C выходом Chrome 70 тысячи сайтов, защищенных сертификатами Symantec, станут недоверенными

    image

    Недавно Google объявил о прекращении доверия всем SSL-сертификатам, выданным до 1 декабря 2017 г. удостоверяющими центрами Symantec, Thawte, GeoTrust и RapidSSL. Изменения вступят в силу 16 октября этого года с выходом нового юбилейного браузера Google Chrome 70.

    По-видимому, некоторые компании не получили уведомления о данных изменениях

    Недоверие ко всем сертификатам семейства Symantec означает последний этап трехступенчатого процесса, инициируемый Google и Mozilla, который позволит полностью избавить Интернет от невалидных SSL. Несмотря на успех всей кампании, некоторые организации продолжают использовать SSL Symantec по непонятным причинам. Согласно недавнему отчету, сделанному известным аналитиком по безопасности Скоттом Хелмом, после выхода Chrome 70 более 1000 сайтов перестанут считаться доверенными.

    image
    Известные веб-сайты в России, принадлежащие финансовым институтам (Банк «Авангард»- avangard.ru, ПАО «Банк СГБ» — severgazbank.ru), учебным и научным учреждения (Белгородский национальный исследовательский университет- bsu.edu.ru, Волгоградский государственный университет — volsu.ru, Академия Forex- academyfx.ru), IT-компании (Telenor- telenor.rs, Fly Mobile — fly-phone.ru) рискуют после 16 октября увидеть следующее сообщение при посещении своих сайтов «Ваше подключение не защищено. Злоумышленники могут пытаться похитить ваши данные с сайта». Если ваш сайт является частью этого удивительно большого списка, вам действительно нужно приложить некоторые усилия, чтобы догнать остальных.

    Почему предпринять действия по переходу нужно прямо сейчас?

    Нравится вам это или нет, сертификаты Symantec будут не доверены двумя из самых популярных браузеров в мире, и это всего лишь вопрос времени, до тех пор, пока другие последуют их примеру. Google, Mozilla и другие эксперты в области онлайн-безопасности уже объяснили опасность использования недоверенных сертификатов SSL. Не стоит тянуть, когда дело касается безопасности в Интернете.

    Вы можете обратиться прямо в Digicert, которому Symantec передал свою инфраструктуру после выпуска 30000 сертификатов, выпущенных с нарушениями. Но вы также можете попробовать новый опыт в работе с SSL-сертификатами, обратившись в GlobalSign — старейший удостоверяющий центр с головным офисом в Японии.

    Google и Mozilla в настоящее время прокладывает путь к более безопасному Интернету. Не позволяйте усилиям экспертов по онлайн-безопасности быть потраченными впустую. Выберите лучший вариант и присоединитесь к борьбе, сделав Интернет более безопасным местом для всех.



    Защитите свой сайт сейчас, пока не стало слишком поздно!
    Переходите на GlobalSign и получите скидку 30%!

    GlobalSign завоевавшим самую надежную репутацию с лучшим уровнем всесторонней поддержи. Переход на GlobalSign очень прост и экономичен благодаря нашей универсальной облачной платформе ManagedSSL, которая позволяет управлять всеми сертификатами в облаке. Возможно вам будет интересно узнать, что GlobalSign также является единственным УЦ, предоставляющий бесплатные инструменты SSL, такие как SSL Server Test и Certificate Inventory Tool. Вам обязательно понравится, как только вы попробуете.


    Чтобы узнать больше о GlobalSign, посетите наш официальный сайт.

    GlobalSign

    203,00

    Компания

    Поделиться публикацией
    Комментарии 36
      +8
      Неплохо бы брифли осветить проблему тех самых «30000 сертификатов, выпущенных с нарушениями». А то так рекламы больше чем технологических деталей.
        +3
          +10
          Спасибо, я в курсе, да и в гугле не забаннен. Вот только автор поленился такие ссылки вставить в статью — именно на это я и обратил внимание.
        +12
        А зачем получать скидку в 30%, если можно использовать полностью автоматизированное решение с поддержкой wildcard и автообновлением сертификатов от Let's Encrypt?

        Недавно перевёл всю свою инфраструктуру на них и бед не знаю, и клиенты довольны — не надо за что-то платить, что-то скачивать, передавать нам для внедрения и ставить напоминания об истечении срока действия.

        Да, нужно погрузиться немного в тему, чтобы разобраться с нюансами acme, dns для wildcard, хуками для веб- серверов, но оно определённо того стоит.
          +3
          А еще если учесть, что EV сертификаты мертвы, то совсем уж непонятно зачем все эти непонятные действия. Let's Encrypt рулит.
            0
            Не хотели бы написать по этой теме статью? Так называемое «How to use Let's Encrypt»
              0
              Да, у меня была такая мысль, поскольку я придерживался идеи держать все у себя in-house (apache, nginx, certbot, DNS) вместо облачных провайдеров и пришлось изучать информацию по связке certbot-dns (TSIG) для wildcard, хукам при использовании DirectAdmin и некоторым другим аспектам. Плюс документировать все это для своих нужд.

