Comments 58
Утрата доверия также затронет сертификаты удостоверяющих центров GeoTrust, Thawte и RapidSSL, которые были связаны цепочкой доверия с корневым сертификатом Symantec.
А с ними что будет?
Я думал, что они — тоже корневые центры. :)
Поддерживаю.
Очень интересно, что дальше-то?
Вот поставили недавно от thawte (и не бюджетно оно), а тут такая новость.
Очень интересно, что дальше-то?
Вот поставили недавно от thawte (и не бюджетно оно), а тут такая новость.
«Январь. Найти чернил и плакать»
А на деле — думаю, какой-то процесс они придумают, чтобы приличная доля клиентов не осталась ни с чем. Ведь при этом, клиенты эти следующие сертификаты купят (или получат) у других CA, и пользовательскую базу Symantec потеряет раз и навсегда.
Кстати, очень любопытно: Symantec давал финансовые гарантии при покупке сертификатов, так вот этот случай (а здесь головотяпство именно со стороны CA) подпадает? Если да, то не расплатятся, так что им кровь из носа надо все решить миром и как можно меньше напрягая клиентов.
А на деле — думаю, какой-то процесс они придумают, чтобы приличная доля клиентов не осталась ни с чем. Ведь при этом, клиенты эти следующие сертификаты купят (или получат) у других CA, и пользовательскую базу Symantec потеряет раз и навсегда.
Кстати, очень любопытно: Symantec давал финансовые гарантии при покупке сертификатов, так вот этот случай (а здесь головотяпство именно со стороны CA) подпадает? Если да, то не расплатятся, так что им кровь из носа надо все решить миром и как можно меньше напрягая клиентов.
UFO just landed and posted this here
Google также рассматривал возможность блокировки в октябрьском и декабрьском выпусках Chrome 62 и 63, но отложил блокировку до Chrome 66, приняв во внимание пожелания отрасли.«Отрасль» против.
В корпорациях больше времени уйдёт на согласования. Интереснее выглядит позиция MS, которая настойчиво не замечает проблем — видимо хорошо заносят за добавление CA в Windows.
да и недешёвое удовольствие:
https://www.firstssl.ru/ssl/symantec
https://www.firstssl.ru/ssl/symantec
Ну на сайтах в зоне .ru покупать американские сертификаты будет накладнее, но даже один из самых дешевых реселлеров gogetssl.com продает добро от Symantec весьма недешево. На сайте Symantec цены мало что будут чуть не на треть выше, так еще и стыдливо не показываются, помечаясь лишь как «от такой-то суммы» — и эта цена будет за год при покупке сертификата на много лет.
В общем, одни лукавят на голом месте и активно (и не всегда честно — я про Symantec) продают воздух и (по идее) труд клерков по проверке за весьма негуманные деньги, другие ведутся на высокую цену и на финансовые гарантии (а они, на секундочку, для какого-нибудь Symantec Secure Site Pro EV составляют $1.75M, которые (уверен) в таком вот случае глобального алеса никто и не подумает выплатить) и покупают с мыслью «дорого, но хот надежно!». Театр абсурда!
В общем, одни лукавят на голом месте и активно (и не всегда честно — я про Symantec) продают воздух и (по идее) труд клерков по проверке за весьма негуманные деньги, другие ведутся на высокую цену и на финансовые гарантии (а они, на секундочку, для какого-нибудь Symantec Secure Site Pro EV составляют $1.75M, которые (уверен) в таком вот случае глобального алеса никто и не подумает выплатить) и покупают с мыслью «дорого, но хот надежно!». Театр абсурда!
продавать воздух тоже уметь нужно :)
Не удержусь:
Вот как у Symantec-а получается продавать такой фуфло с такими надутыми щеками — это же прямо черная магия! А точнее, конечно, просто искусство выдавать желаемое за действительное. И ведь корпоратив ведется (из частных лиц такой товар да по таким ценам мало, думаю, кто купит)!
− Вот, граждане, мы с вами видели случай так называемого массового гипноза. Чисто научный опыт, как нельзя лучше доказывающий, что никаких чудес и магии не существует. Попросим же маэстро Воланда разоблачить нам этот опыт. Сейчас, граждане, вы увидите, как эти, якобы денежные, бумажки исчезнут так же внезапно, как и появились.
Тут он зааплодировал, но в совершенном одиночестве, и на лице при этом у него играла уверенная улыбка, но в глазах этой уверенности отнюдь не было, и скорее в них выражалась мольба.
Публике речь Бенгальского не понравилась. Наступило полное молчание, которое было прервано клетчатым Фаготом.
− Это опять-таки случай так называемого вранья, − объявил он громким козлиным тенором, − бумажки, граждане, настоящие!
Вот как у Symantec-а получается продавать такой фуфло с такими надутыми щеками — это же прямо черная магия! А точнее, конечно, просто искусство выдавать желаемое за действительное. И ведь корпоратив ведется (из частных лиц такой товар да по таким ценам мало, думаю, кто купит)!
