LINUX.ORG.RU

В Google Chrome рассматривают меры постепенной блокировки всех CA Symantec

 , , , ,


3

1

Разработчики Google Chrome рассматривают меры снижения доверия и постепенную блокировку сертификатов (через снижение срока их действия), выданных подконтрольными Symantec центрами сертификации. Недовольство и опасения вызвала политика выдачи сертификатов, которые компания проводила предыдущие несколько лет. Symantec недостаточно тщательно контролировала процесс выдачи сертификатов, что привело к снижению безопасности пользователей Google Chrome.

Такие «мягкие» меры объясняются тем, что подконтрольные Symantec центры занимают значительную долю: по разным данным 30-40% всех проверок касаются сертификатов выданных проблемными CA.

Предлагаемые меры:

  • EV-сертификаты предлагается рассматривать как DV сроком на год. Если не будет предпринято мер по исправлению ситуации со стороны CA, политика снижения доверия продолжит действовать.
  • В Chrome 59 значение максимального срока действия сертификатов Symantec планируется ограничить 33 месяцами, Chrome 60 — 27 месяцами, Chrome 61 — 21, и в итоге в Chrome 64 — 9 месяцами. Кроме того, для всех новых сертификатов предлагается сразу ограничить срок действия 9 месяцами.

За это время CA подконтрольным Symantec (Symantec, Thawte, GeoTrust) предлагается заменить все «малодоверенные» сертификаты и устранить недостатки в процессах их выдачи.

>>> Подробности

★★★★★

Проверено: Shaman007 ()

Ответ на: комментарий от NextGenenration

Если альтернатива будет работать с теми же браузро специфичными особенностями(к примеру css), то ей совершенно не обязательно давать другой юзерагент. И сайтостроитель не узнает и юзер доволен.

И каким боком тут альтернативы HTTPS?

h578b1bde ★☆ ()
Ответ на: комментарий от h578b1bde

Похоже вопросы зациклились. Я разве начал разговор про альтернативы HTTPS? Не я.

NextGenenration ★★ ()
Ответ на: комментарий от NextGenenration

anonymous:

какие альтернативы TLS ты предложишь?
если вот прям щас


h578b1bde:

HTTP, никаких других альтернатив в браузеры пока не завезли.


NextGenenration:

сноси устаревший браузер и ставь нормальный


h578b1bde:

Какой? Будь добр, заодно укажи название этой альтернативы.


NextGenenration:

фокс прекрасно работает с https. Жаль, если в палемун это не осилили.


h578b1bde:

Палемун тоже. Чувак спрашивал об альтернативе.





NextGenenration:

Я предлагаю решать актуальные проблемы. В ближайшем обозримом будующем нет оснований полагать что возникнут проблемы с https. Альтернативы есть.


h578b1bde:

Назови их.


NextGenenration:

Пока доступны другие браузеры типа фокса и форков и движки типа вебкита.


h578b1bde:

Ты тут об альтернативах HTTPS полтреда распинаешься или о чём?


NextGenenration:

Некоторые темы пересекаются.


h578b1bde:

Не юли. Альтернативы HTTPS наконец уже будут или таки нет?





h578b1bde:

И каким боком тут альтернативы HTTPS?


NextGenenration:

Я разве начал разговор про альтернативы HTTPS? Не я.


Какой эпичный слив. А как дысал, как дысал!

h578b1bde ★☆ ()
Ответ на: комментарий от h578b1bde

Я не говорил о том что существуют альтернативы https. Это было видно по сообщению

фокс прекрасно работает с https

NextGenenration ★★ ()
Ответ на: комментарий от NextGenenration

HTTP, никаких других альтернатив в браузеры пока не завезли.

сноси устаревший браузер и ставь нормальный


Я не говорил о том что существуют альтернативы https.

Чего ты тогда пришёл? Уходи обратно.

h578b1bde ★☆ ()
Ответ на: комментарий от Legioner

Любой регистратор позволяет это сделать. Вообще любой. Никто там вручную не проверяет сертификаты. Заплатил бабло, прошёл автоматическую валидацию, скачал сертификат. LE отличается только тем, что работает бесплатно. Такая вот система.

Ведь это и есть основная проблема этой системы - позволять бесплатно наделать тучу валидных HTTPS доменов с нужными для фишинга адресами. Плата за HTTPS сертификат в это плане создавала классический денежный фильтр который до этого не позволял генерить сертификаты для фишинга десятками тысяч. У LE явный прецедент.

