Сертификаты от StartCom и WoSign окончательно превратились в тыкву

    Логотип WoSign

    Эти организации известны тем, что они до запуска Let's Encrypt бесплатно выпускали свои сертификаты. И все было прекрасно до недавней поры: 21 октября 2016 года. Все сертификаты, выпускаемые после этой даты были заведомо невалидны. Но выпущенные до этой даты работали нормально. Это коснулось всех сертификатов, даже платных (включая Extended Validation):

    Уведомление в личном кабинете
    Но и это длилось не долго.

    Chrome начиная с версии 57 окончательно превратил все выпускаемые сертификаты в тыкву. Остальными браузерами сертификаты выпущенные до 21 октября 2016 года пока поддерживаются. Новость печальная, учитывая, что это были самые дешевые wildcard сертификаты.

    Поддержка обещает перевыпустить корневой сертификат в течение 3-4 месяцев. (правда, обещает уже пол года).

    Only registered users can participate in poll. Log in, please.

    Использовали ли вы решения от WoSign или StartCom?

    • 32.7%Да316
    • 23.1%Нет223
    • 19.7%Да, но больше не буду. Никогда190
    • 24.5%Я томат, использующий исключительно Let's encrypt237
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 69

      0
      Всё это очень плохо. Придётся таки писать скрипт-плагин к моему серверу, который (при получении чего-то новенького по SNI) будет пинать letsencrypt и получать новый сертификат. Потому как wildcard использовался, и поддомены я добавляю часто.
        0

        Поддерживаю, остается лишь ждать решения от StartCom. Хотя завтраками они кормят с конца октября.

          0
          Ну или пинать letsencrypt про wildcard-ы. Они вроде грозились, что «maybe in future»…
            +1
            Не думаю, что Mozilla/Chrome согласятся принять перевыпущенный CA в список доверенных — ограничения действуют не на сам сертификат, а на компанию.
              0
              Ограничения действуют всё-таки на сертификаты (proofs: раз, два). Просто для того, чтобы компания смогла добавить новый — ей надо пройти через пачку проверок. Пройдёт — пожалуйста.
                +2
                Посмотрел — действительно так. Однако, процедура рассмотрения занимает 8-12 месяцев, не говоря о том, что StartCom необходимы доработки ПО и аудит.
            0
            Зато всё будет автоматом. А то, что они ещё обновляются сами — так вообще же красота.
              0
              https://github.com/GUI/lua-resty-auto-ssl
              Вот вам готовый вариант для OpenResty(с чистым nginx'ом не работает). Можете себе привинтить, как-нибудь. Какое-то время сам использовал, даже OpenResty для него пакетил под Ubuntu 14.04 LTS, потом необходимость отпала.
                +1
                У меня сервер на node.js, с хитрыми многоходовочками. Так что скорее придётся писать своё решение на базе вот этого. Возможно, поделюсь.
                  0
                  подскажите, пожалуйста, если знаете, конечно ))
                  при генерации сертификатов lua-resty-auto-ssl — он nginx перезапускает или как-то на лету меняет сертификаты?

                  сейчас рестартую Nginx при замене сертификата
                    0
                    Все без рестартов работает.
                    Да и вы зря рестартуете nginx, достаточно делать reload.
                    А, вообще, все прекрасно работает по схеме acmetool(ну или еще кто получающий и обновляющий сертификаты) обновляет по крону, а nginx все равно получает HUP при logrotate и подхватывает новый сертификат. Так как сертификат обновляется задолго до дня X все проходит прекрасно на автомате и без ручных релоадов.
                      0
                      спасибо за ответ. ок, попробую проверить, что по hup logrotate'а подхватывает ))
                        0
                        Всегда так было. После логротейта спокойно берет свежие сертификаты, я вообще не думаю о рестартах.
                        А так, у того же acmetool есть пре и постхуки, если хотите автоматизировать именно рестарт. Потом он висит в кроне, обновляет и хуки запускает.
                  0

                  Это вполне можно автоматизировать с помощью scm типа ansible'а. Если интересно, могу поделиться нужной ролью.