              Но, с другой стороны информации по Let's Encrypt достаточно много и она хорошо написана. Правда я компилировал все с англоязычных источников.
                0
                How to use Let's Encrypt на хостинге:
                шаг 1: ставим нормальную панель управления хостингом
                шаг 2: говорим ей использовать сертификаты LE для наших вебсайтов
                Всё.
                  0
                  шаг 1: ставим нормальную панель управления хостингом

                  Какая панель управления — «нормальная»?
                    0
                    DirectAdmin, CPanel, Plesk — все умеют Let's Encrypt «из коробки». DirectAdmin точно умеет Wildcard LE так же «из коробки».
                +5

                Я с вами согласен. Единственное, чего нет в let's encrypt, так это EV-сертификатов, но смысл в них ускользающе невелик.
                С другой стороны, меня настораживает то, что инфраструктура SSL фактически все больше централизуется и завязывается на одного поставщика. История нам говорит о том, что кончается это обычно нехорошо. Но пока альтернатив нет — будем пользоваться let's encrypt...

                  +1
                  letsencrypt.org/docs/certificate-compatibility

                  Known Incompatible

                  Blackberry < v10.3.3
                  Android < v2.3.6
                  Nintendo 3DS
                  Windows XP prior to SP3
                  cannot handle SHA-2 signed certificates
                  Java 7 < 7u111
                  Java 8 < 8u101
                  Windows Live Mail (2012 mail client, not webmail)
                  cannot handle certificates without a CRL
                  PS3 game console
                  PS4 game console with firmware < 5.00

                  Наверное кому-то и нужна поддержка таких динозавров, но кроме ps4 все в списке имхо имеет совсем уж призрачную актуальность.
                    0
                    PS4 вроде как и актуально…

                    Но для какого числа сайтов они являются основной ЦА? Какой процент пользователей PS4 вообще пользуется приставкой как браузером?

                    Тем более лечится обновлением прошивки.
                    +1
                    У меня до сих пор не получилось обновить wildcard-сертификаты в автоматическом режиме. Как Вы с этим справились?
                      +1

                      Вы лучше расскажите, что именно у вас не получается. Например, у меня с первого раза все получилось, потому сложно рассказать, как именно я с этим справлялся.


                      Я, правда, пользуюсь dehydrated, но вряд ли есть принципиальная разница.

                        0
                        генерация .txt-записи для dns-сервера. Каждый раз она новая. в итоге я обновляю две записи (одна для site.ru, вторая для *.site.ru) лапками. DNS-хостер — nic.ru

                        Или я точно делаю что-то не так. У Вас есть возможность опубликовать/дать ссылку на черновик Вашей инструкции?
                    0
                    С Prosody заводится с костылями, и джаббер-сервер приходится перезапускать целиком после обновления сертификата.
                      0
                      Да, для некоторых приложений надо делать reload\restart. Нам приходится релоадить nginx.

                      Но хуки спасают, дописать --renew-hook «service nginx reload» несложно.

                      С другой стороны для обычных сертификатов точно так же надо их перезапускать, так что это не в огород Let's Encrypt камень в целом.
                        0
                        reload nginx'а не дропает имеющиеся соединения, насколько я знаю, а для Prosody релоад сертификатов весьма нестабилен. Да и джаббер имеет немного другой паттерн использования. При рестарте сервера на всех комнатах вылетают вообще все.

                        Обычные сертификаты надо обновлять раз в пару лет, что не так больно.
                          0

                          Со всякими джабберами имеет смысл терминировать SSL тем же nginx-ом и проксировать уже по http.

                  +4
                  Защитите свой сайт сейчас, пока не стало слишком поздно!
                  Переходите на Let's Encrypt и получите скидку 100%!
                    +2
                    Постоянную скидку 100%!
                    +1
                    Недоверие ко всем сертификатам семейства Symantec означает последний этап трехступенчатого процесса, инициируемый Google и Mozilla, который позволит полностью избавить Интернет от невалидных SSL.
                    При этом Mozilla пошла на попятный, в Firefox 63 сертификаты Symantec по-прежнему будут поддерживаться.
                      0
                      Сижу на DEV версии Chrome, уже давно из-за этого не работает сбербанк-онлайн. Приходится в других браузерах его открывать пока.
                        –4
                        А не возможность ли это для кого то получить легкую палку за нарушение функционирование Национально Значимого Банка левой конторой под названием Гугл (а что — штаб-квартира в США — так есть ООО «Гугл» + можно и политический аспект приплести)
                          +3
                          Тут скорее нужно говорить о том, что Национально Значимый Банк не следит за новостями криптобезопасности.
                            +1
                            Просто у них есть план и они его придерживаются.
                            0

                            Нет никакого нарушения функционирования банка, есть только единичные нарушения функционирования одного из сервисов банка, совершенно не критичного для его работы.

                          +3

                          Обновился на Chrome 70, все перечисленные в статье ресурсы открываются, сертификаты валидны. Что не так?

                            0
                            Все так — просто владельцев/админов большинства перечисленных ресурсов клюнул жареный петух и они все-таки обновили сертификаты в самый последний момент:
                            avangard.ru — 11.10.2018
                            severgazbank.ru — 15.10.2018
                            bsu.edu.ru — не обновились, хром должен ругаться
                            volsu.ru — 10.10.2018
                            telenor.rs — 17.10.2018
                              +1

                              А, понял, в чём суть: https://security.googleblog.com/2018/03/distrust-of-symantec-pki-immediate.html


                              ...users will start to see full screen interstitials on sites which still use certificates issues by the Legacy Symantec PKI. Initially this change will reach a small percentage of users, and then slowly scale up to 100% over the next several weeks.

                              Они будут блокировать постепенно, поэтому у меня пока что Хром просто в консоли warning пишет.

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое