GlobalSign_admin Oct 15 2018 at 10:52

C выходом Chrome 70 тысячи сайтов, защищенных сертификатами Symantec, станут недоверенными

2 min

14K

GlobalSign corporate blogInformation Security*

+11

Comments 36

Sly_tom_cat Oct 15 2018 at 10:59

Неплохо бы брифли осветить проблему тех самых «30000 сертификатов, выпущенных с нарушениями». А то так рекламы больше чем технологических деталей.

Zakko Oct 15 2018 at 11:21

В целом вот:
1. habr.com/company/1cloud/blog/349382
2. habr.com/post/334392

Sly_tom_cat Oct 15 2018 at 11:29

Спасибо, я в курсе, да и в гугле не забаннен. Вот только автор поленился такие ссылки вставить в статью — именно на это я и обратил внимание.

+10

skymal4ik Oct 15 2018 at 11:09

А зачем получать скидку в 30%, если можно использовать полностью автоматизированное решение с поддержкой wildcard и автообновлением сертификатов от Let's Encrypt?

Недавно перевёл всю свою инфраструктуру на них и бед не знаю, и клиенты довольны — не надо за что-то платить, что-то скачивать, передавать нам для внедрения и ставить напоминания об истечении срока действия.

Да, нужно погрузиться немного в тему, чтобы разобраться с нюансами acme, dns для wildcard, хуками для веб- серверов, но оно определённо того стоит.

+12

Revertis Oct 15 2018 at 11:45

А еще если учесть, что EV сертификаты мертвы, то совсем уж непонятно зачем все эти непонятные действия. Let's Encrypt рулит.

wiwrel Oct 15 2018 at 11:46

Не хотели бы написать по этой теме статью? Так называемое «How to use Let's Encrypt»

skymal4ik Oct 15 2018 at 11:56

Да, у меня была такая мысль, поскольку я придерживался идеи держать все у себя in-house (apache, nginx, certbot, DNS) вместо облачных провайдеров и пришлось изучать информацию по связке certbot-dns (TSIG) для wildcard, хукам при использовании DirectAdmin и некоторым другим аспектам. Плюс документировать все это для своих нужд.

Но, с другой стороны информации по Let's Encrypt достаточно много и она хорошо написана. Правда я компилировал все с англоязычных источников.

rkosolapov Oct 18 2018 at 10:31

How to use Let's Encrypt на хостинге:
шаг 1: ставим нормальную панель управления хостингом
шаг 2: говорим ей использовать сертификаты LE для наших вебсайтов
Всё.

wiwrel Oct 18 2018 at 11:26

шаг 1: ставим нормальную панель управления хостингом

Какая панель управления — «нормальная»?

splby Oct 31 2018 at 11:59

DirectAdmin, CPanel, Plesk — все умеют Let's Encrypt «из коробки». DirectAdmin точно умеет Wildcard LE так же «из коробки».

kolu4iy Oct 15 2018 at 11:47

Я с вами согласен. Единственное, чего нет в let's encrypt, так это EV-сертификатов, но смысл в них ускользающе невелик.
С другой стороны, меня настораживает то, что инфраструктура SSL фактически все больше централизуется и завязывается на одного поставщика. История нам говорит о том, что кончается это обычно нехорошо. Но пока альтернатив нет — будем пользоваться let's encrypt...

Taraflex Oct 15 2018 at 12:01

letsencrypt.org/docs/certificate-compatibility

Known Incompatible

Blackberry < v10.3.3
Android < v2.3.6
Nintendo 3DS
Windows XP prior to SP3
cannot handle SHA-2 signed certificates
Java 7 < 7u111
Java 8 < 8u101
Windows Live Mail (2012 mail client, not webmail)
cannot handle certificates without a CRL
PS3 game console
PS4 game console with firmware < 5.00

Наверное кому-то и нужна поддержка таких динозавров, но кроме ps4 все в списке имхо имеет совсем уж призрачную актуальность.

skymal4ik Oct 15 2018 at 12:05

PS4 вроде как и актуально…

Но для какого числа сайтов они являются основной ЦА? Какой процент пользователей PS4 вообще пользуется приставкой как браузером?