UFO just landed and posted this here
имхо, для корпоративной среды лучше Касперский, хотя и НОД неплохо справляется, но тут решать руководству, либо главному админу
Знаете, глядя на качество их «кода», я никак не могу взять в толк: их технологии вообще какое-то отношение к доле рынка имеют отношение? Куда не ткни, везде такой позор…
Вроде как их антивирус в корп. Я сетях для галочки ставят
Не могли бы Вы развить мысль? Т.е. это бла-бла, или есть какие-то факты? Интерес не праздный — давно ищу повод сменить корпоративный AV с текущего SEP на что-то другое (смотрю в сторону Касперского) — но повод нужен весомый, т.к. куплена лицензия на много компов на несколько лет, поэтому, чтобы принять решение потерять деньги — нужно очень хорошо обосновать.
С другой стороны, не раз видел ситуацию с письмами — приходит «классический» спам с аттачем Invoice.pdf (у нас тут в Германии «локализация» — тут приходит обычно Rechnung.pdf) — открываю письмо в Outlook на рабочем компе (просто double-click) с установленным SEP — никакой реакции, делаю тоже самое дома (с установленным KIS) — та-даа, окна, предупреждения, аттач автоматом вырезается из письма и т.д. — в общем, нормальная реакция. Проходит пару дней — тут и SEP подтягивается, и тоже начинает ловить это же письмо на работе. И такое я видал не раз и не два. Правда, признаю, поленился, надо было аттач на VirusTotal'е проверять каждый раз, чтобы видеть статистику по оперативности добавления в базы разных вендоров.
С одной стороны, их несколько раз (раз, два) ловили на самых неприятных моментах в коде, что только можно представить (другими словами — они использовали для работы своего ПО такие «костыли», которые при первой возможности, а лучше в момент проектирования, надо было отбросить и сделать все культурно), с другой — практика засовывания навязывания продуктов Norton одно время была чрезвычайно распространена (мне, скажем, постоянно попадались то ноутбуки, то материнки или ПК с предустановленной копией их антивируса с лицензией trial), что наводит на мысли о том, как он свою долю рынка получил и удерживал.
Конечно, мы говорим об антивирусе, который лишь часть активов большой корпорации. Но пока складывается впечатление, что корпорация больше не за имидж, а за деньги переживает. Что не удивительно, но что обещает аудит кода антивируса только после крайне скандальных событий.
Корпоративный мир, как я понимаю, ставит Norton из-за своей консервативности (ставили давно, поставим и на этот год), плюс у них есть средства администрирования. Иногда можно даже видеть статьи, что Symantec расковырял очередного зловреда. Так что чем они лучше или хуже Каспера по качеству и надежности кода — сказать трудно. По скорости обновления — да, Каспер как будто лучше.
P.S. Да, был еще забавный случай, когда Symantec отказался спецслужбам выдать исходники на проверку — но мы понимаем, какая это ерунда (и исходники можно выдать «не те», и выдача эта как-то не имеет громко известного обязательного характера). С другой стороны, я лично никогда не слышал, чтобы Каспер выдавал кому-то (или, наоборот, кому-то отказал) из любой страны хотя бы код от модуля размером с «Сапер». Я упоминаю об этом, только чтобы намекнуть, что устройство антивирусов волнует не только корпорации, и кухня там может быть быть совершенно непонятной.
Конечно, мы говорим об антивирусе, который лишь часть активов большой корпорации. Но пока складывается впечатление, что корпорация больше не за имидж, а за деньги переживает. Что не удивительно, но что обещает аудит кода антивируса только после крайне скандальных событий.
Корпоративный мир, как я понимаю, ставит Norton из-за своей консервативности (ставили давно, поставим и на этот год), плюс у них есть средства администрирования. Иногда можно даже видеть статьи, что Symantec расковырял очередного зловреда. Так что чем они лучше или хуже Каспера по качеству и надежности кода — сказать трудно. По скорости обновления — да, Каспер как будто лучше.
P.S. Да, был еще забавный случай, когда Symantec отказался спецслужбам выдать исходники на проверку — но мы понимаем, какая это ерунда (и исходники можно выдать «не те», и выдача эта как-то не имеет громко известного обязательного характера). С другой стороны, я лично никогда не слышал, чтобы Каспер выдавал кому-то (или, наоборот, кому-то отказал) из любой страны хотя бы код от модуля размером с «Сапер». Я упоминаю об этом, только чтобы намекнуть, что устройство антивирусов волнует не только корпорации, и кухня там может быть быть совершенно непонятной.
С другой стороны, я лично никогда не слышал, чтобы Каспер выдавал кому-то (или, наоборот, кому-то отказал) из любой страны хотя бы код от модуля размером с «Сапер».
Касперский в блоге пишет:
При этом я не вижу заинтересованности в прояснении вопроса: мы предложили любое содействие, вплоть до раскрытия исходных кодов и официального свидетельства перед уважаемым жюри. Но предложение осталось без ответа.
пруф
Стоит отметить, что Symantec ещё 12 июля разослал инструкции по тому, как бесплатно перевыпустить сертификаты, выпущенные до 2016 года, чтобы предупреждение не появлялось.
Вы не дадите ссылку на такую инструкцию, чтобы я в пост включил?
Инструкция простая — выполнить штатный перевыпуск. При заказе напрямую это делается на сайте, при заказе через партнёра можно перевыпустить на сайте партнёра или на централизованном https://products.websecurity.symantec.com/orders/orderinformation/authentication.do (работает и для rapidssl/geotrust/thawte).
