Комментарии 39
Он на полном серьезе предлагают ломать продакшен случайным людям? Мозилле пользователи совсем не нужны. Любой нормальный пользователь просто перейдет на Хромиумноподобный браузер после такого.
Отзыв осуществляет удостоверяющий центр, а не браузер. Если УЦ подчиняется этому правилу, то любой браузер, который проверяет сертификаты на отозванность, перестанет доверять отозванному сертификату. Если это предложение пройдёт, то переход на другой браузер вам ничем не поможет.
А отключить проверку на отозванность вовсе пользователи могут и без всякого перехода, достаточно отключить OCSP (онлайн-проверка) и CRLite (локальная проверка),
Пользователи отключать ничего не будут.
УЦ тоже отзывать ничего не будут. Они в отличии от Мозиллы деньги зарабатывают на основной деятельности, а с такими приколами все их клиенты перейдут к нормальным УЦ которые не страдают фигней.
Значит остается Мозилле только изображать отозванность у себя в брауезере. Это они могут.
Если предложение не пройдёт, то никто ничего делать и не будет. Об этом прямо говорится в дискуссии - это предлагается как часть TLS Baseline Requirement, а не Mozilla Root Store Policy.
This part of the proposal should occur within the CA/Browser Forum through amendments to the TLS Baseline Requirements, and not via Mozilla Root Store Policy.
"Они могут" это старый анекдот "сажайте за изнасилование - инструмент-то есть".
Кажется, он не понимает саму идею отзыва сертификата. Отзыв идёт снизу вверх – именно юзер оповещает УЦ о необходимости отзыва сертификата, не наоборот.
насколько я знаю - не только юзер. Иногда УЦ отзывают сертификат по решению суда. По крайней мере в РФ так.
А в международных CA вроде причин еще больше.
В этом случае у юзера нет возможности перевыпустить сертификат.
В общем, мало-мальски осмысленная схема проверки готовности CA к отзыву сертификатов – "тайные покупатели". Клиенты, которые будут выпускать сертификат, а потом в случайный момент времени его отзывать и проверять, что отзыв состоялся. А отзывать у случайных юзеров – это как стирать случайные файлы на диске пользователя. Пусть привыкает бэкапить.
Впрочем, возможно, Бен просто не умеет выражать свои мысли, и эти случайные 30 сертификатов – это сертификаты из специального тестового пула, а не кастомерские.
Помимо решения суда ещё он может отзывать по собственной инициативе. Казус уже был в 2018м:
Компания DigiCert сегодня отзовёт более 23 тысяч SSL-сертификатов, полученных пользователями через реселлера Trustico, который предоставляет услуги по получению SSL-сертификатов, выступая посредником между клиентом и удостоверяющим центром.
Хотя, тут тоже вопрос перспективы: ведь вроде как отзывает не конечный пользователь и не СА.
А давайте снайпер будет стрелять в 30 случайных человек на улице. Так всё привыкнут носить бронежилет и безопасность здорово повысится. Да не, бред какой-то.
это надо продвигать в странах где распространён огнестрел у населения, типо сша
Вроде было что Netflix в целях улучшения автоматизации и стабильности...и даже сделали спецтулзу для этого - https://github.com/Netflix/chaosmonkey
Чтобы софт отрабатывал проблемы нормально (считается что проблемы - все равно будут)
Правда вот с людьми чуть сложнее, из бекапа пока поднимать не научились (а еще - некоторые могут и в ответ)
Производители бронежилетов аплодируют стоя.
Ради понимания: а почему на данный момент сроки отзыва сертификата довольно существены?
Есть море проектов сделанных 10-20-30 лет назад которым удобно получить сертификат на несколько лет, подложить его куда надо и не думать больше об этом годами.
Что-то менять в таких проектах сложно, дорого и долго. И нужна причина чтобы этим заниматься.
нужна причина чтобы этим заниматься
И такой причины нет, и ее хотят придумать, но не понятно зачем.
получить сертификат на несколько лет, подложить его куда надо и не думать больше об этом годами.
