Google предупредил о скором прекращении доверия ко всем сертификатам WoSign и StartCom

08.07.2017 08:20

Компания Google предупредила, что начиная с выпуска Chrome 61, который ожидается в середине сентября, будет полностью прекращено доверие к сертификатам, выданным удостоверяющими центрами WoSign и StartCom. Речь ведётся о сертификатах, выданных до 21 октября 2016 года, срок действия которых ещё не истёк (более новые сертификаты были заблокированы в прошлом году).

В Chrome 57 частично уже было прекращено доверие к старым сертификатом, но для сайтов, входящих в первый миллион по рейтингу Alexa, было сделано исключение. Теперь белый список будет убран и блокировка будет повсеместной. Что касается Mozilla, то начиная с Firefox 51 введено ограничение для новых сертификатов WoSign и StartCom, но поддержка сертификатов, выданных до 21 октября 2016 года, пока сохранена.

Напомним, что в прошлом году представители Mozilla выявили ряд серьёзных нарушений в работе WoSign и StartCom. В ответ компания WoSign инициировала аудит, работу по устранению замечаний и повышению безопасности своей внутренней инфраструктуры, а также начала процесс получения новых корневых сертификатов. Из нарушений можно отметить:

Игнорирование предписания, регламентирующего деятельность удостоверяющих центров, запрещающего использовать при создании сертификатов алгоритм SHA-1 с 1 января 2016 года (WoSign выписывал сертификаты с SHA-1 задним числом);
Получение контроля за другим удостоверяющим центром (StartCom) без раскрытия сведений о совершённой сделке;
Халатное отношение к безопасности, в частности применение устаревших версий сетевых приложений, без надлежащей установки обновлений (используемый на DNS-сервере пакет Bind последний раз обновлялся в 2011 году и содержит 19 неисправленных уязвимостей).
Зафиксирован инцидент, в результате которого была произведена выдача постороннему лицу сертификата для одного из доменов GitHub.

исправить +9 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/46823-wosign

Ключевые слова: wosign, startcom, ssl, https, chrome

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (40)

1.1, A.Stahl (ok), 08:49, 08/07/2017 [ответить] [﹢﹢﹢] [ · · · ]	+12 +/–
>Google предупредил о скором прекращении доверия Тю, я никогда им не доверял. И Гуглу я тоже не верю.

2.5, Аноним (-), 10:06, 08/07/2017 [^] [^^] [^^^] [ответить]	+10 +/–
Факт твоего недоверия гуглу ничего не меняет. Факт недоверия гугла таким-то УЦ меняет все.

3.6, A.Stahl (ok), 10:13, 08/07/2017 [^] [^^] [^^^] [ответить]	+11 +/–
Для меня факт моего недоверия Гуглу меняет во много раз больше, чем факт недоверия Гугла какому-то там УГ.

4.7, AS (??), 10:20, 08/07/2017 [^] [^^] [^^^] [ответить]	+/–
>>>прошлом году представители Mozilla выявили ряд серьёзных нарушений в работе WoSign и StartCom а ээээ причём тут гугла то ?

5.13, z (??), 11:41, 08/07/2017 [^] [^^] [^^^] [ответить]	+/–
В подьезде гадит часто

4.17, Pofigist (?), 12:25, 08/07/2017 [^] [^^] [^^^] [ответить]	–3 +/–
Вы работаете в АНБ?

5.22, Аноним (-), 14:10, 08/07/2017 [^] [^^] [^^^] [ответить]

+1 +/–

> Вы работаете в АНБ?

Для того, чтобы не жрать абсолютно все что дают и не пользоваться поисковиком и сервисами гугла, теперь уже нужно работать в АНБ?

6.31, Pofigist (?), 17:59, 08/07/2017 [^] [^^] [^^^] [ответить]	+/–
А пардон - я невнимательно вас прочитал и неправильно понял смысл фразы.