Вот только в интернете вообще никаких деталей не пишут про GeoTrust, Thawte и RapidSSL. Каким образом это затронет их?
Если к ним будет такое же отношение как и к Symantec, то в интернете фактически не останется популярных удостоверяющих центров кроме Comodo и Digicert.
В начале этого года все истекшие сертификаты (в основном rapidssl) поменяли на комодо, от греха подальше, но для пары сайтов требуется та самая показушная безопасность, которой комодо похвастать не может.
кроме Comodo и Digicert.
Вы хотели сказать — кроме Comodo и Let's Encrypt.
GlobalSign на пятом месте по популярности, Let's Encrypt на втором. Ещё между ними GoDaddy есть.
(Ну и Symantec был между ними, который ой).
Let's encrypt на втором потому что кучу клонов paypal и facebookов (типо paypall) надо тоже снабжать сертификатами…
Ни одна более-менее большая контора не будет использовать let's encrypt, если хоть сколько-нибудь следит за своим имиджем.
Godaddy тоже не шибко популярен а мировых масштабах.
Ну, имидж. Вот, Symantec-ом пользовались же!
А если серьезно, 1) кто из посетителей смотрит, кто выдал серт? и 2) кто из «больших ребят» откажется выдать хоть EV-сертификат на pavpal.com (не paypal, обратите внимание) полулевой конторе, если да занесет денежку (а для EV приложит хоть какие-то бумажки на подобное имя)? Деньги победят, уверен, просто не всякие скамеры будут брать дорогие серты у крупных игроков, когда можно в LE пойти, это да.
Я к тому, что имидж может и есть как понятие, но кто на него смотрит, кроме спецов? А верить, что очередной крупный игрок нигде планку не приспустит — можно, конечно, но доверять на 100% этой выдумке не стоит.
А если серьезно, 1) кто из посетителей смотрит, кто выдал серт? и 2) кто из «больших ребят» откажется выдать хоть EV-сертификат на pavpal.com (не paypal, обратите внимание) полулевой конторе, если да занесет денежку (а для EV приложит хоть какие-то бумажки на подобное имя)? Деньги победят, уверен, просто не всякие скамеры будут брать дорогие серты у крупных игроков, когда можно в LE пойти, это да.
Я к тому, что имидж может и есть как понятие, но кто на него смотрит, кроме спецов? А верить, что очередной крупный игрок нигде планку не приспустит — можно, конечно, но доверять на 100% этой выдумке не стоит.
Совершенно согласен. Будь у меня своя контора, только LE бы и пользовался. Но решения принимают другие люди, для которых даже призрачные шансы потери имиджа важны. И для которых большое имя типа verisign, которое у всех на слуху, важнее самой сути сертификатов.
Ну и не забываем про красивую наклейку на сайт, типа "подтверждено", которую дают дорогие сертификаты
Мне очень нравится, что, платя лишние $N, люди получают право повесить красивую печать, причем нигде не сказано, что нельзя повесить схожую печать, не делая такой доплаты. Это я к тому, что любителям обвешивать сайты миллионом баннеров и меток можно обзавестись кружочком «Этот сайт безопасен» ровно по цене работы дизайнера, но на это «право» кто-то ведется.
Собственно, я бы сейчас с большим уважением отнесся к «печати» со словами «Защищена Let's Encrypt», чем, простите, «Защищено Symantec». Вторую можно, конечно, сделать менее грустной, если в конце текста дописать вопросительный знак, но это уже не про большой бизнес, правда?
А про «больших ребят» — я так понимаю, они ведутся на имена, которые годами слышат в индустрии (точнее, в газетах — это же финансисты, а не ИТ-ники), и на то, что «ими же пользуется компания N» (компаний безусловно известная в их области), и им, получаем в остатке, «безопасность» как таковая не столь важна, как сам факт, что мы используем то же, что и все.
Будем надеяться, что LE не накосячат за ближайшие годы по-крупному, и будут на слуху достаточно, чтобы и их начали уважать по принципу «они давно работают». Надеяться, что Symantec станет лучше, сложно, но что станет, что не станет — рынку только лучше (если не станет, просто клиентов у LE в результате прибавится).
LE бы, конечно, открыть какой-то bussiness tier, для тех, кто любит побогаче. И будет выглядеть, что они надежны, но что для людей с улицы у них есть так, ерунда, бесплатный сервис, тогда как для серьезный людех —барабаны отличный сервис энтерпрайз уровня. Если люди хотят отдавать деньги, но иметь некие энтерпрайз плюшки — надо им их предложить!
Собственно, я бы сейчас с большим уважением отнесся к «печати» со словами «Защищена Let's Encrypt», чем, простите, «Защищено Symantec». Вторую можно, конечно, сделать менее грустной, если в конце текста дописать вопросительный знак, но это уже не про большой бизнес, правда?
А про «больших ребят» — я так понимаю, они ведутся на имена, которые годами слышат в индустрии (точнее, в газетах — это же финансисты, а не ИТ-ники), и на то, что «ими же пользуется компания N» (компаний безусловно известная в их области), и им, получаем в остатке, «безопасность» как таковая не столь важна, как сам факт, что мы используем то же, что и все.
