LINUX.ORG.RU

Firefox и Chrome полностью прекратят доверие к CA Symantec

 , , , ,


3

2

Из-за многочисленных нарушений в подконтрольных компании Symantec центрах сертификации ранее уже рассматривались меры снижения доверия, однако тогда не обсуждался полный отказ в доверии (www.linux.org.ru/news/security/13311135).

Сегодня обсуждается уже полная «блокировка» сертификатов от подконтрольных Symantec центров: в Chrome ориентировочно с выпуска 66 (запланирован на 17 апреля 2018) предлагается отвергать сертификаты выпущенные ранее 1 июня 2016 и с 70 — полностью все; в Firefox несколько ранее — с декабря 2017 года, также поэтапно с полным отказом ориентировочно в выпусках 63 (16 октября 2018) или 64 (27 ноября 2018).

Под санкции попадают также CA GeoTrust, Thawte и RapidSSL, которые связаны с проблемными центрами цепочкой доверия.

>>> https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/gn1i2JNVCnc

>>> https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/Oaeqtddo_Cw

★★★

Проверено: Shaman007 ()
Ответ на: комментарий от anonymous

И это хорошо, есть же нормальный Let's Encrypt!

Под санкции попадают также CA GeoTrust, Thawte и RapidSSL, которые связаны с проблемными центрами цепочкой доверия.

Так действительно когда-нибудь останется только Let's Encrypt

slvrn ()

И не жалко

Единственной стоящий продукт, которым когда-либо владел Symantec — Norton Commander. Он был хорош в свое время на своем месте — четверть века назад в MS DOS. Мир праху!

dexpl ★★★★★ ()
Ответ на: комментарий от entefeed

Довод один и железобетонный — кроме этих хистеров это ни кто не использует и не продавливает в стандарты. Будут альтернативы Let's Encrypt которые работают также — поговорим. А то сейчас это вообще весело — завтра они накосячат и гугл-лиса пошлет их лесом, а все «прогрессивные» админы будут материться, плакать и проклинать судьбинушку.

mandala ★★★ ()
Ответ на: комментарий от slvrn

только Let's Encrypt
только

И это зашквар. Сейчас конкуренция между барыгами, а будет один-единственный зонд! они даже не могут урегулировать вопроc с доменами аля org.ru и кивают на PublicSuffix от Mozilla, которые в свою очередь не могут договориться с нашим управляющим зоной (что попахивает русофобией, т.к. проблема только в зоне .ru)

mandala ★★★ ()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от mandala

И это зашквар. Сейчас конкуренция между барыгами, а будет один-единственный зонд! они даже не могут урегулировать вопроc с доменами аля org.ru и кивают на PublicSuffix от Mozilla, которые в свою очередь не могут договориться с нашим управляющим зоной (что попахивает русофобией, т.к. проблему только в зоне .ru)

Было бы интересно, кстати, оказаться в мире, где остался только Let's Encrypt. Зачем все эти платные сертификаты от организаций, которые потенциально подконтрольны различным службам безопасности различных государств?

Жалко, что Let's Encrypt делают только DV

slvrn ()
Ответ на: комментарий от entefeed

Сертификат принимается всеми браузерами? Принимается. Значит решение не менее стандартное чем устарелые годовые сертификаты.

А теперь вспомни как часто ретроградные админы пролюбливают ручное обновление сертификатов и как часто из-за корявых ручек эти сертификаты утекают.

Вообще похоже у тебя никаких доводов кроме «РРРРЯЯЯ ХИПСТОРЫ ЕЩЕ НАПЛАЧЕТЕСЬ» нет. Типичная бабка на лавке.

Это у тебя один довод: «азаза, как удобно теперь, умвр, вывселузеры!» Проблемы доверия к ЦА остаются те же, существующие механизмы проверки (публичные реестры, онлайн-верификация) уже используются в «ретроградных» ЦА.

