forum.opennet.ru - "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..." (33)

"23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."	+/–
Сообщение от opennews (??), 01-Мрт-18, 11:01
Компания DigiCert сегодня отзовёт (https://www.digicert.com/blog/digicert-statement-trustico-ce.../) более 23 тысяч SSL-сертификатов, полученных пользователями через реселлера Trustico, который предоставляет услуги по получению SSL-сертификатов, выступая посредником между клиентом и удостоверяющим центром. В начале февраля компания Trustico обратилась (https://groups.google.com/forum/#!msg/mozilla.dev.security.p...) к DigiCert с запросом об отзыве около 50 тысяч SSL-сертификатов (все сертификаты DigiCert, которые были выданы через Trustico). В качестве причины было заявлено о компрометации сертификатов, но компания Trustico отказалась пояснить детали инцидента. В середине февраля Trustico разорвала (https://www.businesswire.com/news/home/20180214006519/en/Tru...) контракт c DigiCert и объявила о партнёрстве с удостоверяющим центром Comodo. После требований предоставить доказательство компрометации, 27 февраля компания Trustico отправила DigiCert по электронной почте закрытые ключи для 23 тысяч сертификатов. Наличие закрытых ключей для клиентских сертификатов у третьего лица является существенным нарушением правил, которые предписывают удостоверяющим центрам сразу удалять закрытые ключи после их передачи клиенту. Отправленное сообщение не оставило DigiCert выбора и было принято решение (https://www.digicert.com/blog/digicert-statement-trustico-ce.../) по оперативному отзыву всех 23 тысяч сертификатов, закрытые ключи для которых были предоставлены в письме. Остальные 27 тысяч сертификатов, для которых не были предоставлены доказательства, пока остаются действующими. Компания DigiCert напрямую направила (https://www.reddit.com/r/sysadmin/comments/80uaq3/digicert_c.../) уведомление о скорой блокировке обладателям проблемных сертификатов, что вызвало недовольство со стороны Trustico, так как данная рассылка была выполнена без какого-то совместного согласования и в обход посредника, взаимодействующего с клиентом. Trustico со своей стороны также выполнила рассылку в которой заявила о готовности бесплатно предоставить новые сертификаты от другого удостоверяющего центра. Под вопросом остаётся то, как закрытые ключи оказались в руках Trustico. Данная компания отказалась (https://groups.google.com/d/msg/mozilla.dev.security.policy/...) раскрывать информацию об утечке, поэтому остаются только предположения. Заявлено только то, что запрос на отзыв 50 тысяч сертификатов обусловлен проблемами с некорректной организацией работы инфраструктуры удостоверяющего центра Symantec, который недавно перешёл в руки DigiCert. Данное объяснение было поставлено под сомнение, так как в подобной ситуации было бы логичным организовать плавный перевод клиентов на новые сертификаты, а не инициировать их экстренный отзыв. Также таки и не раскрыта информации о том, каким образом закрытые ключи попали в руки Trustico. Наиболее вероятной выглядит гипотеза (https://www.reddit.com/r/sysadmin/comments/80uaq3/digicert_c.../) о том, что сертификаты не были удалены с сервера Trustico из-за недоработки online-сервиса для заказа сертификатов. В пользу данного предположения указывает то, что все скомпрометированные сертификаты были сгенерированы при помощи web-интерфейса. Ожидается, что инцидент послужит толчком к пересмотру взаимодействия удостоверяющих центров с реселлерами, ужесточению правил доставки сертификатов и выработке методов, которые исключат доступ реселлера к выдаваемым клиентам закрытым ключам. URL: https://www.theregister.co.uk/2018/03/01/trustico_digicert_s.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=48166
Ответить \| Правка \| Cообщить модератору

Оглавление

А инфа то какая-нибудь может утекать о деятельности сайта, непосредственно выдав, Аноним (-), 11:01 , 01-Мрт-18, (1)

software_reporter_tool exe от Google, исправно передает все что необходимо, тому, Аноним (-), 11:27 , 01-Мрт-18, (3) –3

Умиляет, как в 2018 году реселлеры платных ssl сертификатов надувают ще, XoRe (ok), 11:26 , 01-Мрт-18, (2) +17

Матерь божья Они продают сертификаты comodo по 79 Такого дорогого воздуха ещё, XoRe (ok), 11:28 , 01-Мрт-18, (4) +5
Может рыльце в пушку А тут канделябр https www opennet ru opennews art shtml, Аноним (-), 11:29 , 01-Мрт-18, (5) +1