Будем надеяться, что LE не накосячат за ближайшие годы по-крупному, и будут на слуху достаточно, чтобы и их начали уважать по принципу «они давно работают». Надеяться, что Symantec станет лучше, сложно, но что станет, что не станет — рынку только лучше (если не станет, просто клиентов у LE в результате прибавится).
LE бы, конечно, открыть какой-то bussiness tier, для тех, кто любит побогаче. И будет выглядеть, что они надежны, но что для людей с улицы у них есть так, ерунда, бесплатный сервис, тогда как для серьезный людех —
Ну и не забываем про красивую наклейку на сайт, типа "подтверждено", которую дают дорогие сертификаты
Let's encrypt на втором потому что кучу клонов paypal и facebookов (типо paypall) надо тоже снабжать сертификатами…
Нет, это далеко не причина.
Бесплатные сертификаты давно были, и на фишинговые сайты тоже сертификаты давно были. Let's Encrypt сделал сертификаты удобными для всех, и все, включая обычных сайтовладельцев и включая фишеров, предпочитают удобство, поэтому и переползают на летсенкрипт.
Godaddy тоже не шибко популярен а мировых масштабах.
Да, он не шибко популярен, но популярнее Digicert.
Когда уже введут технологию, что для HTTPS требуется проверять сразу ДВА сертификата от разных CA?
Почему два, а не пять?
Думаю, вводить нужно потихоньку, для начала 2–3 точно хватит, всё-таки чем больше требование, тем больше геморроя владельцам сайтов. Раньше нужно было получать 1 сертификат, а теперь 5 – как Вы себе это представляете =)
Для начала хватит и двух сертификатов, но при этом для НЕдоверенных CA при использовании кросс-подписи определение количества должно быть по первому доверенному CA в цепочке.
Те сайты, которые до сих пор продолжают пользоваться только одним сертификатом — помечать как плохо-доверенные. Спустя года 4 перестать пускать на такие сайты вообще (ситуация, похожая с SHA1). Такой большой срок выбран, чтобы не отпугнуть разработчиков сложностями с сертификатами.
Также сертификаты на компанию (OV SSL-сертификаты) должны считаться доверенными только когда домен дополнительно подписан минимум четырьмя обычными сертификатами. Суммарно компании придётся сделать 5 сертификатов: 1 OV и 4 обычных.
Для начала хватит и двух сертификатов, но при этом для НЕдоверенных CA при использовании кросс-подписи определение количества должно быть по первому доверенному CA в цепочке.
Те сайты, которые до сих пор продолжают пользоваться только одним сертификатом — помечать как плохо-доверенные. Спустя года 4 перестать пускать на такие сайты вообще (ситуация, похожая с SHA1). Такой большой срок выбран, чтобы не отпугнуть разработчиков сложностями с сертификатами.
Также сертификаты на компанию (OV SSL-сертификаты) должны считаться доверенными только когда домен дополнительно подписан минимум четырьмя обычными сертификатами. Суммарно компании придётся сделать 5 сертификатов: 1 OV и 4 обычных.
Конечно же, сайты будут иметь право получать больше сертификатов, чем требуется.
Даже более того — сайтам будет настоятельно рекомендоваться получать больше сертификатов, ведь в любой момент любой из CA может перестать быть доверенным в браузере. Чем больше сертификатов, тем выше надёжность, что сайт не отвалится в один из прекрасных дней.
Можно развить идею, и рядом со значком замка писать количество сертификатов. Это даёт дополнительную защиту: если на сайте банка всегда писало число 10, а потом вдруг стало 2, пользователь может почувствовать неладное.
Чтобы это число не колебалось, разработчик может искусственно занизить его, например, предоставить 5 доверенных сертификатов, но рядом с замком будет выводиться число 4. Тогда, если один из CA станет недоверенным, пользователь этого даже не заметит.
Даже более того — сайтам будет настоятельно рекомендоваться получать больше сертификатов, ведь в любой момент любой из CA может перестать быть доверенным в браузере. Чем больше сертификатов, тем выше надёжность, что сайт не отвалится в один из прекрасных дней.
Можно развить идею, и рядом со значком замка писать количество сертификатов. Это даёт дополнительную защиту: если на сайте банка всегда писало число 10, а потом вдруг стало 2, пользователь может почувствовать неладное.
Чтобы это число не колебалось, разработчик может искусственно занизить его, например, предоставить 5 доверенных сертификатов, но рядом с замком будет выводиться число 4. Тогда, если один из CA станет недоверенным, пользователь этого даже не заметит.
Думаю, что это все ерунда. Сертификат — это, для начала, необходимый компонент для организации защищенного канала связи, причем с сайтом, на который вы заходите, а не с MITM-товарищем по пути следования данных.
Два (а лучше — двадцать два сертификата) — это понты, ровно как прикрутить себе EV-сертификат сегодня. Да, «зеленый и там название написано», но из сколько посетителей из аудитории реального интернет-магазина или личного кабинета на сайте банка смогут подробно объяснить, что такое EV — как думаете, 1% хотя бы наберется? Так что циферка рядом с «замочком» в поле вывода адреса пользы особо не имеет, а вот то, что вместо вывода адреса все чаще стараются вывести либо title сайта, либо данные из его EV-сертификата — это, я думаю, «минус», а не «плюс» логике защиты от обдуривания посетителей.
