LINUX.ORG.RU

Firefox и Chrome полностью прекратят доверие к CA Symantec

 , , , ,


3

2

Из-за многочисленных нарушений в подконтрольных компании Symantec центрах сертификации ранее уже рассматривались меры снижения доверия, однако тогда не обсуждался полный отказ в доверии (www.linux.org.ru/news/security/13311135).

Сегодня обсуждается уже полная «блокировка» сертификатов от подконтрольных Symantec центров: в Chrome ориентировочно с выпуска 66 (запланирован на 17 апреля 2018) предлагается отвергать сертификаты выпущенные ранее 1 июня 2016 и с 70 — полностью все; в Firefox несколько ранее — с декабря 2017 года, также поэтапно с полным отказом ориентировочно в выпусках 63 (16 октября 2018) или 64 (27 ноября 2018).

Под санкции попадают также CA GeoTrust, Thawte и RapidSSL, которые связаны с проблемными центрами цепочкой доверия.

>>> https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/gn1i2JNVCnc

>>> https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/Oaeqtddo_Cw

★★★

Проверено: Shaman007 ()

И это хорошо, есть же нормальный Let's Encrypt!

anonymous ()

вот так вот браузеры и начинают диктовать кому верить, а кому нет

umren ★★★★★ ()
Ответ на: комментарий от umren

Корпорациям верить нельзя, это любой хипстер знает!

anonymous ()

Давно пора уже чистить ряды от этих црушных прокладок!

Indexator ★★★ ()

Зачем в 2017 нужны классические СА? Ими еще кто-то пользуется?

entefeed ★★ ()
Ответ на: комментарий от umren

Тебе никто не запрещает добавить сертификат вручную.

Indexator ★★★ ()
Ответ на: комментарий от entefeed

А что ты предлагаешь? Let's Encrypt и их хипстерский «протокол»? Или еще что? А как быть с доверием к CA?

mandala ★★★ ()
Ответ на: комментарий от mandala

Какие-то доводы помимо «хипстерского» будут? Ммм, хипстер?

entefeed ★★ ()
Ответ на: комментарий от anonymous

И это хорошо, есть же нормальный Let's Encrypt!

Под санкции попадают также CA GeoTrust, Thawte и RapidSSL, которые связаны с проблемными центрами цепочкой доверия.

Так действительно когда-нибудь останется только Let's Encrypt

slvrn ()

И не жалко

Единственной стоящий продукт, которым когда-либо владел Symantec — Norton Commander. Он был хорош в свое время на своем месте — четверть века назад в MS DOS. Мир праху!

dexpl ★★★★★ ()
Ответ на: комментарий от entefeed

Довод один и железобетонный — кроме этих хистеров это ни кто не использует и не продавливает в стандарты. Будут альтернативы Let's Encrypt которые работают также — поговорим. А то сейчас это вообще весело — завтра они накосячат и гугл-лиса пошлет их лесом, а все «прогрессивные» админы будут материться, плакать и проклинать судьбинушку.

mandala ★★★ ()
Ответ на: комментарий от mandala

Сколь я помню, Let's Encrypt — это «гугл-лиса» в первую очередь. Они что, сами себя лесом пошлют?

dexpl ★★★★★ ()

Под санкции попадают также CA GeoTrust, Thawte и RapidSSL

Не доверяю я этим ребятам. Свои сайты давно перевел на LE!

anonymous ()
Ответ на: комментарий от slvrn

только Let's Encrypt
только

И это зашквар. Сейчас конкуренция между барыгами, а будет один-единственный зонд! они даже не могут урегулировать вопроc с доменами аля org.ru и кивают на PublicSuffix от Mozilla, которые в свою очередь не могут договориться с нашим управляющим зоной (что попахивает русофобией, т.к. проблема только в зоне .ru)

mandala ★★★ ()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от dexpl

Ну разосруться, например, и будет цирк с конями. Ты веришь корпорациям? Я нет.

это «гугл-лиса» в первую очередь

И это зашквар вдвойне.

mandala ★★★ ()
Ответ на: комментарий от anonymous

Свои сайты давно перевел на LE!

