Comments 111
Никогда такого не было и вот опять.
Сколько сил и ораторского мастерства было потрачено на то, что бы заставить таки юзера смотреть в адресную строку и хотя бы пытаться осознать, что он там видит и упс. Всё пошло прахом.
Вот, например:
А если бы поверх этого background была форма ввода пароля?
Аналогия кстати не самая удачная. И доменное имя регистрировать тоже не проблема, проблема в людях которые не смотрят в адресную строку и думают, что если там написано что-то похожее, значит они там где надо. Центр сертификации не должен брать на себя обязательство суда и решать такие моменты, их задача выдать нужный сертификат нужному человеку, не более.
А может и запрещено.
Тогда вопросы должны быть к регистратору домена.
Between January 1st, 2016 and March 6th, 2017, Let’s Encrypt has issued a total of 15,270 SSL certificates containing the word “PayPal.”
а не сертификатов для 15270 доменов:
Специалист подсчитал, что между 1 января 2016 года и 6 марта 2017 года Let's Encrypt выдал сертификаты для 15 720 доменов со словом “PayPal” в названии
Скорее всего, не учитывается и тот факт. что сертификаты выдаются сроком на три месяца. То есть реальное количество доменов в ~5 раз меньше заявленного.
В этом смысле ваше уточнение про сертификаты верно, а про 5 раз — выдумано и скорее всего ложно.
а про 5 раз — выдумано и скорее всего ложно
Я прикинул так: «6 марта 2017» — «1 января 2016 года» = «15 месяцев».
Сертификаты действительны 3 месяца. Исходя из этого, 15 / 3 = 5 сертификатов на домен (без учета появления новых доменов и исчезновения старых за этот период).
— незащищенные соединения обозначать желтым и текстом (не опасно, но будьте внимательны)
— защищенные — серым (обычное соединение)
— защищенные с подтвержденным владельцем — зеленым (в случае чего, известно кого привлекать к ответственности).
Сертификаты центров, доверие к которым подорвано (случаи недостоверности владельца) — серым независимо от типа сертификата.
Мозила уже сейчас в полях формы, которая будет передана по незащищенному соединению показывает предупреждение о том, что передача данных не безопасна.
«Ну да, это дичайше редкий случай. „
Хорошо настроенная система работает из дефолтов даже в “дичайших случаях». Именно потому все *S/sec протоколы — не от мира сего. Вместо того, чтобы предоставлять механизм, они начинают форсить полиси.
Я vpn'у с http доверяю больше, чем ssl'ю с сертификатом от CA, потому что этому CA надо доверять, а кому он там чего понавыписывает — я этого контролировать не могу. И сам CA иногда тоже.
Полным. По пути от VPN до сервера ваши данные всё равно уязвимы, если вы конечно не подключаетесь напрямую к серверу.
Только вот VPN все же изначально для доступа в корпоративную или еще какую сеть а не для обхода цензуры.
Моя домашняя сеть например. 2 внешних IP, несколько серверов внутри сети. К части — нужен доступ посторонних (сервисов и людей), в том числе и по https. настроен nginx в режиме reverse proxy и Let's Encrypt для всех сразу имен. К части серверов (работающих по http) доступ посторонних не нужен а заставить их работать нормально с https и reverse proxy либо затруднительно, хотя и возможно либо просто не возможно. Только вот нужен доступ с мобильных устройств в том числе и при работе через сотовый интернет. Самым простым решением оказалось таки настроить всем кому этот доступ нужен — VPN на мобильных устройствах.
Просто надо DV-сертификаты подсвечивать жёлтым, как когда-то давно любое шифрованное соединение, а зелёный оставить для EV.
Ололо, сами занимайтесь сексом со startssl.
смех только, 90 дней срок действия.
А какая разница, сколько срок действия, если их скрипт по крону обновляет?
Так если не хотите — не играйте. На Let's Encrypt свет клином не сошёлся, любые прежние службы сертификации вам с удовольствием что-нибудь продадут под ваши цели.
"Подрезали" — вы про это https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html, что ли? Так там, вроде, всё по существу написано.
Форсинг — ну так почему бы не пофорсить классный ресурс, подходящий под нужды 95% людей? А если ваши вкусы специфичны ваши задачи не закрываются предложением LE — на рынке куча других предложений.
Я с месяц назад тоже столкнулся с ситуацией, когда на одном из сайтов не продлился сертификат LE. Криворукость админов, забывших добавить задачу в крон, никто не отменял. На моих серверах всё отлично продлевается с первой попытки.