Вот простой пример — введите в поиске гугла слово thunderbird или skype, и удивитесь, сколько сайтов пытаются сделать вид, что именно у них-то скачанное приложение — «официальное». При этом не гарантии, что вы там скачаете именно скайп, а не малварь. Когда вместо адреса выводится title, то и отличить, куда ты зашел, совсем будет никак.
Одна польза от нескольких сертификатов — что их можно будет добавить для надежности, на случай, если завтра Гуглу не понравится (кто там еще остался?) GoDaddy, и его серты перестанут считаться приличными, то хоть второй сертификат сможет не дать сайту встать намертво.
Но другой вопрос — может, сама система этого доверия имеет какие-то проблемы? Частная компания сочла действия Symantec неприличными — и намеками, а потом и тумаками, пытается что-то поправить. Но и до того Symnatec с высокой колокольни плевал на правила, раздавая права выписывать сертификаты (читай — приносить ему деньги) направо и налево. «Деньги не пахнут» в действии. Если копнуть, так, наверное, у каждого крупного CA есть свои скелеты в шкафу, только на одни скелеты Гугл обижается, а на другие — нет?
P.S. Вопрос, почему EV не бывает wildcard, наверное можно не задавать — да, его проверяют-проверяют, но проверяют в первую очередь владельца, и если тот подписывается, что в его зоне он хозяин, то почему не выпускать «зеленые» сертификаты и на *.домен.tld? Мне думается, деньги тут немалую роль имеют.
Два (а лучше — двадцать два сертификата) — это понты, ровно как прикрутить себе EV-сертификат сегодня. Да, «зеленый и там название написано», но из сколько посетителей из аудитории реального интернет-магазина или личного кабинета на сайте банка смогут подробно объяснить, что такое EV — как думаете, 1% хотя бы наберется? Так что циферка рядом с «замочком» в поле вывода адреса пользы особо не имеет, а вот то, что вместо вывода адреса все чаще стараются вывести либо title сайта, либо данные из его EV-сертификата — это, я думаю, «минус», а не «плюс» логике защиты от обдуривания посетителей.
Вот простой пример — введите в поиске гугла слово thunderbird или skype, и удивитесь, сколько сайтов пытаются сделать вид, что именно у них-то скачанное приложение — «официальное». При этом не гарантии, что вы там скачаете именно скайп, а не малварь. Когда вместо адреса выводится title, то и отличить, куда ты зашел, совсем будет никак.
Одна польза от нескольких сертификатов — что их можно будет добавить для надежности, на случай, если завтра Гуглу не понравится (кто там еще остался?) GoDaddy, и его серты перестанут считаться приличными, то хоть второй сертификат сможет не дать сайту встать намертво.
Но другой вопрос — может, сама система этого доверия имеет какие-то проблемы? Частная компания сочла действия Symantec неприличными — и намеками, а потом и тумаками, пытается что-то поправить. Но и до того Symnatec с высокой колокольни плевал на правила, раздавая права выписывать сертификаты (читай — приносить ему деньги) направо и налево. «Деньги не пахнут» в действии. Если копнуть, так, наверное, у каждого крупного CA есть свои скелеты в шкафу, только на одни скелеты Гугл обижается, а на другие — нет?
P.S. Вопрос, почему EV не бывает wildcard, наверное можно не задавать — да, его проверяют-проверяют, но проверяют в первую очередь владельца, и если тот подписывается, что в его зоне он хозяин, то почему не выпускать «зеленые» сертификаты и на *.домен.tld? Мне думается, деньги тут немалую роль имеют.
«Сертификат — часть для организации защищенного канала связи» — как раз про это я и говорю. В данный момент любой центр сертификации может выпустить сертификат на Ваш домен без Вашего ведома. Что очень и очень обидно — Вы никак не можете контролировать этот процесс. Когда же браузеры начнут требовать как минимум два доверенных центра сертификации, то взлом только одного CA ничего не даст.
«Два — это понты» — как раз таки наоборот. Предполагается, что браузер не будет пускать на сайт, который не предоставит хотя бы два сертификата.
«Циферка рядом с замочком пользы особо не имеет» — абсолютно согласен с Вами. Циферка идёт лишь как бонус, поэтому про неё и сказано в самом конце.
«Польза — что их можно добавить для надежности» — это как раз одна из причин. Только не двух сертификатов, а трёх, т. к. сам браузер будет требовать два и один запасной — суммарно три сертификата от разных CA.
«Symnatec с высокой колокольни плевал на правила» — Вы правы, это как раз одна из причин — моя система позволит более безболезненно наказывать такие CA, т. к. сайты будут иметь больше сертификатов, чем нужно, поэтому внезапная отмена доверия не поломает кучу сайтов.
«Два — это понты» — как раз таки наоборот. Предполагается, что браузер не будет пускать на сайт, который не предоставит хотя бы два сертификата.
«Циферка рядом с замочком пользы особо не имеет» — абсолютно согласен с Вами. Циферка идёт лишь как бонус, поэтому про неё и сказано в самом конце.