                    0
                    мы у себя используем docker-gen: https://github.com/jwilder/nginx-proxy к нему ест контейнер компаньон, который занимается выпуском и продлением LE сертификатов. То есть он смотрит какие запущены контейнеры на машине, читает их переменные окружения, смотрит в них vhosts которые нужно создать и собственно поднимает прокси ко всем внутренним контейнерам. Это оказалось невероятно удобным способом запустить к примеру 15 разных WP (с разными версиями PHP), вместе с парой приложений на nodejs в рамках одной машины раскидав их на разные домены. Однако у схемы с LE оказался неожиданный минус. Я сделал стэйдж таким образом, при наличии 15 сайтов мы уперлись в rate limit от LE. Слишком много сертификатов выдано на домен и все. Все попытки написать LE запрос на увеличение лимитов по домену (есть у них форма на сайте) ни к чему не привели. Так что если у вас много поддоменов — рекомендую задуматься о покупке иного wildcard.
                    +12
                    > Новость печальная, учитывая, что это были самые дешевые wildcard сертификаты.

                    Печальной была новость, что эти мошенники выпускали сертификаты на популярные домены для левых людей. А то, что их выкинули на мороз — новость прекрасная.
                      +1
                      … вместе с их пользователями?
                        +5
                        Следующая компания, которая подумывала заниматься таким мошенничеством — подумает дважды.
                          +3
                          Если админ чесал яйца полгода и не заменил сертифаты выданные этой шарашкой на нормальные, то лопатой по голове такому админу. Сертификаты от этой шарашки доверенными быть не могут, учитывая, что и как они выдавали.
                            +2
                            Ну, расскажите же мне, чесавшему яйца полгода, какие «нормальные» wildcard-сертификаты мне использовать, не сильно дороже $55 в год за 8 штук. И после этого — лопатой по голове можете погладить, если сильно хочется.
                              –3
                              Научится работать с Shell и прикрутить letsencrypt?
                                +3
                                Об этом смотрите первый комментарий к данному посту и ветку из него. Но речь про Wildcard, которых letsencrypt (пока?) не даёт.
                                  –2
                                  Я вам указал готовое решение для openresty, которое выпускает сертификаты, при первом обращении к домену. То что вы используете какую-то маргинальщину, как веб-сервер — ваши проблемы. Ну и для «бызнеса» который не может купить себе, если они РЕАЛЬНО нужны 8 wildcard у кого угодно есть повод задуматься «А мы вообще все правильно делаем?» и «У нас админ — бездельник получающий деньги ни за что». Настроить получение сертификатов автоматом для домена при обращении дело — часа-полутора, вместе с пакетированием openresty под ваш дистрибутив. Пойдите на апворк, найдите человека, заплатите 80-90 баксов за его работу и проблема решена на годы вперед, все будет получаться и обновляться само, в отличии от того же StartCom, сертификаты которого нужно было получать через почту и браузер, отправлять на сервер и так далее. Автоматика настраивается один раз и все.
                                    0
                                    Я использую много доменов для личных и некоммерческих нужд. «Маргинальщину» в качестве веб-сервера я использую по причине того, что ни один из готовых «комбайнов» меня по той или иной причине не устроил. И тратить на проекты, которые приносят по 10-50 баксов в год, по 400 баксов на SSL, я не считаю правильным. Да, letsencrypt решает проблему «запустить SSL хоть как-нибудь», но у меня действительно МНОГО поддоменов (которые генерируются автоматически логикой проектов). И я не уверен, что letsencrypt не заставит меня приехать в какой-нибудь лимит (как вышло у NosovK несколькими комментариями выше). Настроить автополучение даже на существующей системе для меня — дело одного выходного дня, мне не сложно. Вот только как бы это не выдало огромное количество проблем в будущем. Поэтому нужен wildcard. И пока что я не вижу решения, которое при той же цене, что у startssl (или хотя бы сопоставимой), покрывало бы эту задачу.
                                      +2
                                      Ну тут все просто. Либо генерируйте сертификаты для каждого домена, что делается элементарно, либо покупайте, если вам нужно то, что стоит денег.
                                      Ну и байки про лимит они смешные. Есть лимит на 20 в неделю и 100 в одном сертификате, то есть вы можете выпускать в неделю сертификаты для 2000 доменов, я сильно сомневаюсь, что что-то нормальное требует у вас больше. Не, если вы делаете фишинговые сайты и косите под PayPal, тогда они у вас живут 2-3 дня и вы можете упереться в лимиты, а в противном случае это практически нереально.
                                      StartCom/WoSign были пойманы на мошенничестве с сертификатами и правильно мошенников выкинули из доверенных, я у себя на компах их заблокировал раньше. Вы страдаете от того, что Google сказал «Нельзя доверять мошенникам», вы хотите, что бы люди доверяли мошенникам. У меня закрадываются подозрения в отношении ваших сайтов.
                                        +3
                                        Google и Mozilla сказали «Нельзя доверять мошенникам» — это хорошо, я же не спорю. Вот только сначала они сказали «окей, мы не будем доверять вашим новым сертификатам, потому что вы про**ались, обновите инфраструктуру, пройдите проверку, и всё ОК». А теперь они говорят «окей, а давайте ка мы убьём все ваши сертификаты воапще, просто потому что мы большие и мы можем, а на тех, кто вашими услугами пользовался честно — наплевать». А вдобавок параллельно помечают сайты без HTTPS как небезопасные.
                                          0
                                          Этим корневым сертификатом может быть подписано неизвестно что, учитывая что их за руку на этом поймали никакого доверия к тому что это единичный случай итд быть не может, отзыв этого сертификата был вопросом времени.