23 тысячи ССБЗ, которые отдают ключи сервису от васяна, Аноним (-), 11:35 , 01-Мрт-18, (6) +5
такой принцип везде , Аноним (-), 11:45 , 01-Мрт-18, (8) +2
А разве не у себя на локалхосте генерируешь ключ серт, а в CA отправляешь только, Аноним (-), 11:51 , 01-Мрт-18, (10) +5

Так делают только продвинутые пользователи , 7936957974957965956959962 (?), 12:06 , 01-Мрт-18, (11) +4
Отправляется CSR, да, а закрытый ключ остаётся у тебя Но для некоторых это слиш, noname.htm (ok), 12:07 , 01-Мрт-18, (12) +4
Это ж знать надо, как минимум, что такое закрытый ключ Слишкамсложна Знать, nobody (??), 13:45 , 01-Мрт-18, (25) +9
Андроид и не только не умеет пользовательскими инструментами генерировать закр, drTr0jan (?), 04:34 , 03-Мрт-18, (39)

А ты не умеешь пользоваться запятыми И может быть объяснишь, зачем тебе на андр, Аноним (-), 11:13 , 03-Мрт-18, (40)

Какие ещё запятые Это простое предложение без оборотов и вводных слов Сертифика, drTr0jan (?), 14:54 , 03-Мрт-18, (43)

Что Что за То есть, если я не могу прислать ключ от моего сертификата напри, Аноним (-), 12:37 , 01-Мрт-18, (15) –1

балда, хрустько предъявило серты, которые должны были быть у клиентов, а не у не, Аноним (-), 12:55 , 01-Мрт-18, (18) –1

сорри, не серты, а приватные ключи, Аноним (-), 12:56 , 01-Мрт-18, (19)
И C какой стати они должны что-то _доказывать_ , Аноним (-), 13:19 , 01-Мрт-18, (21)

Очевидно, потому что оно не является владельцем сертов и ключей, а только перепр, Аноним (-), 13:36 , 01-Мрт-18, (23)

Сегодня мне приснился сон и я решил вам рассказать об этом В Trustico пришли лю, Аноним (-), 14:29 , 01-Мрт-18, (27) –2

http www linux-ink ru static SL 5 1_Docs Russification Docs sbs-sl-ru s1-gnupg, Аноним (-), 13:43 , 01-Мрт-18, (24) +1

GnuPG-то тут причём , Аноним (-), 11:17 , 03-Мрт-18, (41)

то тебе будет довольно сложно доказать, что это действительно _твой_ сертификат,, нах (?), 14:09 , 01-Мрт-18, (26)

Что значит не можешь OCSP Stapling кто-то из браузеров коварно вырезал , Crazy Alex (ok), 15:25 , 01-Мрт-18, (29)

вот тут как раз в яблочкоhttps www opennet ru openforum vsluhforumID3 113684 h, .. (?), 15:19 , 01-Мрт-18, (28) +2
Ну обалдеть теперь Только в Firefox Nightly началась веселуха из из-за почти чт, Kuromi (ok), 16:12 , 01-Мрт-18, (30)

то есть макаки в продакшене ленятся обновить сертификаты ибо о том, что доверие, Truth (?), 16:26 , 01-Мрт-18, (31) +2

К Мозилле-то претензий нет Есть претензии к владельцам сайтов не чешущимся обно, Kuromi (ok), 21:07 , 01-Мрт-18, (36)

Этот HSTS вообще достал со всех сторон, Аноним (-), 19:14 , 01-Мрт-18, (35)

А в соседней ветке народ топит за то, что приватные ключи пользователь генерируе, ойой (?), 16:38 , 01-Мрт-18, (32)

только вот народец пошел нынче неграмашный, и многие подписывальщики сертификато, Аноним (-), 00:04 , 02-Мрт-18, (37) +1

В дополнение к поколению Ubuntu админить пошло поколение systemd То ли еще , Аноним (-), 09:53 , 02-Мрт-18, (38) +1

Заработок на воздухе дает сбои , Аноним (-), 18:14 , 01-Мрт-18, (34) +1

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (-), 01-Мрт-18, 11:01 +/–

А инфа то какая-нибудь может утекать о деятельности сайта, непосредственно выдавателям этих сертификатов? И какие еще есть подводные в этом деле?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3