Тем более лечится обновлением прошивки.

acyp Oct 15 2018 at 13:59

У меня до сих пор не получилось обновить wildcard-сертификаты в автоматическом режиме. Как Вы с этим справились?

symbix Oct 15 2018 at 21:22

Вы лучше расскажите, что именно у вас не получается. Например, у меня с первого раза все получилось, потому сложно рассказать, как именно я с этим справлялся.

Я, правда, пользуюсь dehydrated, но вряд ли есть принципиальная разница.

acyp Oct 16 2018 at 06:03

генерация .txt-записи для dns-сервера. Каждый раз она новая. в итоге я обновляю две записи (одна для site.ru, вторая для *.site.ru) лапками. DNS-хостер — nic.ru

Или я точно делаю что-то не так. У Вас есть возможность опубликовать/дать ссылку на черновик Вашей инструкции?

isden Oct 16 2018 at 09:41

А зачем лапками? nic.ru умеет в API же:

www.nic.ru/help/api-dns-hostinga_3643.html

И вот сюда посмотрите:

certbot.eff.org/docs/using.html#pre-and-post-validation-hooks

acyp Oct 16 2018 at 10:57

Огромное спасибо!

symbix Oct 16 2018 at 21:47

Записи надо обновлять автоматически через хуки.

У меня свой bind (его можно обновлять через nsupdate) и я пользуюсь dehydrated. Выглядит это примерно так: в конфигурации dehydrated указан HOOK="/path/to/nsupdate_hook.sh", а nsupdate_hook.sh сделан на основе вот этого примера: https://github.com/lukas2511/dehydrated/wiki/example-dns-01-nsupdate-script

Готовые хук-скрипты есть для большинства DNS-хостеров.

UFO just landed and posted this here

skymal4ik Oct 15 2018 at 22:05

Да, для некоторых приложений надо делать reload\restart. Нам приходится релоадить nginx.

Но хуки спасают, дописать --renew-hook «service nginx reload» несложно.

С другой стороны для обычных сертификатов точно так же надо их перезапускать, так что это не в огород Let's Encrypt камень в целом.

UFO just landed and posted this here

symbix Oct 16 2018 at 01:06

Со всякими джабберами имеет смысл терминировать SSL тем же nginx-ом и проксировать уже по http.

UFO just landed and posted this here

symbix Oct 17 2018 at 17:48

Например, так.

Если есть всякие хитрые alpn-ы (я уже давно забыл, что там в XMPP), то можно соорудить что-то вроде того. (Не в плюсе тоже работает).

hzs Oct 15 2018 at 13:26

Защитите свой сайт сейчас, пока не стало слишком поздно!
Переходите на Let's Encrypt и получите скидку 100%!

Leopotam Oct 15 2018 at 18:34

Постоянную скидку 100%!

mistergrim Oct 15 2018 at 13:40

Недоверие ко всем сертификатам семейства Symantec означает последний этап трехступенчатого процесса, инициируемый Google и Mozilla, который позволит полностью избавить Интернет от невалидных SSL.

При этом Mozilla пошла на попятный, в Firefox 63 сертификаты Symantec по-прежнему будут поддерживаться.

Antiever Oct 15 2018 at 16:34

Сижу на DEV версии Chrome, уже давно из-за этого не работает сбербанк-онлайн. Приходится в других браузерах его открывать пока.

vikarti Oct 15 2018 at 16:57

А не возможность ли это для кого то получить легкую палку за нарушение функционирование Национально Значимого Банка левой конторой под названием Гугл (а что — штаб-квартира в США — так есть ООО «Гугл» + можно и политический аспект приплести)

-4

zapimir Oct 15 2018 at 19:15

Тут скорее нужно говорить о том, что Национально Значимый Банк не следит за новостями криптобезопасности.

navion Oct 15 2018 at 23:05

Просто у них есть план и они его придерживаются.

balamutang Oct 16 2018 at 08:00

Нет никакого нарушения функционирования банка, есть только единичные нарушения функционирования одного из сервисов банка, совершенно не критичного для его работы.

UFO just landed and posted this here

Mad__Max Oct 25 2018 at 19:32

Все так — просто владельцев/админов большинства перечисленных ресурсов клюнул жареный петух и они все-таки обновили сертификаты в самый последний момент:
avangard.ru — 11.10.2018
severgazbank.ru — 15.10.2018
bsu.edu.ru — не обновились, хром должен ругаться
volsu.ru — 10.10.2018
telenor.rs — 17.10.2018

UFO just landed and posted this here