top
logo


23 тысячи SSL-сертификатов будут отозваны из-за инцидента в Trustico PDF Печать E-mail
Автор: adm   
01.03.18 07:28
  1.1, Аноним, 11:01, 01/03/2018 [ответить] [смотреть все] +/
А инфа то какая-нибудь может утекать о деятельности сайта, непосредственно выдав... весь текст скрыт [показать]
  1.2, XoRe, 11:26, 01/03/2018 [ответить] [смотреть все]  +10 +/ Умиляет, как в 2018(!) году реселлеры(!) платных(!) ssl сертификатов надувают щеки и ерепенятся.
 
  2.4, XoRe, 11:28, 01/03/2018 [^] [ответить] [смотреть все] [показать ветку]  +3 +/
Матерь божья! Они продают сертификаты comodo по 79$! Такого дорогого воздуха ещё поискать.
 
2.5, Аноним, 11:29, 01/03/2018 [^] [ответить] [смотреть все] [показать ветку]  +1 +/ 
1.6, Аноним, 11:35, 01/03/2018 [ответить] [смотреть все]  +4 +/
23 тысячи ССБЗ, которые отдают ключи сервису от васяна... весь текст скрыт [показать]
  1.8, Аноним, 11:45, 01/03/2018 [ответить] [смотреть все]  +2 +/
такой принцип везде ... весь текст скрыт [показать]
  1.10, Аноним, 11:51, 01/03/2018 [ответить] [смотреть все]  +5 +/
А разве не у себя на локалхосте генерируешь ключ серт, а в CA отправляешь только... весь текст скрыт [показать]
 
  2.11, 7936957974957965956959962, 12:06, 01/03/2018 [^] [ответить] [смотреть все] [показать ветку]  +2 +/
Так делают только продвинутые пользователи.
 
2.12, noname.htm, 12:07, 01/03/2018 [^] [ответить] [смотреть все] [показать ветку]  +3 +/ Отправляется CSR, да, а закрытый ключ остаётся у тебя. Но для некоторых это слишком сложно и рынок, разумеется, предлагает решение, когда закрытый ключ и серт генерится и сразу подписывается прямо у провайдера услуги. Таким образом, в пару кликов вы получаете готовые к использованию файлики.
 2.25, nobody, 13:45, 01/03/2018 [^] [ответить] [смотреть все] [показать ветку]  +4 +/ Это ж знать надо, как минимум, что такое "закрытый ключ". Слишкамсложна...
"Знать" сегодня не в почёте
 
1.15, Аноним, 12:37, 01/03/2018 [ответить] [смотреть все]  –1 +/
Что Что за То есть, если я не могу прислать ключ от моего сертификата нап... весь текст скрыт [показать]
 
  2.18, Аноним, 12:55, 01/03/2018 [^] [ответить] [смотреть все] [показать ветку]  +/
балда, хрустько предъявило серты, которые должны были быть у клиентов, а не у не... весь текст скрыт [показать] [показать ветку]
 
  3.21, Аноним, 13:19, 01/03/2018 [^] [ответить] [смотреть все]  +/
И? C какой стати они должны что-то _доказывать_?
 
  4.23, Аноним, 13:36, 01/03/2018 [^] [ответить] [смотреть все]  +/
Очевидно, потому что оно не является владельцем сертов и ключей, а только перепр... весь текст скрыт [показать]
 
3.27, Аноним, 14:29, 01/03/2018 [^] [ответить] [смотреть все]  –1 +/
Сегодня мне приснился сон и я решил вам рассказать об этом В Trustico пришли л... весь текст скрыт [показать]
 2.24, Аноним, 13:43, 01/03/2018 [^] [ответить] [смотреть все] [показать ветку]  +1 +/ 2.26, нах, 14:09, 01/03/2018 [^] [ответить] [смотреть все] [показать ветку]  +/ > То есть, если я не могу прислать ключ от моего сертификата (например, потому что он упал в жерло
> вулкана вместе с бэкапами),

то тебе будет довольно сложно доказать, что это действительно _твой_ сертификат, и ты имеешь право его отзывать, да.
Но у большинства CA - все еще возможно после стандартной процедуры верификации, может чуть более детальной - например, они таки позвонят.