2. Сообщение от XoRe (ok), 01-Мрт-18, 11:26 +17 +/–

Умиляет, как в 2018(!) году реселлеры(!) платных(!) ssl сертификатов надувают щеки и ерепенятся.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #5

3. Сообщение от Аноним (-), 01-Мрт-18, 11:27 –3 +/–

> А инфа то какая-нибудь может утекать о деятельности сайта, непосредственно выдавателям
> этих сертификатов? И какие еще есть подводные в этом деле?
software_reporter_tool.exe от Google, исправно передает все что необходимо, тому, сам знаешь кому.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

4. Сообщение от XoRe (ok), 01-Мрт-18, 11:28 +5 +/–

Матерь божья! Они продают сертификаты comodo по 79$! Такого дорогого воздуха ещё поискать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

5. Сообщение от Аноним (-), 01-Мрт-18, 11:29 +1 +/–

> Умиляет, как в 2018(!) году реселлеры(!) платных(!) ssl сертификатов надувают щеки и
> ерепенятся.
Может рыльце в пушку? А тут канделябр (https://www.opennet.ru/opennews/art.shtml?num=48159) на подходе!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

6. Сообщение от Аноним (-), 01-Мрт-18, 11:35 +5 +/–

>Наиболее вероятной выглядит гипотеза о том, что сертификаты не были удалены с сервера Trustico из-за недоработки online-сервиса для заказа сертификатов. В пользу данного предположения указывает то, что все скомпрометированные сертификаты были сгенерированы при помощи web-сервиса.
23 тысячи ССБЗ, которые отдают ключи сервису от васяна

Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от Аноним (-), 01-Мрт-18, 11:45 +2 +/–

> предписывают удостоверяющим центрам сразу удалять закрытые ключи после их передачи клиенту
такой принцип везде??

Ответить | Правка | Наверх | Cообщить модератору

10. Сообщение от Аноним (-), 01-Мрт-18, 11:51 +5 +/–

А разве не у себя на локалхосте генерируешь ключ/серт, а в CA отправляешь только серт, чтоб его подписали и именно за это и платишь?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #12, #25, #39

11. Сообщение от 7936957974957965956959962 (?), 01-Мрт-18, 12:06 +4 +/–

Так делают только продвинутые пользователи.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

12. Сообщение от noname.htm (ok), 01-Мрт-18, 12:07 +4 +/–

Отправляется CSR, да, а закрытый ключ остаётся у тебя. Но для некоторых это слишком сложно и рынок, разумеется, предлагает решение, когда закрытый ключ и серт генерится и сразу подписывается прямо у провайдера услуги. Таким образом, в пару кликов вы получаете готовые к использованию файлики.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

15. Сообщение от Аноним (-), 01-Мрт-18, 12:37 –1 +/–

> После требований предоставить доказательство компрометации
> требований
Что?!!
> Остальные 27 тысяч сертификатов, для которых не были предоставлены доказательства, пока остаются действующими.
Что за...
То есть, если я не могу прислать ключ от моего сертификата (например, потому что он упал в жерло вулкана вместе с бэкапами), то  мне его уже не отозвать? Как вообще должны оперировать нормальные реселлеры (которые не хранят ключи), если у жертвы нет никаких "доказательств" кроме письма с поздравлениями от хакера Вована?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #24, #26

18. Сообщение от Аноним (-), 01-Мрт-18, 12:55 –1 +/–

балда, хрустько предъявило серты, которые должны были быть у клиентов, а не у него, это очевидная компроментация ключей. А на вопрос "как они у вас оказались?" они предсказуемо молчат, потому что не могут теперь признаться, что сами их стырили.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #19, #21, #27

19. Сообщение от Аноним (-), 01-Мрт-18, 12:56 +/–

>предъявило серты,
сорри, не серты, а приватные ключи

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

21. Сообщение от Аноним (-), 01-Мрт-18, 13:19 +/–

И? C какой стати они должны что-то _доказывать_?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #23

23. Сообщение от Аноним (-), 01-Мрт-18, 13:36 +/–

Очевидно, потому что оно не является владельцем сертов и ключей, а только перепродаёт их. Если левый вася заявит, что ты профукал свои ключи, он ведь должен будет предъявить доказательства, не так ли?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