                                          То, что его не убрали сразу как раз является заботой о невинных пользователях, которые должны были посмотреть на всё это и сделать выводы.
                                          В этой ситуации WoSign и StartCom должны были сразу заняться переделкой системы и аудитом, если бы они заботились о своих клиентах. Но они решили что и так пронесёт, не пронесло.

                                          При этом сам LetsEncrypt появился как ответ на косяки дешёвых/бесплатных сертификационных центров, потому что пользователям уходить было бы некуда если их бы сразу отрубили, я думаю в дальнейшем при возникновении таких ситуаций отрубать будут быстрее, и это правильно.
                                            0
                                            Сертификат Let's Encrypt менее удобен хотя бы тем, что его нужно каждые полгода вручную обновлять (некоторые хостинги это умеют, но мой, к сожалению, нет). В тех случаях тоже надо было вручную, но намного реже — я осенью 2015-ого взял сертификат от WoSign аж на два года бесплатно. И он всё ещё работает :)

                                            Но что ещё хуже — я вообще не понял, как сертификат от Let's Encrypt вручную установить на обычный хостинг с обычной панелью управления ISP. Читал их сайт, пытался понять. Не понял. Пишут про установку каких-то консольных утилит, причём сильно ориентированных на Linux. Когда покупал сертификат от WoSign, было намного проще всё.

                                            А не подскажете, на чём именно их поймали? Что они кому выдали там, я не в теме немного.
                                              +1
                                              Не каждый полгода, а раз в три месяца, не вручную, а автоматически. А так все хорошо. Использую сертификаты от LE с момента, как они вышли в бету и получили кросс-подпись, сертификаты обновляются сами и не требуют моего внимания вообще. А вы дальше врите.
                                                0
                                                Ну настройте автопродление сертификата для приватного сервера (недоступного боту LE) с DNS у nic.ru.

                                                А сейчас LE вообще лежит.
                                                  –1
                                                  А где я вру? Вот попробуйте сами на HostYes установить сертификат от Let's Encrypt. Вы не только обновить его не сможете, но скорее всего даже и поставить — в связи с глюками новой версии панели ISP, откуда исчезла опция установки стороннего сертификата (либо хостер её специально выключил).
                                                  0
                                                  Касательно косяков WoSign (StartCom был куплен WoSign) есть параграф тут, ну и по ссылкам в нём
                                                  https://habrahabr.ru/company/qrator/blog/326824/

                                                  сейчас letsencrypt очень легко управляется, в многие панели он уже встроен
                                                  для совсем ручного управления:

                                                  certbot certonly предложит мастер получения ключей, отвечаем на вопросы, находим сертификаты в /etc/letsencrypt/live/$domain
                                                  certbot renew по крону и релоад сервера (чтобы новые файлы сертификатов подхватились сервером, если это требуется)
                                                    0
                                                    >находим сертификаты в /etc/letsencrypt/live/$domain

                                                    Мы точно об одном и том же говорим? Какой ещё /etc на Windows? Или вы про SSH? Так он тоже не на любом хостинге есть…
                                                      0
                                                      Cygwin же. У любого уважающего себя разработчика (который не осилил установку линукса или покупку мака) он должен быть. Ну или VirtualBox.
                                                        0
                                                        А зачем веб-разработчику (уважающему себя или не очень) ставить линукс или покупать мак? Это ведь не сисадмин на стажировке, которому тренироваться надо (там можно и без виртуалки поставить нужную ОС). Для написания кода на PHP, JS или Python не важно, какая у тебя ОС. Текстовых редакторов удобных под любую полно, есть даже онлайновые вполне неплохие.

                                                        Вот поэтому мне и непонятен подход «хочешь с удобством использовать наш сервер — поставь Cygwin или виртуалку). Я кстати работаю с виртуальными машинами. Но у меня там другие ОС крутятся. Win 98, Win XP с IE7, Win 10.
                                                          –1
                                                          Win 98
                                                          Win XP
                                                          IE7

                                                          Таких уже нет.


                                                          Win 10

                                                          А в ней почти из коробки есть подсистема линукса, которая может во всё это, и куда можно нативно поставить letsencrypt.

                                                            0
                                                            Так они у меня в виртуалках. 98-ая — для фана. А насчёт IE7 — а как иначе в нём тестировать работу сайтов, если у меня стоит IE8? Две разных версии IE на одну винду никак не поставить.

                                                            Я в курсе, что IE7 не поддерживает новые SSL шифры, и если делать сайт полностью на HTTPS, то этот браузер в любом случае идёт лесом. Но если допустим HTTP достаточно — почему не обеспечить работу ещё и в этом браузере? Хотя это требует много трудозатрат и не так тривиально, естественно. Но можно повысить стоимость работы, если заказчик не против.

                                                            А в ней почти из коробки есть подсистема линукса, которая может во всё это, и куда можно нативно поставить letsencrypt.

                                                            Не расскажете про это чуть подробнее? Может, пригодится.
                                            0

                                            В таком случае вам прямая дорога в Cloudflare с их flexible SSL

                                            0
                                            Что такое openresty вообще, и с каких пор веб-сервер стал «маргинальщиной»? Или вы толсто потроллить тут всех решили?
                                            0
                                            По этому я и упомянул shell — что бы letsencrypt генерировал новые сертификаты автоматически для новых доменов.
                                          0
                                          Amazon выдаёт бесплатные Wildcard сертификаты. Правда использовать их можно внутри AWS, но всё же.
                                            +1
                                            не сильно дороже $55 в год за 8 штук
                                            Бешеные бабки, конечно, ради них можно и не на такое пойти.
                                              0
                                              Не понял ваш комментарий. $59 стоила верификация Class2 у StartSSL, после чего Wildcard давались бесплатно (сколько надо). Самый дешёвый Wildcard сейчас — у GeoTrust и Comodo: $149/шт, $1192 за 8 — в 20 раз больше, чем я платил до этого. Больше половины моей з/п за месяц.
                                                0
                                                // промахнулся ссылкой — правильная вот эта.
                                                  +2

                                                  На gogetssl comodo начинается от $62/yr, есть ещё их subordinate (под comodo, вроде) с wildcard ~$40/yr если брать на два года.

                                                    0
                                                    Даже если брать в расчёт реселлеров (хотя я их не люблю): 40*8 = 320. В 5 раз больше. Менее фатально, но…
                                                      +1
                                                      А оно действительно нужно в таких количествах?
                                                      Хорошей практикой считается использование только необходимых имён в SAN, а wildcard ставят на балансировщики как единую точку входа.
                                                      0
                                                      Оказывается они выключили прямую оплату с карт, сейчас оплата работает только через дурацкие онлайн-кошельки. gogetssl зачем вы так?
                                                        0

                                                        Странно, у меня оплата картой пытается сработать через paypal и также доступна оплата через paypal account. Только что ходил в https://my.gogetssl.com. Ради проверки не оплачивал, конечно.

