Компания Google намерена (https://groups.google.com/a/chromium.org/forum/#!msg/blink-d... применить блокировку для достаточно большой порции HTTPS-сертификатов, выданных удостоверяющим центром Symantec. Причиной блокировки стали выявленные злоупотребления при выдаче сертификатов уровня EV (Extended Validation (https://en.wikipedia.org/wiki/Extended_Validation_Certificate)). В итоге, под сомнение поставлена валидность более 30 тысяч EV-сертификатов Symantec, выданных за последние несколько лет.EV-сертификаты подтверждают заявленные параметры идентификации и по правилам для их получения требуется проведение проверки документов о принадлежности домена и физическое присутствие владельца ресурса. В случае Symantec подобная проверка не проводилась должным образом, т.е. нет гарантии, что полномочия владельца всегда проверялись. Google обращает внимание на то, что Symantec предоставил доступ к инфраструктуре удостоверяющего центра как минимум четырём сторонним организациям, которым предоставлены полномочия по выдаче сертификатов. При этом компания Symantec не обеспечила должный уровень надзора за ними и допустила несоблюдение ими установленных стандартов обслуживания. В ответ на запросы, компания Symantec также не могла предоставить в установленные сроки отчёты с разбором имевшихся инцидентов.
Для смягчения удара по пользователям Symantec (в пик своей активности доля выданных Symantec сертификатов превышала 30%, а по данным телеметрии Firefox составляет 42%), в Chrome намерены провести поэтапную блокировку. В первую очередь планируется отозвать EV-статус для всех сертификатов Symantec, т.е. данные сертификаты продолжат работу, но как сертификаты DV (Domain validation) верификация по домену), без отображения индикатора расширенной аутентификации. В дальнейшем постепенно все проблемные сертификаты будут заблокированы путём сокращения максимального срока их действия.Symantec будет дано время на перепроверку и замену сертификатов. При этом EV-сертифиткаты от Symantec не будут распознаваться до тех пор, пока сообщество не убедиться, что процесс выдачи EV-сертификатов не приведен к требованиям правил, но не раньше чем через год. В Chrome 59 значение максимального срока действия сертификатов Symantec планируется ограничить 33 месяцами, Chrome 60 - 27 месяцами, Chrome 61 - 21,.... Chrome 64 - 9 месяцами. Кроме того, для всех новых сертификатов предлагается сразу ограничить срок действия 9 месяцами.
URL: https://groups.google.com/a/chromium.org/forum/#!msg/blink-d...
Новость: http://www.opennet.dev/opennews/art.shtml?num=46252
Торговать воздухом тоже умеючи надо, да.
> Торговать воздухом тоже умеючи надо, да.Это как бы идейно не воздух совсем, но по факту бардель еще тот ...
> идейноТолько идейно из них всех только Let`Encrypt работает. Остальные за деньги.
> Только идейно из них всех только Let`Encrypt работает.ага, идея - дави конкурентов, чтоб бабло пошло только одному лишь любимому синдикату.
>> Только идейно из них всех только Let`Encrypt работает.
> ага, идея - дави конкурентов, чтоб бабло пошло только одному лишь любимому
> синдикату.Какое бабло, простите?
Пошел бы ты пиарить "наша утилита работает только под рутом" в другое место. Есть WoSign. Вот они молодцы, раздают налево и направо сертификаты во благо КНР :)
> только под рутомИногда лучше жевать. Это даже не официальный клиент, а просто рекомендуемый.
Большинство так и не поняло посыла. СЕЙЧАС у них все ок. А когда они только продвигали свой сервис в массы был ахтунг.Для утилиты, которой нужно только генерировать файлы. Они лажанулись не подетски, т.к. решили, что большинство просто идиоты и станут делать все под рутом.
Неважно были у них тогда закладки или не были. Факт в том, что начинали они как школьники, либо как самые хитроумные уроды (по другому никак). И именно этот факт нужно помнить. Лажанулись раз, попытались накрутить тебя -- значит они будут _всегда_ делать так. Или более образно, бандит в прошлом -- бандит на всю жизнь; могила исправит :)
С таким посылом согласен. Лажанулись, это да. Но вроде изначально позиционировалось как открытое. Включая api. Т.е. вот наш клиент, или вот открытая документация пердолься сам. Потом переименовали и стал один из клиентов и рекомендуемый.
