Комментарии 22
Спасибо за обзор. Вы прямо по полочкам разложили наши с коллегой мысли, когда мы вчера бились над «отозванным» сертификатом для сайта.
Разложил ваши мысли — с точностью до использования ненормативной лексики, я полагаю :-)
Теперь на крупные нагруженные проекты помимо всего прочего нужно добавлять запасной кластер с SSL. Мы устранили сбой за 30 минут, путем смены центра сертификации, благо были предупреждения на координатные изменения в трафике, из-за проблем проседание трафика было на 20%
НЛО прилетело и опубликовало эту надпись здесь
Пока писал свое послание, вы опередили. Читайте комментарий — https://geektimes.ru/post/281468/#comment_9628642, с юристом сегодня разбирали проблему.
Сомневаюсь, но даже если так, их ответственность ограничивается сверху суммой $1000 за DV-сертификат или $2000 за EV (см. п. 6.0).
Самое интересное то, что за эту ошибку никто не отвечает. У GlobalSign в договоре прописано:
И реселер соответственно на себя не берет ответственность. В сухом остатке: был причинен ущерб сервису, а заплатят за это только владельцы.
НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ КОМПАНИЯ «GLOBALSIGN» НЕ НЕСЕТ ОТВЕТСТВЕННОСТИ ЗА КАКОЙ-ЛИБО КОСВЕННЫЙ УЩЕРБ, НЕПРЕДНАМЕРЕННЫЙ УЩЕРБ, ФАКТИЧЕСКИЙ УЩЕРБ, ОПРЕДЕЛЯЕМЫЙ ОСОБЫМИ ОБСТОЯТЕЛЬСТВАМИ, ИЛИ ПОСЛЕДУЮЩИЙ УЩЕРБ, ВОЗНИКАЮЩИЙ ИЗ ИЛИ В СВЯЗИ С ИСПОЛЬЗОВАНИЕМ, ПРЕДОСТАВЛЕНИЕМ, ПОЛАГАНИЕМ, ЛИЦЕНЗИРОВАНИЕМ, ИСПОЛНЕНИЕМ ИЛИ НЕИСПОЛНЕНИЕМ ТРАНЗАКЦИЙ С ИСПОЛЬЗОВАНИЕМ СЕРТИФИКАТОВ, ЭЛЕКТРОННЫХ ПОДПИСЕЙ, ИЛИ ПРОЧИМИ ТРАНЗАКЦИЯМИ ИЛИ УСЛУГАМИ, ПРЕДЛАГАЕМЫМИ ИЛИ ПОДРАЗУМЕВАЕМЫМИ В ЭТИХ ПОЛОЖЕНИЯМ О ПРАВИЛАХ СЕРТИФИКАЦИИ КОМПАНИИ «GLOBALSIGN».
И реселер соответственно на себя не берет ответственность. В сухом остатке: был причинен ущерб сервису, а заплатят за это только владельцы.
Немного не так, там ещё есть фраза:
А потери бизнеса, да, не компенсируют. Впрочем, даже если бы были обязаны, всё равно бы не смогли, скорее всего.
«TO THE EXTENT GLOBALSIGN HAS ISSUED AND MANAGED THE CERTIFICATE IN ACCORDANCE WITH THE BASELINE REQUIREMENTS AND THE CPS, GLOBALSIGN SHALL NOT BE LIABLE TO THE SUBSCRIBER, RELYING PARTY OR ANY THIRD PARTIES FOR ANY LOSSES SUFFERED AS A RESULT OF USE OR RELIANCE ON SUCH CERTIFICATE. OTHERWISE, GLOBALSIGN’S LIABILITY TO THE SUBSCRIBER, RELYING PARTY OR ANY THIRD PARTIES FOR ANY SUCH LOSSES SHALL IN NO EVENT EXCEED ONE THOUSAND DOLLARS ($1,000) PER CERTIFICATE»Выделенное жирным условие очевидным образом было нарушено, так что можете претендовать на $1000. Или на $2000, если у вас EV-сертификат.
А потери бизнеса, да, не компенсируют. Впрочем, даже если бы были обязаны, всё равно бы не смогли, скорее всего.
По убыткам вообще все сложно. Есть прямые и косвенные. Например, у нас вчера «отвалился» крупный клиент с демо-периода, т.к. была проблема. Клиента, конечно, не волновало, что проблема не наша, мы должны были предвидеть. Но как…
НЛО прилетело и опубликовало эту надпись здесь
Да, обидно, конечно.
