Как обычно, до ката нужно привести выжимку: в связи с проблемами в организации работы инфраструктуры, нарушениями при подготовке отчётности и злоупотреблениями, которые привели к выдаче сертификатов уровня EV (Extended Validation) без требуемых проверок, в настоящее время Google и Mozilla планируют процесс утраты доверия к сертификатам Symantec.Компания Symantec согласилась с 1 декабря 2017 года ввести в строй новый процесс выдачи сертификатов, при котором компания не будет иметь своего корневого сертификата и будет выступать агентом другого удостоверяющего центра, выполняя роль SubCA (Subordinate Certificate Authority), работающего под внешним контролем (Managed CA). Сертификаты Symantec, выданные после 1 декабря 2017 года, не будут подпадать под блокировку и, судя по всему, продолжат работу.
В 2010 году Symantec за сумму в 1.28 млрд долларов приобрёл бизнес аутентификации у компании VeriSign, став, таким образом, одним из крупнейших удостоверяющих центров (с долей в 14% всех сертификатов в мире). Однако даже такие масштабы (и ожидаемые в связи с этим рост внимания к собственным инфраструктуре и процессам) не позволили компании вести бизнес полностью корректно, что привело, в конце концов, к множественным претензиям со стороны производителей браузеров.
В частности, очень острой оказалась ситуация с выдачей EV-сертификатов. Как известно, сертификаты уровня Extended Validation (EV) подтверждают заявленные параметры идентификации владельца, и, по правилам, для их получения требуется проведение проверки документов о принадлежности домена, а также физическое присутствие владельца ресурса. В случае Symantec подобная проверка не проводилась должным образом, т.е. нет гарантии, что полномочия владельца всегда проверялись. Весной 2017 года в Google обратили внимание на то, что Symantec предоставил доступ к инфраструктуре удостоверяющего центра как минимум четырём сторонним организациям, которым предоставлены полномочия по выдаче сертификатов. При этом компания Symantec не обеспечила должный уровень надзора за ними и допустила несоблюдение ими установленных стандартов обслуживания.
В ответ на запросы, компания Symantec также не могла предоставить в установленные сроки отчёты с разбором имевшихся инцидентов. В частности, исследователями безопасности было выявлено, что в январе 2017 удостоверяющим центром Symantec были сгенерированы 108 неправильно выданных сертификатов. Ранее, компания Symantec уже была вовлечена в скандал, связанный с выдачей сертификатов посторонним на чужие домены, в частности осенью 2015 года было уволено (ссылка на архивную копию страницы) несколько сотрудников, которые были уличены в выдаче тестовых сертификатов на домены (в том числе на домены google.com, gmail.com и gstatic.com), без получения согласия владельцев доменов — неудивительно, таким образом, что Google отнеслась к ситуации без лишней сердечности.
Для того, чтобы сгладить последствия прекращения доверия к сертификатам Symantec и предоставить пользователям время обновить свои сертификаты, разработчики Chrome пошли на компромисс и согласились провести процесс поэтапно, дав Symantec возможность перестроить свои организационные процессы, устранить проблемы в инфраструктуре и перейти на новые корневые сертификаты.
Первый этап прекращения доверия запланирован на выпуск Chrome 66, релиз которого ожидается 17 апреля 2018 года. На этом этапе будет утрачено доверие к сертификатам Symantec, выписанным до 1 июня 2016 года. Следует отметить, что в Mozilla обсуждается предложение по применению первого этапа блокировки, начиная с 1 декабря 2017 года, т.е. на четыре месяца раньше, но, скорее всего, окончательно будет утверждена дата близкая к апрелю 2018 года. Google также рассматривал возможность блокировки в октябрьском и декабрьском выпусках Chrome 62 и 63, но отложил блокировку до Chrome 66, приняв во внимание пожелания отрасли.
Полное прекращение поддержки сертификатов Symantec ожидается в Chrome 70 (запланирован на 23 октября 2018 года). Mozilla планирует полностью прекратить доверие к сертификатам Symantec в Firefox 63 (16 октября 2018) или 64 (27 ноября 2018). Для избежания проблем, сайтам, имеющим сертификаты Symantec, рекомендуется не затягивать с обновлением сертификата. Утрата доверия также затронет сертификаты удостоверяющих центров GeoTrust, Thawte и RapidSSL, которые были связаны цепочкой доверия с корневым сертификатом Symantec.
