Pull to refresh

Comments 61

С 50 версии перестали валидироваться сертификаты от startssl выданные позднее 21 октября 2016 года.
Отказался в пользу Let's Encrypt, потратил на переход около 3 часов.

У меня в 50 версии все работает.

что за letsencrypt, и главное почему его не заблокируют?
Потому что в спонсорах у них куча крупных компаний, в том числе и Google.
А с чего вдруг надо блокировать letsencrypt?
Потому, что он на замечен в нарушении правил (как сделали WoSign и StartCom)
Банят центры не входящие в юрисдикцию США
При чем здесь юрисдикция США, и не США? Wosign спалилась на том, что генерировала «надежные» сертификаты задним числом на сторонние сайты. Возможно(только предположение!), чтобы помогать в осуществлении взломов. А может быть, это была просто какая-то ошибка, но факт выдачи сертификата зафиксирован.
UFO just landed and posted this here
Ну собственно о чём и говорили большевики.
Из бесплатных остаётся один-единственный летсенкрипт. И как только он будет скомпрометирован (а он будет, слишком лакомая штука), половина интернета вот прям сразу сделает ой.
Пройдет полгода и Letsencrypt так-же будет в блоке.
Там в главных спонсорах Mozilla и Chrome думаю сами себя они не заблочат. И под благими намерениями все бесплатные сайты пока сводят под один SSL сервис.
Куда они денутся, если допустим злые рюсские хакеры™ по личной команде ВВП упрут приватный ключ и начнут ломать сайты банков налево-направо через митм?
Грош цена тому банку который не может купить сертификат.
Тут вопрос скорее в том, зачем на всяких мелких сайтах нужен скомпрометированный https (со стороны сервера требующий, между прочим, дорогой хостинг с выделенным IP, а со стороны клиента затрудняющий сжимание трафика), если есть простой http? Разве что для SEO.
Сертификат на домен не требует выделенного IP.
Странно. На моём хостинге пишут, что услуга «выделенный IP» необходима для подключения SSL. И тут, вроде, то же самое говорят.
Стараются зарабатывать больше денег.
Видимо очень старый хостинг. Такая проблема была лет 10 назад, но давно пофикшена.
А, может быть, спасибо за пояснение. Хостинг весьма бюджетный и сравнительно надёжный, но на использование передовых технологий не претендует.
Впрочем, комментарий «требует дорогой хостинг» остаётся в силе, ;-). Другое дело, что, возможно нигде, кроме сверхбюджетных хостингов, этой проблемы нет. Ну и остальные проблемы https остаются — непонятно, зачем, если сертификат скомпрометирован.
Спросите, поддерживают ли они SNI (Server Name Indication). Если поддерживают — выделенный IP не обязателен.
Ага, поинтересуюсь, спасибо.
Просто хотят больше денег. Выделенный ip действительно не требуется.
Ну вы бы еще за 90-е нашли инфу).
Есть такая штука как SNI, она позволяет на одном IP держать несколько серификатов для разных доменов.
У хостера в актуальном прайс-листе так написано. Но вот с чем у них действительно проблемы, так это с внятной документацией. Так что про SNI я в техподдержке спрошу.
В современных браузерах и операционных системах — не требует.
Дело не в банке, у него сертификат будет нормальный.
Вот только человечек-по-середине между банком и очень невезучим клиентом сможет сделать свой поддельный сертификат при помощи украденного ключа и делать с перехваченным трафиком что угодно — хоть читать, хоть подделывать (например, заменять номер счёта получателя на свой и заодно сумму перевода). И ни хром ни мозилла не ругнутся, так как считают центр сертификации заслуживающим доверия.

HTTP Public Key Pinning сводит вашу задачу к следующей: невезучий клиент должен ни разу не заходить в данном браузере на сайт банка перед тем, как на него будет осуществлён MitM.

Let's Encrypt с пиннингом не слишком совместим из-за частой смены сертификата.
UFO just landed and posted this here
Что-то по профильным тикетам certbot'а застой уже с полгода наблюдается, но в целом они согласны с тем, что не всегда обязательно для каждого продления сертификата генерировать новый приватный ключ, и хотят добавить опцию сохранения текущего ключа.

Сейчас это можно делать, создав собственный CSR и используя его в запросах.