«Польза — что их можно добавить для надежности» — это как раз одна из причин. Только не двух сертификатов, а трёх, т. к. сам браузер будет требовать два и один запасной — суммарно три сертификата от разных CA.
«Symnatec с высокой колокольни плевал на правила» — Вы правы, это как раз одна из причин — моя система позволит более безболезненно наказывать такие CA, т. к. сайты будут иметь больше сертификатов, чем нужно, поэтому внезапная отмена доверия не поломает кучу сайтов.
«Сертификат — часть для организации защищенного канала связи» — как раз про это я и говорю. В данный момент любой центр сертификации может выпустить сертификат на Ваш домен без Вашего ведома. Что очень и очень обидно — Вы никак не можете контролировать этот процесс. Когда же браузеры начнут требовать как минимум два доверенных центра сертификации, то взлом только одного CA ничего не даст.
А как же HPKP, DANE (RFC 6698/7671), CAA (RFC 6844)? Если последние два пока слабо продвинулись, то HPKP поддерживали все браузеры.
Очевидно, пиннинг сертификата (HPKP) обладает значительными недостатками:
Но конечно же никто не мешает применять пиннинг совместно с моей идеей — эти две технологии будут только дополнять друг друга либо давать выбор, какую технологию использовать.
Про остальные две технологии ничего не скажу, т. к. не знаю, что это за технологии.
- Нельзя сменить CA.
- Если с твоим CA что-нибудь случится, можно сломать сайт.
- Если пользователь не заходил на сайт до этого или очистил браузер, пиннинг никак не поможет.
Но конечно же никто не мешает применять пиннинг совместно с моей идеей — эти две технологии будут только дополнять друг друга либо давать выбор, какую технологию использовать.
Про остальные две технологии ничего не скажу, т. к. не знаю, что это за технологии.
Вы читали rfc7469? Ну или https://developer.mozilla.org/en-US/docs/Web/HTTP/Public_Key_Pinning?
- Сменить ca там можно без каких-либо проблем. Сложно запретить конкретный ca, но это совершенно другая проблема.
- С чего вдруг? hpkp использует хэш публичного ключа, а не сертификата. Т.е. добавляете хэши основного и запасного публичных ключей, генерируете csr на базе основного, получаете на него сертификат. Сломался ca — выпускаете сертификат другого ca используя тот же приватный ключ и новый csr.
- TOFU — частая штука для таких вещей. Но когда пользователь уже получил заголовок — он будет проверять и репортить при подмене. Плюс, для желающих, есть report only версия заголовка.
Не знаете текущего состояния в области, но беретесь рассказывать всем как надо делать? Не лучший подход. Почитайте спеки. И про hpkp тоже.
А чем это поможет? От того, что работу будут выполнять два раздолбая вместо одного, её качество не повысится.
Допустим, есть два сертификата — от Thawte и Geotrust — и доверять в таком случае или нет? Они обе в одной лодке.
Допустим, есть два сертификата — от Thawte и Geotrust — и доверять в таком случае или нет? Они обе в одной лодке.
Я уже объяснил этот момент: доверять в зависимости от количества доверенных CA.
Например, если они оба используют кросс-подпись Symnatec, и ни один из них не является доверенным, то суммарное количество CA будет равняться 1, поэтому нет, не доверять (браузер вообще не пустит пользователя на такой сайт).
Если же браузер решил, что оба центра Thawte и Geotrust являются самостоятельными и оба заслуживают доверия, то да, тогда доверять.
Также браузер может объединять CA в группы, например, и Thawte, и Geotrust могут являться самостоятельными CA, но браузер знает, что они построены на одной инфраструктуре, поэтому при их совмещении сертификаты будут считаться как за один — тогда снова не доверять.
Например, если они оба используют кросс-подпись Symnatec, и ни один из них не является доверенным, то суммарное количество CA будет равняться 1, поэтому нет, не доверять (браузер вообще не пустит пользователя на такой сайт).
Если же браузер решил, что оба центра Thawte и Geotrust являются самостоятельными и оба заслуживают доверия, то да, тогда доверять.
Также браузер может объединять CA в группы, например, и Thawte, и Geotrust могут являться самостоятельными CA, но браузер знает, что они построены на одной инфраструктуре, поэтому при их совмещении сертификаты будут считаться как за один — тогда снова не доверять.
Ну ведь все равно к тому же вопросу придем: если сайту получается «не очень» доверять, что сделает простой юзер? Думаю, многие продолжат пользоваться сайтом, хотя самые внимательные и задумаются.
Сейчас тоже самое — если https не работает, пользователь либо пытается зайти на http, либо пытается проигнорировать все предупреждения. Тут уже вопрос к самому пользователю. Это не значит, что защиту не нужно повышать.
Кроме того, никто не отменял HSTS — данный заголовок запрещает игнорировать предупреждения сертификата. Проблема лишь в том, что если пользователь до этого ни разу не заходил на этот сайт или очистил браузер, то и заголовка у него не будет.
Кроме того, никто не отменял HSTS — данный заголовок запрещает игнорировать предупреждения сертификата. Проблема лишь в том, что если пользователь до этого ни разу не заходил на этот сайт или очистил браузер, то и заголовка у него не будет.
Вы уверены, что наличие HSTS запрещает игнорировать предупреждения браузера? Технология-то о другом.