Что мы имеем? Вместо того, чтобы просто отрекламировать LE, режут конкурентов. Ну не вижу я варианта nginx'ом проксировать почту. Вообще вижу лишь один вариант, cloudflare, но если честно, не вызывает доверия эта ненадежность…
Вы то ли комментарием ошиблись, то ли у вас просто фантазия богатая. WoSign и StartCom заблокировали бы, даже если бы не было никакого Let's Encrypt. И это всё ещё не мешает вам купить сертификат у адекватного поставщика.
Ваши голословные утверждения про Cloudflare вообще не комментирую :)
Что касается «голословных» утверждений, мне пришлось потратить около получаса, чтобы найти и поменять все пароли после их последнего мелкого косячка на сайтах, которые через них работают. Еще хорошо, что я новости тут читаю. Мог быть и не в курсе. Так что лишний ненадежный элемент тоже заставляет задуматься. Или такие факторы, как косяки хостеров/интеграторов можно не брать в расчет?
"In subsequent Chrome releases, these exceptions will be reduced and ultimately removed, culminating in the full distrust of these CAs." — не "позже передумали", а "сразу написали".
По Cloudflare: с вами связались, сказали, что вас это задело? Вроде как они писали, что именно так и поступят. Или вы просто раздули из мухи слона?
По cloudflare: я их использую только в качестве dns. Так что нет, не задело (как владельца сайтов), но задело, как пользователя крупных проектов, которые гонят через них траф, там и пришлось менять пароли. Мелочь? Но я мог бы об этом не узнать или быть в роуминге в другой стране
Для тех, кто считает, что самый умный и предложит перейти на Lets Encypt: к сожалению в текущем случае это невозможно, так как указанный сервер не использует nginx и apache, там проприетарное решение, сертификаты в который загружать можно исключительно руками через вебморду. Использовать nginx для проксирования тоже смысла мало, так как сертификат используется и для почты тоже.
Безусловно, идея о переходе на ssl правильная, но такое внедрение ее дискредитирует, мы теряем в безопасности, так как с точки зрения неподготовленного пользователя действительный сертификат и поддельный выглядят одинаково
При этом ошибка якобы в том, что недействительный центр сертификации.
Потому что он и в самом деле недействительный, доверие к данному центру сертификации прекращено в связи с нарушением утверждённых сообществом правил выпуска сертификатов.
там проприетарное решение, сертификаты в который загружать можно исключительно руками через вебморду.
Купили проприетарное решение с загрузкой через задницу? Теперь купите и проприетарный сертификат, ибо любитель проприетарщины должен страдать.
Потому что он и в самом деле недействительный, доверие к данному центру сертификации прекращено в связи с нарушением утверждённых сообществом правил выпуска сертификатов.
Что вы таки говорите? На лисе вполне действительный, в грозоптице и стоковом клиенте андроид-тоже. К тому же речь шла о том, что сертификаты, выданные до определенной даты, будут работать. В результате обманули
Купили проприетарное решение с загрузкой через задницу?
Сертификаты, оплату, прописывание ключей/токенов можно делать и руками. В некоторых случаях лучше делать и руками. И нет, совсем не сложно раз в год загрузить файл, это делается очень быстро и просто, хоть с телефона.
ибо любитель проприетарщины должен страдать.
То есть любитель Lets Encrypt не страдает? Если для вас являются нормой следующие моменты, то вы знаете о страдании все:
1. перезапуск для применения нового сертификата
2. непонятная мутота в кроне с рутовыми правами на боевом сервере
3. вообще зависимость работоспособности своего сайта от того, удастся ли этому крону получить сертификат по независящим от нас причинам
4. в случае, если процесс пошел не так, нужно вешать оповещение, подрываться и получать самому
Нравится автоматизация? Ради бога, но сделайте ее нормально совместимой со всеми решениями, как у Cloudflare, не умеете-сделайте нормальный срок действия и не осложняйте жизнь другим.
пы.сы. дикая проприетарщина выбрана за функционал, который может быть заменен или другой проприетарщиной, или сторонними облачными решениями, котором особо почту доверять не хочется.
непонятная мутота в кроне с рутовыми правами
Спецификации протокола открыты, клиенты тоже, идёте на гитхаб и читаете исходники перед применением, или пишете своё, если паранойя замучала. Можете даже написать свой клиент (или обёртку для существующего), который будет автоматически логиниться в вебморду проприетарщины и обновлять там сертификаты.
в случае, если процесс пошел не так, нужно вешать оповещение
Не нужно, оповещение об истекающем сроке действия сертификатов приходит на почту, указанную при регистрации аккаунта при первом запуске клиента.
Nginx достаточно reload.
Увы, все разнообразие серверов (и не только web) не исчерпываются nginx
Ставьте понятную прозрачность, тысячи их.
Я называю это костылями, левые сущности для достижения той же цели
Работоспособность сайта сейчас зависит от многих вещей, увы.
