LINUX.ORG.RU

Firefox и Chrome полностью прекратят доверие к CA Symantec

 , , , ,


3

2

Из-за многочисленных нарушений в подконтрольных компании Symantec центрах сертификации ранее уже рассматривались меры снижения доверия, однако тогда не обсуждался полный отказ в доверии (www.linux.org.ru/news/security/13311135).

Сегодня обсуждается уже полная «блокировка» сертификатов от подконтрольных Symantec центров: в Chrome ориентировочно с выпуска 66 (запланирован на 17 апреля 2018) предлагается отвергать сертификаты выпущенные ранее 1 июня 2016 и с 70 — полностью все; в Firefox несколько ранее — с декабря 2017 года, также поэтапно с полным отказом ориентировочно в выпусках 63 (16 октября 2018) или 64 (27 ноября 2018).

Под санкции попадают также CA GeoTrust, Thawte и RapidSSL, которые связаны с проблемными центрами цепочкой доверия.

>>> https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/gn1i2JNVCnc

>>> https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/Oaeqtddo_Cw

★★★

Проверено: Shaman007 ()
Ответ на: комментарий от mandala

не верю

Может ты еще и в Деда Мороза не веришь? (Подсказка: Это сарказм! Всем насрать во что ты веришь! Это не вопрос веры!)

они либеральнее многих

А вот тут орнул в голосяндру! 😂😂😂

Indexator ★★★ ()
Ответ на: комментарий от Dimez

Контроль над управлением зоной потерять сложнее, чем контроль на конкретным хостом. И короткий период действия сертификата это не решение проблемы (хотя само по себе это и имеет смысл).

mandala ★★★ ()
Ответ на: комментарий от Indexator

Что, разделигировать могут без суда? Ну да, во многих зонах не могут, просто потому что тебе его ни под каким соусом не выдадут, даже через местного васяна.

mandala ★★★ ()

Вот же срань. UEFI решает, что можно запускать, а что нет. Разрабы ОС решают, какие сертификаты отзывать. Разраб сустемд решает, какие баги он будет чинить, а какие он багом не считает. Теперь вот и разрабы браузеров решают, кому доверять. И все это - ну конечно же ради добра. ИТ-индустрия планомерно скатывается в фашизм.

araks ()
Ответ на: комментарий от araks
Потому что, потому что
Всех нужнее и дороже,
Всех доверчивей и строже
В этом мире доброта.
В этом мире доброта.

Вот только ирл все несколько сложнее мультика.

mandala ★★★ ()
Ответ на: комментарий от mandala

Выпуск автоматизирован? Классно. А управляет этим скрипт на сервере виртуального хоста! Ахринеть секьюрно.

У тебя на том же виртуальном хосте хранится и закрытый ключ и сертификаты, не очень понял где тут стало хуже.

А механизм отзыва игнорируется браузерами (и лисой, и хромом) если они тупо не получают ответа! Классно да? Как решать? А давайте делать сертификаты на три дня!

А классические CA выпускают на год-два и страдают от абсолютно тех же проблем со списками отзывов. Это коренная проблема всего PKI.

Автоматизация офигенное конкурентное преимущество. Миллионы админов-лентяев можно сманить у конкурентов. Почему нет? Дорожат репутацией и очень скептически смотрят на карманную поделку гугла? наверное.

Да, автоматизация офигенное конкурентное преимущество, особенно для нормальных админов, которые все рутинные операции автоматизируют.

Ты DV сертификаты что-ли продаёшь, что у тебя так бомбит от того, что кто-то начал раздавать их в автоматизированном порядке и не за деньги? Да, LE любят именно за то что он сделал тоскливую ситуацию с CA чуть менее тоскливой, хоть в корне и не решил главных проблем (а чтобы их решить надо всю концепцию менять).

zink ★★ ()
Ответ на: комментарий от araks

UEFI решает, что можно запускать, а что нет.

Secure boot вообще-то, ну да ладно.

Теперь вот и разрабы браузеров решают, кому доверять. И все это - ну конечно же ради добра. ИТ-индустрия планомерно скатывается в фашизм.

Стоп, а кто тогда должен решать кому будут доверять браузеры как не разработчики этих браузеров?

zink ★★ ()
Ответ на: комментарий от mandala

У меня подгорает от того, что мне тут вещают что очередной вендор-лок это хорошо.

Секундочку, а вендор-лок то где? Процесс миграции CA1 -> CA2 абсолютно такой же, даже если CA1 == Let's Encrypt. Или ты видишь где-то ещё грабли?

zink ★★ ()
Ответ на: комментарий от zink

Стоп, а кто тогда должен решать кому будут доверять браузеры как не разработчики этих браузеров?