Мне норм. Эта публичность и открытость ЦА важнее и ценнее. Лучше LE с таким проколом, чем WoSign, Comodo, ватэва.
Очень странная позиция. Т.е. как индусов в МС хаять, так это на ура. А как кто-то что-то открытое сделал, так это "правильно". Где понятие о профессионализме? Вы точно уверены, что они сами не мухлюют с выдачей не по правилам сертификатов кому не надо? Вы точно уверены, что в один прекрасный момент у них все не сломается или они не закроются в неподходящий для вас момент? Они же школьники, епрст!Ну, мнение есть мнение. У меня вот тоже мнение.
Так код клиентской части же открыт, в чём проблема посмотреть на "закладки"?
А основная причина запуска под рутом, насколько я понял, это чтобы писать в конфиги веб-сервера (которые в /etc/).
> А основная причина запуска под рутом, насколько я понял, это чтобы писать в конфиги
> веб-сервера (которые в /etc/).его еще и рестартануть бы надо, с новым-то сертификатом (можно, конечно, надеяться на менеджмент-скрипты, но в неведомой системе они могут быть неведомыми - например, ротейтить логи в ночь на ивана купалу)
А главное, ну кому какое щастье-то с того? Если утилита имеет доступ к закрытому ключу сервера - у нее уже есть все, о чем только может мечтать хакер, поломавший сервер. Рут ненюжен, ибо там обычно ничего более ценного уже нет.
> Пошел бы ты пиарить "наша утилита работает только под рутом" в другое место.необязательно под рутом.
Да и были бы в ней _такие_ закладки, давно б спалились.Наша утилита (и ваша, если вы вдруг диверсифицировались) имеет доступ к закрытому ключу - а от рута она работает или нет, уже совершенно неважно - если у тебя на _веб_ сервере(вряд ли le используют в здравом уме и твердой памяти для чего еще) есть _еще_ что-то, помимо вебни, что надо защищать, ты идиет, тебя не жалко.
А, соответственно, помимо нее, такой же доступ получает любой, наложивший лапу на ваш сервер. И вот это - действительно серьезно.Как и то, что ни cert pinning с этим полуторамесячным выкидышем не имеет смысла, ни ручные (полуручные, плагином) попытки контроля.
>> Let`Encrypt работает...C проведениеv проверки документов о принадлежности домена и физическим присутствием владельца ресурса?
А надо?
Long before the “letsencrypt” initiative, we already had another free and open Certificate Authority, called CACert.org. CACert is community driven, and uses ‘assurers’ who personally verify users’ identities, thereby building a “web of trust”. Unfortunately, the big players on the Internet (Google, Mozilla, Microsoft) have always refused to accept and incorporate the CACert root certificate into their browsers. Instead, after many years of imploring these companies to add CACert as a trusted Certificate Authority without any success, they spat in the face of the community and launched their own alternative for free SSL certificates: letsencrypt.
Угу. Вместо того, чтобы принять сертификат CACert в браузеры, эти ребята издают трёхмесячное гуано, из-за которого надо постоянно скрипты дёргать... в общем, в задницу этот letsencrypt, проще у комоды через gg купить сертификат за 1.5 бакса на год или несколько.
> Угу. Вместо того, чтобы принять сертификат CACert в браузеры, эти ребята издают
> трёхмесячное гуанохотелось бы напомнить, что эту, как и многие другие идеи, они как раз и украли у cacert:
"Certificates expires in 6 months for unassured accounts; 24 months for assured accounts."
что практически та же полная херня (особенно с assured, ради которых надо лично предъявлять свою жопу и унитаз). Если я почувствую сомнения в том, что уберег сертификат - я всегда могу сам его инвалидировать (пока перевыпуск бесплатен). Если это защита от проблем на стороне CA...опаньки...но с выводом, в целом, соглашусь:
> задницу этот letsencrypt, проще у комоды через gg купить сертификат за
> 1.5 бакса на год или несколько.pinning только включить не забудь - комода известна как раз тем, что раздает кому попало intermed
> надо постоянно скрипты дёргать...О, сколько вам ещё предстоит узнать нового и интересного о мире unix, я вам даже завидую.
> Торговать воздухом тоже умеючи надо, да.чо там уметь - братву уважь, поделись, и торгуй дальше.
> Торговать воздухом тоже умеючи надо, да.вот уж симантек умеет воздухом торговать, просто ему надо понять, что на данном рынке, надо вовремя делиться с реальными пацанами. вот и всё.
EV - это как раз единственное, где, по задумке, торговля не совсем воздухом. Но Symantec, видимо, решил оптимизировать косты.
Интересно, что же это за сторонние организации :)
>> Интересно, что же это за сторонние организации :)Роскомнадзор.
>>> Интересно, что же это за сторонние организации :)
> Роскомнадзор.эти выполняют важную и полезную миссию - защищают интернет от вас, сертификат им не нужен, вашим траффиком они совершенно не интересуются (пока). Вас от интернета защищают другие организации, из трех букв.
Flowers By Irene
Google окончательно взял на себя роль интернет-жандарма
В печь его, пусть антивирусы этот хром в базу зловредов занесут))
При скачивании подменяют список доверенных сертификатов :)
> При скачивании подменяют список доверенных сертификатов :)там не доверенные сертификаты, там отдельный сторадж для revoked, их подменить непросто (оно автоапдейтится)
То есть (когда осуществят степ2 заявленной программы) у тебя не просто там вылезет красная табличка "сертификат не удостоверен прави...забашлявшим правильным пацанам УЦ, желаете продолжать или котиков посмотрим?", а откроется страница с надписью "аааа, все пропало, кругом враги" _без_ кнопки "продолжить, наплевав на мнение юродивых".
Именно так они поступили с wo/start.
Сначала пусть сами себя занесут в эту базу. https://geektimes.ru/post/285284/
> Сначала пусть сами себя занесут в эту базу. https://geektimes.ru/post/285284/Это если она у них есть ;)
http://www.androidpolice.com/2014/04/06/the-1-new-paid-app-i.../
> here's a slick new app in the Play Store called Virus Shield. It's got a cool look and it's easy to operate. Just press a single button and your virus shield is activated.
> For a new app, and especially one that costs $3.99, it's doing phenomenally well.
> And it's got an impressive 4.7-star rating after over 10,000 downloads....
> it's literally a fake security app: the only thing that it does is change from an "X" image to a "check" image after a single tap. That's it. That's all there is, there isn't any more.
> we've decompiled the app and mirrored the java code on GitHub,
> https://gist.github.com/archon810/10013434Хотя идея неплоха - и волки сыты, получая денежку. И овцы целы - оно не потребляет много ресурсов, зато исправно дарует чувство защищенности, как и более жручие собратья.
это не жандарм, это, увы, братва с рынка - "а ну, ты, за место кому башлял, в натуре? За безопасность?"причем, как и у братвы с рынка, там нет реального центра, который координировал бы деятельность и добивался каких-то внятных целей (хотя бы увеличения дохода, своего или всей братвы), там просто грызня групировок и над ними смотрящие, которые разруливают по понятиям.
А "честный Ахмед" так, бедный, и не получил trusted root хотя бы в мазиле. :-(
Ну да, снизу все выглядит так, как будто единого выгодоприобретателя у всего этого бизнеса нет...
Все по сценарию же. Сначала сенатор собирает армию клонов (сообщество) для защиты мира во всем мире, а потом диктует свою волю, демонстрируя силу, которая за ним стоит. Классика.
> Все по сценарию же. Сначала сенатор собирает армию клонов (сообщество) для защиты
> мира во всем мире, а потом диктует свою волю, демонстрируя силу,
> которая за ним стоит. Классика.в классике его было можно банально физически убрать. А тут нет Сенатора, увы.
За каждым случаем вредительства стоит конкретная фамилия. ©
> За каждым случаем вредительства стоит конкретная фамилия. ©да, но этих рабиндранатов сингхов - миллионы!