Поменял шило на мыло, поздравляю.

mandala ★★★ ()
Ответ на: комментарий от mandala

И это зашквар. Сейчас конкуренция между барыгами, а будет один-единственный зонд! они даже не могут урегулировать вопроc с доменами аля org.ru и кивают на PublicSuffix от Mozilla, которые в свою очередь не могут договориться с нашим управляющим зоной (что попахивает русофобией, т.к. проблему только в зоне .ru)

Было бы интересно, кстати, оказаться в мире, где остался только Let's Encrypt. Зачем все эти платные сертификаты от организаций, которые потенциально подконтрольны различным службам безопасности различных государств?

Жалко, что Let's Encrypt делают только DV

slvrn ()
Ответ на: комментарий от entefeed

Сертификат принимается всеми браузерами? Принимается. Значит решение не менее стандартное чем устарелые годовые сертификаты.

А теперь вспомни как часто ретроградные админы пролюбливают ручное обновление сертификатов и как часто из-за корявых ручек эти сертификаты утекают.

Вообще похоже у тебя никаких доводов кроме «РРРРЯЯЯ ХИПСТОРЫ ЕЩЕ НАПЛАЧЕТЕСЬ» нет. Типичная бабка на лавке.

Это у тебя один довод: «азаза, как удобно теперь, умвр, вывселузеры!» Проблемы доверия к ЦА остаются те же, существующие механизмы проверки (публичные реестры, онлайн-верификация) уже используются в «ретроградных» ЦА.

Однако даже эти механизмы не совершенны: не получив проверку (на отзыв, например) браузер доверяет сертификату, если в код не зашит дроп (как сделают с сумантеками). И вот вместо того чтобы совершенствовать эти механизмы они предлагают решение в лоб — давайте сертификат выдавать раз в сутки! И скриптом, чтоб админу проще! Бред же.

mandala ★★★ ()
Ответ на: комментарий от slvrn

Было бы интересно, кстати, оказаться в мире, где остался только Let's Encrypt.

И один браузер — Google Chrome. Рай просто, блин!

mandala ★★★ ()
Ответ на: комментарий от mandala

Ты веришь корпорациям?

В то, что ни одна корпорация не станет целенаправленно действовать себе во вред — верю. Кроме того, реальность такова, что приходится либо доверять существующим CA (т. е. стоящим за ним корпорациям), либо органовывать собственный (которому в свою очередь другие почему-то должны доверять), либо не использовать SSL/TLS в публичных сетях.

dexpl ★★★★★ ()
Ответ на: комментарий от mandala

давайте сертификат выдавать раз в сутки!

Вообще-то раз в два месяца.

dexpl ★★★★★ ()
Ответ на: комментарий от dexpl

Сейчасм много «классических» ЦА. Let's Encrypt один. Где здоровая конкуренция? Я знаю что люди говно и когда точкой отказа становится одна точка — она откажет 146% и последствия будут фатальны. Сегодня дропают сумантек — ну печалька, пошли к другому ЦА, дело в то.

А повизгитвания «один Let's Encrypt!!!» — это школоло, уж извините. Пока бета, ладно. Вот будет хотя бы один ЦА, который возьмет наработки Let's Encrypt и внедрит у себя, платно пусть — будет другой разговор.

mandala ★★★ ()
Последнее исправление: mandala (всего исправлений: 2)
Ответ на: комментарий от dexpl

Это пока, они пишут что эти сроки будут снижаться до максимально коротких.

mandala ★★★ ()
Ответ на: комментарий от mandala

Бред же.

Тысказал? Хорошо что такие бабки как ты не принимают важные решения и со временем вываливаются из индустрии.

entefeed ★★ ()

Там ведь работают такие же люди как ты и я, они тоже хотят кушать и им нужно как-то кормить семьи.

Люди, одумайтесь что вы творите.

Bruce_Lee ()
Ответ на: комментарий от mandala

Сейчасм много «классических» ЦА.

И нет никакой тенденции к полному их исчезновению. Хотя бы в силу того, что SSL/TLS — это не только "сайтики с котиками", и сертификаты Let's Encrypt применимы далеко не везде, где применим SSL/TLS (и так будет всегда, сколь я берусь судить).