4.44, Аноним (-), 10:18, 09/07/2017 [^] [^^] [^^^] [ответить]	–1 +/–
Продолжай держать нас в курсе, всем интересно.

3.12, Аноним (-), 11:35, 08/07/2017 [^] [^^] [^^^] [ответить]	–1 +/–
Для хромогов — безусловно. Впрочем, потомственному турку плевать на недочеловеков.

2.11, Аноним (-), 11:29, 08/07/2017 [^] [^^] [^^^] [ответить]	+4 +/–
> я никогда им не доверял Из системы их корневые сертификаты давно снёс?

3.50, Snaut (ok), 09:02, 18/07/2017 [^] [^^] [^^^] [ответить]	+/–
>> я никогда им не доверял > Из системы их корневые сертификаты давно снёс? так а толку. Все равно прилетят с очередным обновлением. и правильно сделает

2.16, Аноним (-), 12:05, 08/07/2017 [^] [^^] [^^^] [ответить]	+2 +/–
А какими действиями выражается ваше личное недоверие к гуглу и wosign? Вы самостоятельно удаляете их сертификаты со своего компьютера после каждого обновления пакета с сертификатами?

3.43, Аноним (-), 02:24, 09/07/2017 [^] [^^] [^^^] [ответить]	+/–
Не использую их у себя на сайтах? Смотрю на сертификаты в браузерах?

2.19, СМЕВРАП (?), 13:35, 08/07/2017 [^] [^^] [^^^] [ответить]	–2 +/–
Ага, ага Граждане, храните сертификаты в блокчейне эмеркоина !

3.32, AS (??), 18:20, 08/07/2017 [^] [^^] [^^^] [ответить]	+1 +/–
в сберкассе же !

1.8, Вася (??), 10:26, 08/07/2017 [ответить] [﹢﹢﹢] [ · · · ]	+7 +/–
А американский Comodo, который тоже подписывал сертификаты для мошенников, почему-то не банится. Странно...

2.9, Аноним (-), 10:42, 08/07/2017 [^] [^^] [^^^] [ответить]	+3 +/–
Люди с гибкой моралью.

3.10, EuPhobos (ok), 11:20, 08/07/2017 [^] [^^] [^^^] [ответить]	+4 +/–
Зелёная, гибкая и толстая пачка.. морали.

4.20, Аноним (-), 13:41, 08/07/2017 [^] [^^] [^^^] [ответить]	–2 +/–
Даже боюсь представить толщину пачки морали для гугла. Наверное земной шар можно опоясать.

5.27, Аноним (-), 16:38, 08/07/2017 [^] [^^] [^^^] [ответить]	+1 +/–
Это делается бесплатно - визит одного товарищмайора из АНБ в офис гугла.

6.29, Аноним (-), 17:08, 08/07/2017 [^] [^^] [^^^] [ответить]

+3 +/–

> Это делается бесплатно - визит одного товарищмайора из АНБ в офис гугла.

Во-первых, такие вопросы решаются не при визитах, а при совместной игре в гольф.
Во-вторых, тамошний товарищмайор разве что клюшки за обсуждающими сторонами таскать будет - рангом не вышел.
В-третьих, начиная с определенного уровня никто не предлагает деньги -- предлагают услуги или возможность эти деньги заработать. Ну там, прочесть лекции по излюбленной теме анонимов опеннета "как надо правильно то-то и то-то", но за десяток тыщь за штуку. Получить кредит на очень выгодных условиях. Выиграть тендер или получить выгодный заказ.

7.45, Аноним (-), 11:08, 10/07/2017 [^] [^^] [^^^] [ответить]	+2 +/–
> предлагают услуги или возможность эти деньги заработать. точнее намекают на возможные репутационные риски, неудобные иски от уборщиц в отелях (можно к примеру перед встречей в ресторане открыть архивную газету с заголовком про Стросс-Кана заголовком к собеседнику) и т.п.

