарий от h578b1bde

Выше уже предлагали внедрить что-то PGP-подобное, например.

Предлагать можно много чего. Тут нужно вполне конкретное решение. И чтоб работало без яваскрипта, а то сам попадёшь в категорию веб макак.

NextGenenration ★★ ()
Ответ на: комментарий от NextGenenration

Предлагать можно много чего. Тут нужно вполне конкретное решение.

За готовыми решениями обращайся к EFF и разработчикам браузеров, от простого смертного тут уже мало зависит.

И чтоб работало без яваскрипта, а то сам попадёшь в категорию веб макак.

Я без большой нужды не завязываю работоспособность своих поделок на честное слово чужого дяди, так что мимо.

h578b1bde ★☆ ()
Ответ на: комментарий от h578b1bde

За готовыми решениями обращайся к EFF и разработчикам браузеров, от простого смертного тут уже мало зависит.

Периодически вижу как выкладывают свои поделки: «Посмотрите что я могу».

Я без большой нужды не завязываю работоспособность своих поделок на честное слово чужого дяди, так что мимо.

Любой нормальный кодер знакомый с css, js, html способен переизобрести функционал крупного фрейсворка. Теперь вопрос такой: сколько времени займёт реализация тех же самых функций, с качеством не хуже? Вот готов ты прямо сейчас сесть и написать код для предотвращения xss в разумное время? И если ты забудешь хоть в одном месте ввести проверку, то как скоро ты об этом узнаешь? Или работу сдал, деньги получил - можно спать спокойно?

NextGenenration ★★ ()
Ответ на: комментарий от AVL2

Сертификат получает тот, кто его заказал.

Сертификат получают все, кто имеет возможность зайти на сайт, на котором этот сертификат установлен. Никто не получил — значит сертификат не использовался или не существовал.

Запись в логе однозначно подтверждает, что сертификат был выписан

Нет.

vzzo ★★★ ()
Ответ на: комментарий от NextGenenration

Периодически вижу как выкладывают свои поделки: «Посмотрите что я могу».

Без поддержки производителей популярных браузеров оно с большой вероятностью не взлетит.

Любой нормальный кодер знакомый с css, js, html способен переизобрести функционал крупного фрейсворка. Теперь вопрос такой: сколько времени займёт реализация тех же самых функций, с качеством не хуже? Вот готов ты прямо сейчас сесть и написать код для предотвращения xss в разумное время? И если ты забудешь хоть в одном месте ввести проверку, то как скоро ты об этом узнаешь? Или работу сдал, деньги получил - можно спать спокойно?

Утянуть к себе файлик с жуйквери сможет каждый более-менее опытный пользователь, и для этого даже не обязательно быть разработчиком крупного фреймворка.

h578b1bde ★☆ ()
Последнее исправление: h578b1bde (всего исправлений: 1)
Ответ на: комментарий от h578b1bde

Без поддержки производителей популярных браузеров оно с большой вероятностью не взлетит.

Интересно, всякие блокировщики рекламы прямо спонсировались производителями браузеров?

Утянуть к себе файлик с жуйквери сможет каждый более-менее опытный пользователь, и для этого даже не обязательно быть разработчиком крупного фреймворка.

Ты не допускаешь того факта что у них могли быть свои причины?

NextGenenration ★★ ()
Ответ на: комментарий от NextGenenration

Интересно, всякие блокировщики рекламы прямо спонсировались производителями браузеров?

Профит от блокировщика рекламы очевиден практически каждому пользователю. Профит от шифрования — нет, особенно если учесть что данную нишу уже занял HTTPS.

Ты не допускаешь того факта что у них могли быть свои причины?

Например?

h578b1bde ★☆ ()
Последнее исправление: h578b1bde (всего исправлений: 1)
Ответ на: комментарий от Legioner

Автор по ссылке путает обычные и EV сертификаты. То, что пользователи идиоты, проблема пользователей, а не LE. Все наезды на LE беспочвенны.

