Google заблокирует корневые сертификаты, выданные компанией DarkMatter

    image

    Корпорация Google объявила о том, что ее браузер Chrome в операционных системах Chrome и Android более не будет принимать корневые сертификаты, выданные удостоверяющим центром DarkMatter. Эта компания расположена в Объединенных Арабских Эмиратах и имеет весьма противоречивую репутацию. Ранее правозащитники сообщали о том, что власти ОАЭ неоднократно прибегали к услугам DarkMatter для слежки за активистами и журналистами, а также организации кибератак против них. Статьи, содержащие обвинения такого рода, были опубликованы крупнейшими СМИ, включая Reuters и New York Times.

    Представители DarkMatter отрицают все обвинения. Однако в начале июля организация Mozilla Foundation объявила о том, что сертификаты DarkMatter не будут приниматься браузером Firefox. Теперь ее примеру последовала и корпорация Google. Это означает, что при попытке перехода на страницы, использующие TLS-сертификаты, выданные DarkMatter, самые популярные браузеры будут блокировать соединение, выдавая сообщение о небезопасности. Два других ведущих разработчика браузеров, компании Apple и Microsoft, пока не определились со своей позицией в отношении сертификатов DarkMatter.

    Источник

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 19

      –4
      Корпорация Google объявила о том, что ее браузер Chrome в операционных системах Chrome и Android более не будет принимать корневые сертификаты, выданные удостоверяющим центром DarkMatter.

      А наших сертификатов там нет и санкции нам не грозят
      А вот интересно, что Mozilla и NSS (то бишь IBM) по этому поводу?

        +1
        А вот интересно, что Mozilla и NSS (то бишь IBM) по этому поводу?

        Это из разряда старого мема «Я случайно X»?
          +1

          Mozilla уже по этому поводу все решила:
          https://m.habr.com/ru/news/t/459424/

          0

          А разве Certificate Transparency, вроде бы уже давно активный в хромиум браузерах, не должен давать чёткого ответа на вопрос, выпускает ли CA "левые" сертификаты? Чтобы блокировать CA не по желанию левой пятки, а в связи с имеющимися фактами…

            +5
            Да статья как всегда замечательно написана. Некие правозащитники предполагающие злоупотребления, СМИ написавшие статьи с обвинениями… Сразу вспоминается ситуация вокруг 5G, когда внезапно осознали что производитель может выпустить прошивку или железо с недокументированными функциями.
            Ладно бы говорилось о расследовании и действительно найденных, и официально подтвержденных случаях как о причине блокировки. Почему-то все предпочитают формулировку «угроза», а не «подтвердившиеся факты». Это оставляет массу сомнений в источнике статьи.
              +1
              Потому что в мире еще существует такое понятие как репутация. Многие отказываются сотрудничать с теми, кто имеет подмоченную репутацию. В какой-то мере отзыв сертификата Гуглом подмачивает репутацию самого Гугла, но, сопоставляя издержки, Гугл решает, что так будет лучше. Его право. Если кто-то после этого обеспокоится, что и его сертификат могут аннулировать — пусть не имеет дел с Гуглом. Тоже его право.

              Я не понимаю почему люди возмущаются, когда компания делает что-то не имея твердых фактов на руках — компания ведь тоже несет от этого «убыток»: если большинство посчитает, что она поступила не правильно, — от нее начнут отворачиваться и она будет терять позиции.
              0
              > А разве Certificate Transparency, вроде бы уже давно активный в хромиум браузерах, не
              > должен давать чёткого ответа на вопрос, выпускает ли CA «левые» сертификаты?

              Нет. СТ защищает только от случаев когда недобросовестные клиенты добросовестного СА пытаются получить сертификат для домена, к которому они не имеют отношения. Если же СА само занимается выпуском левых сертификатов по своей инициативе то никакой СТ тут не поможет.
                +1

                Я вычитал доки по CT довольно давно, но, насколько я помню, если CA в принципе согласился участвовать в CT, то даже если он не будет сам добровольно публиковать некоторые из выпущенных им сертификатов, этот факт автоматически вскроется в тот момент, когда такой сертификат приедет в браузер любого юзера, дальше браузер сольёт этот сертификат серверам CT, и CA не сможет отмазаться потому что — вот подпись CA на сертификате, информацию о котором CA не дал через CT, как должен был.


                (А если CA отказывается участвовать в CT, то, как только такие CA останутся в абсолютном меньшинстве, их всех надо будет заблокировать.)

            +2
            Когда уже появится децентрализованные сертификаты и вообще веб, не зависящий от Гугла, Амазона, правительства Гондураса и остальных. Понятно, что кто-то будет крупнее, кто-то будет иметь большую рыночную долю, но вовсе не обязательно при этом контролировать то, что ты уже продал. И не надо смешивать мягкое с зеленым: когда с кем-то перестают сотрудничать (и это становится мейнстримом), потому что он замечен в сотрудничестве с кем-то другим, то это имхо уже неправильно.
              +1
              Так уже есть. Никто не мешает создать собственный удостоверяющий центр.
              Или даже выпускать самоподписанные сертификаты.
              Но в таком случае даже тех гарантий, которые мы имеем сейчас не будет.
                0
                А про какие гарантии вы сейчас говорите?
                  +2
                  Очевидно зависит от типа сертификата. В случае личных — то что удостоверяющий центр проверил личность, в случае доменных — что какой то контроль над доменом у получившего сертификат имеется.
                +1
                когда с кем-то перестают сотрудничать (и это становится мейнстримом), потому что он замечен в сотрудничестве с кем-то другим, то это имхо уже неправильно.


                А, по-моему, очень даже правильно — вся жизнь на этом построена: если кто-то водится с наркоманами, то вы или говорите ему, чтоб он это прекращал, или сами перестаете с ним водиться.
                  0

                  До тех пор, пока баба Глаша не начнёт говорить, что вы водитесь с наркоманами и все перестают с вами водиться независимо от того, водитесь вы с наркоманами или нет.

                    –1
                    Если у бабы Глаши все наркоманы, то на мнение бабы Глаши очень быстро станет плевать.
                      0

                      А если не все? Если баба Глаша видела Сталина из New York Times и зря говорить не станет? Суть в том, что с вами не водятся независимо от правды. Не проверяется ваша фактическая дружба с наркоманами.

                    0
                    Более того, наличие друзей-знакомых среди наркоманов не делает вас автоматически плохим человеком/профессионалом.
                    Особенно это заметно когда начинают притеснять на основании «внутренних правил» какие-то большие корпорации. Представьте себе, что вас бы принципиально начал банить Гугл (по всем продуктам) из-за того, что у него в правилах написано, что что-то нельзя (неважно что). И уже непринициально что вы что-то сделали не так. Полный отказ от общения и изгнание в древних обществах фактически приравнивался к смерти, а сейчас человека фактически выкидывают из общества из-за его мнения где-то неосторожно высказанного.
                  –3
                  В случае личных (гарантий) — то что удостоверяющий центр проверил личность

                  А вы почитайте о похождениях ЭП в России и увидите гарантии УЦ.

                  Only users with full accounts can post comments. Log in, please.