В дальнейшем Symantec сможет параллельно провести полную реструктуризацию своей инфраструктуры, устранив слабые места в текущей цепочке взаимодействия с подчинёнными организациями и партнёрами, которым делегированы права выдачи сертификатов. Symantec также не исключает возможность продажи подразделения, занимающегося выдачей сертификатов.
Вот так, компания, столько успешно умудрявшаяся продавать саму идею безопасности, уже не в первый раз оказывает в центре скандалов и проблем, связанных с предлагаемыми ею решениями.
Что делать, если вы купили сертификат у Symantec или у одной из связанных с ними компаний? Выполнить штатный перевыпуск сертификата у своего CA. При заказе напрямую это делается на сайте CA, при заказе через партнёра можно перевыпустить на сайте партнёра или на централизованном products.websecurity.symantec.com/... (работает и для rapidssl/geotrust/thawte) — спасибо borisko за это уточнение!
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Комментарии (56)
sotnikdv
29.07.2017 15:35+1Не очень понимаю, а в чем смысл ждать почти год? Что-бы если у кого есть левые сертификаты, смогли ими попользоваться? Ну т.е. пользователя это точно не защищает.
Что мешало с ближайшим же апдейтом (немедленно) воткнуть предупреждалку, типа «Сертификат выдан скомпрометированным центром, будьте осторожны, нажмите кнопку если хотите все таки зайти». И народ бы обновлялся с реактивной скоростью.
А потом бы через пару месяцев просто отрубили.
dartraiden
29.07.2017 15:48+2Google также рассматривал возможность блокировки в октябрьском и декабрьском выпусках Chrome 62 и 63, но отложил блокировку до Chrome 66, приняв во внимание пожелания отрасли.
«Отрасль» против.dmitry_ch
29.07.2017 15:51+2Думаете, если бы в конце поста был бы опрос, за или против «отрасль», Гугл бы послушался?
Им просто в лицо плюнули, выдав сертификаты на google.com и еще несколько их доменов, какое уж тут мнение отрасли!
navion
31.07.2017 23:53В корпорациях больше времени уйдёт на согласования. Интереснее выглядит позиция MS, которая настойчиво не замечает проблем — видимо хорошо заносят за добавление CA в Windows.
netwatcher
29.07.2017 16:37да и недешёвое удовольствие:
https://www.firstssl.ru/ssl/symantec
dmitry_ch
29.07.2017 16:45Ну на сайтах в зоне .ru покупать американские сертификаты будет накладнее, но даже один из самых дешевых реселлеров gogetssl.com продает добро от Symantec весьма недешево. На сайте Symantec цены мало что будут чуть не на треть выше, так еще и стыдливо не показываются, помечаясь лишь как «от такой-то суммы» — и эта цена будет за год при покупке сертификата на много лет.
В общем, одни лукавят на голом месте и активно (и не всегда честно — я про Symantec) продают воздух и (по идее) труд клерков по проверке за весьма негуманные деньги, другие ведутся на высокую цену и на финансовые гарантии (а они, на секундочку, для какого-нибудь Symantec Secure Site Pro EV составляют $1.75M, которые (уверен) в таком вот случае глобального алеса никто и не подумает выплатить) и покупают с мыслью «дорого, но хот надежно!». Театр абсурда!netwatcher
29.07.2017 20:10продавать воздух тоже уметь нужно :)
dmitry_ch
29.07.2017 20:24Не удержусь:
? Вот, граждане, мы с вами видели случай так называемого массового гипноза. Чисто научный опыт, как нельзя лучше доказывающий, что никаких чудес и магии не существует. Попросим же маэстро Воланда разоблачить нам этот опыт. Сейчас, граждане, вы увидите, как эти, якобы денежные, бумажки исчезнут так же внезапно, как и появились.
Тут он зааплодировал, но в совершенном одиночестве, и на лице при этом у него играла уверенная улыбка, но в глазах этой уверенности отнюдь не было, и скорее в них выражалась мольба.
Публике речь Бенгальского не понравилась. Наступило полное молчание, которое было прервано клетчатым Фаготом.
? Это опять-таки случай так называемого вранья, ? объявил он громким козлиным тенором, ? бумажки, граждане, настоящие!
Вот как у Symantec-а получается продавать такой фуфло с такими надутыми щеками — это же прямо черная магия! А точнее, конечно, просто искусство выдавать желаемое за действительное. И ведь корпоратив ведется (из частных лиц такой товар да по таким ценам мало, думаю, кто купит)!