С каких это пор браузер обзавелся функцией цензора? Задача браузера - отображать контент, а не устанавливать правила, куда пользователь имеет право зайти, а куда нет.

araks ()
Ответ на: комментарий от zink

не очень понял где тут стало хуже.

Две точки отказа, стала одна точка. Да, самая главная точка отказа это виндовый ноут админа в нашей реальности, но мы тут вроде не про ССЗБ говорим?

юЭто коренная проблема всего PKI.

И вместо её решения нам предлагают примотать изолентой костыль. Ну спасибо. Я не против экспирементов LE, я против неистового дроча. И я уже высказался: видимо это из-за халявности. а не из-за технической изящности решения.

у тебя так бомбит от того, что кто-то начал раздавать их в автоматизированном порядке и не за деньги?

Нет. А видимо у большинства бомбит от того, что кто-то там зарабатывает деньги «на воздухе». Не на воздухе, а на репутации — вот раз и миллиардный бизнес сдулся, т.к. просрали доверие.

Давайте тогда убирать завязку на доверие и диферсифицировать эту составляющую с корневых сертификатов на что то еще, а не костылять суточные 9в перспективе) сертификаты и скрипты их выдачи.

mandala ★★★ ()
Ответ на: комментарий от zink

Я вижу что пока LE одни со своим подходом, а ведь именно он их киллер-фича. При этом дрочеры уже хоронят все «ретроградные» CA.

А где, кстати, intelfx? интересная особенность — евангелисты сустемд обычно неистово дрочат на LE.

mandala ★★★ ()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от Indexator

закон прозрачен, правила игры известны. А какая моча завтра гуглу в голову стукнет — хз. Я, кстати, не говорил что у нас идеальная ситуация — я лишь сказал что она очень не плохая, лучше чем у многих.

mandala ★★★ ()
Ответ на: комментарий от araks

куда пользователь имеет право зайти, а куда нет.

Вот-вот, а чтоб «зловреды» не изменили поведение без ведома «тупого» пользователя (именно так пользователей воспринимают разрабы, не без оснований — для линукс-блобов сборка более либеральна местами) зашьем всё в исходники, даже адреса хостов проверки!

mandala ★★★ ()
Ответ на: комментарий от zink

Стоп, а кто тогда должен решать кому будут доверять браузеры как не разработчики этих браузеров?

Хоть бы они для приличия замутили какой-нибудь типа не зависимый комитет с представителями всех заинтересованных сторон.

mandala ★★★ ()
Ответ на: комментарий от slvrn

Так действительно когда-нибудь останется только Let's Encrypt

А потом, когда конкурентов не будет, ребята из Lets Encrypt будут сами решать: давать Васе Пупкину сертификат или не давать. Монополия - это всегда плохо

atsym ★★★★ ()

уважаемые хомячки и домохозайки - узбагойтесь ,от вас ничего там не зависит ,вам сказали как будет ,не паникуйте всё уже решено.
если хотите через меня можете подключать шифрование .

zoloz ()
Ответ на: комментарий от umren

Кто тебе мешает верить кому угодно? А над ЦС нужен контроль, слишком много им власти дадено.

Хотя симантек это сильно. Могу ошибаться, но по-моему это самый крупный коммерческий ЦС. Если его разверят, будет жесть.

Legioner ★★★★★ ()

Чего ещё ожидать от убогой инфраструктуры с постоянно компрометирующими себя CA и клоунами в лице разработчиков браузеров, у которых доверие к этим самым CA гвоздями прибито к конкретным версиям их поделок. Никакого попкорна на этот перманентный цирк не хватит.

h578b1bde ★☆ ()
Ответ на: комментарий от slvrn

Так действительно когда-нибудь останется только Let's Encrypt

Уже вижу заголовок следующей новости: Firefox и Google Chrome полностью прекратят доверие к сертификатам Let's Encrypt.

h578b1bde ★☆ ()
Ответ на: комментарий от Bruce_Lee

Там ведь работают такие же люди как ты и я, они тоже хотят кушать и им нужно как-то кормить семьи.

Сдохни вместе со своей семьёй.

Только медленной и мучительной смерти до седьмого колена я желаю всем кто вместо вменяемых аргументов ноет про их никому не нужные семьи.

h578b1bde ★☆ ()
Ответ на: комментарий от entefeed

Зачем в 2017 нужны классические СА?

А чем нужно пользоваться, когда у тебя есть интернет-магазин, например, и нужно чтобы неизвестный тебе пользователь мог подключиться к сайту и быть уверенным, что это твой сайт, а не прокси провайдера?

anonymous ()
Ответ на: комментарий от araks

Вот же срань. UEFI решает, что можно запускать, а что нет. Разрабы ОС решают, какие сертификаты отзывать. Разраб сустемд решает, какие баги он будет чинить, а какие он багом не считает. Теперь вот и разрабы браузеров решают, кому доверять. И все это - ну конечно же ради добра. ИТ-индустрия планомерно скатывается в фашизм.

