Comments 19
Корпорация Google объявила о том, что ее браузер Chrome в операционных системах Chrome и Android более не будет принимать корневые сертификаты, выданные удостоверяющим центром DarkMatter.
А наших сертификатов там нет и санкции нам не грозят
А вот интересно, что Mozilla и NSS (то бишь IBM) по этому поводу?
А вот интересно, что Mozilla и NSS (то бишь IBM) по этому поводу?
Это из разряда старого мема «Я случайно X»?
Mozilla уже по этому поводу все решила:
https://m.habr.com/ru/news/t/459424/
А разве Certificate Transparency, вроде бы уже давно активный в хромиум браузерах, не должен давать чёткого ответа на вопрос, выпускает ли CA "левые" сертификаты? Чтобы блокировать CA не по желанию левой пятки, а в связи с имеющимися фактами…
Ладно бы говорилось о расследовании и действительно найденных, и официально подтвержденных случаях как о причине блокировки. Почему-то все предпочитают формулировку «угроза», а не «подтвердившиеся факты». Это оставляет массу сомнений в источнике статьи.
Я не понимаю почему люди возмущаются, когда компания делает что-то не имея твердых фактов на руках — компания ведь тоже несет от этого «убыток»: если большинство посчитает, что она поступила не правильно, — от нее начнут отворачиваться и она будет терять позиции.
> должен давать чёткого ответа на вопрос, выпускает ли CA «левые» сертификаты?
Нет. СТ защищает только от случаев когда недобросовестные клиенты добросовестного СА пытаются получить сертификат для домена, к которому они не имеют отношения. Если же СА само занимается выпуском левых сертификатов по своей инициативе то никакой СТ тут не поможет.
Я вычитал доки по CT довольно давно, но, насколько я помню, если CA в принципе согласился участвовать в CT, то даже если он не будет сам добровольно публиковать некоторые из выпущенных им сертификатов, этот факт автоматически вскроется в тот момент, когда такой сертификат приедет в браузер любого юзера, дальше браузер сольёт этот сертификат серверам CT, и CA не сможет отмазаться потому что — вот подпись CA на сертификате, информацию о котором CA не дал через CT, как должен был.
(А если CA отказывается участвовать в CT, то, как только такие CA останутся в абсолютном меньшинстве, их всех надо будет заблокировать.)
Сертификаты от публично доверенных CA без CT уже не принимаются Хромом: https://chromium.googlesource.com/chromium/src/+/master/net/docs/certificate-transparency.md
"For all new certificates issued after 30 April 2018, Chrome will require that the certificate be disclosed via Certificate Transparency. If a certificate is issued after this date and neither the certificate nor the site supports CT, then these certificates will be rejected as untrusted, and the connection will be blocked.… net::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED"
(запись о принятии в лог — SCT — должна быть приложена к сертификату — в X.509v3 поле, в опции TLS, либо OCSP Stapling)
Apple требует CT с октября 2018 https://www.venafi.com/blog/apple-joins-google-requiring-certificate-transparency
Или даже выпускать самоподписанные сертификаты.
Но в таком случае даже тех гарантий, которые мы имеем сейчас не будет.
когда с кем-то перестают сотрудничать (и это становится мейнстримом), потому что он замечен в сотрудничестве с кем-то другим, то это имхо уже неправильно.
А, по-моему, очень даже правильно — вся жизнь на этом построена: если кто-то водится с наркоманами, то вы или говорите ему, чтоб он это прекращал, или сами перестаете с ним водиться.
До тех пор, пока баба Глаша не начнёт говорить, что вы водитесь с наркоманами и все перестают с вами водиться независимо от того, водитесь вы с наркоманами или нет.
Особенно это заметно когда начинают притеснять на основании «внутренних правил» какие-то большие корпорации. Представьте себе, что вас бы принципиально начал банить Гугл (по всем продуктам) из-за того, что у него в правилах написано, что что-то нельзя (неважно что). И уже непринициально что вы что-то сделали не так. Полный отказ от общения и изгнание в древних обществах фактически приравнивался к смерти, а сейчас человека фактически выкидывают из общества из-за его мнения где-то неосторожно высказанного.
В случае личных (гарантий) — то что удостоверяющий центр проверил личность
А вы почитайте о похождениях ЭП в России и увидите гарантии УЦ.
Google заблокирует корневые сертификаты, выданные компанией DarkMatter