Dmitry_5
29.07.2017 19:19А что, кто-то еще доверяет симантеку?
Вроде как их антивирус в корп. Я сетях для галочки ставят
netwatcher
29.07.2017 20:12-2имхо, для корпоративной среды лучше Касперский, хотя и НОД неплохо справляется, но тут решать руководству, либо главному админу
dmitry_ch
29.07.2017 20:22Знаете, глядя на качество их «кода», я никак не могу взять в толк: их технологии вообще какое-то отношение к доле рынка имеют отношение? Куда не ткни, везде такой позор…
borisko
29.07.2017 21:29А какое отношение антивирус имеет к CA? Я уверен, что эти люди даже на разных этажах сидят.
dmitry_ch
29.07.2017 21:31Вероятно, общий стиль работы компании таков, что в разных подразделениях наблюдается непонятное отсутствие порядка. Радости от этого, конечно, немного, но корпоратив, как те ежики, плачет-колется, но потребляет.
shane54
31.07.2017 02:54Вроде как их антивирус в корп. Я сетях для галочки ставят
Не могли бы Вы развить мысль? Т.е. это бла-бла, или есть какие-то факты? Интерес не праздный — давно ищу повод сменить корпоративный AV с текущего SEP на что-то другое (смотрю в сторону Касперского) — но повод нужен весомый, т.к. куплена лицензия на много компов на несколько лет, поэтому, чтобы принять решение потерять деньги — нужно очень хорошо обосновать.
С другой стороны, не раз видел ситуацию с письмами — приходит «классический» спам с аттачем Invoice.pdf (у нас тут в Германии «локализация» — тут приходит обычно Rechnung.pdf) — открываю письмо в Outlook на рабочем компе (просто double-click) с установленным SEP — никакой реакции, делаю тоже самое дома (с установленным KIS) — та-даа, окна, предупреждения, аттач автоматом вырезается из письма и т.д. — в общем, нормальная реакция. Проходит пару дней — тут и SEP подтягивается, и тоже начинает ловить это же письмо на работе. И такое я видал не раз и не два. Правда, признаю, поленился, надо было аттач на VirusTotal'е проверять каждый раз, чтобы видеть статистику по оперативности добавления в базы разных вендоров.dmitry_ch
31.07.2017 08:29+1С одной стороны, их несколько раз (раз, два) ловили на самых неприятных моментах в коде, что только можно представить (другими словами — они использовали для работы своего ПО такие «костыли», которые при первой возможности, а лучше в момент проектирования, надо было отбросить и сделать все культурно), с другой — практика
засовываниянавязывания продуктов Norton одно время была чрезвычайно распространена (мне, скажем, постоянно попадались то ноутбуки, то материнки или ПК с предустановленной копией их антивируса с лицензией trial), что наводит на мысли о том, как он свою долю рынка получил и удерживал.
Конечно, мы говорим об антивирусе, который лишь часть активов большой корпорации. Но пока складывается впечатление, что корпорация больше не за имидж, а за деньги переживает. Что не удивительно, но что обещает аудит кода антивируса только после крайне скандальных событий.
Корпоративный мир, как я понимаю, ставит Norton из-за своей консервативности (ставили давно, поставим и на этот год), плюс у них есть средства администрирования. Иногда можно даже видеть статьи, что Symantec расковырял очередного зловреда. Так что чем они лучше или хуже Каспера по качеству и надежности кода — сказать трудно. По скорости обновления — да, Каспер как будто лучше.
P.S. Да, был еще забавный случай, когда Symantec отказался спецслужбам выдать исходники на проверку — но мы понимаем, какая это ерунда (и исходники можно выдать «не те», и выдача эта как-то не имеет громко известного обязательного характера). С другой стороны, я лично никогда не слышал, чтобы Каспер выдавал кому-то (или, наоборот, кому-то отказал) из любой страны хотя бы код от модуля размером с «Сапер». Я упоминаю об этом, только чтобы намекнуть, что устройство антивирусов волнует не только корпорации, и кухня там может быть быть совершенно непонятной.
avorsa
31.07.2017 17:53С другой стороны, я лично никогда не слышал, чтобы Каспер выдавал кому-то (или, наоборот, кому-то отказал) из любой страны хотя бы код от модуля размером с «Сапер».
Касперский в блоге пишет:
При этом я не вижу заинтересованности в прояснении вопроса: мы предложили любое содействие, вплоть до раскрытия исходных кодов и официального свидетельства перед уважаемым жюри. Но предложение осталось без ответа.