Самое неприятное, что инструмента, который бы позволял оперативно отслеживать инциденты подобного уровня, нет. У Cloudflare большая распределённая сеть, и средство мониторинга, способное поймать проблему с кэшами на отдельных нодах, должно быть как минимум топологически распределено не хуже. Кроме того, оно должно уметь ходить из каждой точки в CRL и OCSP. Насколько я в курсе, до сего дня два этих свойства никогда не встречались в одном решении совместно.
Самое неприятное, что инструмента, который бы позволял оперативно отслеживать инциденты подобного уровня, нет. У Cloudflare большая распределённая сеть, и средство мониторинга, способное поймать проблему с кэшами на отдельных нодах, должно быть как минимум топологически распределено не хуже. Кроме того, оно должно уметь ходить из каждой точки в CRL и OCSP. Насколько я в курсе, до сего дня два этих свойства никогда не встречались в одном решении совместно.
А самое обидное — что если бы подобное средство существовало, именно оно бы и спровоцировало проблему для всех тех сайтов, которым сейчас повезло.
Но оно бы, по крайней мере, сообщило о характере проблемы. Предупреждён — значит, вооружен.
А сейчас вышло так, что множество компаний просто столкнулись с неведомой проклятой ерундой: всё работает, загрузка CPU и памяти ниже среднего, все системы мониторинга рапортуют об отсутствии проблем в сети, а меж тем в прайм-тайм трафик упал на 10-30% и не восстанавливается. Я знаю людей, которые только через пару часов сумели хотя бы понять, с чем связана проблема.
При этом, если понимать, в чём проблема, то исправление занимает до получаса в большинстве случаев. Если у вас не EV, конечно, тогда всё плохо.
А сейчас вышло так, что множество компаний просто столкнулись с неведомой проклятой ерундой: всё работает, загрузка CPU и памяти ниже среднего, все системы мониторинга рапортуют об отсутствии проблем в сети, а меж тем в прайм-тайм трафик упал на 10-30% и не восстанавливается. Я знаю людей, которые только через пару часов сумели хотя бы понять, с чем связана проблема.
При этом, если понимать, в чём проблема, то исправление занимает до получаса в большинстве случаев. Если у вас не EV, конечно, тогда всё плохо.
Ссылка на heartbeat-страницу GlobalSign, где можно отслеживать текущее состояние этой и других проблем:
GlobalSign System Alerts
GlobalSign System Alerts
> Утром 14 октября в процесс отзыва кросс-подписей вкралась ошибка.
Я так и не понял, что именно за ошибка? И как она могла возникнуть? Какого-то рода ручной ввод некорректных данных?
Я так и не понял, что именно за ошибка? И как она могла возникнуть? Какого-то рода ручной ввод некорректных данных?
Пока полного заявления от GlobalSign о том, какие именно действия производились, нет.
Лично у меня есть следующее предположение. Насколько я вижу, все affected intermediate-сертификаты были выпущены в 2014-2015 годах. Я полагаю, что кто-то из сотрудников GlobalSign отозвал кросс-подпись старых сертификатов, выведенных из эксплуатации. Однако, так как новые сертификаты были выпущены для тех же ключей шифрования, что и старые, отзыв затронул и их. То есть да, это человеческий фактор.
Но давайте всё же дождёмся описания от самого CA.
Лично у меня есть следующее предположение. Насколько я вижу, все affected intermediate-сертификаты были выпущены в 2014-2015 годах. Я полагаю, что кто-то из сотрудников GlobalSign отозвал кросс-подпись старых сертификатов, выведенных из эксплуатации. Однако, так как новые сертификаты были выпущены для тех же ключей шифрования, что и старые, отзыв затронул и их. То есть да, это человеческий фактор.
Но давайте всё же дождёмся описания от самого CA.
Столкнулся с данной проблемой на soundcloud.
http://status.soundcloud.com/post/151755800920/vendor-downtime-causing-certificate-messages
Решается так:
https://support.globalsign.com/customer/portal/articles/1353318
http://status.soundcloud.com/post/151755800920/vendor-downtime-causing-certificate-messages
Решается так:
https://support.globalsign.com/customer/portal/articles/1353318
Самое весёлое — это то, что вся помощь по решению проблемы с невозможность зайти на https-сайты находится на https-сайте.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Из-за проблем у GlobalSign ряд HTTPS-сайтов будет частично недоступен следующие 4 дня