Однако даже эти механизмы не совершенны: не получив проверку (на отзыв, например) браузер доверяет сертификату, если в код не зашит дроп (как сделают с сумантеками). И вот вместо того чтобы совершенствовать эти механизмы они предлагают решение в лоб — давайте сертификат выдавать раз в сутки! И скриптом, чтоб админу проще! Бред же.

mandala ★★★ ()
Ответ на: комментарий от mandala

Ты веришь корпорациям?

В то, что ни одна корпорация не станет целенаправленно действовать себе во вред — верю. Кроме того, реальность такова, что приходится либо доверять существующим CA (т. е. стоящим за ним корпорациям), либо органовывать собственный (которому в свою очередь другие почему-то должны доверять), либо не использовать SSL/TLS в публичных сетях.

dexpl ★★★★★ ()
Ответ на: комментарий от dexpl

Сейчасм много «классических» ЦА. Let's Encrypt один. Где здоровая конкуренция? Я знаю что люди говно и когда точкой отказа становится одна точка — она откажет 146% и последствия будут фатальны. Сегодня дропают сумантек — ну печалька, пошли к другому ЦА, дело в то.

А повизгитвания «один Let's Encrypt!!!» — это школоло, уж извините. Пока бета, ладно. Вот будет хотя бы один ЦА, который возьмет наработки Let's Encrypt и внедрит у себя, платно пусть — будет другой разговор.

mandala ★★★ ()
Последнее исправление: mandala (всего исправлений: 2)
Ответ на: комментарий от mandala

Сейчасм много «классических» ЦА.

И нет никакой тенденции к полному их исчезновению. Хотя бы в силу того, что SSL/TLS — это не только "сайтики с котиками", и сертификаты Let's Encrypt применимы далеко не везде, где применим SSL/TLS (и так будет всегда, сколь я берусь судить).

Сегодня дропают сумантек — ну печалька, пошли к другому ЦА, дело в то.

Завтра дропают Let's Encrypt — ну печалька, пошли к другому ЦА, делов-то.

Вот будет хотя бы один ЦА, который возьмет наработки Let's Encryp и внедрит у себя, платно пусть — будет другой разговор.

Чес-слово, не понимаю, чем по-твоему это будет принципиально лучше по сравнению с status quo.

dexpl ★★★★★ ()
Ответ на: комментарий от dexpl

пошли к другому ЦА, делов-то.

Послушай местную хипстоту в этом треде, у них «Let's Encrypt only» во влажных фантазиях, ведь оно такое «не ретроградное». Я думаю дрочат они на него не из-за прогрессивности тех.части, а из-за халявы банальной.

mandala ★★★ ()
Ответ на: комментарий от dexpl

чем по-твоему это будет принципиально лучше по сравнению с status quo.

Пока ни один игрок рынка не признал ценности технических наработок проекта Let's Encrypt.

mandala ★★★ ()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от mandala

[Let’s Encrypt] даже не могут урегулировать вопроc с доменами аля org.ru и кивают на PublicSuffix от Mozilla, которые в свою очередь не могут договориться с нашим управляющим зоной

Можно ссылочку, для тех, кто в танке.

Zmicier ★★★★ ()
Ответ на: комментарий от mandala

готовы завязаться на одного васяна (пусть это даже гугло-лиса), ведь он такой прогрессивный!

Где завязка-то? Кто-то настроил себе LE и сэкономил кучу головняка с ручным обновлением. Допустим завтра LE скурвился и мировое правительство во главе с ящеригами дало 24 часа на то чтобы всем сменить сертификаты - админ идёт в другой CA получает серт и накатывает вручную куда надо. Так же как делал до появления LE.

А твой аргумент из серии «я буду жечь свечи вместо того чтобы пользоваться электрической лампой, а то вдруг электричество когда-нибудь отключат».

zink ★★ ()
Ответ на: комментарий от zink

сэкономил кучу головняка с ручным обновлением.

