Google в скором времени перестанет доверять всем сертификатам WoSign и StartCom
Комментарии (10)
Marwin
8 июля 2017 в 19:48
+3↑
↓
пользовался раньше…, но теперь это уже не важно. С тех пор как LE обещал сделать wildcard со след года — всё стало не важно8 июля 2017 в 19:52
0↑
↓
Да, раньше многие пользовались. Более того, многие оплачивали у StartCom платные аккаунты (точнее, проходили платную проверку), тем самым формирую и себе лучшие условия, и проект подпитывая. Как так они умудрились удавить корову курицу, приносившую золотые яйца?8 июля 2017 в 22:46
–1↑
↓
китайцы. насколько я слышал, они не работают на репутацию и долгосрочные перспективы. схватить и бежать, короче. и желательно ночью.
8 июля 2017 в 23:31
–4↑
↓
При всём уважении к LE и к идее сертификатов с публичным известным CA, необходимость заниматься зарегулированным байтолюбством и установкой ненужных решений для автоматизации, а также непредсказуемость — бесят вкрай. Тем более, что принцип «если ты не платишь за продукт — то продукт — это ТЫ» здесь более чем применим.Баны мозиллы, хрома без обьяснения причин — это же идеальная причина признать, что X509 устарел, и время переходить на WoT.
Имхо, место всех этих сертификатов — один раз отдать пользователю страничку с инструкцией »1) поставьте наш корневой сертификат 2) перейдите на домен, обслуживающийся с этим сертификатом», может хоть после какого-то количества таких акций неповиновения нам прекратят навязывать ненужную услугу.9 июля 2017 в 00:04
+1↑
↓
Пока LE не появился, многие некоммерческие сайты работали с самоподписанными — и работали.
Другое дело что если меня на каждом сайте будут спрашивать поставить в моей сисеме чей-то корневой серт — лично я рад не буду.
dartraiden
9 июля 2017 в 01:24 (комментарий был изменён)
0↑
↓
Баны мозиллы, хрома без обьяснения причин
Причины были озвучены ещё в прошлом году.
9 июля 2017 в 00:49
0↑
↓
История показательна прежде всего тем что производители популярных браузеров могут при желании удавить любую компанию имеющую представительство в сети Интернет и ведущую бизнес в Интернет, просто потому что они большие и могут себе это позволить.
DjPhoeniX
9 июля 2017 в 01:13
+1↑
↓
Двоякая ситуация.С одной стороны — StartCom облажались, спору нет. И их лажу надо как-то прекратить. И прекратили — остановили доверие к новым сертификатам (= приостановили весь бизнес), потребовали аудитов и всего-всего. Справедливо. Окей.
С другой стороны — ну хорошо, ну остановили вы негодяев. А вот дальше начинается вопрос «а в чём же виноваты легитимные получатели их услуг?» Сначала прибили всех кто не попал в топ Алексы (окей, то-есть почти всех вообще, так как топ алексы — это уже кандидат в клиенты Comodo / GoDaddy / КтоТамЕщёЕсть). Теперь хотят добить оставшихся (а они остались?)
По-моему шумиха уже улеглась, LE взлетел, но история показательна для всех. И для поставщиков «доверия» («не злоупотребляй»), и для разработчиков («бесплатный сыр и всё такое»).
Gendalph
9 июля 2017 в 04:22 (комментарий был изменён)
0↑
↓
Сертификаты скомпрометированы. Эти черти могут выпустить другой сертификат и подписать его, не отозвав оригинальный, давая возможность устроить MitM на HTTPS.
По-хорошему давно пора было забанить этот CA с такими приколами.
powerman
9 июля 2017 в 01:22
0↑
↓
CA необходимо наказывать, причём максимально жёстко! И очень плохо, что это начинают делать только сейчас.
Сейчас на доверии CA держится почти полностью весь https (исключая редко используемые pinned сертификаты), и если CA не будут максимально серьёзно относиться к своей репутации и безопасности своей инфраструктуры — надёжность https может сильно пострадать.
Более того, я бы вообще список корневых сертификатов в браузерах сократил примерно на порядок — адекватно контролировать текущее количество должно быть очень сложно, поэтому стоит ужесточить требования к CA и отобрать корневые сертификаты у тех, кто будет не в состоянии выполнять эти требования.
