В Google Chrome рассматривают меры постепенной блокировки всех CA Symantec

Параноики какие-то

Скорее капиталисты. Нездоровая конкуреция во всей красе.

Гуглу нужно открыть свой центр сертификации и блочить всех кроме себя. Хомячки прогнутся и будут жрать хром дальше. Это просто бизнес-план. Надеюсь гугл мне за него заплатит чуток. А симантек да, начудили чуток, а теперь вот

Google всё делает правильно, хейтерам не понять.

Ээээээ? Вот тут вообще не понял

из-за недовольство

политикой ... которые компания проводила

fasepulm

Проверено: Shaman007

А, не, всё в порядке.

Наглое 4.2: https://groups.google.com/a/chromium.org/d/msg/blink-dev/eUAKwjihhBs/WGN1Uhxs...

Один разработчик (правда, отвечающий за шифрование в хромиуме) предложил описанную в статье процедуру. Её должны подтвердить ещё три разработчика, владеющие движком. Пока никто не подтвердил. При этом есть шанс, что изменение посчитают затрагивающим не только Blink, а вообще весь браузер, и будет проходить по более усложнённой процедуре.

Я уверен на 100%, что и не подтвердят, но созданный в интернетике хайп уже снизит доверие к Symantec, чего этот разработчик и добивался.

Параноики какие-то

Т.е. симантек выпускающий левые серты для домена Google - это фигня? O_O

Не мешай человеку верить в теории заговора :) У него и аватарка подходящая :D

Т.е. симантек выпускающий левые серты для домена Google - это фигня? O_O

Покажи сертификат, а не запись в CT-логе.

О, а явку с повинной тебе не надо? или тоже скажешь что не убедительно?

На симантек как-то пофиг, сто лет от них ничего не слышал. А вот каким боком там Thawte, поясните в двух словах.

Погугли, чем «found in the wild» кейсы с сертификатами отличаются от того, на который ссылаются в сообщении выше, и почему у одних импакт намного выше.

Thawte и Geotrust были давным-давно куплены Symantec'ом (точнее они были куплены Verisign'ом, который потом купил Symantec), и находятся на одной инфраструктуре.

Ну отлично, а можно мне тогда сертификат гугла, яндекса, вконтактика и т.д. — таких, про какие говорится выше?

Ну отлично, а можно мне тогда сертификат гугла, яндекса, вконтактика и т.д. — таких, про какие говорится выше?

В смысле seen in the wild? Открой https://google.com, нажми кнопочку «посмотреть сертификат» - «подробности» - «экспортировать».

это случится примерно через год

Съешь ещё нашего безопасного HTTPS и купи больше электронного воздуха.

привело к снижению безопасности пользователей
но это случится примерно через год

Google всё делает правильно

Любители зондов такие смешные.

На выкинуть все лишние конторы с рынка сертификатов, заблокировать в браузерах http. И мелкие типа буржуа отправятся на завод писать код за 15 тыс руб, где окажутся на своём месте.

Ну насмешил. Конкретно что случилось тогда, с теми сертификатами: https://security.googleblog.com/2015/09/improved-digital-certificate-security... Т.е. были выпущены сертификаты гугла без ведома гугла. Нормально, да? Конкретно этот случай не сильно криминальный, но если такое допускается, что там еще твориться может?

Конкретно сейчас: Symantec клали на нормальную верификацию. и что там навыпущено одному богу известно.

Понятно что это всё воздух, но если допускать такую хрень, то можно все эти центры сертификации вообще слать лесом.

Особенно умиляют вот эти все красивые зеленые замочки, надписи «защищенное соединение» и т.д. Блин, да писали бы — зашифровано, не зашифровано. А кто там на том конце? Гугл вроде, а может и не гугл...

Что-то я сегодня туплю. Где связь между первым и вторым?

Хм... в ситуации «все браузеры с сайтом работают, хром не работает» будет выкинут хром, а не сайт.

Ты бы хоть читал ссылки, которые даёшь.

«On September 14, around 19:20 GMT, Symantec’s Thawte-branded CA issued an Extended Validation (EV) pre-certificate for the domains google.com and http://www.google.com. This pre-certificate was neither requested nor authorized by Google.».

Видишь разницу между pre-certificate (то есть записью в certificate transparency логе) и сертификатом?

При таком раскладе их бизнес как центр сертификации может легко вылететь в трубу.

А, типа всё норм. Если это норм, то что завтра выкинет этот CA или соседний? И о каком доверии к CA может идти речь?

Т.е. были выпущены сертификаты гугла без ведома гугла

Левые дяди кинули гугл, насильно пихающий всем HTTPS? Как это мило.

Я не говорю, что это норм. Просто правильная формулировка инцидента звучит не как «symantec выпустил сертификат для google.com без разрешения», а как «в результате внутреннего тестирования в ct-логе symantec появилась запись google.com, сертификат не был обнаружен в интернете».