Дофига ага времени. Так много времени, что пипец. Я заказал сертификат подтверждения домена за минуту, и это одна запись в DNS-файле, а не эталонная реализация скриптоподелки которую предлагают устанавливать с левого источника и пускать от рута (можно и не от рута, да, но ведь эталонная реализация же! много говорит о тамошних «инжинерах»). АПИ и прочие открыто? Окей, где сторонние реализации? Где другие ЦА? Пока это смелый эксперимент, не более. А гугл и мозила столько годноты дропнули, что и это могут кинуть, а без их поддержки оно быстро скурвиться до непотребности.

mandala ★★★ ()
Ответ на: комментарий от Zmicier

Вот и я спрашиваю! Фактически суффикс публичный уже десятки лет, если это прям для них принципиально. Но нет, они хотят чего-то особенного от регулятора .ru. При этом во всех других зонах проблемы нету. Совпадение?

mandala ★★★ ()
Ответ на: комментарий от Bruce_Lee

Там ведь работают такие же люди как ты и я, они тоже хотят кушать и им нужно как-то кормить семьи.

«Нет потенции - сваливайте на..й с рынка!» (с) Андрей «Просрали все полимеры» Барабанцев

Dimez ★★★★★ ()
Ответ на: комментарий от mandala

Дофига ага времени. Так много времени, что пипец. Я заказал сертификат подтверждения домена за минуту, и это одна запись в DNS-файле

А если у тебя не одна машина, а N ? Много ли CA сейчас предоставляют хоть какое-нибудь API для автоматического продления?

АПИ и прочие открыто? Окей, где сторонние реализации?

Реализации клиентов - горой лежат, реализации CA - попробуй сделать свой и сертифицировать и сразу поймёшь почему их нет.

А гугл и мозила столько годноты дропнули, что и это могут кинуть, а без их поддержки оно быстро скурвиться до непотребности.

Если дропнут, то никто тебе не мешает по старинке ручками или самописными скриптами закидывать сертификаты других CA, так же, как было до появления LE.

Я не понимаю всего этого визга по поводу LE. Закрытые ключи он не требует, API предоставляет, референсных реализации написали - хоть попой ешь, и те которые рута хотят и те которые без него спокойно живут, есть и минималистичные на пистоне, которые можно самому отсмотреть перед запуском за 20 минут (с учётом времени на заваривание кофе).

Никаких изменений в софте под себя LE не требует. Допустим завтра LE закрывается и всё что надо будет сделать - класть сертификаты ручками, а раньше клал туда скрипт LE, на этот вся разница.

zink ★★ ()
Ответ на: комментарий от prizident

Маразм не признавать очевидные факты. Или они не доверяют «русским»? тогда пусть вообще не выдают сертификаты для .ru, а то переводят стрелки друг на друга (а по сути это одна шайка-лейка).

mandala ★★★ ()
Ответ на: комментарий от mandala

а не эталонная реализация скриптоподелки которую предлагают устанавливать с левого источника и пускать от рута (можно и не от рута, да, но ведь эталонная реализация же! много говорит о тамошних «инжинерах»). АПИ и прочие открыто? Окей, где сторонние реализации? Где другие ЦА? Пока это смелый эксперимент, не более.

Ты в ЦА что ли работаешь, что у тебя так подгорает и ты так брызгаешься?

Dimez ★★★★★ ()
Ответ на: комментарий от zink

Много ли CA сейчас предоставляют хоть какое-нибудь API для автоматического продления?

Выпуск автоматизирован? Классно. А управляет этим скрипт на сервере виртуального хоста! Ахринеть секьюрно. А если этот хост будет скомпрометирован? отзываем все сертификаты? А механизм отзыва игнорируется браузерами (и лисой, и хромом) если они тупо не получают ответа! Классно да? Как решать? А давайте делать сертификаты на три дня! Шикарно, так по хипстерски...

попробуй сделать свой и сертифицировать и сразу поймёшь почему их нет.

Автоматизация офигенное конкурентное преимущество. Миллионы админов-лентяев можно сманить у конкурентов. Почему нет? Дорожат репутацией и очень скептически смотрят на карманную поделку гугла? наверное.

вся разница

Да, вот только не надо тогда всяким не умным пищать «даёшь LE only!»

mandala ★★★ ()