                                                          0
                                                          На следующем экране вылазит форма регистрации с требованием ИНН/СНИЛС/ОМС.
                                                            0

                                                            Скорее всего, это наши законодатели постарались. Т. к. paypal сейчас требует паспортных данных и ИНН. Если они требуют ещё СНИЛС и ОМС — это очень странно.

                                                              0
                                                              Требуют один документ на выбор. Возможно это дурь палки, но на других шлюзах (пробовал WebMoney и Skrill) у них оплата картой тоже заблокирована.
                                                0
                                                Про блокировку всех сертификатов с 57 версии не предупреждали, это всплыло у пользователей беты и описание ограничилось комментарием к патчу.
                                            0
                                            Однако Microsoft Edge их спокойно «кушает»
                                              +2
                                              Давно пора, LE уже доведен до состояния, когда его можно использовать без проблем. В том числе все нормальные хостинговые панели уже умеют его использовать.
                                                0
                                                Хух, успел. Буквально пару недель назад заменил бесплатный сертификат от StartCom на Letsencrypt
                                                  0
                                                  У LetsEncrypt нет поддержки Chrome под MacOs. Плюс недавний скиндал с PayPal. Да и случае наличия балансера / RR DNS настройка автоапдейтов становится довольно интересной.

                                                  В общем, если есть возможность купить — лучше купить, имхо.
                                                    –1
                                                    Плюс недавний скиндал с PayPal.

                                                    Какой же это скандал? Фишеры научились запускать certbot?


                                                    Если CA должны отвечать за невыдачу сертификата, содержащего магическое слово (например, paypal в данном кейсе), то почему ICANN не должен делать то же самое на этап раньше, при регистрации домена?

                                                      0
                                                      Блин, а почему у меня при RR DNS все хорошо? Может потому, что я не сношаю мозг, а получаю сертификат на одной машине, а потом скриптом копирую на другие?
                                                      А скандал только в голове идиотов. Они выдают сертификаты владельцу домена. Они не должны проверять что там в домене, не их это дело.
                                                      0

                                                      В Node.js 8.0 тоже невалидны сертификаты StartCom/WoSign, выпущенные с 2016-10-21, к слову.

                                                        0
                                                        Почитал тут комментарии и смотрю — многие нахваливают LetsEncrypt. Возник вопрос: откуда такая увeренность, что гугль и иже с ними не провернёт в будущем такой-же трюк с LE?
                                                          0
                                                          Пока letsencrypt не начнёт выдавать «неликвид» (как это, судя по всему, делали ребята из сабжа), банить их никто не будет. Как я понял, у letsencrypt с политикой и открытостью всё нормально, и вероятность блокировки крайне мала.
                                                          –1
                                                          https://letsencrypt.org/sponsors/
                                                          Смотрели, не?
                                                          Посмотрите. Поищите знакомые буквы.
                                                          LE — некоммерческая организация за которой стоят столпы IT всего мира. WoSign были китайскими мошенниками выдававшими сертификаты на чужие домены кому попало.
                                                            +1

                                                            В итоге подставилась вполне себе неплохая StartCom. Насчет намерений WoSign мне неизвестно, но стартком подвели их же уязвимости, связанные с валидацией доменов. На самом деле, вполне логичным решением была бы блокировка не корневого сертифката, а промежуточного, благодаря которому и подставились.


                                                            P.S. вообще эта тема с сертификатами коснулась и прочие организации, в том числе и Comodo, Symantec и прочие. Но, как ни странно, решение они предоставили быстро и предупредили своих клиентов об этом.
                                                            P.S.S. Та же участь вполне может постигнуть и let's encrypt, ведь от пожобного совершенно никто не застрахован.

                                                              0
                                                              В итоге подставилась вполне себе неплохая StartCom.

                                                              Которая была куплена владельцем WoSign'а через proxy-компанию в UK, IIRC.

                                                                0
                                                                И за что и огребли, в числе прочего. За мошенничество с покупкой, в том числе.

                                                        Only users with full accounts can post comments. Log in, please.