2.23, bircoph (ok), 15:21, 08/07/2017 [^] [^^] [^^^] [ответить]	+/–
too big to fail? или количество нулей в откате too big to fail?

2.24, A.Stahl (ok), 15:44, 08/07/2017 [^] [^^] [^^^] [ответить]	+1 +/–
Может потому что эти были единичные эпизоды из которых были сделаны выводы?

3.34, Аноним (-), 19:04, 08/07/2017 [^] [^^] [^^^] [ответить]	–1 +/–
Нет, просто выпускали для кого надо, а не бесконтрольно. Цивилизация, а не китайщина!

2.33, mimocrocodile (?), 18:29, 08/07/2017 [^] [^^] [^^^] [ответить]	+1 +/–
А конкретнее? Вот тут например ничего такого не упоминается, только халатность, но за это пермабан не дают: https://git.cryto.net/joepie91/ca-incidents#comodo

1.15, Аноним (-), 12:03, 08/07/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Давно надо было выкинуть все государственные сертификаты, а также сертификаты УЦ, находящихся под юрисдикцией и/или на территории "суверенно-демократических" государств.

2.46, Аноним (-), 11:09, 10/07/2017 [^] [^^] [^^^] [ответить]	+/–
> Давно надо было выкинуть все государственные сертификаты, а также сертификаты УЦ, находящихся > под юрисдикцией и/или на территории "суверенно-демократических" государств. Естественно, а так-же сертификаты корпораций :)

1.25, Аноним (-), 15:52, 08/07/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Mozilla предупредила о скором прекращении доверия к Chrome - https://www.seroundtable.com/photos/big-browser-is-watching-24094.html

2.26, Аноним (-), 16:09, 08/07/2017 [^] [^^] [^^^] [ответить]	+2 +/–
В лучшие свои времена они бы себе такой позорной лузерской рекламы не позволили бы.

2.30, Аноним (-), 17:39, 08/07/2017 [^] [^^] [^^^] [ответить]	+1 +/–
Ага, в свой бы лучше бровзер заглянули. Задолбаешься вычищать из конфига всякие урлы, куда чего-то отсылается.

3.38, Аноним (38), 19:13, 08/07/2017 [^] [^^] [^^^] [ответить]	+/–
> Задолбаешься вычищать из конфига Нужно запретить как в Chrome?

2.36, Аноним (-), 19:05, 08/07/2017 [^] [^^] [^^^] [ответить]	+1 +/–
> Mozilla предупредила о скором прекращении доверия к Chrome - https://www.seroundtable.com/photos/big-browser-is-watching-24094.html Аноним предупредил анонима о прекращении доверия к COMODO RSA Domain Validation Secure Server CA

1.37, www2 (ok), 19:13, 08/07/2017 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Мягкая сила. Китаю США никогда не простят того, что простят себе.

2.42, Crazy Alex (ok), 20:31, 08/07/2017 [^] [^^] [^^^] [ответить]	–1 +/–
И правильно, в общем-то. По всем статьям.

1.40, михалыч (ok), 19:25, 08/07/2017 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Да уж.. Верить, в наше время, нельзя никому. Порой даже, самому себе. Мне - можно.(С)))

2.48, AnPoz (ok), 08:49, 12/07/2017 [^] [^^] [^^^] [ответить]	+/–
Остап Ибрагимович!

1.47, Аноним (-), 09:02, 11/07/2017 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Хм а ведь удобно было за пару пару минут получить нормальный сертификат бесплатно для скромных личных нужд. Без такого частого обновления этого сертификата и сопровождающих это ограничений, как с letscript. Которому, похоже, также могут внезапно перестать доверять.

2.49, . (?), 10:36, 12/07/2017 [^] [^^] [^^^] [ответить]

+/–

> как с letscript.
> Которому, похоже, также могут внезапно перестать доверять.

не могут, "это кого надо нога".

игнорирование участников | лог модерирования

Добавить комментарий

Текст: