Эти организации известны тем, что они до запуска Let's Encrypt бесплатно выпускали свои сертификаты. И все было прекрасно до недавней поры: 21 октября 2016 года. Все сертификаты, выпускаемые после этой даты были заведомо невалидны. Но выпущенные до этой даты работали нормально. Это коснулось всех сертификатов, даже платных (включая Extended Validation):
Но и это длилось не долго.
Chrome начиная с версии 57 окончательно превратил все выпускаемые сертификаты в тыкву. Остальными браузерами сертификаты выпущенные до 21 октября 2016 года пока поддерживаются. Новость печальная, учитывая, что это были самые дешевые wildcard сертификаты.
Поддержка обещает перевыпустить корневой сертификат в течение 3-4 месяцев. (правда, обещает уже пол года).
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Комментарии (57)
Erelecano
30.03.2017 21:21+12> Новость печальная, учитывая, что это были самые дешевые wildcard сертификаты.
Печальной была новость, что эти мошенники выпускали сертификаты на популярные домены для левых людей. А то, что их выкинули на мороз — новость прекрасная.
DjPhoeniX
30.03.2017 22:18+1… вместе с их пользователями?
Akdmeh
30.03.2017 23:03+5Следующая компания, которая подумывала заниматься таким мошенничеством — подумает дважды.
Erelecano
31.03.2017 00:02+3Если админ чесал яйца полгода и не заменил сертифаты выданные этой шарашкой на нормальные, то лопатой по голове такому админу. Сертификаты от этой шарашки доверенными быть не могут, учитывая, что и как они выдавали.
DjPhoeniX
31.03.2017 01:28+2Ну, расскажите же мне, чесавшему яйца полгода, какие «нормальные» wildcard-сертификаты мне использовать, не сильно дороже $55 в год за 8 штук. И после этого — лопатой по голове можете погладить, если сильно хочется.
shifttstas
31.03.2017 02:18-3Научится работать с Shell и прикрутить letsencrypt?
DjPhoeniX
31.03.2017 02:21+3Об этом смотрите первый комментарий к данному посту и ветку из него. Но речь про Wildcard, которых letsencrypt (пока?) не даёт.
Erelecano
31.03.2017 03:09-2Я вам указал готовое решение для openresty, которое выпускает сертификаты, при первом обращении к домену. То что вы используете какую-то маргинальщину, как веб-сервер — ваши проблемы. Ну и для «бызнеса» который не может купить себе, если они РЕАЛЬНО нужны 8 wildcard у кого угодно есть повод задуматься «А мы вообще все правильно делаем?» и «У нас админ — бездельник получающий деньги ни за что». Настроить получение сертификатов автоматом для домена при обращении дело — часа-полутора, вместе с пакетированием openresty под ваш дистрибутив. Пойдите на апворк, найдите человека, заплатите 80-90 баксов за его работу и проблема решена на годы вперед, все будет получаться и обновляться само, в отличии от того же StartCom, сертификаты которого нужно было получать через почту и браузер, отправлять на сервер и так далее. Автоматика настраивается один раз и все.
DjPhoeniX
31.03.2017 03:37Я использую много доменов для личных и некоммерческих нужд. «Маргинальщину» в качестве веб-сервера я использую по причине того, что ни один из готовых «комбайнов» меня по той или иной причине не устроил. И тратить на проекты, которые приносят по 10-50 баксов в год, по 400 баксов на SSL, я не считаю правильным. Да, letsencrypt решает проблему «запустить SSL хоть как-нибудь», но у меня действительно МНОГО поддоменов (которые генерируются автоматически логикой проектов). И я не уверен, что letsencrypt не заставит меня приехать в какой-нибудь лимит (как вышло у NosovK несколькими комментариями выше). Настроить автополучение даже на существующей системе для меня — дело одного выходного дня, мне не сложно. Вот только как бы это не выдало огромное количество проблем в будущем. Поэтому нужен wildcard. И пока что я не вижу решения, которое при той же цене, что у startssl (или хотя бы сопоставимой), покрывало бы эту задачу.
