Comments 12
Это не совсем верно. «глобального истечения срока действия технического сертификата», его использование для электронных подписей в ПО еще не истекло. Сравните публичные ключи crt.sh/?id=1 (истек) и crt.sh/?id=162879063 (не истек) — они одинаковые (это тот самый SHA1 серт, от которого Microsoft отказалась в Windows 7 (с пакетом обновлений) и Windows 10 в пользу crt.sh/?id=162461728). И к тому же истекли и другие сертификаты.
Я, кстати, до сих пор не могу понять, почему после истечения срока действия сертификата всё с ним связанное превращается в тыкву. Ну, в частности, это очень хорошо проявляется на зашифрованных/подписанных документах/письмах, например. В итоге, когда сертификат протух и доступа к данным получить невозможно, при этом наличие обновленного сертификата вам так же никак не поможет получить доступ к этим старым данным, т.к. ключи-то в новом уже тоже новые, ими старое не расшифровать
Вообще, всё связанное с современной криптографией и, в частности, с сертификатами и подписями — это какой-то адский набор костылей, абсолютно неюзабельный в реальной жизни. Не представляю, как с этим всем вообще могут работать не подкованные технически пользователи…
Вообще, всё связанное с современной криптографией и, в частности, с сертификатами и подписями — это какой-то адский набор костылей, абсолютно неюзабельный в реальной жизни. Не представляю, как с этим всем вообще могут работать не подкованные технически пользователи…
ТЛ; ДР: выпускать пожизненные сертификаты — опасно.
Могу предплоложить, что срок окончания сертификатов сдлеан как раз для того, что бы заставлять владельцев их перевыпускать. К примеру, угнали у вас приватный ключ и вы об этом не знаете. Угнанный ключ будет валиден до конца срока. Потом вы будете вынуждены выпустить новый сертификат, и старый ключ уже будет недействителен.
То же самое и с корневыми сертификатами. Только в случае их взлома, все браузеры выпускают обновления и перестают им доверять (вместо ождиания 20 лет пока тот протухнет сам).
Могу предплоложить, что срок окончания сертификатов сдлеан как раз для того, что бы заставлять владельцев их перевыпускать. К примеру, угнали у вас приватный ключ и вы об этом не знаете. Угнанный ключ будет валиден до конца срока. Потом вы будете вынуждены выпустить новый сертификат, и старый ключ уже будет недействителен.
То же самое и с корневыми сертификатами. Только в случае их взлома, все браузеры выпускают обновления и перестают им доверять (вместо ождиания 20 лет пока тот протухнет сам).
Я не говорю, что сертификаты не должны иметь срока действия! Но это ж не означает, что всё, что было подписано таким протухшим сертификатом — должно умереть? Ну вот представьте, что вы подаете подписанные сертификатом документы в налоговую/банк. Прошло 5-10 лет и? Всё, ваши данные никто не сможет прочитать нормальными стандартными путями (как минимум без махинаций с локальной датой на компьютере, а скорее всего еще и старая ОС понадобится). Это ж не нормально…
Вы путаете сертификаты с шифрованием. Подпись нужна для проверки содержимого, но само содержимое доступно и без подписи.
Проблема в том, что оно всё работает по одним и тем же технологиям. Мне, как пользователю, вообще не видно что там за сертификат и для чего он используется, т.к. что для подписи https-трафика, что для обмена с банком, что для передачи данных в налоговую используются абсолютно идентичные файлы сертификатов (начинка меняется, да, алгоритмы шифрования везде разные, например). Но чисто технически — разницы между всем этим вообще нет. В итоге все равно везде есть цепочка сертификатов, кончающаяся на сертификате какого-то глобального удостоверяющего центра, зашитом в систему/браузер/etc
… я вынужден с этим периодически сталкиваться и это — боль. Там без мата работать невозможно, т.к. то тут файл не того формата, то там его куда-то прогрузить надо сначала, то программе он нужен в хитром месте строго определенно названным. И оно вот такое вот везде — все эти прыжки на костылях по граблям. Я очень хочу посмотреть на того человека, который решил, что это всё production ready и надо запускать…
… я вынужден с этим периодически сталкиваться и это — боль. Там без мата работать невозможно, т.к. то тут файл не того формата, то там его куда-то прогрузить надо сначала, то программе он нужен в хитром месте строго определенно названным. И оно вот такое вот везде — все эти прыжки на костылях по граблям. Я очень хочу посмотреть на того человека, который решил, что это всё production ready и надо запускать…
Каким образом истечение сертификата влияет на открытие даже веб сайтов? Его почти всегда можно скипнуть (кроме как если стоит preload HSTS Strict-Transport-Security). Но и там есть обход. youtu.be/y7lBJ04nSWU
Вряд ли кто из производителей лампочек выпустит автоматическое обновление. Запланированное устаревание, о котором производитель мог только мечтать.
Sign up to leave a comment.
Устаревшие сертификаты SSL могут отразиться на работе умных устройств