Comments 21
Похоже, до всех начинает доходить, что дополнительная «безопасность», столь разрекламированная как основное преимущество EV-сертификатов, совсем никак не связана с цветом адресной строки. Что, по сути, достаточно одному CA оказаться недобросовестным (или просто недостаточно въедливым при проверке), и вся расширенная проверка становится лишь поводом взять больше денег — но не дать ничего взамен.
Дано сказать, сама идея, что я плачу больше денег, а мне за это дают серт, который помечен, что его хозяина проверяли прямо очень хорошо, выглядит глупо. Просто потому, что CA получает деньги от заказывающего домен (а порой, кто не только финансово, но инструментами закона может навредить CA), а не от посетителя сайта, который увидел зеленую адресную строку.
Что дальше-то? Честными сделаются, что ли?
Дано сказать, сама идея, что я плачу больше денег, а мне за это дают серт, который помечен, что его хозяина проверяли прямо очень хорошо, выглядит глупо. Просто потому, что CA получает деньги от заказывающего домен (а порой, кто не только финансово, но инструментами закона может навредить CA), а не от посетителя сайта, который увидел зеленую адресную строку.
Что дальше-то? Честными сделаются, что ли?
> центр бесплатной автоматической сертификации Let's Encrypt. Его доля среди сертификатов составляет 0,1%.
Странное дело. В свете последних обновлений, я ожидал у него увидеть вполне ощутимую долю…
Странное дело. В свете последних обновлений, я ожидал у него увидеть вполне ощутимую долю…
Это наверное, очень старые данные. На октябрь прошлого года он стоял как минимум на 3 месте по количеству выданных сертификатов. На данный момент, он, возможно, является крупнейшим СА в мире.
We’re still a pretty small crew given that we’re now one of the largest CAs in the world (if not the largest)Пост самой компании от 6 января
Это не старые, а официальные данные от W3Tech. В вашей первой ссылке на W3Tech они объясняют, почему в их собственных официальных данных доля Let's Encrypt занижена (сейчас добавлю это в статью), а сама Let's Encrypt ссылается на телеметрию браузеров.
По картинке из W3Tech можно считать, что стоящий на втором месте IdenTrust — и есть Let's Encrypt (они кросс-сертифицируют сертификаты LE). Доля сертификатов, выпущенных самой IdenTrust очень незначительна.
В реальности доля Let's Encrypt гораздо выше: более 3% по количеству сайтовТеперь у вас в одном абзаце сравнивается теплое с мягким. 3 % от общего количества сайтов (в том числе сайтов без сертификатов) и 0,1% от общего количества выданных сертификатов (доля рынка).
На мой взгляд происходящее не совсем корректно. Google имеет зуб на Symantec за левый сертификат на себя, что и справедливо.Но Google предвзят, и это очевидно. Где гарантия того что он напроверял правильно?
Чтобы избежать конфликта интересов должна быть независимая организация устанавливающая требования и проверяющая удостоверяющие центры, возможно даже при ООН или IEEE или аналогичной организации, а производители браузеров должны будут ей подчинятся.
И именно ее результаты ее проверок должны иметь вес. Не исключаю что Symantec сильно накосячил, но подобный подход создает не хороший прецедент. Когда одна компания с высокой долей рынка начинает оказывать давление на другую.
Чтобы избежать конфликта интересов должна быть независимая организация устанавливающая требования и проверяющая удостоверяющие центры, возможно даже при ООН или IEEE или аналогичной организации, а производители браузеров должны будут ей подчинятся.
И именно ее результаты ее проверок должны иметь вес. Не исключаю что Symantec сильно накосячил, но подобный подход создает не хороший прецедент. Когда одна компания с высокой долей рынка начинает оказывать давление на другую.
А Comodo гугл проверял? А собирается? А не окажется ли, что там еще хуже ситуация?
Право сильного во всей красе. Гугл может, а потому — делает.
Полгода назад StartSSL, теперь Symantec.
Возникает закономерный вопрос — а каков вообще смысл в платных сертификатах, если производитель браузера может забанить любой центр сертификации и ему (гуглу) за это ничего не будет.?
Возникает закономерный вопрос — а каков вообще смысл в платных сертификатах, если производитель браузера может забанить любой центр сертификации и ему (гуглу) за это ничего не будет.?
Учитывая что тот-же гугл до продела усложнил в новых версиях просмотр сертификата…
Все правильно: написано «Secure», значит secure. А то развелось умных…
Плохо нынче с сарказмом.
Зато все ок с secure
Зато все ок с secure
А как технически происходит создание нового сертификата в компании, подобной Симантек?
Создаётся ощущение, что идет передел рынка SSL, а let's encrypt — карманная контора гугла. Все переведут свои сайты на https и в один день окажется, что бесплатные сертификаты не предоставляются больше.
Вообще говоря, кто мешает откатиться на HTTP или купить новый сертификат?
Ничто не мешает. Но, так как гугл еще давно заявил, что https это +1 к ранжированию, все ринулись переходить на https, и откатиться на http захотят единицы, так как в данном случе будет проще оплатить 50-100 баксов в год за сертификат, чем опять ждать переклеивания и пертурбации в ранжировании. Да и http/2 опять же (браузеры требуют серты для него).
Вы похоже не веро понимаете на чем зарабатывает гугл.
Sign up to leave a comment.
Google потеряла доверие к сертификатам Symantec