Осталось научить простых пользователей различать обычные и EV сертификаты. Возьметесь за задачу?)). Наезды на LE не совсем беспочвенны - именно они позволяют нахаляву получить зеленую строку в браузере с именем <твойбанк.xxx.yyy.com>. Что может привести к всполне предсказуемым последствиям, что доверия не будет ко всем сертификатам выданным LE.

Censo ()
Последнее исправление: Censo (всего исправлений: 1)
Ответ на: комментарий от Censo

Это вопрос не к пользователям, па к браузероклепателям. Предлагаю DV-сертификаты помечать не совсем безопасными соединениями — желтиньким цветов, а http-only вообще выкинуть!

mandala ★★★★ ()
Ответ на: комментарий от h578b1bde

Профит от блокировщика рекламы очевиден практически каждому пользователю. Профит от шифрования — нет, особенно если учесть что данную нишу уже занял HTTPS.

Это их проблемы.

Например?

Например необходимость её поддерживать в актуальном состоянии.

NextGenenration ★★ ()
Ответ на: комментарий от NextGenenration

Это их проблемы.

Не только. Если нет спроса — не будет и толка от предложения.

Например необходимость её поддерживать в актуальном состоянии.

Это типа чтобы поделки макак превращались в тыкву не только от забывчивости чужих дядек, но и от их кривых ручек?

h578b1bde ★☆ ()
Ответ на: комментарий от Censo

Осталось научить простых пользователей различать обычные и EV сертификаты.

«Простые пользователи» (читай пользователи-идиоты) никогда ничего не различат. Нарисуй им зелёную плашку в шапке сайта с надписью «проверено Владимиром Владимировичем» и они будут рады до усрачки.

Наезды на LE не совсем беспочвенны - именно они позволяют нахаляву получить зеленую строку в браузере с именем <твойбанк.xxx.yyy.com>. Что может привести к всполне предсказуемым последствиям, что доверия не будет ко всем сертификатам выданным LE.

Любой регистратор позволяет это сделать. Вообще любой. Никто там вручную не проверяет сертификаты. Заплатил бабло, прошёл автоматическую валидацию, скачал сертификат. LE отличается только тем, что работает бесплатно. Такая вот система.

А зелёная строка это проблема браузера, вообще говоря. В Safari нет никакой зелёной строки, есть малюсенький серенький замочек слева от адреса и всё. А с EV-сертификатом зелёный замочек и название компании рядом зелёным цветом. В принципе так и должно быть. Пинайте ваши хромы, если там по-другому.

Legioner ★★★★★ ()
Ответ на: комментарий от vzzo

Сертификат получают все, кто имеет возможность зайти на сайт, на котором этот сертификат установлен.

Когда этот сайт заработает.

Никто не получили — значит сертификат не использовался или не существовал.

Не говори за всех. Кто то может и получил, например, в организации за своим dlp. И потерял информацию и даже не узнал об этом.

Насчёт логов, честно говоря не сильно в этом уверен, дело новое и добровольное для регистраторов. Не вижу смысла симантеку наговаривать на себя. Раз внёс запись, значит выдал или сам себе буратино..

AVL2 ★★★★★ ()
Ответ на: комментарий от h578b1bde

Не только. Если нет спроса — не будет и толка от предложения.

Я очень благодарен гуглу и прочим компаниям, если они дадут такого хорошого пендаля сайтостроителям до сих пор ничего не сделавших для усиления безопасности. Пока что всякие lets encrypt без проблем работают. А то что ты ориентируешься на общество дилетанов как бы говорит о том что ты часть этого общества. Общества даже не стремящегося понять.

Это типа чтобы поделки макак превращались в тыкву не только от забывчивости чужих дядек, но и от их кривых ручек?