Сегодня дропают сумантек — ну печалька, пошли к другому ЦА, дело в то.

Завтра дропают Let's Encrypt — ну печалька, пошли к другому ЦА, делов-то.

Вот будет хотя бы один ЦА, который возьмет наработки Let's Encryp и внедрит у себя, платно пусть — будет другой разговор.

Чес-слово, не понимаю, чем по-твоему это будет принципиально лучше по сравнению с status quo.

dexpl ★★★★★ ()
Ответ на: комментарий от entefeed

О, а такие «не бабки» как ты готовы завязаться на одного васяна (пусть это даже гугло-лиса), ведь он такой прогрессивный!

mandala ★★★ ()
Ответ на: комментарий от dexpl

пошли к другому ЦА, делов-то.

Послушай местную хипстоту в этом треде, у них «Let's Encrypt only» во влажных фантазиях, ведь оно такое «не ретроградное». Я думаю дрочат они на него не из-за прогрессивности тех.части, а из-за халявы банальной.

mandala ★★★ ()
Ответ на: комментарий от dexpl

чем по-твоему это будет принципиально лучше по сравнению с status quo.

Пока ни один игрок рынка не признал ценности технических наработок проекта Let's Encrypt.

mandala ★★★ ()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от mandala

[Let’s Encrypt] даже не могут урегулировать вопроc с доменами аля org.ru и кивают на PublicSuffix от Mozilla, которые в свою очередь не могут договориться с нашим управляющим зоной

Можно ссылочку, для тех, кто в танке.

Zmicier ★★★★ ()
Ответ на: комментарий от mandala

готовы завязаться на одного васяна (пусть это даже гугло-лиса), ведь он такой прогрессивный!

Где завязка-то? Кто-то настроил себе LE и сэкономил кучу головняка с ручным обновлением. Допустим завтра LE скурвился и мировое правительство во главе с ящеригами дало 24 часа на то чтобы всем сменить сертификаты - админ идёт в другой CA получает серт и накатывает вручную куда надо. Так же как делал до появления LE.

А твой аргумент из серии «я буду жечь свечи вместо того чтобы пользоваться электрической лампой, а то вдруг электричество когда-нибудь отключат».

zink ★★ ()
Ответ на: комментарий от Zmicier

Гугли сам, там где-то в багтрекерах было — приняли msk.ru и spb.ru, не приняли, org.ru вот нет до сих пор, проблема известна не один год уже.

mandala ★★★ ()
Ответ на: комментарий от mandala

А какое им собственно вообще дело до того, в какой зоне имя?

Zmicier ★★★★ ()
Ответ на: комментарий от zink

сэкономил кучу головняка с ручным обновлением.

Дофига ага времени. Так много времени, что пипец. Я заказал сертификат подтверждения домена за минуту, и это одна запись в DNS-файле, а не эталонная реализация скриптоподелки которую предлагают устанавливать с левого источника и пускать от рута (можно и не от рута, да, но ведь эталонная реализация же! много говорит о тамошних «инжинерах»). АПИ и прочие открыто? Окей, где сторонние реализации? Где другие ЦА? Пока это смелый эксперимент, не более. А гугл и мозила столько годноты дропнули, что и это могут кинуть, а без их поддержки оно быстро скурвиться до непотребности.

mandala ★★★ ()
Ответ на: комментарий от Zmicier

Вот и я спрашиваю! Фактически суффикс публичный уже десятки лет, если это прям для них принципиально. Но нет, они хотят чего-то особенного от регулятора .ru. При этом во всех других зонах проблемы нету. Совпадение?

mandala ★★★ ()
Ответ на: комментарий от mandala

кроме этих хистеров это ни кто не использует и не продавливает в стандарты.

Что «это» то?

Dimez ★★★★★ ()
Ответ на: комментарий от dexpl

SSL/TLS — это не только

Кому какое дело до других сертификатов, когда лидеры индустрии говорят «это редиски, мы им не верим!»?

mandala ★★★ ()
Ответ на: комментарий от Dimez

Их революционный автоматизированный способ выдачи короткоживущих сертификатов.

mandala ★★★ ()
Ответ на: комментарий от mandala

Кому какое дело до других сертификатов

Любому банку как минимум.

dexpl ★★★★★ ()
Ответ на: комментарий от mandala

ну так-то давно известно, что на каждое стандартное или общепринятое решение у нас всегда есть свой особенный маразм.

prizident ★★★★★ ()
Ответ на: комментарий от Bruce_Lee

Там ведь работают такие же люди как ты и я, они тоже хотят кушать и им нужно как-то кормить семьи.