Erelecano
31.03.2017 04:11+2Ну тут все просто. Либо генерируйте сертификаты для каждого домена, что делается элементарно, либо покупайте, если вам нужно то, что стоит денег.
Ну и байки про лимит они смешные. Есть лимит на 20 в неделю и 100 в одном сертификате, то есть вы можете выпускать в неделю сертификаты для 2000 доменов, я сильно сомневаюсь, что что-то нормальное требует у вас больше. Не, если вы делаете фишинговые сайты и косите под PayPal, тогда они у вас живут 2-3 дня и вы можете упереться в лимиты, а в противном случае это практически нереально.
StartCom/WoSign были пойманы на мошенничестве с сертификатами и правильно мошенников выкинули из доверенных, я у себя на компах их заблокировал раньше. Вы страдаете от того, что Google сказал «Нельзя доверять мошенникам», вы хотите, что бы люди доверяли мошенникам. У меня закрадываются подозрения в отношении ваших сайтов.DjPhoeniX
31.03.2017 04:30+3Google и Mozilla сказали «Нельзя доверять мошенникам» — это хорошо, я же не спорю. Вот только сначала они сказали «окей, мы не будем доверять вашим новым сертификатам, потому что вы про**ались, обновите инфраструктуру, пройдите проверку, и всё ОК». А теперь они говорят «окей, а давайте ка мы убьём все ваши сертификаты воапще, просто потому что мы большие и мы можем, а на тех, кто вашими услугами пользовался честно — наплевать». А вдобавок параллельно помечают сайты без HTTPS как небезопасные.
tzlom
31.03.2017 11:29Этим корневым сертификатом может быть подписано неизвестно что, учитывая что их за руку на этом поймали никакого доверия к тому что это единичный случай итд быть не может, отзыв этого сертификата был вопросом времени.
То, что его не убрали сразу как раз является заботой о невинных пользователях, которые должны были посмотреть на всё это и сделать выводы.
В этой ситуации WoSign и StartCom должны были сразу заняться переделкой системы и аудитом, если бы они заботились о своих клиентах. Но они решили что и так пронесёт, не пронесло.
При этом сам LetsEncrypt появился как ответ на косяки дешёвых/бесплатных сертификационных центров, потому что пользователям уходить было бы некуда если их бы сразу отрубили, я думаю в дальнейшем при возникновении таких ситуаций отрубать будут быстрее, и это правильно.
shifttstas
31.03.2017 21:36По этому я и упомянул shell — что бы letsencrypt генерировал новые сертификаты автоматически для новых доменов.
4410
31.03.2017 14:27Amazon выдаёт бесплатные Wildcard сертификаты. Правда использовать их можно внутри AWS, но всё же.
muon
03.04.2017 06:50+1не сильно дороже $55 в год за 8 штук
Бешеные бабки, конечно, ради них можно и не на такое пойти.DjPhoeniX
04.04.2017 00:44Не понял ваш комментарий. $59 стоила верификация Class2 у StartSSL, после чего Wildcard давались бесплатно (сколько надо). Самый дешёвый Wildcard сейчас — у GeoTrust и Comodo: $149/шт, $1192 за 8 — в 20 раз больше, чем я платил до этого. Больше половины моей з/п за месяц.
grossws
04.04.2017 13:07+2На gogetssl comodo начинается от $62/yr, есть ещё их subordinate (под comodo, вроде) с wildcard ~$40/yr если брать на два года.
DjPhoeniX
04.04.2017 21:46Даже если брать в расчёт реселлеров (хотя я их не люблю): 40*8 = 320. В 5 раз больше. Менее фатально, но…
navion
05.04.2017 11:18+1А оно действительно нужно в таких количествах?
Хорошей практикой считается использование только необходимых имён в SAN, а wildcard ставят на балансировщики как единую точку входа.
navion
06.04.2017 21:06Оказывается они выключили прямую оплату с карт, сейчас оплата работает только через дурацкие онлайн-кошельки. gogetssl зачем вы так?
grossws
06.04.2017 21:31Странно, у меня оплата картой пытается сработать через paypal и также доступна оплата через paypal account. Только что ходил в https://my.gogetssl.com. Ради проверки не оплачивал, конечно.
navion
04.04.2017 18:32Про блокировку всех сертификатов с 57 версии не предупреждали, это всплыло у пользователей беты и описание ограничилось комментарием к патчу.