Если бы ты понимал технологию обезьян, то не делал бы таких выводов. Но это слишком сложно для тебя. Размещение копии порождает необходимость в синхронизации для получения багфиксов, фич, обновлений безопасности. Регулярных действий. На каждом сайте.

NextGenenration ★★ ()
Ответ на: комментарий от NextGenenration

Я очень благодарен гуглу и прочим компаниям, если они дадут такого хорошого пендаля сайтостроителям до сих пор ничего не сделавших

Я смотрю ты привык чувствовать холодный гугловский зонд чуть ниже спины, без него уже никак.

для усиления безопасности

Зачем каждому васянскому бложику нужна „безопасность” в виде HTTPS? Те кому оно реально было нужно уже давно её себе запилили и безо всяких гуглов.

Пока что всякие lets encrypt без проблем работают

Ключевая фраза — „пока что”. Никто не даёт никаких гарантий что завтра его не постигнет участь Symantec, WoSign или StartCom ибо сама инфраструктура HTTPS порочна.

А то что ты ориентируешься на общество дилетанов как бы говорит о том что ты часть этого общества. Общества даже не стремящегося понять.

Нет, твоя писанина говорит о том что ты будешь рад скушать любую какашку что тебе насильно впихнут в зубы и даже попросишь добавки.

Если бы ты понимал технологию обезьян, то не делал бы таких выводов. Но это слишком сложно для тебя.

Давай я прямо напишу что ты дебил без всяких хитрозакрученных завуалирований, ок?

Размещение копии порождает необходимость в синхронизации для получения багфиксов, фич, обновлений безопасности. Регулярных действий. На каждом сайте.

Обезьяны не справились с нормальной поддержкой своих собственных поделок, ЧТД. Пускай теперь страдают.

h578b1bde ★☆ ()
Последнее исправление: h578b1bde (всего исправлений: 2)
Ответ на: комментарий от h578b1bde

Зачем каждому васянскому бложику нужна „безопасность” в виде HTTPS?

Очевидно ты не понимаешь что такое HTTPS и зачем он нужен. Вбей в поисковик «beeline вставляет рекламу site:habrahabr.ru» и насладись резултатами.

Ключевая фраза — „пока что”.

Я предлагаю решать актуальные проблемы. В ближайшем обозримом будующем нет оснований полагать что возникнут проблемы с https. Альтернативы есть. А если альтернатив не будет, то проблема будет не в https, а в отсутствии альтернатив.

NextGenenration ★★ ()
Ответ на: комментарий от NextGenenration

Вбей в поисковик «beeline вставляет рекламу site:habrahabr.ru» и насладись резултатами

Баян. Я склонен считать что веб-мастер не должен решать проблемы говноедов.

В ближайшем обозримом будующем нет оснований полагать что возникнут проблемы с https.

Основания есть. Например, сертификаты нескольких весьма крупных барыг воздухом уже отозваны, а каких-либо альтернатив LE пока не видно.

Альтернативы есть

Назови их.

h578b1bde ★☆ ()
Ответ на: комментарий от h578b1bde

Баян. Я склонен считать что веб-мастер не должен решать проблемы говноедов.

Значит то что сайт разваливается из-за недоступности библиотеки - проблема сайтостроителя, а то что на сайт лепят сторонний код не известно как повлияющий - проблема юзеров? Двоемыслие.

Назови их.

Пока доступны другие браузеры типа фокса и форков и движки типа вебкита.

NextGenenration ★★ ()
Ответ на: комментарий от NextGenenration

Значит то что сайт разваливается из-за недоступности библиотеки - проблема сайтостроителя, а то что на сайт лепят сторонний код не известно как повлияющий - проблема юзеров? Двоемыслие.

Отнюдь. Если труба, которую использует пользователь, не обеспечивает должным образом свои функции по передаче информации без искажений — это проблема пользователя, точно так же как и подхваченный им ширус, меняющий контент даже на сайтах с HTTPS. Веб-мастер этими проблемами заниматься не должен.