А вот очистить браузез от полученного статуса HSTS для домена — вы пробовали? Очень неприятная и нудная процедура, это совсем не просто сброс кеша.
А вот очистить браузез от полученного статуса HSTS для домена — вы пробовали? Очень неприятная и нудная процедура, это совсем не просто сброс кеша.
«Вы уверены, что наличие HSTS» — в Firefox да, уверен. В других браузерах не могу точно сказать.
«Очистить браузер» — а я и не говорил, что это легко =) Под очисткой подразумевалось много чего: банально зашёл с другого устройства, переустановил систему, браузер, очистил профиль и т. д.
«Очистить браузер» — а я и не говорил, что это легко =) Под очисткой подразумевалось много чего: банально зашёл с другого устройства, переустановил систему, браузер, очистил профиль и т. д.
Кстати да, такое поведение, что пользователь лишается доступа к сайту — официально задокументировано.
Цитирую:
— Если безопасность соединения https не может быть проверена (в частности, если TLS-сертификат сервера не подписан доверенным ключом), будет показано сообщение об ошибке, и пользователь будет лишен доступа к сайту.[3]
Цитирую:
— Если безопасность соединения https не может быть проверена (в частности, если TLS-сертификат сервера не подписан доверенным ключом), будет показано сообщение об ошибке, и пользователь будет лишен доступа к сайту.[3]
Век живи — век учись. Раньше поведение было проще: зайти на сайт с HSTS, подписанный самовыписанным сертификатом, можно было, после подтверждения, что вы верите этому сертификату (т.е. как бы вы его и делали доверенным — для себя). Сейчас, значит, гайки закрутили?
Поймал себя на том, что с приходом LE все время захожу на страницы, где сертификаты доверенные. Максимум проблем видел — что сертификат от LE устарел (если кто-то протупил и не настроил автообновление корректно), но это другая ошибка (CA корректный, но время действия истекло).
Поймал себя на том, что с приходом LE все время захожу на страницы, где сертификаты доверенные. Максимум проблем видел — что сертификат от LE устарел (если кто-то протупил и не настроил автообновление корректно), но это другая ошибка (CA корректный, но время действия истекло).
UFO just landed and posted this here
http://investor.symantec.com/About/Investors/press-releases/press-release-details/2017/DigiCert-to-Acquire-Symantecs-Website-Security-and-Related-PKI-Solutions/default.aspx
Выглядит как спешно спихивают проблемный актив.
Выглядит как спешно спихивают проблемный актив.
Чем и является. На запах жаренного реакция должна быть даже во сне — да так оно, в сущности, и оказалось.
Продали имя, подразумевая еще и доверие к нему, а доверие восстанавливать должен теперь новый владелец.
Продали имя, подразумевая еще и доверие к нему, а доверие восстанавливать должен теперь новый владелец.
Самое смешное, что DigiCert пишут на своем сайте, что не выдают Domain Validated и вообще дешевые сертификаты, а «играют» только серьезно:
Интересно, как их позиция изменится сейчас? Или они юридически оформят все так, что «они» все еще не будут этого делать, а вот Symantec со своими брендами — будет, но он будет как бы чуть независимым?
И еще раз — а кто смотрит на CA, заметив, что сайт доступен по https? Судя по опросу в посте, не все, так что репутация вроде как не самый важный параметр для посетителей.
Пишут-то правильные вещи, если про репутацию
At DigiCert, we believe that the drawbacks of issuing domain validated certificates far outweigh the benefits.
DV SSL certificates are extremely easy to obtain, and provide little value that could not be provided by a self-signed certificate that could be created by anyone on any server for absolutely no cost at all. Although domain validation is a very valid part of our validation process, it is only one of many checks and verification controls in place.
Evidence seems to suggest that many dangers of phishing attacks could be prevented by increased implementation and awareness of EV SSL certificates. Because EV certificates provide enhanced authentication and would be much more difficult to fraudulently obtain, and because of the additional visual cues provided to website users, extended validation provides more phishing deterrent than any kind of digital certificate previously available.
We strongly recommend that site administrators interested in maintaining the integrity of their own websites and increasing consumer awareness for online security switch to EV SSL certificates.
DV SSL certificates are extremely easy to obtain, and provide little value that could not be provided by a self-signed certificate that could be created by anyone on any server for absolutely no cost at all. Although domain validation is a very valid part of our validation process, it is only one of many checks and verification controls in place.
Evidence seems to suggest that many dangers of phishing attacks could be prevented by increased implementation and awareness of EV SSL certificates. Because EV certificates provide enhanced authentication and would be much more difficult to fraudulently obtain, and because of the additional visual cues provided to website users, extended validation provides more phishing deterrent than any kind of digital certificate previously available.
We strongly recommend that site administrators interested in maintaining the integrity of their own websites and increasing consumer awareness for online security switch to EV SSL certificates.
Интересно, как их позиция изменится сейчас? Или они юридически оформят все так, что «они» все еще не будут этого делать, а вот Symantec со своими брендами — будет, но он будет как бы чуть независимым?
И еще раз — а кто смотрит на CA, заметив, что сайт доступен по https? Судя по опросу в посте, не все, так что репутация вроде как не самый важный параметр для посетителей.