пруф
borisko
29.07.2017 21:28+2Стоит отметить, что Symantec ещё 12 июля разослал инструкции по тому, как бесплатно перевыпустить сертификаты, выпущенные до 2016 года, чтобы предупреждение не появлялось.
dmitry_ch
29.07.2017 21:32+1Вы не дадите ссылку на такую инструкцию, чтобы я в пост включил?
borisko
30.07.2017 22:28+1Инструкция простая — выполнить штатный перевыпуск. При заказе напрямую это делается на сайте, при заказе через партнёра можно перевыпустить на сайте партнёра или на централизованном https://products.websecurity.symantec.com/orders/orderinformation/authentication.do (работает и для rapidssl/geotrust/thawte).
razielvamp
30.07.2017 04:36+2Вот только в интернете вообще никаких деталей не пишут про GeoTrust, Thawte и RapidSSL. Каким образом это затронет их?
Если к ним будет такое же отношение как и к Symantec, то в интернете фактически не останется популярных удостоверяющих центров кроме Comodo и Digicert.
В начале этого года все истекшие сертификаты (в основном rapidssl) поменяли на комодо, от греха подальше, но для пары сайтов требуется та самая показушная безопасность, которой комодо похвастать не может.
ChALkeRx
30.07.2017 12:14кроме Comodo и Digicert.
Вы хотели сказать — кроме Comodo и Let's Encrypt.
GlobalSign на пятом месте по популярности, Let's Encrypt на втором. Ещё между ними GoDaddy есть.
(Ну и Symantec был между ними, который ой).razielvamp
01.08.2017 07:43+1Let's encrypt на втором потому что кучу клонов paypal и facebookов (типо paypall) надо тоже снабжать сертификатами…
Ни одна более-менее большая контора не будет использовать let's encrypt, если хоть сколько-нибудь следит за своим имиджем.
Godaddy тоже не шибко популярен а мировых масштабах.dmitry_ch
01.08.2017 07:48+1Ну, имидж. Вот, Symantec-ом пользовались же!
А если серьезно, 1) кто из посетителей смотрит, кто выдал серт? и 2) кто из «больших ребят» откажется выдать хоть EV-сертификат на pavpal.com (не paypal, обратите внимание) полулевой конторе, если да занесет денежку (а для EV приложит хоть какие-то бумажки на подобное имя)? Деньги победят, уверен, просто не всякие скамеры будут брать дорогие серты у крупных игроков, когда можно в LE пойти, это да.
Я к тому, что имидж может и есть как понятие, но кто на него смотрит, кроме спецов? А верить, что очередной крупный игрок нигде планку не приспустит — можно, конечно, но доверять на 100% этой выдумке не стоит.razielvamp
02.08.2017 03:56Совершенно согласен. Будь у меня своя контора, только LE бы и пользовался. Но решения принимают другие люди, для которых даже призрачные шансы потери имиджа важны. И для которых большое имя типа verisign, которое у всех на слуху, важнее самой сути сертификатов.
Ну и не забываем про красивую наклейку на сайт, типа "подтверждено", которую дают дорогие сертификатыdmitry_ch
02.08.2017 08:55+1Мне очень нравится, что, платя лишние $N, люди получают право повесить красивую печать, причем нигде не сказано, что нельзя повесить схожую печать, не делая такой доплаты. Это я к тому, что любителям обвешивать сайты миллионом баннеров и меток можно обзавестись кружочком «Этот сайт безопасен» ровно по цене работы дизайнера, но на это «право» кто-то ведется.
Собственно, я бы сейчас с большим уважением отнесся к «печати» со словами «Защищена Let's Encrypt», чем, простите, «Защищено Symantec». Вторую можно, конечно, сделать менее грустной, если в конце текста дописать вопросительный знак, но это уже не про большой бизнес, правда?
А про «больших ребят» — я так понимаю, они ведутся на имена, которые годами слышат в индустрии (точнее, в газетах — это же финансисты, а не ИТ-ники), и на то, что «ими же пользуется компания N» (компаний безусловно известная в их области), и им, получаем в остатке, «безопасность» как таковая не столь важна, как сам факт, что мы используем то же, что и все.
Будем надеяться, что LE не накосячат за ближайшие годы по-крупному, и будут на слуху достаточно, чтобы и их начали уважать по принципу «они давно работают». Надеяться, что Symantec станет лучше, сложно, но что станет, что не станет — рынку только лучше (если не станет, просто клиентов у LE в результате прибавится).