«Нет потенции - сваливайте на..й с рынка!» (с) Андрей «Просрали все полимеры» Барабанцев

Dimez ★★★★★ ()
Ответ на: комментарий от mandala

попахивает русофобией

Скорее попахивает киселевщиной с твоей стороны! 😉

Indexator ★★★ ()
Ответ на: комментарий от mandala

Дофига ага времени. Так много времени, что пипец. Я заказал сертификат подтверждения домена за минуту, и это одна запись в DNS-файле

А если у тебя не одна машина, а N ? Много ли CA сейчас предоставляют хоть какое-нибудь API для автоматического продления?

АПИ и прочие открыто? Окей, где сторонние реализации?

Реализации клиентов - горой лежат, реализации CA - попробуй сделать свой и сертифицировать и сразу поймёшь почему их нет.

А гугл и мозила столько годноты дропнули, что и это могут кинуть, а без их поддержки оно быстро скурвиться до непотребности.

Если дропнут, то никто тебе не мешает по старинке ручками или самописными скриптами закидывать сертификаты других CA, так же, как было до появления LE.

Я не понимаю всего этого визга по поводу LE. Закрытые ключи он не требует, API предоставляет, референсных реализации написали - хоть попой ешь, и те которые рута хотят и те которые без него спокойно живут, есть и минималистичные на пистоне, которые можно самому отсмотреть перед запуском за 20 минут (с учётом времени на заваривание кофе).

Никаких изменений в софте под себя LE не требует. Допустим завтра LE закрывается и всё что надо будет сделать - класть сертификаты ручками, а раньше клал туда скрипт LE, на этот вся разница.

zink ★★ ()
Ответ на: комментарий от dexpl

И как СБ банка отреагирует на сотрудничество с зашкваренными CA?

mandala ★★★ ()
Ответ на: комментарий от prizident

Маразм не признавать очевидные факты. Или они не доверяют «русским»? тогда пусть вообще не выдают сертификаты для .ru, а то переводят стрелки друг на друга (а по сути это одна шайка-лейка).

mandala ★★★ ()
Ответ на: комментарий от Indexator

Я вижу факт. В «особенность» наших регуляторов я не верю, они либеральнее многих, кстати.

mandala ★★★ ()
Ответ на: комментарий от mandala

а не эталонная реализация скриптоподелки которую предлагают устанавливать с левого источника и пускать от рута (можно и не от рута, да, но ведь эталонная реализация же! много говорит о тамошних «инжинерах»). АПИ и прочие открыто? Окей, где сторонние реализации? Где другие ЦА? Пока это смелый эксперимент, не более.

Ты в ЦА что ли работаешь, что у тебя так подгорает и ты так брызгаешься?

Dimez ★★★★★ ()
Ответ на: комментарий от mandala

Какой ещё «революционный»? Обычная проверка владения доменом.

Dimez ★★★★★ ()
Ответ на: комментарий от zink

Много ли CA сейчас предоставляют хоть какое-нибудь API для автоматического продления?

Выпуск автоматизирован? Классно. А управляет этим скрипт на сервере виртуального хоста! Ахринеть секьюрно. А если этот хост будет скомпрометирован? отзываем все сертификаты? А механизм отзыва игнорируется браузерами (и лисой, и хромом) если они тупо не получают ответа! Классно да? Как решать? А давайте делать сертификаты на три дня! Шикарно, так по хипстерски...

попробуй сделать свой и сертифицировать и сразу поймёшь почему их нет.

Автоматизация офигенное конкурентное преимущество. Миллионы админов-лентяев можно сманить у конкурентов. Почему нет? Дорожат репутацией и очень скептически смотрят на карманную поделку гугла? наверное.

вся разница

Да, вот только не надо тогда всяким не умным пищать «даёшь LE only!»

mandala ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.