Если каждого повесить - на территории гуглекампов кончатся свободные фонари, а этих меньше не станет.
> Все по сценарию же. Сначала сенатор собирает армию клонов (сообщество) для защиты мира во всем мире, а потом диктует свою волю, демонстрируя силу, которая за ним стоит. Классика.Вырезанная сцена из фильма:
Флешбек
ПРОГРАММЕР КЛОНОВ С КАМИНО №1
(обращаясь к ПРОГРАММЕРУ КЛОНОВ С КАМИНО №2)
У джедаев с головой полное му-му. Зачем им армия клонов с BIOS'ом, где есть команда "Убить всех джедаев"?ПРОГРАММЕР КЛОНОВ С КАМИНО №2
Пойди их пойми, этих хранителей добра и справедливости. Кнопка самоуничтожения? Когда по всей галактике наступит мир и надобность в джедаях закончится?
Конец Флэшбека
Гогель-Могель знает что делает! Сплотимся все вокруг Гогеля-Могеля! Посмотрите что делается на Самсунге!
Зато Хром наш!
> Гогель-Могель знает что делает! Сплотимся все вокруг Гогеля-Могеля! Посмотрите что делается
> на Самсунге!
> Зато Хром наш!На Семантеке!
Отлично. Отдавить хвост платному CA - всегда плюс.
> Отлично. Отдавить хвост платному CA - всегда плюс.После прошлого отдавливания у меня на планшете(Ubuntu-touch) перестали работать совсем злобные сайты, такие как lego.com и ещё несколько подобных, в тот раз оказалось что google в кодовую базу chromium заложил мину замедленного действия под сертификаты symantec да так успешно, что стало невозможно работать даже как с "непроверенными" сайтами.
Судя по топику так быть не должно. Они чепуху написали или у вас что-то экзотическое?
вот при всём этом обязаловка https всего и вся вообще странно выглядит, декларируемое не решается, а геморроя прибавляется.
> вот при всём этом обязаловка https всего и вся вообще странно выглядит,
> декларируемое не решается, а геморроя прибавляется.плати!
(ась, симантеку заплатил? Ну ты ж понимаешь, кто оказывается виноват, когда выбирает не ту крышу?)
Используй бесплатный lets decrypt от дочки гугла. К этому все и идет, "в конце должен остаться только один". Ну, или шли гугл и хром -- чем меньше пользователей будет у хрома, тем меньше они будут выеживаться. Увы, пока все идет "по их плану".
вот на хре на мне ваш lets decrypt для веб страницы которую не нужно шифровать? которая доступна всем. а ваши гуглы хотят 100% https
Чтоб заходящим на твою страницу не накидал эксплоитов за шиворот любой, кто находится между ним и твоим сервером. Шифрование не только для скрытия передаваемой информации, но и для сохранения её целостности и защиты от изменения/добавления левыми людьми.
тот кто может вклиниться в трафик полюбому найдёт способы
Ну давай, вклинься. Даже ЦРУ делает прицел на уязвимости в ОС и руткики, а не митмит трафик или дешифрует собранный.
> Ну давай, вклинься. Даже ЦРУ делает прицел на уязвимости в ОС и руткики, а не митмит трафик или дешифрует собранный.ты же сам сказал, что могут вклиниться, а теперь сам себя опровергаешь и говоришь, что это неэффективно\труднее.
>> Ну давай, вклинься. Даже ЦРУ делает прицел на уязвимости в ОС и руткики, а не митмит трафик или дешифрует собранный.
> ты же сам сказал, что могут вклиниться, а теперь сам себя опровергаешь
> и говоришь, что это неэффективно\труднее.вы, батенька, идиот
вклиниться могут легко
но гемор с дешифрованием хттпс вызывает изжогу, поэтому видимо проще дырки на конечных устройствах вертеть (ну как нам об этом сообщают)зы: хттпс не только 1) скрывает что передано, но и 2) подписывает что автор передачи владеет указанным шильдиком-сертификатом (но и 3) не более того)
>Даже ЦРУА они папки взломов, да? Все у них митники, все у них сатоши, ага. Более того, ты не учитываешь факт индивидуального подхода. Если в какой-то забегаловке прибегнут к MITM по вайфаю, а ты этот момент провафлишь, то это будут твои проблемы, а не ЦРУ. Только не надо ляля, что это невозможно. Если ты считаешь, что невозможно, то не отвечай пожалуйста. Дураков на свете полно. Извини.
