Comments 10
Сокращение максимального срока для корневых CA, чьи сертификаты включены в корневое хранилище Chrome.
Здесь и зарыта собака: гугль хочет плотнее окружить своей заботой ЦС, чтобы они почаще приходили на поклон и лучше помнили, кому надо кланяться, чтобы не пролететь со своим корневым сертификатом.
Стремление к простоте и автоматизации
Но, позвольте, простоте не нужна автоматизация! Автоматизация нужна там, где сложно!
Замена сертификатов раз в год — это простота, а 4 раза в год — сложнее и нужна автоматизация. Причем ACME время от времени переходит на новые версии протоколов и автоматизацию еще и переписывать раз в какое-то время нужно.
Кроме того, вероятность отказа ничуть не уменьшается при прочих равных: там где раньше была 1 операция, а теперь 4 — и вероятность отказа вырастет в 4.
И спрос [на ACME], согласно опросу, проведённому Chrome Root Program, только растёт.
Так он разве потому растет, что всем нравится перевыпускать сертификаты? Он растет, потому что эти сертификаты можно бесплатно получить (let's encrypt например). Поставьте и обычные сертификаты по нулевой цене и тогда можно сравнивать, какой тип сертификатов удобнее сообществу.
Поясните, пожалуйста, для чайника. Вот у меня есть собственноручно написанная программа под Windows, которой пользуется несколько коллег по работе. Она работает без специальной установки - ее просто переписывают на другой комп и запускают. Но из-за некоторых особенностей архитектуры примерно в половине случаев моя программа на новом компе не запустится, пока я не пропишу каталог с exe-шниками в исключениях Windows Defender. Хотя в других случаях - запускается почему-то... (Причины отличий мы так и не смогли выяснить, но на десятке проблем явно больше, чем на семерке, а на XP их вообще не было).
А теперь вопрос: может ли сертификат подлинности ПО помочь решению этого глюка (чтобы переписанная на новый комп самодельная программа запускалась без танцев с бубном вокруг Защитника Windows?).
И если да, то второй вопрос: может ли независимый и непрофессиональный разработчик некоммерческого ПО бесплатно и быстро получить такой сертификат для своей программы? Причем, новые версии появляются примерно раз в неделю, и каждая версия - это примерно 30 exe-шников (то есть это не совсем программа, а скорее пакет программ). Поэтому сложные (а тем более платные) процедуры, требующие длинной цепочки действий для каждого exe-шника, не годятся.
В идеале,
я бы хотел отправить архив со своими exe-шниками на сайт, и спустя полчаса (максимум - день) получить обратно некий файл (сертификат) с контрольными суммами, который можно просто записать в каталог с моими программами. И чтобы после этого при запуске этих моих программ у любого коллеги винда проверяла совпадение этих контрольных сумм и не мешала программам работать. А то сейчас у нас все как-то поставлено с ног на голову: операционная система - это не "обслуживающий персонал" для прикладных программ, а БигБосс, который может соизволить этим программам сделать что-то полезное для юзера, а может и запретить...
Можешь создать самоподписанный сертификат и установить его в винде как доверенный, тем самым ты проверишь помогают они от брандмауэра или нет.
А бесплатных нету, их и для интернета-то не было до let's encrypt, но это как мы видим в интересах гугла.
там еще у вашего самоподписанного сертификата надо будет проверить даты начала и окончания валидности . Ставьте смело их на -10 и на +50 лет от текущей, а то по умолчанию через 3 года оно превратится в тыкву (глядя на инициативу гугла про 90 дней, хочется плакать. Вот бы эту энергию тратить на продвигание е2е шифрования!)
И если да, то второй вопрос: может ли независимый и непрофессиональный разработчик некоммерческого ПО бесплатно и быстро получить такой сертификат для своей программы?
Быстро и бесплатно — нет. Для программы — тем более (эту программу же кому-то надо будет проверить прежде чем её сертификат выдавать!)
А вот что реально можно сделать (не быстро и не бесплатно, зато надолго) — это получить сертификат разработчика, чтобы самому подписывать свои программы.
препятствовать потенциально опасным методам, таким как привязка ключей.
Короче говоря, никакого обмена информацией без разрешение Гугла.
Короткий срок побуждает всех участников автоматизировать процесс, что должно избавить экосистему от причудливых, трудоёмких и подверженных ошибкам процессов ручной выдачи.
Заменив их множеством уязвимостей в ПО и железе. И если вы не Гугл и не можете сами разрабатывать HSM, то и безопасность вам не положена.
Google также предлагает сделать необязательными сервисы Online Certificate Status Protocol (OCSP)
Причём, конечно же, в том режиме, когда браузер делает независимый запрос к CA, сливая кто, когда и какой сайт посещает. Ну и конечно же Гугл является владельцем одного CA (а может контролирует и ещё какие-то - я не в курсе).
Chrome Root Store в будущем принимал только сертификаты корневого центра сертификации кандидатов, которые являются частью иерархии PKI, предназначенной для выдачи сертификатов аутентификации сервера TLS.
Единственно реально полезная вещь.
А будет так. Закон примут, сертификаты почистят. В результате остатки сертификатов российских пользователей улетят в трэш. А новые мы уже не получим. А потом и краник с Let's Encript нам перекроют. Как-то так...
Google предлагает сократить сроки доверия корневым и подчинённым центрам сертификации