Грядущие изменения в сертификатах TLS: удаление поля OU, сокращение сроков, ротация центров, автоматизация

[skyblade]

Правильно ли я понимаю, что теперь устройства и программы, которые по каким-то причинам остались без сопровождения и не получают обновления сертификатов, будут превращаться в тыкву не через 7-10 лет как ранее, а через полгода?

[selivanov_pavel]

Я так понял, тут речь о пользовательских сертификатах, корневые сертификаты удостоверяющих центров должны жить дольше.

[Balling]

Нет, речь о промежуточных центрах, которые также хранятся в системе, как и корни.

[Pinkbyte]

Уверены? В HTTPS цепочку промежуточных сертификатов отдают с сервера. Исключения могут быть только для кросс-сертификации УЦ, но на то оно и исключение...

[yellowmew]

ну, собственно, если посмотреть на новость от глобалсайна на которую ссылаются в статье https://support.globalsign.com/atlas/atlas-tls/atlas-tls-ica-rotations-2021 и посмотреть какие сертификаты будут обновлены - речь о промежуточных центрах.

Теперь при замене сертификатов на серверах надо будет думать еще и об обновлении цепочки

[EVolans]

Откуда 7-10 лет? И не вижу никаких проблем в том что не обслуживаемо нечто, которое должно вызывать у пользователей "доверие" по факту ни кем 10 лет не осблуживается. Да и не совсем понятно, если настроено автоматическое автопродление сертификатов, то может так же нпродолжать никем не обслуживаться как и раньше. Разница только в актуальных реквизитах владельца домена, а это дыра в безопасности как бы.
Это как эцп юрлица которое уже 10 лет не существует, а эцп действует, не отозвано и кто то ее использует для махинаций.

[batyrmastyr]

И не вижу никаких проблем в том что не обслуживаемо нечто, которое должно вызывать у пользователей "доверие" по факту ни кем 10 лет не осблуживается.

А как же NAS и интернет вещей, который снимают с поддержки года через два после выпуска?

[EVolans]

А они тут причем? Вы помоему сильно путаетесь в понятиях.

[DaemonGloom]

Потому что они тоже пытаются подключаться к разным сервисам, в том числе и через SSL. И если раньше они ломались, когда менялся сертификат с долгим сроком жизни, сейчас это точно произойдёт быстрее.
Те же NAS вполне могут использоваться долго, как и разнообразные устройства типа sonoff.

[Gutt]

Боюсь, придётся заруливать их на прокси с MitM, если получится запихнуть в них свой корневой сертификат.

[svkreml]

Ну по идее это может решаться добавлением штампов доверенного времени (TSP)

[Busla]

Если вы способны разместить файл в определённом каталоге веб-сайта, это «демонстрирует» контроль над доменом.

...или над каналом связи

Но подождите: сертификаты же потому и придумали, что мы не доверяем каналам связи.

[navferty]

В общем случае задача не имеет решения, вспоминается Задача двух генералов

[Balling]

В принципе мне казалось в обычном случае используется TXT запись в DNS. А там уже возможны варианты: DNSSEC для верификации TXT, и DoT для защищенного канала, хотя последнее не обязательно, конечно.

[ifap]

Эм, но MitM же не знает, ни правильного имени файла, ни его содержимого, т.е. он ничего не получит ни от перехвата запроса, ни от перехвата ответа, т.к. проверка содержимого файла осуществляется в ЦС.

[ivan386]

А если он сам инициирует выпуск сертификата и соответсвенно получит и имя файла и содержимое которое ему нужно будет отдать центру сертификации? MitM это не только пассивный перехват но и подмена и блокировка.

[ifap]

Таки да :( на это можно ответить только CAA, но Вы же возразите, что и там можно подделать запрос/ответ, и будете правы ;)

[gameplayer55055]

Ну может это к лучшему. Пользуюсь летсенкриптом, у меня провайдер заблочил 80 порт, а 443 открыт. Ну я через alpn их получаю автоматически и кустарно

А смысл от платных сертификатов, если они ничем не будут лучше халявных?