24. Сообщение от Аноним (-), 01-Мрт-18, 13:43 +1 +/–

>> После требований предоставить доказательство компрометации
>> требований
> Что?!!
>> Остальные 27 тысяч сертификатов, для которых не были предоставлены доказательства, пока остаются действующими.
> Что за...
> То есть, если я не могу прислать ключ от моего сертификата (например,
> потому что он упал в жерло вулкана вместе с бэкапами), то
>  мне его уже не отозвать? Как вообще должны оперировать нормальные
> реселлеры (которые не хранят ключи), если у жертвы нет никаких "доказательств"
> кроме письма с поздравлениями от хакера Вована?
http://www.linux-ink.ru/static/SL.5.1_Docs/Russification/Doc...
B.4. Создание сертификата отзыва
После того как вы сгенерировали пару ключей, вам необходимо создать и сертификат отзыва для открытого ключа. Если вы забудете свою парольную фразу или она будет скомпрометирована, вы можете опубликовать этот сертификат, чтобы проинформировать других пользователей, что ваш открытый ключ более недействителен.
[Note]    Замечание
Когда вы генерируете сертификат отзыва, это не означает, что вы отзываете свой открытый ключ, просто вы подготавливаете сертификат на случай, если ваша парольная фраза будет узнана, или что-то случится с вашим жестким диском. Как только что-то случилось, вы можете сразу воспользоваться сертификатом отзыва, чтобы аннулировать действие открытого ключа.
Для тех, кто читает вашу корреспонденцию, ваша подпись будет действительной до тех пор, пока вы не воспользуетесь функцией «отзыва». Для генерации такого рода сертификата воспользуйтесь опцией --gen-revoke:
gpg --output revoke.asc --gen-revoke  you@example.com

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #41

25. Сообщение от nobody (??), 01-Мрт-18, 13:45 +9 +/–

Это ж знать надо, как минимум, что такое "закрытый ключ". Слишкамсложна...
"Знать" сегодня не в почёте

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

26. Сообщение от нах (?), 01-Мрт-18, 14:09 +/–

> То есть, если я не могу прислать ключ от моего сертификата (например, потому что он упал в жерло
> вулкана вместе с бэкапами),
то тебе будет довольно сложно доказать, что это действительно _твой_ сертификат, и ты имеешь право его отзывать, да.
Но у большинства CA - все еще возможно после стандартной процедуры верификации, может чуть более детальной - например, они таки позвонят.
Но только ты не волнуйся так - CRL'ы не поддерживаются ни одним современным браузером - немодно, несовременно, немолодежно, занимало ценную полосу траффика, мешая телеметрии.
Поэтому если ты не можешь использовать, к примеру, ocsp - хакер васян и после "отзыва" вполне может продолжать употреблять твой сертификат, юзер ничего лишнего не узнает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #29

27. Сообщение от Аноним (-), 01-Мрт-18, 14:29 –2 +/–

> не могут теперь признаться, что сами их стырили
Сегодня мне приснился сон и я решил вам рассказать об этом.
В Trustico пришли "люди в черном" (которые из фильма, во сне были те же актеры) и сказали что нужно сгенерировать сертификаты и вам их подписать. Дали список, там было около 50тыс хостов. Trustico выполнила требования и позже когда люди в черном (из фильма) разрешили, Trustico приналясь "защищать свое честное имя" обратившись в начале февраля к DigiCert с запросом об отзыве около 50 тысяч SSL-сертификатов (все сертификаты DigiCert, которые были выданы через Trustico).  В качестве причины было заявлено о компрометации сертификатов, но компания Trustico отказалась пояснить детали инцидента. В середине февраля Trustico разорвала контракт c DigiCert и объявила о партнёрстве с удостоверяющим центром Comodo.
После требований предоставить доказательство компрометации, 27 февраля компания Trustico отправила DigiCert по электронной почте закрытые ключи для 23 тысяч сертификатов. Наличие закрытых ключей для клиентских сертификатов у третьего лица является существенным нарушением правил, которые предписывают удостоверяющим центрам сразу удалять закрытые ключи после их передачи клиенту.
Отправленное сообщение не оставило DigiCert выбора и было принято решение по оперативному отзыву всех 23 тысяч сертификатов, закрытые ключи для которых были предоставлены в письме. Остальные 27 тысяч сертификатов, для которых не были предоставлены доказательства, пока остаются действующими.
Не воспринимайте серьезно, это был просто сон.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

28. Сообщение от .. (?), 01-Мрт-18, 15:19 +2 +/–

вот тут как раз в яблочко
https://www.opennet.ru/openforum/vsluhforumID3/113684.html#51

Ответить | Правка | Наверх | Cообщить модератору

29. Сообщение от Crazy Alex (ok), 01-Мрт-18, 15:25 +/–

Что значит "не можешь"? OCSP Stapling кто-то из браузеров коварно вырезал?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

30. Сообщение от Kuromi (ok), 01-Мрт-18, 16:12 +/–

Ну обалдеть теперь. Только в Firefox Nightly началась веселуха из из-за почти что 10 тысячи сайтов умерших из-за отзыва доверия бывшим Симантековским сертификатам (причем у многих был HSTS и это не позволяет такие сатй даже в исключения добавить) - https://bugzilla.mozilla.org/show_bug.cgi?id=1434300#c81 так теперь ЕЩЕ 23 тысячи стухнут?
Причем у многих был HSTS и это не позволяет такие сайт даже в исключения добавить, среди них много банков, так что срочно пришлось придумывать скрытую настройку для выключения блокировки https://bugzilla.mozilla.org/show_bug.cgi?id=1437754
This adds the unregistered pref "security.pki.distrust_ca_policy" which, if set to 0, will re-enable the Symantec roots; it defaults to 1, which enforces the graduated distrust from Bug 1409257.

Что-то протухло все в сертификатном бизнесе...

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31, #35

31. Сообщение от Truth (?), 01-Мрт-18, 16:26 +2 +/–

то есть макаки в продакшене ленятся обновить сертификаты (ибо о том, что доверие к ним прекратится, информировали уже около года), а виноват огнелис?
Ну давайте вообще уберем проверку сертификатов - а то, вон, некоторые забывают их продлять, из-за чего сайты по хттпс больше не работают. Не порядок, товарищи!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #36

32. Сообщение от ойой (?), 01-Мрт-18, 16:38 +/–

>Наличие закрытых ключей для клиентских сертификатов у третьего лица является существенным нарушением правил, которые предписывают удостоверяющим центрам сразу удалять закрытые ключи после их передачи клиенту.
А в соседней ветке народ топит за то, что приватные ключи пользователь генерирует сам и никому не передаёт)
> https://www.opennet.ru/openforum/vsluhforumID3/113684.html#50

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #37

34. Сообщение от Аноним (-), 01-Мрт-18, 18:14 +1 +/–

Заработок на воздухе дает сбои.

Ответить | Правка | Наверх | Cообщить модератору

35. Сообщение от Аноним (-), 01-Мрт-18, 19:14 +/–

Этот HSTS вообще достал со всех сторон

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

36. Сообщение от Kuromi (ok), 01-Мрт-18, 21:07 +/–

К Мозилле-то претензий нет. Есть претензии к владельцам сайтов не чешущимся обновить сертификаты и которые явно не почешутся пока тот же ФФ60 не выйдет в релиз и у массы народа ВНЕЗАПНО отвалится уйма сайтов и еще претензии к удостоверяющим центрам, которые как выясняется занимаются непойми чем.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

37. Сообщение от Аноним (-), 02-Мрт-18, 00:04 +1 +/–

только вот народец пошел нынче неграмашный, и многие подписывальщики сертификатов предлагают заодно и сгенерить все необходимые файлы.
Админ в здравом уме, конечно, такой услугой пользоваться не будет. Но.....

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #38

38. Сообщение от Аноним (-), 02-Мрт-18, 09:53 +1 +/–

В дополнение к "поколению Ubuntu" админить пошло "поколение systemd". То ли еще будет, хе-хе.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

39. Сообщение от drTr0jan (?), 03-Мрт-18, 04:34 +/–

Андроид (и не только) не умеет пользовательскими инструментами генерировать закрытый ключ и формировать CSR.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #40

40. Сообщение от Аноним (-), 03-Мрт-18, 11:13 +/–

А ты не умеешь пользоваться запятыми. И может быть объяснишь, зачем тебе на андроиде сертификат понадобился?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #43