LE бы, конечно, открыть какой-то bussiness tier, для тех, кто любит побогаче. И будет выглядеть, что они надежны, но что для людей с улицы у них есть так, ерунда, бесплатный сервис, тогда как для серьезный людех —барабаныотличный сервис энтерпрайз уровня. Если люди хотят отдавать деньги, но иметь некие энтерпрайз плюшки — надо им их предложить!
ChALkeRx
03.08.2017 10:41+1Ну и не забываем про красивую наклейку на сайт, типа "подтверждено", которую дают дорогие сертификаты
razielvamp
03.08.2017 15:28Я не про EV имел ввиду а про стикер, который джаваскриптом на страничку приклеивается
dmitry_ch
03.08.2017 18:21Я про ниж же, хотя причем тут js — ума не пойму, юзер-то не видит, чем выводится картинка (читай — вывести «левую» печать несложно).
ChALkeRx
03.08.2017 10:41Let's encrypt на втором потому что кучу клонов paypal и facebookов (типо paypall) надо тоже снабжать сертификатами…
Нет, это далеко не причина.
Бесплатные сертификаты давно были, и на фишинговые сайты тоже сертификаты давно были. Let's Encrypt сделал сертификаты удобными для всех, и все, включая обычных сайтовладельцев и включая фишеров, предпочитают удобство, поэтому и переползают на летсенкрипт.
Godaddy тоже не шибко популярен а мировых масштабах.
Да, он не шибко популярен, но популярнее Digicert.
razielvamp
03.08.2017 15:31Ну теперь, когда Symantec продался Digicertу, у них все впереди ;)
А успех GoDaddy в его цене, он дешевле Digicertов.
vitaliy2
30.07.2017 14:53-2Когда уже введут технологию, что для HTTPS требуется проверять сразу ДВА сертификата от разных CA?
badfiles
30.07.2017 15:56Почему два, а не пять?
vitaliy2
30.07.2017 17:27-2Думаю, вводить нужно потихоньку, для начала 2–3 точно хватит, всё-таки чем больше требование, тем больше геморроя владельцам сайтов. Раньше нужно было получать 1 сертификат, а теперь 5 – как Вы себе это представляете =)
Для начала хватит и двух сертификатов, но при этом для НЕдоверенных CA при использовании кросс-подписи определение количества должно быть по первому доверенному CA в цепочке.
Те сайты, которые до сих пор продолжают пользоваться только одним сертификатом — помечать как плохо-доверенные. Спустя года 4 перестать пускать на такие сайты вообще (ситуация, похожая с SHA1). Такой большой срок выбран, чтобы не отпугнуть разработчиков сложностями с сертификатами.
Также сертификаты на компанию (OV SSL-сертификаты) должны считаться доверенными только когда домен дополнительно подписан минимум четырьмя обычными сертификатами. Суммарно компании придётся сделать 5 сертификатов: 1 OV и 4 обычных.
vitaliy2
30.07.2017 17:40Конечно же, сайты будут иметь право получать больше сертификатов, чем требуется.
Даже более того — сайтам будет настоятельно рекомендоваться получать больше сертификатов, ведь в любой момент любой из CA может перестать быть доверенным в браузере. Чем больше сертификатов, тем выше надёжность, что сайт не отвалится в один из прекрасных дней.
Можно развить идею, и рядом со значком замка писать количество сертификатов. Это даёт дополнительную защиту: если на сайте банка всегда писало число 10, а потом вдруг стало 2, пользователь может почувствовать неладное.
Чтобы это число не колебалось, разработчик может искусственно занизить его, например, предоставить 5 доверенных сертификатов, но рядом с замком будет выводиться число 4. Тогда, если один из CA станет недоверенным, пользователь этого даже не заметит.dmitry_ch
30.07.2017 19:05+1Думаю, что это все ерунда. Сертификат — это, для начала, необходимый компонент для организации защищенного канала связи, причем с сайтом, на который вы заходите, а не с MITM-товарищем по пути следования данных.
Два (а лучше — двадцать два сертификата) — это понты, ровно как прикрутить себе EV-сертификат сегодня. Да, «зеленый и там название написано», но из сколько посетителей из аудитории реального интернет-магазина или личного кабинета на сайте банка смогут подробно объяснить, что такое EV — как думаете, 1% хотя бы наберется? Так что циферка рядом с «замочком» в поле вывода адреса пользы особо не имеет, а вот то, что вместо вывода адреса все чаще стараются вывести либо title сайта, либо данные из его EV-сертификата — это, я думаю, «минус», а не «плюс» логике защиты от обдуривания посетителей.