У сторонних клиентов тоже должны быть соответствующие опции, по идее.
А это им решать куда они денутся. Скажут что ничего такого не было и доказательств нет. И что ты сделаешь? А потом под шумок сделают новый ключ ещё безопасней прежнего и все довольны.
PS. Про банки ниже правильно написали, им на бесплатных работать как то не комильфо.

а какая разница платный или бесплатный? я вот про компроментацию платных сервисов слышал, а про компроментацию летсэнкрипта — нет. так что я больше доверяю инженерам летсэнкрипта, чем непонятно кому выдающему платные сертификаты

Инженеры летсэнкрипта такие же непонятные как и все остальные.
А разница между платным и бесплатным как минимум в сложности получения, которая зачастую связана с проверками тех кому этот сертификат выдают.

ага, я бы тоже в это верил если бы не столкнулся. я без проблем купил сертификат на сабдомен одного из украинских банков(если что я там работаю), все что меня спросили — "Вы точно сотрудник?" — "Крест на пузе". И выписали, он и сейчас валидный и бьется зеленым во всех браузерах. Я не буду говорить через кого я выписывал и на какой банк, но это были реселлеры одного из крупнейших CA в мире, банк из топ-5. Вот такая вот сложность и защита, да

«Я не буду говорить через кого я выписывал и на какой банк»  — почему не будете? Это же здорово, предостеречь против некачественного поставщика услуг.

да ради бога, ev сертификат, реселлер ssl.com.ua, тот который мне выписали — thawte, в списке у них несколько контор которые реселлят

Thawte отозвали сертификат и изменили процедуру выдачи по результатам вашего эксперимента?
UFO just landed and posted this here
Самое время правительствам начать выдавать бесплатные SSL-сертификаты для своих граждан.
Да, однако это противоречит целям правительства :)
Да ладно, каким например?
На порносайт только по паспорту — это ли не мечта жандарма?
Действительно, что ж это я — подумал только про безопасность (непрослушиваемость) соединения :]
Мелко мыслите :)
sarcasm
мы же сделаем сервис, очень удобный, для чайников. зачем какой-то закрытый ключ и все остальное.
Мы все сами сделаем, только надо подтвердить принадлежность к РФ.
/sarcasm
Ну по умолчанию приватный ключ не покидает сервер где происходит генерация
Блин, а я только обрадовался, что получил свежий сертификат от StartCom на 3 года.
Такая же ситуация, получал в ноябре. Вчера зарегился на cloudflare.com, добавил сайт. Перевел на их DNS и теперь для клиентских машин виден сертификат от Comodo, а StartCom так и остался использовать между cloudflare балансером (или как он у них называется) и непосредственно сервером (валидность сертификата в этом месте цепочки не проверяется. Да и вообще, для этого места можно использовать самоподписанные сертификаты, для чего там в админке даже тулза есть).
UFO just landed and posted this here
UFO just landed and posted this here

Врёте же прямо в заголовке. "Заблокировал" — это если бы старые сертификаты тоже перестали работать. А так — просто перестал доверять новым сертификатам с даты Х.

Разве это случилось вчера? Уже куча новостей за октябрь-декабрь, что вначале мозилла поставила бан, затем прислушались из Apple.

У StartCom есть и платные сертификаты — они так же заблокированы ??
отвечу сам себе:
All certificates are affected. (с) StartCom Support Team
и в догонку:
К сожалению хороших новостей нету. Мы работаем над проблемой. У нас будет больше информаций в конце Февраля. (с) StartCom Support Team
Новостей нет?)
Разрешат, не разрешат?
Вчера пришло письмо:
Dear customer,

As you are surely aware, the browser makers distrusted StartCom around a year ago and therefore all the end entity certificates newly issued by StartCom are not trusted by default in browsers.

The browsers imposed some conditions in order for the certificates to be re-accepted. While StartCom believes that these conditions have been met, it appears there are still certain difficulties forthcoming. Considering this situation, the owners of StartCom have decided to terminate the company as a Certification Authority as mentioned in Startcom´s website.

StartCom will stop issuing new certificates starting from January 1st, 2018 and will provide only CRL and OCSP services for two more years.

StartCom would like to thank you for your support during this difficult time.

StartCom is contacting some other CAs to provide you with the certificates needed. In case you don´t want us to provide you an alternative, please, contact us at certmaster@startcomca.com

Please let us know if you need any further assistance with the transition process. We deeply apologize for any inconveniences that this may cause.

Best regards,

StartCom Certification Authority
Sign up to leave a comment.

Articles