Amet13
31.03.2017 09:39+2Давно пора, LE уже доведен до состояния, когда его можно использовать без проблем. В том числе все нормальные хостинговые панели уже умеют его использовать.
w32blaster
31.03.2017 11:14Хух, успел. Буквально пару недель назад заменил бесплатный сертификат от StartCom на Letsencrypt
krestjaninoff
31.03.2017 13:48У LetsEncrypt нет поддержки Chrome под MacOs. Плюс недавний скиндал с PayPal. Да и случае наличия балансера / RR DNS настройка автоапдейтов становится довольно интересной.
В общем, если есть возможность купить — лучше купить, имхо.grossws
31.03.2017 15:22-1Плюс недавний скиндал с PayPal.
Какой же это скандал? Фишеры научились запускать certbot?
Если CA должны отвечать за невыдачу сертификата, содержащего магическое слово (например, paypal в данном кейсе), то почему ICANN не должен делать то же самое на этап раньше, при регистрации домена?
Erelecano
31.03.2017 18:02Блин, а почему у меня при RR DNS все хорошо? Может потому, что я не сношаю мозг, а получаю сертификат на одной машине, а потом скриптом копирую на другие?
А скандал только в голове идиотов. Они выдают сертификаты владельцу домена. Они не должны проверять что там в домене, не их это дело.
ChALkeRx
02.04.2017 10:16В Node.js 8.0 тоже невалидны сертификаты StartCom/WoSign, выпущенные с 2016-10-21, к слову.
jok40
02.04.2017 12:32Почитал тут комментарии и смотрю — многие нахваливают LetsEncrypt. Возник вопрос: откуда такая увeренность, что гугль и иже с ними не провернёт в будущем такой-же трюк с LE?
DjPhoeniX
02.04.2017 18:07Пока letsencrypt не начнёт выдавать «неликвид» (как это, судя по всему, делали ребята из сабжа), банить их никто не будет. Как я понял, у letsencrypt с политикой и открытостью всё нормально, и вероятность блокировки крайне мала.
jok40
02.04.2017 18:21Вот прямо сейчас зашёл на сайт comodo: у них на главной странице висит здоровенный банер, на котором написано: «Google Distrust: Symantec, Thawte, & Geotrust — Switch to Comodo now to avoid disruption». А с этими какая проблема? Тоже промышляли «неликвидом»?
PS: картинка
ChALkeRx
04.04.2017 16:34+1Ну https://tech.slashdot.org/story/15/09/19/2313220/symantec-subsidiary-thawte-issues-rogue-google-certificates, например. И это далеко не единственное, что они там накрутили.
Почитайте объяснение от гугла, что ли.
ChALkeRx
04.04.2017 16:39+1Так, хабр не даёт редактировать.
Правильная вторая ссылка: https://groups.google.com/a/chromium.org/d/msg/blink-dev/eUAKwjihhBs/rpxMXjZHCQAJ, по той, что я привёл изначально — собственно основной пост свёрнут.
Erelecano
02.04.2017 19:55-1https://letsencrypt.org/sponsors/
Смотрели, не?
Посмотрите. Поищите знакомые буквы.
LE — некоммерческая организация за которой стоят столпы IT всего мира. WoSign были китайскими мошенниками выдававшими сертификаты на чужие домены кому попало.
tech42
02.04.2017 20:04+1В итоге подставилась вполне себе неплохая StartCom. Насчет намерений WoSign мне неизвестно, но стартком подвели их же уязвимости, связанные с валидацией доменов. На самом деле, вполне логичным решением была бы блокировка не корневого сертифката, а промежуточного, благодаря которому и подставились.
P.S. вообще эта тема с сертификатами коснулась и прочие организации, в том числе и Comodo, Symantec и прочие. Но, как ни странно, решение они предоставили быстро и предупредили своих клиентов об этом.
P.S.S. Та же участь вполне может постигнуть и let's encrypt, ведь от пожобного совершенно никто не застрахован.
DjPhoeniX
Всё это очень плохо. Придётся таки писать скрипт-плагин к моему серверу, который (при получении чего-то новенького по SNI) будет пинать letsencrypt и получать новый сертификат. Потому как wildcard использовался, и поддомены я добавляю часто.
tech42
Поддерживаю, остается лишь ждать решения от StartCom. Хотя завтраками они кормят с конца октября.
DjPhoeniX
Ну или пинать letsencrypt про wildcard-ы. Они вроде грозились, что «maybe in future»…
gunya
Не думаю, что Mozilla/Chrome согласятся принять перевыпущенный CA в список доверенных — ограничения действуют не на сам сертификат, а на компанию.
DjPhoeniX
Ограничения действуют всё-таки на сертификаты (proofs: раз, два). Просто для того, чтобы компания смогла добавить новый — ей надо пройти через пачку проверок. Пройдёт — пожалуйста.
gunya
Посмотрел — действительно так. Однако, процедура рассмотрения занимает 8-12 месяцев, не говоря о том, что StartCom необходимы доработки ПО и аудит.
crea7or
Зато всё будет автоматом. А то, что они ещё обновляются сами — так вообще же красота.
Erelecano
https://github.com/GUI/lua-resty-auto-ssl
Вот вам готовый вариант для OpenResty(с чистым nginx'ом не работает). Можете себе привинтить, как-нибудь. Какое-то время сам использовал, даже OpenResty для него пакетил под Ubuntu 14.04 LTS, потом необходимость отпала.
DjPhoeniX
У меня сервер на node.js, с хитрыми многоходовочками. Так что скорее придётся писать своё решение на базе вот этого. Возможно, поделюсь.
antirek
подскажите, пожалуйста, если знаете, конечно ))
при генерации сертификатов lua-resty-auto-ssl — он nginx перезапускает или как-то на лету меняет сертификаты?
сейчас рестартую Nginx при замене сертификата
Erelecano
Все без рестартов работает.
Да и вы зря рестартуете nginx, достаточно делать reload.
А, вообще, все прекрасно работает по схеме acmetool(ну или еще кто получающий и обновляющий сертификаты) обновляет по крону, а nginx все равно получает HUP при logrotate и подхватывает новый сертификат. Так как сертификат обновляется задолго до дня X все проходит прекрасно на автомате и без ручных релоадов.
antirek
спасибо за ответ. ок, попробую проверить, что по hup logrotate'а подхватывает ))
Erelecano
Всегда так было. После логротейта спокойно берет свежие сертификаты, я вообще не думаю о рестартах.
А так, у того же acmetool есть пре и постхуки, если хотите автоматизировать именно рестарт. Потом он висит в кроне, обновляет и хуки запускает.
grossws
Это вполне можно автоматизировать с помощью scm типа ansible'а. Если интересно, могу поделиться нужной ролью.
NosovK
мы у себя используем docker-gen: https://github.com/jwilder/nginx-proxy к нему ест контейнер компаньон, который занимается выпуском и продлением LE сертификатов. То есть он смотрит какие запущены контейнеры на машине, читает их переменные окружения, смотрит в них vhosts которые нужно создать и собственно поднимает прокси ко всем внутренним контейнерам. Это оказалось невероятно удобным способом запустить к примеру 15 разных WP (с разными версиями PHP), вместе с парой приложений на nodejs в рамках одной машины раскидав их на разные домены. Однако у схемы с LE оказался неожиданный минус. Я сделал стэйдж таким образом, при наличии 15 сайтов мы уперлись в rate limit от LE. Слишком много сертификатов выдано на домен и все. Все попытки написать LE запрос на увеличение лимитов по домену (есть у них форма на сайте) ни к чему не привели. Так что если у вас много поддоменов — рекомендую задуматься о покупке иного wildcard.