Вот простой пример — введите в поиске гугла слово thunderbird или skype, и удивитесь, сколько сайтов пытаются сделать вид, что именно у них-то скачанное приложение — «официальное». При этом не гарантии, что вы там скачаете именно скайп, а не малварь. Когда вместо адреса выводится title, то и отличить, куда ты зашел, совсем будет никак.
Одна польза от нескольких сертификатов — что их можно будет добавить для надежности, на случай, если завтра Гуглу не понравится (кто там еще остался?) GoDaddy, и его серты перестанут считаться приличными, то хоть второй сертификат сможет не дать сайту встать намертво.
Но другой вопрос — может, сама система этого доверия имеет какие-то проблемы? Частная компания сочла действия Symantec неприличными — и намеками, а потом и тумаками, пытается что-то поправить. Но и до того Symnatec с высокой колокольни плевал на правила, раздавая права выписывать сертификаты (читай — приносить ему деньги) направо и налево. «Деньги не пахнут» в действии. Если копнуть, так, наверное, у каждого крупного CA есть свои скелеты в шкафу, только на одни скелеты Гугл обижается, а на другие — нет?
P.S. Вопрос, почему EV не бывает wildcard, наверное можно не задавать — да, его проверяют-проверяют, но проверяют в первую очередь владельца, и если тот подписывается, что в его зоне он хозяин, то почему не выпускать «зеленые» сертификаты и на *.домен.tld? Мне думается, деньги тут немалую роль имеют.vitaliy2
30.07.2017 19:50«Сертификат — часть для организации защищенного канала связи» — как раз про это я и говорю. В данный момент любой центр сертификации может выпустить сертификат на Ваш домен без Вашего ведома. Что очень и очень обидно — Вы никак не можете контролировать этот процесс. Когда же браузеры начнут требовать как минимум два доверенных центра сертификации, то взлом только одного CA ничего не даст.
«Два — это понты» — как раз таки наоборот. Предполагается, что браузер не будет пускать на сайт, который не предоставит хотя бы два сертификата.
«Циферка рядом с замочком пользы особо не имеет» — абсолютно согласен с Вами. Циферка идёт лишь как бонус, поэтому про неё и сказано в самом конце.
«Польза — что их можно добавить для надежности» — это как раз одна из причин. Только не двух сертификатов, а трёх, т.?к. сам браузер будет требовать два и один запасной — суммарно три сертификата от разных CA.
«Symnatec с высокой колокольни плевал на правила» — Вы правы, это как раз одна из причин — моя система позволит более безболезненно наказывать такие CA, т.?к. сайты будут иметь больше сертификатов, чем нужно, поэтому внезапная отмена доверия не поломает кучу сайтов.
grossws
31.07.2017 03:47+1«Сертификат — часть для организации защищенного канала связи» — как раз про это я и говорю. В данный момент любой центр сертификации может выпустить сертификат на Ваш домен без Вашего ведома. Что очень и очень обидно — Вы никак не можете контролировать этот процесс. Когда же браузеры начнут требовать как минимум два доверенных центра сертификации, то взлом только одного CA ничего не даст.
А как же HPKP, DANE (RFC 6698/7671), CAA (RFC 6844)? Если последние два пока слабо продвинулись, то HPKP поддерживали все браузеры.
vitaliy2
31.07.2017 12:36-1Очевидно, пиннинг сертификата (HPKP) обладает значительными недостатками:
- Нельзя сменить CA.
- Если с твоим CA что-нибудь случится, можно сломать сайт.
- Если пользователь не заходил на сайт до этого или очистил браузер, пиннинг никак не поможет.
Но конечно же никто не мешает применять пиннинг совместно с моей идеей — эти две технологии будут только дополнять друг друга либо давать выбор, какую технологию использовать.
Про остальные две технологии ничего не скажу, т.?к. не знаю, что это за технологии.grossws
31.07.2017 15:50Вы читали rfc7469? Ну или https://developer.mozilla.org/en-US/docs/Web/HTTP/Public_Key_Pinning?
- Сменить ca там можно без каких-либо проблем. Сложно запретить конкретный ca, но это совершенно другая проблема.