Равно как и правильная формулировка сегодняшнего топика звучит не как «В Google Chrome в ближайшее время будет отозван CA Symantec», а как «один из разработчиков chrome предложил снизить максимально доверяемый срок действия сертификатов symantec до 9 месяцев в релизе хрома, который выйдет через полгода, но его пока никто не поддержал».

Ну вот, а с желтизной я и сам уже устал бороться. Особенно когда говорят «источник не лучше». Можно попробовать поправить новость до вменяемого состояния через спецтему.

Ну и отлично. Больше гвоздей в гроб очередной проворовавшейся проприетарной шарашки, больше недовольства в сторону корпорашки зла, и меньше доверия неработающей централизованной недосистеме сертификатов. В помойку этому всему и дорога.

Решето. Уже кто-то писал про это?

Thawte был одним из самых доверенных центров сертификации, и что теперь? Из-за всех этих игр и интриг с центрами сертификации теряется весь смысл HTTPS. Достаточно сделать один-единственный центр, но чтобы он был 100% доверенный и непогрешимый. А что сейчас делать всем клиентам Thawte? Это касается и фирмы, в которой я подрабатываю и для которой я лично приобретал сертификаты в Thawte.

Symantec недостаточно тщательно контролировала процесс выдачи сертификатов

Это как? Я когда сертификат покупал (не помню в какой конторе, но не думаю что это важно) просто подтвердил владение доменом и получил свои ключи. Что по мнению Google продавец сертификатов должен делать помимо этого? Или symantec просто так без подтверждения их раздавала?

Приобрети новые сертификаты в Let's Encrypt.

Если человек не из гугла может подтвердить владение доменом гугла, значит какая-то у них плохая система подтверждения.

К тому же EV-сертификат вроде как требует более сложной схемы подтверждения, чем обычный. Скорее всего ты должен предоставить документы, что ты не только владелец домена, но и владелец фирмы, которой этот домен принадлежит.

Ты считаешь, что эта шарашкина контора лучше?

Конечно.

Можешь мотивировать?
По мне так центры сертификации должны быть крупнейшими мировыми компаниями: Google, Яндекс и даже Microsoft и Apple. Только так можно кому-то доверять, таких крупных компаний не должны банить. Ну и конечно если нужно только HTTPS и больше ничего, то такие сертификаты должны выдаваться бесплатно.

У тебя проблемы с Thawte, а не с Let's Encrypt.

сравни

https://www.thawte.de/ssl/ https://www.startssl.com/

а твои Google, Яндекс и даже Microsoft и Apple будут драть еще больше и что мне за своего хомяка за https 500 в год платить?

Кто даст гарантии, что завтра не будет таких же проблем с Let's Encrypt? Браузерам-монополистам закон не писан. А что касается Thawte, если за сертификаты деньги заплачены, то по-хорошему они должны возвращать деньги своим клиентам за оставшиеся сроки действия сертификатов по первому требованию.

Я даю тебе гарантию.

Сертификаты у той фирмы, про которую я говорил, истекают в конце июля. Т.е уже достаточно скоро. Я пока не буду ничего предпринимать, но ближе к тому времени как следует изучу этот вопрос, у каких центров лучше всего приобрести сертификаты, чтобы не облажаться.

А что сейчас делать всем клиентам Thawte?

Предлагаю вдоль.

Я когда сертификат покупал (не помню в какой конторе, но не думаю что это важно) просто подтвердил владение доменом и получил свои ключи.

Как раз на такой уровень доверия и предлагают понизить все сертификаты (DV, Domain validation). Основная претензия к процедуре для EV (Extended Validation) — т.е. когда ты хочешь чтобы сертификат удостоверял не только домен, но и имя (обычно юридическое). По правилам такая проверка (да и по здравому смыслу) должна осуществляться путем прямого взаимодействия центра сертификации с уполномоченным представителем юр.лица, в идеале — посещение офиса и предоставление документов.

А общее игнорирование CA в этом случае — мера принуждения. Да и особого смысла только DV-сертефикаты не имеют, их получают скриптом по крону.

корпорация зла через свой IE уже начинает диктовать человечеству, как ему жить. тьфу. m$ были честнее — играли гада в открытую, без мерзкого лицемерия.

Вот реально уже достали. Пусть хотя бы раскрывают аффилированность центров сертификации!

Сначала брал сертификаты startssl и wosign. Недавно выяснилось, что последняя купила первую и обоих забанили разом.

Ладно, купил два сертификата - tawte и geotrust. За деньги, думаю уж тут все будет хорошо. Нате, опять оба под санкциями!

Я уж не говорю, что российских центров вообще ноль...

Да ты никак ничего не предугадаешь. Этих центров реально четыре штуки. Все остальные пара десятков от них кормятся. Все центры амерские, недорогие из них вообще одно лицо.

Просто жесть...

Ты купил сертификат на домен. А тут речь про сертификат на фирму. Они должны были проверить документы фирмы и что это она сделала запрос, а не кто-то еще.

Этих центров реально четыре штуки.

Можешь полностью перечислить, пожалуйста? Это мне поможет, когда я буду подбирать, чем заменить Thawte.