Тут больше идиократией попахивает.

h578b1bde ★☆ ()
Ответ на: комментарий от mandala

Сейчас конкуренция между барыгами

Кажется на OpenNet после очередной такой новости было обсуждение в результате которого договорились до того, что все эти CA в результате принадлежат 4-м конторам, 3 из них в США и 1 - китайский WoSign, который выкинули из браузеров.

anonymous ()
Ответ на: комментарий от mandala

не могут урегулировать вопроc с доменами аля org.ru

ЛОР-у еще когда org.ru перешел под контроль барыги и стал платным предлагали сменить домен.

anonymous ()
Ответ на: комментарий от anonymous

пользователь мог подключиться к сайту и быть уверенным, что это твой сайт, а не прокси провайдера

Сия новость как бы намекает что PKI эту проблему на практике не решает.

h578b1bde ★☆ ()
Ответ на: комментарий от Deathstalker

Symantec совершил ошибку. И его лажу надо как-то прекратить. Справедливо.

Ты пропустил ту часть, где у них отжимают часть бизнеса.

Что касается компании Symantec, то она чтобы сохранить бизнес на плаву и продолжить выдачу сертификатов под своим именем, согласилась с 1 декабря 2017 года ввести в строй новый процесс выдачи сертификатов, при котором компания не будет иметь своего корневого сертификата и будет выступать агентом другого удостоверяющего центра, выполняя роль SubCA...

Symantec также не исключает возможность продажи подразделения, занимающегося выдачей сертификатов.

anonymous ()
Ответ на: комментарий от araks

С каких это пор браузер обзавелся функцией цензора?

Если пользователь зайдет вместо банка на страницу фишера и отдаст ему свои явки, логины, пароли и в результате потеряет кучу денег, то есть шанс, что по решению суда, это придется компенсировать создателям браузера.

Отвечая на твой вопрос: с тех пор как многие люди стали перекладывать ответственность за результат своих действий на других методом «я найду до чего докопаться и кого назначить виноватым», а адвокаты им в этом стали активно помогать.

anonymous ()
Ответ на: комментарий от mandala

И вместо её решения нам предлагают примотать изолентой костыль.

Если тебе нужно вот прям щас решать практическую задачу, то выпуск сертификатов на 3 дня (или на 1) - это лучшее возможное сейчас решение. Потому что отзыв сертификатов не работает, а OCSP Stapling по сути тоже самое, что и сертификат на сутки.

Ну, а вся эта болтовня про мир во всем мире и вселенскую справедливость с поиском идеального решения - это подходит только для болтовни на форуме, до тех пор, пока не возникнет задача, которую нужно решать вот прям щас (и не важно, насколько существующие решения тебе не нравятся).

anonymous ()
Ответ на: комментарий от h578b1bde

Сия новость как бы намекает что PKI эту проблему на практике не решает.

Ок. В сторону пустой трындеж. Вот задача: тебе нужно прям щас сделать сайт интернет магазина. Ты:

  • Сделаешь сайт совсем без TLS.
  • Сделаешь сайт с TLS и уберешь возможность вклиниваться в твой трафик всех, кто не сможет сгенерировать для твоего сайта поддельный сертификат.
  • Предложишь свое решение. Какое?

Если до завтра ты ничего конкретного не сделаешь, тебя уволят (или твой бизнес прогорит).

Какое решение ты выберешь?

anonymous ()
Ответ на: комментарий от anonymous

Отвечая на твой вопрос: с тех пор как многие люди стали перекладывать ответственность за результат своих действий на других методом «я найду до чего докопаться и кого назначить виноватым», а адвокаты им в этом стали активно помогать.

А про EULA и строчки «мы не несем никакой ответственности» ты, конечно же, не в курсе.

araks ()
Ответ на: комментарий от atsym

А потом, когда конкурентов не будет, ребята из Lets Encrypt будут сами решать: давать Васе Пупкину сертификат или не давать. Монополия - это всегда плохо

И тогда будет еще один новый летсэнкрипт, тоже бесплатный и автоматизированный, и его также поддержат гугл и мозилла. Конкуренция особенно хорошо работает в условиях монополии, да.

Но всего этого не будет, т.к. Let's Encrypt не создавался как еще одно платное и закрытое CA.

slvrn ()
Ответ на: комментарий от araks

А про EULA и строчки «мы не несем никакой ответственности» ты, конечно же, не в курсе.

Это ты в суде расскажешь. А заодно придется доказывать, что ты не состоишь в сговоре с чуваками, которые у тебя украли бабки из банка. Или ты думаешь, что в любом EULA на троян достаточно написать «мы ни за что не отвечаем» и дело в шляпе?

anonymous ()