>для веб страницы которую не нужно шифровать?Понимаешь ли, у них такое ведение бизнеса. Вообще, половина бизнеса в Интернет завязана на трафике пользователей. И не важно откуда поступает трафик: от пользователей браузера, от вебсайта, или, более локально, от владельцев AS (автономная сеть).
Тебя не спрашивают хочешь ты шифровать или не хочешь: у них есть трафик, а у тебя есть место куда этот трафик следует направить. Будешь воротить носом -- останешься без трафика. Вся суть.
Если для тебя веб это хобби, то можешь смело забить болт и делать как тебе удобно. А если у тебя какой-никакой бизнес, то тебе должно быть пофиг, что нужно прикрутить чтобы большинство (это те, кто смотрит только на зелененький или синеньнкий значок https) было довольно.
Peter Norton облажался
оставьте старичка в покое. он уже давно не при делах.кстати, судя по
>Питер Нортон не допустил обнародования переписки Сэлинджера с Джойс Мейнард. 23-го июня 1999 года Мейнард выставила свою переписку с Сэлинджером на продажу, лот на аукционе Сотби состоял из четырнадцати писем, с которых начинался их роман в 1972-м году. Нортон купил письма за 156 000 долларов и вернул писателю, не распечатывая.
Мужик с большой буквы!
Ты забыл упомянуть что это дела чёрти какой давности и писателю было глубоко пофиг.Мужик? Или old geezer с тараканами, комплексами и ночным недержанием?
Вначале китайский WoSign отдрючили, теперь Symantec... кто следующий?
> Вначале китайский WoSign отдрючили, теперь Symantec... кто следующий?От партии ванхельсингов, выдвигаю Microsoft CA.
>> Вначале китайский WoSign отдрючили, теперь Symantec... кто следующий?
> От партии ванхельсингов, выдвигаю Microsoft CA.кишка тонка. будет потом ваш гугел в судах безвылазно сидеть.
Однако, браузер их. Что хотят с ним, то и делают.
Так это - занести его подпись в черный список своего CA, и пусть потом что хотят то и делают сним, но не в default os.
И начнется деление Интернета на территорию бобра и козла. И последователям одной из сторон нельзя будет даже взглянуть на другую. И только фанаты пожеванных яблок будут не вкурсе ибо на их единственно верном сайте ничего не изменится.
Ой вэй! Зачем же бить своих, пока чужие не кончились? 8-\
Когда google уже начнёт сертификатами торговать? Они бы в раз 80% рынка забрали бы себе.
Symantec вроде как основной сертификата торговец, которому принадлежат мелкие конторки типа comodo и др.
Они тогда получат от антимонопольщиков почти наверняка
> Когда google уже начнёт сертификатами торговать? Они бы в раз 80% рынка
> забрали бы себе.Дартаньянить на белом коне выгоднее, очевидно. Работать ещё меньше надо, чем ничего не делающие CA.
Лучше скажи кто новость писал?Было: гугл затребовал у симантек объяснений и был послан лесом
Новость: компания цинично отказалась предоставить исследователям ответ в установленные (видимо самими "исследователями") сроки
Сюрприз: у CA, да ещё такого крупного, подобных посылов быть не должно. Они торгуют доверием, и важный элемент этого доверия - быстрое и вменяемое разъяснение всех сомнительных ситуаций. И да, это надо делать быстро, потому что возможные траблы могут затронуть миллиардные аудитории.
Они торгуют товаром. Покупатели довольны. Конкуренты устраивают скандалы интриги расследования и нагоняют панику. Я больше доверяю покупателям
Google у себя в Маркете навести порядок не может, поэтому обязательно нужно подгадить и другим, я такой вариант развития событий вижу.
> Google у себя в Маркете навести порядок не можету гугла в маркете полный порядок - ни один цент не падает мимо кармана гугля.
(и да, это их маркет. так же как и их браузер. Не твой.)