41. Сообщение от Аноним (-), 03-Мрт-18, 11:17 +/–

GnuPG-то тут причём?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

43. Сообщение от drTr0jan (?), 03-Мрт-18, 14:54 +/–

Какие ещё запятые? Это простое предложение без оборотов и вводных слов.
Сертификат понадобился для аутентификации TLS.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (-), 01-Мрт-18, 11:01	+/–
А инфа то какая-нибудь может утекать о деятельности сайта, непосредственно выдавателям этих сертификатов? И какие еще есть подводные в этом деле?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #3

2. Сообщение от XoRe (ok), 01-Мрт-18, 11:26	+17 +/–
Умиляет, как в 2018(!) году реселлеры(!) платных(!) ssl сертификатов надувают щеки и ерепенятся.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #4, #5

3. Сообщение от Аноним (-), 01-Мрт-18, 11:27	–3 +/–
> А инфа то какая-нибудь может утекать о деятельности сайта, непосредственно выдавателям > этих сертификатов? И какие еще есть подводные в этом деле? software_reporter_tool.exe от Google, исправно передает все что необходимо, тому, сам знаешь кому.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

4. Сообщение от XoRe (ok), 01-Мрт-18, 11:28	+5 +/–
Матерь божья! Они продают сертификаты comodo по 79$! Такого дорогого воздуха ещё поискать.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2

5. Сообщение от Аноним (-), 01-Мрт-18, 11:29	+1 +/–
> Умиляет, как в 2018(!) году реселлеры(!) платных(!) ssl сертификатов надувают щеки и > ерепенятся. Может рыльце в пушку? А тут канделябр (https://www.opennet.ru/opennews/art.shtml?num=48159) на подходе!
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2

6. Сообщение от Аноним (-), 01-Мрт-18, 11:35	+5 +/–
>Наиболее вероятной выглядит гипотеза о том, что сертификаты не были удалены с сервера Trustico из-за недоработки online-сервиса для заказа сертификатов. В пользу данного предположения указывает то, что все скомпрометированные сертификаты были сгенерированы при помощи web-сервиса. 23 тысячи ССБЗ, которые отдают ключи сервису от васяна
Ответить \| Правка \| Наверх \| Cообщить модератору

8. Сообщение от Аноним (-), 01-Мрт-18, 11:45	+2 +/–
> предписывают удостоверяющим центрам сразу удалять закрытые ключи после их передачи клиенту такой принцип везде??
Ответить \| Правка \| Наверх \| Cообщить модератору

10. Сообщение от Аноним (-), 01-Мрт-18, 11:51	+5 +/–
А разве не у себя на локалхосте генерируешь ключ/серт, а в CA отправляешь только серт, чтоб его подписали и именно за это и платишь?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #11, #12, #25, #39

11. Сообщение от 7936957974957965956959962 (?), 01-Мрт-18, 12:06	+4 +/–
Так делают только продвинутые пользователи.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10

12. Сообщение от noname.htm (ok), 01-Мрт-18, 12:07	+4 +/–
Отправляется CSR, да, а закрытый ключ остаётся у тебя. Но для некоторых это слишком сложно и рынок, разумеется, предлагает решение, когда закрытый ключ и серт генерится и сразу подписывается прямо у провайдера услуги. Таким образом, в пару кликов вы получаете готовые к использованию файлики.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10

15. Сообщение от Аноним (-), 01-Мрт-18, 12:37	–1 +/–
> После требований предоставить доказательство компрометации > требований Что?!! > Остальные 27 тысяч сертификатов, для которых не были предоставлены доказательства, пока остаются действующими. Что за... То есть, если я не могу прислать ключ от моего сертификата (например, потому что он упал в жерло вулкана вместе с бэкапами), то мне его уже не отозвать? Как вообще должны оперировать нормальные реселлеры (которые не хранят ключи), если у жертвы нет никаких "доказательств" кроме письма с поздравлениями от хакера Вована?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #18, #24, #26

18. Сообщение от Аноним (-), 01-Мрт-18, 12:55	–1 +/–
балда, хрустько предъявило серты, которые должны были быть у клиентов, а не у него, это очевидная компроментация ключей. А на вопрос "как они у вас оказались?" они предсказуемо молчат, потому что не могут теперь признаться, что сами их стырили.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15 Ответы: #19, #21, #27

19. Сообщение от Аноним (-), 01-Мрт-18, 12:56	+/–
>предъявило серты, сорри, не серты, а приватные ключи
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18

21. Сообщение от Аноним (-), 01-Мрт-18, 13:19	+/–
И? C какой стати они должны что-то _доказывать_?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18 Ответы: #23