Длинное ttl в dns, отсутствие внешних ресурсов, дублирующие инстансы — вот уже и нет большей части проблем. Но вот если сертификат скачивается с ресурса, который могут задосить/сломать/заблокировать/сам он глюкнет, это все очень грустно. Помню проблему с jquery и знаю, что делаю правильно, используя все локально.
С другой стороны использование стороннего сервиса типо CF так же создает новую сущность, которая, как показывает практика, может глюкнуть.
По поводу надёжности и локальности — у вас очень много времени на то, чтобы перевыпустить сертификат. Если даже сутки/двое/трое будет лежать LE, никакой проблемы не будет, если не пытаться выпустить сертификат в последние минуты срока действия предыдущего. Это не стоит сравнивать с доступностью CDN какого-то jQuery — сертификат у вас, как раз, локален…
в этом и сложность решения, поставить для вебморды можно, но нет смысла возиться, если для остального это не поможет
перезапуск для применения нового сертификата
Раз в три месяца? Не проблема.
непонятная мутота в кроне с рутовыми правами на боевом сервере
Запускайте под chroot или вовсе под виртуальной машиной.
удастся ли этому крону получить сертификат
Скрипт пытается получить сертификат каждый день за месяц до истечения срока.
в случае, если процесс пошел не так
Если процесс «идет не так» две недели подряд, то стоит посмотреть, почему он «идет не так». Предположу, что LE тут ни при чем.
не умеете-сделайте нормальный срок действия
Это пожелание вы можете написать на форумах Let's Encrypt, где регулярно отмечаются разработчики.
Уже давно нет. Для корректной работы certbot достаточно запускать его под самым урезанным юзером, который должен иметь права на запись в единственную папку (как правило называется .well-known) в document_root. Проставить симлинки на сертификаты или запилить тупой скрипт копирования по крону можно и руками единоразово.
Специалисты по безопасности годами учили пользователей, что зелёный значок защищённого соединения HTTPS означает безопасность.Это какие-то некомпетентные специалисты. Зелёный замочек означал и означает ровно одно — что соединение между пользователем и сайтом защищено от прослушивания. Подлинность того, кто там сидит на той стороне, он не подтверждает — для этого существуют EV-сертификаты.
А вообще надо народ не устойчивым стойкам на разные цвета и изображения учить, а собраться всем экспертам гуртом и выработать наконец инструмент, который однозначно классифицирует ресурс как безопасный и инфраструктуру к нему. Пока мы видим только вялое внедрение странных вещей в основном в инициативном порядке.
Если пользователь привыкнет при входе в личный кабинет банка видеть надпись, что всё в порядке, то отсутствие таковой его обеспокоит с куда большей вероятностью, чем лишние буквы в url.
У меня так антивирус делал раньше (360TS), но китайскому поделию доверия всяко меньше.
Чем это не подходит? Тем что не показывается «Вы на сайте »?
- Тем кто не хочет покупать Extended Validation SSL, да — там достаточно серьезные требования
- Тем, кто придумал в браузерах показывать одинаково Domain Validated SSL (то что выдает Let's Encrypt бесплатно и некоторые другие — платно, надо доказать что есть контроль над доменом и все) и Organization Validated SSL (надо не только контроль над доменом но и данные об организации (или частном лице — так тоже можно у Comodo например). Можно было и показывать данные об организации из OV SSL (пусть с каким то другим цветом), все равно они проверены, пусть менее надежно.
Если только кто-то вроде гугла не вмешается в ситуацию кардинально, например, начав ранжировать сайты использующие EV-сертификаты выше прочих.
Спасибо, но сертификаты с валидацией организации уже есть и их достаточно.
Видимо недостаточно, раз проблема имеет место быть.
Тем более что я не особо верю, что на выбор пользователя так легко повлиять. Грубо говоря — разве сейчас много людей, которые выбираю банк и почтовый клиент по тому, как выглядит полоска слева от адреса? Существует миллион куда более значимых факторов. Оттого и не спешат все поголовно получать соответствующие сертификаты.
del
Открытые исходники ни разу не признак безопасности, доказано на примере openssl, а я все же скорее администратор, нежели гуру разработки, так что найти баг или закладку вряд ли смогу
дел на 1 минуту ровно?
StartSSL:
- Залезть на сайт
- Протыкать кучу формочек
- Дождаться прихода письма на почту из хуиза
- Вбить полученные одноразовые токены в очередную формочку
- Дождаться, пока сервер раздуплится и признает, что домен таки подтверждён
- Повторить предыдущие 4 пункта для каждого домена 2 уровня
- Сгенерить ручками CSR (мы ведь не будем доверять чужому серверу генерить нам приватный ключ?)