Но только ты не волнуйся так - CRL'ы не поддерживаются ни одним современным браузером - немодно, несовременно, немолодежно, занимало ценную полосу траффика, мешая телеметрии.
Поэтому если ты не можешь использовать, к примеру, ocsp - хакер васян и после "отзыва" вполне может продолжать употреблять твой сертификат, юзер ничего лишнего не узнает.

 
  3.29, Crazy Alex, 15:25, 01/03/2018 [^] [ответить] [смотреть все]  +/
Что значит "не можешь"? OCSP Stapling кто-то из браузеров коварно вырезал?
 
1.28, .., 15:19, 01/03/2018 [ответить] [смотреть все]  +2 +/ вот тут как раз в яблочко
https://www.opennet.ru/openforum/vsluhforumID3/113684.html#51
  1.30, Kuromi, 16:12, 01/03/2018 [ответить] [смотреть все]  +/ Ну обалдеть теперь. Только в Firefox Nightly началась веселуха из из-за почти что 10 тысячи сайтов умерших из-за отзыва доверия бывшим Симантековским сертификатам (причем у многих был HSTS и это не позволяет такие сатй даже в исключения добавить) - https://bugzilla.mozilla.org/show_bug.cgi?id=1434300#c81 так теперь ЕЩЕ 23 тысячи стухнут?

Причем у многих был HSTS и это не позволяет такие сайт даже в исключения добавить, среди них много банков, так что срочно пришлось придумывать скрытую настройку для выключения блокировки https://bugzilla.mozilla.org/show_bug.cgi?id=1437754

This adds the unregistered pref "security.pki.distrust_ca_policy" which, if set to 0, will re-enable the Symantec roots; it defaults to 1, which enforces the graduated distrust from Bug 1409257.


Что-то протухло все в сертификатном бизнесе...

 
  2.31, Truth, 16:26, 01/03/2018 [^] [ответить] [смотреть все] [показать ветку]  +1 +/
то есть макаки в продакшене ленятся обновить сертификаты (ибо о том, что доверие к ним прекратится, информировали уже около года), а виноват огнелис?
Ну давайте вообще уберем проверку сертификатов - а то, вон, некоторые забывают их продлять, из-за чего сайты по хттпс больше не работают. Не порядок, товарищи!
 
  3.36, Kuromi, 21:07, 01/03/2018 [^] [ответить] [смотреть все]  +/
К Мозилле-то претензий нет. Есть претензии к владельцам сайтов не чешущимся обновить сертификаты и которые явно не почешутся пока тот же ФФ60 не выйдет в релиз и у массы народа ВНЕЗАПНО отвалится уйма сайтов и еще претензии к удостоверяющим центрам, которые как выясняется занимаются непойми чем.
 
2.35, Аноним, 19:14, 01/03/2018 [^] [ответить] [смотреть все] [показать ветку]  +/ Этот HSTS вообще достал со всех сторон
 
1.32, ойой, 16:38, 01/03/2018 [ответить] [смотреть все]  +/ >Наличие закрытых ключей для клиентских сертификатов у третьего лица является существенным нарушением правил, которые предписывают удостоверяющим центрам сразу удалять закрытые ключи после их передачи клиенту.

А в соседней ветке народ топит за то, что приватные ключи пользователь генерирует сам и никому не передаёт)

> https://www.opennet.ru/openforum/vsluhforumID3/113684.html#50

 
  2.37, Аноним, 00:04, 02/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +/
только вот народец пошел нынче неграмашный, и многие подписывальщики сертификато... весь текст скрыт [показать] [показать ветку]
 
1.34, Аноним, 18:14, 01/03/2018 [ответить] [смотреть все]  +/ Заработок на воздухе дает сбои.
 

Read more http://www.opennet.ru/opennews/art.shtml?num=48166

 
Интересная статья? Поделись ей с другими:

bottom

 

Unreal Commander PfSense по русски Яндекс.Метрика