У symantec тоже мимо кармана не падало, и wosign тоже. Карманы были молодцами
> У symantec тоже мимо кармана не падало, и wosign тоже. Карманы были молодцамино не те карманы - "они ж долю бугра нашего закрысили!" - отсюда и наезд.
И "Честный Ахмад" так и сидит с тикетом wontfix по той же причине.
А вот комода, к примеру, с кем надо поделилась, и раздача intermediate хорошим ребятам прошла ей безнаказанно.
> Компания Google намерена применить в Chrome блокировку для достаточно большой порции HTTPS-сертификатовПочему какая-то фекальная корпорашка решает, что блокировать В МОЁМ БРАУЗЕРЕ, а что - нет. Фекальная корпорашка должна красненьким подсветить в адресной строке иконку с https-сертификатом и скромненько в углу предупредить:
"Уважаемый пользователь! Нам кажется, что сертификат фуфловый, но мы можем ошибаться. Хотите ли вы заблокировать этот сайт? (Да/Нет) Если вы не заблокируете сайт, то переход на него будет осуществлён через 5 секунд".
НИКТО НЕ ИМЕЕТ ПРАВА КОМАНДОВАТЬ МОИМ БРАУЗЕРОМ!
с каких это пор он "твой"? Права на имущество, договор купли-продажи, ну хотя бы аренды есть? Нет? Ну так жри что дают или вперед изучать исходники.
Это не твой браузер.
В том то и дело, что браузер не ваш. Вы его у гугла как бы напрокат берете, а расплачиватесь своими статистическими данными.На правах юмора - как вендоюзер с чужим браузером боролся: http://forum.ixbt.com/topic.cgi?id=24:48955
Показать, где исходники хромиума и мозиллы лежат? Потому что идея, мягко говоря, не всем нужная. Иметь возможность это дело соверрайдить - важно, да. А по дефолту без трёх подтверждений на весь экран и подписи кровью позволять идиоту-пользователю нарываться на вероятный MITM - дурь.
> А по дефолту без трёх подтверждений на весь экран и подписи
> кровью позволять идиоту-пользователю нарываться на вероятный MITM - дурь.Эти пользователи спокойно пройдут все три предупреждения, и ещё .zip.exe запустят, потому что "ну мне же надо вот этот вот счётик срочно открыть".
Это я к тому, что чем больше анноит пользователя операционка/браузер/etc. - тем больше пользователи её игнорируют и жмут "да", не думая.
Ощущение что по вечерам "фабрика троллей" расслабляется на opennet
весеннее обострение.
А вместо "валидность" никак не судьба была "достоверность" написать?
> А вместо "валидность" никак не судьба была "достоверность" написать?мой авиабилет становится "недостоверным" через год после вылета? Надо же, а я думал - недействительным...
valid не имеет прямого аналога в русском языке, лучше оставлять кальку, чем так переводить.
Зачем? Валидность отличное и подходящее слово. А достоверность это уже как бы устаревшее.
> Зачем? Валидность отличное и подходящее слово. А достоверность это уже как бы
> устаревшее.затем, что русские слова объясняют сами себя, а другие - нужно в словарики лезть для понимания.
насчёт устаревшее, это из серии еда устарела, давайте капельницами питаться
Русские слова не объясняют сами себя. Ты просто их знаешь и всё. Вот например добро. Оно никак не объясняет что оно значит, это корень и ты просто его знаешь с детства. Самообъяснение работает только при словообразовании из других известных слов, например добропорядочность. Тут ты должен знать слово порядочность, и в итоге просто складываешь значения.
Твоя достоверность не такое словообразование. Есть слово верность, но что такое досто? Ты знаешь значение досто? Что оно добавляет к верности? Ничего, оно не имеет само по себе сейчас смысла и просто так принято. Ты должен знать, или лезть в словарь за значением, чтобы знать что такое достоверность, и не путать её с верностью. Оно себя не объясняет.
И ты действительно валидность не знал? Хотя в любом случае ленивый и ригидный (лезь в словарь) нытик.
это к вопросу, у кого на самом деле "корневой сертификат всея интернета" и у кого яйки стальнее