Censo ()
Последнее исправление: Censo (всего исправлений: 1)
Ответ на: комментарий от Censo

Ведь это и есть основная проблема этой системы - позволять бесплатно наделать тучу валидных HTTPS доменов с нужными для фишинга адресами. Плата за HTTPS сертификат в это плане создавала классический денежный фильтр который до этого не позволял генерить сертификаты для фишинга десятками тысяч. У LE явный прецедент.

Нет никакой разницы — фишить через HTTP или через HTTPS. Во втором случае тебя не будет прослушивать товарищ майор — и всего разницы. Если пользователь дурак, он и по HTTP профишится.

Legioner ★★★★★ ()
Ответ на: комментарий от Legioner

Нет никакой разницы — фишить через HTTP или через HTTPS. Во втором случае тебя не будет прослушивать товарищ майор — и всего разницы. Если пользователь дурак, он и по HTTP профишится.

Поэтому хром (а потом и фф) и будут помечать HTTP как небезопасные (и уже запрещают вводить там пароли). LE подоспела как нельзя вовремя для фишинга, теперь номера кредиток и пароли можно вводить на «зеленых» доменах. Всё вернулось на круги своя.

Censo ()
Ответ на: комментарий от Censo

Объясни, какой ты вообще видишь выход из этой ситуации? Запретить выдавать сертификат на *.paypal.* ? А как насчет *.linux.org.ru.* и миллионов других сайтов? Как насчёт pаypal с русской «а»? Как насчёт paypa1? Будем принимать стандартный алгоритм нормализации и обязывать его использовать?

И, самое главное, ты понимаешь, что при подобных решениях LE не сможет существовать, т.е. бесплатных сертификатов не будет и 80% интернета вернутся на HTTP и плевать будут на предупреждения браузеров (которые тоже быстро исчезнут, т.к. браузер делают для юзеров, а не для теоретиков).

Legioner ★★★★★ ()
Ответ на: комментарий от Legioner

Объясни, какой ты вообще видишь выход из этой ситуации? Запретить выдавать сертификат на *.paypal.* ? А как насчет *.linux.org.ru.* и миллионов других сайтов? Как насчёт pаypal с русской «а»? Как насчёт paypa1? Будем принимать стандартный алгоритм нормализации и обязывать его использовать?

Я всего лишь говорил об еще одной проблеме, добавленной LE к списку приведенных тобой. (а разрешать домены с миксом букв из разных языков - это вообще идиотизм, вдвойне весело это будет выглядеть с сертификатом LE для paypal домена с русской «а»)

Решений я как раз не вижу, кроме запрещения всех банковских операций на тех доменах, где не было полной проверки юрлица и выдачи полноценного сертификата). Рано или поздно с таким количеством фишинга мы туда придем.

Censo ()
Ответ на: комментарий от Censo

Я всего лишь говорил об еще одной проблеме, добавленной LE к списку приведенных тобой.

Ну да, мир он такой, в нём не всё просто. Весь современный веб по большому счёту выглядит как набор хаков. Та же onion-сеть куда логичней устроена. Но куда ты денешься с подводной лодки.

а разрешать домены с миксом букв из разных языков - это вообще идиотизм, вдвойне весело это будет выглядеть с сертификатом LE для paypal домена с русской «а»

Ну если paypal не идиот, он все такие домены должен был давно купить, Google по крайней мере купил. А так да, весёлая фича. Но, опять же, что тут сделаешь? Запрещать не-латинницу? Ну продавили люди, хочется им заходить на окна.рф, а всё остальное уже логически выводится.

Решений я как раз не вижу, кроме запрещения всех банковских операций на тех доменах, где не было полной проверки юрлица и выдачи полноценного сертификата). Рано или поздно с таким количеством фишинга мы туда придем.

И что ты понимаешь под банковской операцией? Браузер может отрисовать произвольное окошко (причём ему даже HTML-элементы не обязательно использовать, портируют Qt на webassembly и будет интерфейс через webgl рисоваться), скрипт возьмёт эти данные, произвольным образом закодирует и отошлёт куда захочет. Как браузер сможет понять, что тут была банковская операция? Эта проблема нерешаема технически в общем случае. И при любых попытках её решить проблемы будут возникать у честных предпринимателей, на которых лягут новые расходы, а нечестные, скорее всего, будут относительно легко обходить подобные защиты.

Можно, конечно, придумать некий API для безопасного ввода данных карты, для которого будет вылезать интерфейс из браузера и тд. Но карты это в принципе отмирающая форма оплаты в вебе. А с новыми интерфейсами вроде Apple Pay всё уже не так плохо.

Legioner ★★★★★ ()
Последнее исправление: Legioner (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.