23. Сообщение от Аноним (-), 01-Мрт-18, 13:36	+/–
Очевидно, потому что оно не является владельцем сертов и ключей, а только перепродаёт их. Если левый вася заявит, что ты профукал свои ключи, он ведь должен будет предъявить доказательства, не так ли?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21

24. Сообщение от Аноним (-), 01-Мрт-18, 13:43	+1 +/–
>> После требований предоставить доказательство компрометации >> требований > Что?!! >> Остальные 27 тысяч сертификатов, для которых не были предоставлены доказательства, пока остаются действующими. > Что за... > То есть, если я не могу прислать ключ от моего сертификата (например, > потому что он упал в жерло вулкана вместе с бэкапами), то > мне его уже не отозвать? Как вообще должны оперировать нормальные > реселлеры (которые не хранят ключи), если у жертвы нет никаких "доказательств" > кроме письма с поздравлениями от хакера Вована? http://www.linux-ink.ru/static/SL.5.1_Docs/Russification/Doc... B.4. Создание сертификата отзыва После того как вы сгенерировали пару ключей, вам необходимо создать и сертификат отзыва для открытого ключа. Если вы забудете свою парольную фразу или она будет скомпрометирована, вы можете опубликовать этот сертификат, чтобы проинформировать других пользователей, что ваш открытый ключ более недействителен. [Note] Замечание Когда вы генерируете сертификат отзыва, это не означает, что вы отзываете свой открытый ключ, просто вы подготавливаете сертификат на случай, если ваша парольная фраза будет узнана, или что-то случится с вашим жестким диском. Как только что-то случилось, вы можете сразу воспользоваться сертификатом отзыва, чтобы аннулировать действие открытого ключа. Для тех, кто читает вашу корреспонденцию, ваша подпись будет действительной до тех пор, пока вы не воспользуетесь функцией «отзыва». Для генерации такого рода сертификата воспользуйтесь опцией --gen-revoke: gpg --output revoke.asc --gen-revoke you@example.com
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15 Ответы: #41

25. Сообщение от nobody (??), 01-Мрт-18, 13:45	+9 +/–
Это ж знать надо, как минимум, что такое "закрытый ключ". Слишкамсложна... "Знать" сегодня не в почёте
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10

26. Сообщение от нах (?), 01-Мрт-18, 14:09	+/–
> То есть, если я не могу прислать ключ от моего сертификата (например, потому что он упал в жерло > вулкана вместе с бэкапами), то тебе будет довольно сложно доказать, что это действительно _твой_ сертификат, и ты имеешь право его отзывать, да. Но у большинства CA - все еще возможно после стандартной процедуры верификации, может чуть более детальной - например, они таки позвонят. Но только ты не волнуйся так - CRL'ы не поддерживаются ни одним современным браузером - немодно, несовременно, немолодежно, занимало ценную полосу траффика, мешая телеметрии. Поэтому если ты не можешь использовать, к примеру, ocsp - хакер васян и после "отзыва" вполне может продолжать употреблять твой сертификат, юзер ничего лишнего не узнает.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15 Ответы: #29

27. Сообщение от Аноним (-), 01-Мрт-18, 14:29	–2 +/–
> не могут теперь признаться, что сами их стырили Сегодня мне приснился сон и я решил вам рассказать об этом. В Trustico пришли "люди в черном" (которые из фильма, во сне были те же актеры) и сказали что нужно сгенерировать сертификаты и вам их подписать. Дали список, там было около 50тыс хостов. Trustico выполнила требования и позже когда люди в черном (из фильма) разрешили, Trustico приналясь "защищать свое честное имя" обратившись в начале февраля к DigiCert с запросом об отзыве около 50 тысяч SSL-сертификатов (все сертификаты DigiCert, которые были выданы через Trustico). В качестве причины было заявлено о компрометации сертификатов, но компания Trustico отказалась пояснить детали инцидента. В середине февраля Trustico разорвала контракт c DigiCert и объявила о партнёрстве с удостоверяющим центром Comodo. После требований предоставить доказательство компрометации, 27 февраля компания Trustico отправила DigiCert по электронной почте закрытые ключи для 23 тысяч сертификатов. Наличие закрытых ключей для клиентских сертификатов у третьего лица является существенным нарушением правил, которые предписывают удостоверяющим центрам сразу удалять закрытые ключи после их передачи клиенту. Отправленное сообщение не оставило DigiCert выбора и было принято решение по оперативному отзыву всех 23 тысяч сертификатов, закрытые ключи для которых были предоставлены в письме. Остальные 27 тысяч сертификатов, для которых не были предоставлены доказательства, пока остаются действующими. Не воспринимайте серьезно, это был просто сон.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18