- С чего вдруг? hpkp использует хэш публичного ключа, а не сертификата. Т.е. добавляете хэши основного и запасного публичных ключей, генерируете csr на базе основного, получаете на него сертификат. Сломался ca — выпускаете сертификат другого ca используя тот же приватный ключ и новый csr.
- TOFU — частая штука для таких вещей. Но когда пользователь уже получил заголовок — он будет проверять и репортить при подмене. Плюс, для желающих, есть report only версия заголовка.
Не знаете текущего состояния в области, но беретесь рассказывать всем как надо делать? Не лучший подход. Почитайте спеки. И про hpkp тоже.
SagePtr
30.07.2017 19:57А чем это поможет? От того, что работу будут выполнять два раздолбая вместо одного, её качество не повысится.
Допустим, есть два сертификата — от Thawte и Geotrust — и доверять в таком случае или нет? Они обе в одной лодке.vitaliy2
30.07.2017 20:04Я уже объяснил этот момент: доверять в зависимости от количества доверенных CA.
Например, если они оба используют кросс-подпись Symnatec, и ни один из них не является доверенным, то суммарное количество CA будет равняться 1, поэтому нет, не доверять (браузер вообще не пустит пользователя на такой сайт).
Если же браузер решил, что оба центра Thawte и Geotrust являются самостоятельными и оба заслуживают доверия, то да, тогда доверять.
Также браузер может объединять CA в группы, например, и Thawte, и Geotrust могут являться самостоятельными CA, но браузер знает, что они построены на одной инфраструктуре, поэтому при их совмещении сертификаты будут считаться как за один — тогда снова не доверять.dmitry_ch
30.07.2017 20:07Ну ведь все равно к тому же вопросу придем: если сайту получается «не очень» доверять, что сделает простой юзер? Думаю, многие продолжат пользоваться сайтом, хотя самые внимательные и задумаются.
vitaliy2
30.07.2017 20:16Сейчас тоже самое — если https не работает, пользователь либо пытается зайти на http, либо пытается проигнорировать все предупреждения. Тут уже вопрос к самому пользователю. Это не значит, что защиту не нужно повышать.
Кроме того, никто не отменял HSTS — данный заголовок запрещает игнорировать предупреждения сертификата. Проблема лишь в том, что если пользователь до этого ни разу не заходил на этот сайт или очистил браузер, то и заголовка у него не будет.dmitry_ch
30.07.2017 20:22+1Вы уверены, что наличие HSTS запрещает игнорировать предупреждения браузера? Технология-то о другом.
А вот очистить браузез от полученного статуса HSTS для домена — вы пробовали? Очень неприятная и нудная процедура, это совсем не просто сброс кеша.vitaliy2
30.07.2017 20:25«Вы уверены, что наличие HSTS» — в Firefox да, уверен. В других браузерах не могу точно сказать.
«Очистить браузер» — а я и не говорил, что это легко =) Под очисткой подразумевалось много чего: банально зашёл с другого устройства, переустановил систему, браузер, очистил профиль и т.?д.
vitaliy2
30.07.2017 20:29Кстати да, такое поведение, что пользователь лишается доступа к сайту — официально задокументировано.
Цитирую:
— Если безопасность соединения https не может быть проверена (в частности, если TLS-сертификат сервера не подписан доверенным ключом), будет показано сообщение об ошибке, и пользователь будет лишен доступа к сайту.[3]dmitry_ch
30.07.2017 20:33Век живи — век учись. Раньше поведение было проще: зайти на сайт с HSTS, подписанный самовыписанным сертификатом, можно было, после подтверждения, что вы верите этому сертификату (т.е. как бы вы его и делали доверенным — для себя). Сейчас, значит, гайки закрутили?
Поймал себя на том, что с приходом LE все время захожу на страницы, где сертификаты доверенные. Максимум проблем видел — что сертификат от LE устарел (если кто-то протупил и не настроил автообновление корректно), но это другая ошибка (CA корректный, но время действия истекло).
Reeze
30.07.2017 15:51+1Опрос составлен некорректно. Думаю, что автор сообразит убрать свои комментарии из конкретных ответов.
ankost
03.08.2017 18:18http://investor.symantec.com/About/Investors/press-releases/press-release-details/2017/DigiCert-to-Acquire-Symantecs-Website-Security-and-Related-PKI-Solutions/default.aspx
Выглядит как спешно спихивают проблемный актив.dmitry_ch
03.08.2017 18:19Чем и является. На запах жаренного реакция должна быть даже во сне — да так оно, в сущности, и оказалось.