Пока доступны другие браузеры

Ты тут об альтернативах HTTPS полтреда распинаешься или о чём?

другие браузеры типа фокса и форков и движки типа вебкита.

Целых один два популярных браузера, из которых доля одного всё время уменьшается, а второго увеличивается. Альтернативненько, да.

h578b1bde ★☆ ()
Последнее исправление: h578b1bde (всего исправлений: 2)
Ответ на: комментарий от h578b1bde

Отнюдь. Если труба, которую использует пользователь, не обеспечивает должным образом свои функции по передаче информации без искажений — это проблема пользователя, точно так же как и подхваченный им ширус, меняющий контент даже на сайтах с HTTPS. Веб-мастер этими проблемами заниматься не должен.

Свободу воли можно не только дать, можно и забрать. И далеко не всегда есть возможность сменить страну или даже оператора. Зависит это от достаточно большого спектра факторов. В случае с вирусом разработчик не может повлиять на это. В случае с наглым государством/провайдером/террористом это сделать относительно просто.

Ты тут об альтернативах HTTPS полтреда распинаешься или о чём?

Некоторые темы пересекаются.

Целых один два популярных браузера, из которых доля одного всё время уменьшается, а второго увеличивается. Альтернативненько, да.

Ну так создай свой. В крайнем случае возьми чужие компоненты и собери воедино. Когда-то там на opennet проскакивала новость про самодельный css, html парсер, рендер...

NextGenenration ★★ ()
Ответ на: комментарий от NextGenenration

Свободу воли можно не только дать, можно и забрать. И далеко не всегда есть возможность сменить страну или даже оператора. Зависит это от достаточно большого спектра факторов.

Проблемы индейцев шерифа не волнуют.

В случае с вирусом разработчик не может повлиять на это. В случае с наглым государством/провайдером/террористом это сделать относительно просто.

Завтра твоё наглое государство обяжет тебя поставить самоподписанный государственный сертификат иначе интернетов у тебя совсем не будет, и даже HTTPS от разработчика тебя не спасёт. Поэтому то что ты называешь успехом HTTPS в борьбе с государством на самом деле является всего лишь побочным эффектом, который властям этого государства пока не особо мешает.

Некоторые темы пересекаются.

Не юли. Альтернативы HTTPS наконец уже будут или таки нет?

Ну так создай свой.

А ещё можно свою ОС создать, только вот если ты не Дениска то на это уйдут десятилетия. Линус вон до сих пор создаёт, да и то не в одиночку.

самодельный css, html парсер, рендер...

И кто из сайтоклепателей будет его поддерживать?

h578b1bde ★☆ ()
Последнее исправление: h578b1bde (всего исправлений: 2)
Ответ на: комментарий от h578b1bde

Проблемы индейцев шерифа не волнуют.

Так с этого и надо начинать.

И кто из сайтоклепателей будет его поддерживать?

Браузеры поддерживают сайты, не наоборот.

NextGenenration ★★ ()
Ответ на: комментарий от NextGenenration

Браузеры поддерживают сайты, не наоборот.

„Ваш баузер устарел, скачайте последний хромог” — сам же в какой-то теме писал.

h578b1bde ★☆ ()
Ответ на: комментарий от h578b1bde

Ты подтверждаешь мои слова с таким видом, как будто опровергаешь.

NextGenenration ★★ ()
Ответ на: комментарий от NextGenenration

Ты подтверждаешь мои слова с таким видом, как будто опровергаешь.

Ты сам их опровергаешь. Альтернатив нет.

h578b1bde ★☆ ()
Ответ на: комментарий от h578b1bde

Если альтернатива будет работать с теми же браузро специфичными особенностями(к примеру css), то ей совершенно не обязательно давать другой юзерагент. И сайтостроитель не узнает и юзер доволен.

NextGenenration ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.