Друзья!
Попробуем и мы, вставить свои 5-ть копеек :)
Идет достаточно «грязная» игра в стиле «Американских партнеров» по разделу рынка. Да, Symantec обвинили в том, что были выданы сертификаты без должной проверки, и в этом есть вина. Однако данные сертификаты выпускали их сторонние агенты, а не сам Symantec, хотя допускать к выдаче сертификаты без пере-проверки не грамотно.
Напомним, что уже не раз центры сертификации попадают под раздачу, но в случае с Symantec идет реальная травля, с первого дня, многие центры сертификации активно «спамят» весь мир и пытаются уговорить перейти к ним, а это очень низко. Вся эта акция была спланирована, заметим, что на сайте Comodo, предложение о переходе от Symantec появилось в течение суток. Вот уже 7 лет мы стратегический партнер Comodo, и с удивлением смотрим, как быстро они отреагировали, когда иногда решение более простых задач занимает неделю. Такое же было замечено от GlobalSign. Это косвенные факты, ничего более, скорее наше мнение.
Теперь самое интересное, Google сам использует SUB-CA от GeoTrust, вот реальность:
С первого дня, все грозились что завтра перестанут доверять GeoTrust, но как факт, единственные сертификаты которые не будут доверены, это те, что были выданы до 1-о Июня 2016 года, и отзывать их начнут 17-го апреля 2018 года. При этом сделав бесплатный перевыпуск, сертификат будет активен и далее. Не все так просто господа…
Так же Google попросил перестроить процедуры выдачи и инфраструктуры. Это прекрасно, Symantec система, очень устарела, только на пользу, и тут ход конем, вместо того чтобы тратить усилия, они просто взяли DigiCert, с уже современной системой. Напомним, DigiCert заплатил чуть меньше миллиарда долларов Symantec, при это Symantec получит так же 30% от самой DigiCert, что сделает их на треть владельцами.
В мая 2017 года, в результате обвала системы Comodo, были утеряны свыше миллиона сертификатов, и это осталось вне поля зрения, а это факт очень серьезный.
Symantec возродится через время, и займет свое место на рынке. Их сервис по верификации сертификатов с проверкой компании был и остается сам грамотным на рынке.
Попробуем и мы, вставить свои 5-ть копеек :)
Идет достаточно «грязная» игра в стиле «Американских партнеров» по разделу рынка. Да, Symantec обвинили в том, что были выданы сертификаты без должной проверки, и в этом есть вина. Однако данные сертификаты выпускали их сторонние агенты, а не сам Symantec, хотя допускать к выдаче сертификаты без пере-проверки не грамотно.
Напомним, что уже не раз центры сертификации попадают под раздачу, но в случае с Symantec идет реальная травля, с первого дня, многие центры сертификации активно «спамят» весь мир и пытаются уговорить перейти к ним, а это очень низко. Вся эта акция была спланирована, заметим, что на сайте Comodo, предложение о переходе от Symantec появилось в течение суток. Вот уже 7 лет мы стратегический партнер Comodo, и с удивлением смотрим, как быстро они отреагировали, когда иногда решение более простых задач занимает неделю. Такое же было замечено от GlobalSign. Это косвенные факты, ничего более, скорее наше мнение.
Теперь самое интересное, Google сам использует SUB-CA от GeoTrust, вот реальность:
С первого дня, все грозились что завтра перестанут доверять GeoTrust, но как факт, единственные сертификаты которые не будут доверены, это те, что были выданы до 1-о Июня 2016 года, и отзывать их начнут 17-го апреля 2018 года. При этом сделав бесплатный перевыпуск, сертификат будет активен и далее. Не все так просто господа…
Так же Google попросил перестроить процедуры выдачи и инфраструктуры. Это прекрасно, Symantec система, очень устарела, только на пользу, и тут ход конем, вместо того чтобы тратить усилия, они просто взяли DigiCert, с уже современной системой. Напомним, DigiCert заплатил чуть меньше миллиарда долларов Symantec, при это Symantec получит так же 30% от самой DigiCert, что сделает их на треть владельцами.
В мая 2017 года, в результате обвала системы Comodo, были утеряны свыше миллиона сертификатов, и это осталось вне поля зрения, а это факт очень серьезный.
Symantec возродится через время, и займет свое место на рынке. Их сервис по верификации сертификатов с проверкой компании был и остается сам грамотным на рынке.
Для тех владельцев сертификатов от Symantec, RapidSSl, GeoTrust и Thawte, кто не знает, что ему делать в связи с утратой доверия Google, мы писали статью для СMSmagazine. Там четкие инструкции с датами
www.ispsystem.ru/news/google-vs-symantecc
www.ispsystem.ru/news/google-vs-symantecc
Вы знаете, мерзенько такие комменты видеть. Компании, нуждающиеся в трафике, обычно пишут статьи здесь, а постят в комментах ссылки на свой сайт, в надежде (будем честными) получить долю SEO-трафика. Неужели IPSSystems не может осилить блог на Хабре, и заполнить его интересными (не вторичными) постами? Всем же будет лучше!
Sign up to leave a comment.
Наведение порядка: в Chrome и Firefox будет прекращено доверие к удостоверяющему центру Symantec