Продали имя, подразумевая еще и доверие к нему, а доверие восстанавливать должен теперь новый владелец.
dmitry_ch
03.08.2017 18:28Самое смешное, что DigiCert пишут на своем сайте, что не выдают Domain Validated и вообще дешевые сертификаты, а «играют» только серьезно:
Пишут-то правильные вещи, если про репутациюAt DigiCert, we believe that the drawbacks of issuing domain validated certificates far outweigh the benefits.
DV SSL certificates are extremely easy to obtain, and provide little value that could not be provided by a self-signed certificate that could be created by anyone on any server for absolutely no cost at all. Although domain validation is a very valid part of our validation process, it is only one of many checks and verification controls in place.
Evidence seems to suggest that many dangers of phishing attacks could be prevented by increased implementation and awareness of EV SSL certificates. Because EV certificates provide enhanced authentication and would be much more difficult to fraudulently obtain, and because of the additional visual cues provided to website users, extended validation provides more phishing deterrent than any kind of digital certificate previously available.
We strongly recommend that site administrators interested in maintaining the integrity of their own websites and increasing consumer awareness for online security switch to EV SSL certificates.
gogetssl
04.08.2017 18:32Друзья!
Попробуем и мы, вставить свои 5-ть копеек :)
Идет достаточно «грязная» игра в стиле «Американских партнеров» по разделу рынка. Да, Symantec обвинили в том, что были выданы сертификаты без должной проверки, и в этом есть вина. Однако данные сертификаты выпускали их сторонние агенты, а не сам Symantec, хотя допускать к выдаче сертификаты без пере-проверки не грамотно.
Напомним, что уже не раз центры сертификации попадают под раздачу, но в случае с Symantec идет реальная травля, с первого дня, многие центры сертификации активно «спамят» весь мир и пытаются уговорить перейти к ним, а это очень низко. Вся эта акция была спланирована, заметим, что на сайте Comodo, предложение о переходе от Symantec появилось в течение суток. Вот уже 7 лет мы стратегический партнер Comodo, и с удивлением смотрим, как быстро они отреагировали, когда иногда решение более простых задач занимает неделю. Такое же было замечено от GlobalSign. Это косвенные факты, ничего более, скорее наше мнение.
Теперь самое интересное, Google сам использует SUB-CA от GeoTrust, вот реальность:
С первого дня, все грозились что завтра перестанут доверять GeoTrust, но как факт, единственные сертификаты которые не будут доверены, это те, что были выданы до 1-о Июня 2016 года, и отзывать их начнут 17-го апреля 2018 года. При этом сделав бесплатный перевыпуск, сертификат будет активен и далее. Не все так просто господа…
Так же Google попросил перестроить процедуры выдачи и инфраструктуры. Это прекрасно, Symantec система, очень устарела, только на пользу, и тут ход конем, вместо того чтобы тратить усилия, они просто взяли DigiCert, с уже современной системой. Напомним, DigiCert заплатил чуть меньше миллиарда долларов Symantec, при это Symantec получит так же 30% от самой DigiCert, что сделает их на треть владельцами.
В мая 2017 года, в результате обвала системы Comodo, были утеряны свыше миллиона сертификатов, и это осталось вне поля зрения, а это факт очень серьезный.
Symantec возродится через время, и займет свое место на рынке. Их сервис по верификации сертификатов с проверкой компании был и остается сам грамотным на рынке.
http2
А с ними что будет?
Я думал, что они — тоже корневые центры. :)
khanid
Поддерживаю.
Очень интересно, что дальше-то?
Вот поставили недавно от thawte (и не бюджетно оно), а тут такая новость.
dmitry_ch
«Январь. Найти чернил и плакать»
А на деле — думаю, какой-то процесс они придумают, чтобы приличная доля клиентов не осталась ни с чем. Ведь при этом, клиенты эти следующие сертификаты купят (или получат) у других CA, и пользовательскую базу Symantec потеряет раз и навсегда.
Кстати, очень любопытно: Symantec давал финансовые гарантии при покупке сертификатов, так вот этот случай (а здесь головотяпство именно со стороны CA) подпадает? Если да, то не расплатятся, так что им кровь из носа надо все решить миром и как можно меньше напрягая клиентов.
Toledo
Финансовые гарантии касаются только посетителей сайтов (если из-за некорректного подтверждения сертификата они понесли потери), а не владельцев сертификатов.