- Протыкать ещё кучу формочек для того, чтоб засунуть в них этот CSR и получить на него сертификат
- Залить полученный сертификат на сервер
- Повторить предыдущие 3 пункта для каждого поддомена, ибо больше одного alt name на сертификат startssl не даёт, а wildcard только за деньги
- Вспомнить об этом через год
Let's Encrypt:
- sudo acmetool want <список доменов через пробел>
- Дождаться автоматической проверки
- Забыть, потому что задача для крона уже создана автоматически и будет перевыпускать сертификаты, пока не надоест.
Да вот виноваты больше браузеры, чем сертификаты. Как так можно, пушистому юзверю показывать знак "Всё, ок, секьюре"?
Я бы вообще эту информацию убрал куда-то к попапу в техническую информацию о соединении. Люди привыкли к зеленому — зеленый свет == "выход, путь свободен, езжай, иди, травка — жуй". А здесь зеленый, но не безопасно. Спросите обычного пользователя (маму/папу/деда), что такое сертификат, что такое ssl. Думаю мало кто внятно ответит. А вот зеленый свет в баре — это и ежу понятно.
Представьте, что на перекрестке установлен зеленый светофор с человечком, но включается он, когда машины едут с разрешенной скоростью(выполняется одно из правил пдд). А глядя по сторонам Вы как не профессиональный водитель не можете определить, едет машина или стоит на месте(Факт наличия машины видно, но вот понять ее динамику невозможно).
Тоже самое и в сети для простого смертного — канал защищен, т.е. одно из условий безопасной работы. В адресной строке где-то есть название интересующего сайта, но где оно расположено и как влияет на работу, неспециалисту понять трудно.
А значок всегда лукаво кричит "Да не парься бро, всё секьюред! Ты в безопасности. А иначе зачем бы мы раскрашивали замочек в зелененький" :)
ps: лично на меня комбинация иконки замка, надписи и зеленого цвета именно так влияет.
https://www.paypal.notification.bla-bla-bla.fishing.com/ выглядел как
https://com.fishing.bla-bla-bla.notification.paypal.www/
тогда львиная доля фишинговый сайтов сразу превращается в «тыкву»
При открытии доверенного сайта адресная строка браузера должна иметь другой цвет. После этого на конкретном устройстве проблема подмены адреса будет решена.
https://habrastorage.org/files/f80/511/b53/f80511b5319b4c0e93c8f9989e718202.png
Более того, обладая этими знаниями, нам (мне) становится это не нужно, так как зная об этом, проверяю ссылки, когда ввожу критичную информацию вроде паролей, кредитной карты или паспортных данных.
Для «домохозяек» это не проще и не очевидно, и не понятно. Пользователи ориентируются на простые вербальные знаки в интерфейсе.
Разработчики знают и понимают проблему (в данном случае фишинга), имеют инструменты, чтобы на нее повлиять. И могут сделать, чтобы пользователям было понятнее и чуть безопаснее, при условии, что смогут договорится о форматах, протоколах и интерфейсах(
Традиция писать адрес в том порядке, который есть сейчас восходит к заре интернета, которая в свою очередь опирается на западную модель написания адресов на конвертах.
На конвертах (в материальном мире) это работает, в информационной среде это тоже работает, но люди научились эксплуатировать это в своих корыстных целях.
А ломать устоявшуюся традицию сложно(
Нарисуют на некоего Васю, выложившего в интернет свой паспорт 100500 проверенных сертификатов… Или купят в виде услуги у некоего Пети, который за 1 дозу наркотика (еды, водки) готов душу продать.
Но это не спасает от сайтов типа paypai.tk или подобного.
Почему не спасает? Если человек не способен отличить paypai.tk от paypal.com — то это, все же, проблема его зрения.
Вообще, чтобы чем-то пользоваться, нужно это что-то понимать. Ни Paypal, ни LE, ни еще кто-то не виноват, если человек зашел на сайт, похожий на известный, и ввел там свои учетные данные от этого, известного сайта.
Кстати, хранение пароля в браузере (под мастер-паролем, конечно) — помогает. Пароль не будет авто-вписан на сайте с левого домена, что также должно насторожить. По идее.
Но с дураком, как известно, бороться бесполезно.
Это действительно хорошая практика.
В своем комментарии я лишь отметил, что разворот адреса мог бы решить львиную долю проблемы, но не решить ее полностью.
Согласитесь, что проще спутать paypai.tk с paypal.com, чем tk.paypai c com.paypal
При этом доменов, сходных до смешения с com.paypal остаются считанные единица (paypal при желании может выкупить их все), в отличии от того ада, что дают домены 3-4 уровня в схеме www.paypal.notification.bla-bla-bla.fishing.com
+1 за предложение развернуть доменные имена в естественном порядке.
Let's Encrypt выдал 14 766 сертификатов для фишинга PayPal