28. Сообщение от .. (?), 01-Мрт-18, 15:19	+2 +/–
вот тут как раз в яблочко https://www.opennet.ru/openforum/vsluhforumID3/113684.html#51
Ответить \| Правка \| Наверх \| Cообщить модератору

29. Сообщение от Crazy Alex (ok), 01-Мрт-18, 15:25	+/–
Что значит "не можешь"? OCSP Stapling кто-то из браузеров коварно вырезал?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #26

30. Сообщение от Kuromi (ok), 01-Мрт-18, 16:12	+/–
Ну обалдеть теперь. Только в Firefox Nightly началась веселуха из из-за почти что 10 тысячи сайтов умерших из-за отзыва доверия бывшим Симантековским сертификатам (причем у многих был HSTS и это не позволяет такие сатй даже в исключения добавить) - https://bugzilla.mozilla.org/show_bug.cgi?id=1434300#c81 так теперь ЕЩЕ 23 тысячи стухнут? Причем у многих был HSTS и это не позволяет такие сайт даже в исключения добавить, среди них много банков, так что срочно пришлось придумывать скрытую настройку для выключения блокировки https://bugzilla.mozilla.org/show_bug.cgi?id=1437754 This adds the unregistered pref "security.pki.distrust_ca_policy" which, if set to 0, will re-enable the Symantec roots; it defaults to 1, which enforces the graduated distrust from Bug 1409257. Что-то протухло все в сертификатном бизнесе...
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #31, #35

31. Сообщение от Truth (?), 01-Мрт-18, 16:26	+2 +/–
то есть макаки в продакшене ленятся обновить сертификаты (ибо о том, что доверие к ним прекратится, информировали уже около года), а виноват огнелис? Ну давайте вообще уберем проверку сертификатов - а то, вон, некоторые забывают их продлять, из-за чего сайты по хттпс больше не работают. Не порядок, товарищи!
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #30 Ответы: #36

32. Сообщение от ойой (?), 01-Мрт-18, 16:38	+/–
>Наличие закрытых ключей для клиентских сертификатов у третьего лица является существенным нарушением правил, которые предписывают удостоверяющим центрам сразу удалять закрытые ключи после их передачи клиенту. А в соседней ветке народ топит за то, что приватные ключи пользователь генерирует сам и никому не передаёт) > https://www.opennet.ru/openforum/vsluhforumID3/113684.html#50
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #37

34. Сообщение от Аноним (-), 01-Мрт-18, 18:14	+1 +/–
Заработок на воздухе дает сбои.
Ответить \| Правка \| Наверх \| Cообщить модератору

35. Сообщение от Аноним (-), 01-Мрт-18, 19:14	+/–
Этот HSTS вообще достал со всех сторон
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #30

36. Сообщение от Kuromi (ok), 01-Мрт-18, 21:07	+/–
К Мозилле-то претензий нет. Есть претензии к владельцам сайтов не чешущимся обновить сертификаты и которые явно не почешутся пока тот же ФФ60 не выйдет в релиз и у массы народа ВНЕЗАПНО отвалится уйма сайтов и еще претензии к удостоверяющим центрам, которые как выясняется занимаются непойми чем.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #31

37. Сообщение от Аноним (-), 02-Мрт-18, 00:04	+1 +/–
только вот народец пошел нынче неграмашный, и многие подписывальщики сертификатов предлагают заодно и сгенерить все необходимые файлы. Админ в здравом уме, конечно, такой услугой пользоваться не будет. Но.....
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #32 Ответы: #38

38. Сообщение от Аноним (-), 02-Мрт-18, 09:53	+1 +/–
В дополнение к "поколению Ubuntu" админить пошло "поколение systemd". То ли еще будет, хе-хе.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #37

39. Сообщение от drTr0jan (?), 03-Мрт-18, 04:34	+/–
Андроид (и не только) не умеет пользовательскими инструментами генерировать закрытый ключ и формировать CSR.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10 Ответы: #40