Тут борются с 'не думать', как я понимаю. Потому что с такими сроками думать забывают. И чтобы толсто намекнуть, что перевыпуск(и выкладывание нового куда нужно) надо бы автоматизировать - вот это все и придумали.
Но, вообще - во в OAuth не зря же токены разного уровня и времени жизни придумали. Можно же было сразу выпустить токен доступа хотя бы на год? Но так делать считается неправильным. Вот и тут логика приблизительно такая же.
Или вот - корни DNSSec должны служить долго, но там постоянно какая-то движуха происходит с перевыпуском, заменой и так далее.
Вы говорите не про срок отзыва, а про срок действия. Сертификат может быть на 30 лет, но отзываться за трое суток. Т.е. срок отзыва 72 часа, но ты не думаешь об этом годами.
У меня есть к тормозилле другое предложение... пусть они сначала троттлинг в дебаге починят и вообще браузер свой починят, а не свои кривые табы на разваленный софт корячат. Вот прям ща, на этой же странице
Испанский кринж какой-то...
Секундочку, а кто будет оплачивать добросовестному приобретателю новый сертификат взамен отозванного? Не все сертификаты бесплатные так-то...
К уже излитому негодованию стоит добавить следующее соображение: если известно, что рандомный сертификат может отозваться просто по щучьему велению, потребитель станет спокойнее относиться к воплям браузера "ваше соединенение под угрозой, вы заходите на сайт с отозванным сертификатом!" Хотели повышения безопасности - получат ровно обратный эффект.
Иными словам, они хотят окончательно избавиться от старых CA и перевести всех на свой Let's encrypt. Не то чтобы я был против LE, но монополия выглядит опасно.
избавиться от старых CA
Старым CA(и их клиентам) никто не мешает настроить автоматику перевыпуска по аналогии с Let's Encrypt.
Letsencrypt это боль для wildecard сертификатов.
если DNS API криво работает, то да. если нормально работает — то особой боли не ощущается.
По-моему даже Cloudflare не даёт ограничить доступ к конкретным TXT-записям и при утечке токена можно снести всю зону.
С интеграциями в ПАК типа файрволов тоже лучше не стало, хотя Cisco спонсирует LE с его запуска.
Все бы ничего, но не все штуки поддерживают автоматический деплой без бубна. Например SCEPа (NDES) в Идраке не нашел (как там дела у iLo и прочих IPMI -я хызы). Хочешь чтобы не интернал серт был? Будь добр, костыль скрипт, чтобы оно тянуло или твои, или вайлкардовый.
Не все сервисы поддерживают и виндовые. Много где нужно нажать иного кнопок руками. Эксч тот же (накинуть серт, потом забиндить сервисы, потом забиндить коннекторы) Рдс тот же покликушек требует. Скайп сервер тоже.
Может в начале заставим разрабов делать человеческую возможность замены сертов? У меня в антиспаме нужно: заменить серт в Эксче. Достать этот серт в pfx, обязательно с паролем и в AES . Разделить серт на составляющие (паблик, приват и ЦА отдельно). Сконвертировать его в пем. Выровнять пем, чтобы по очереди лли. Закинуть вместо старого или рядом со старым. Если второе, то переделать пути. Перезагрузить антиспам шляпу. Прогнать через опенссл или другой тестер.
Удачи такое автоматизировать. Нет, можно все. Вот только степень ошибки будет выше, нежели раз в год по своему же мануалу прокликать ручками.
iDRAC скорее всего хочет лицензию, а у других вендоров даже вручную меняются через раз.
Да, там написано про датацентр лицензию. Инфы про которую я не нашел вообще, когда игрался с этим. :D
Я вживую тоже не видел, но она есть в конфигураторе на 200 баксов дороже обычной и даже у нас продаётся. У HPE в iLO оказывается тоже есть SCEP, а вот самые лучшие серверы от Lenovo в пролёте.
Это вы не видели как именно сертификаты "от госуслуг"(который корнем имеет Russian Trusted CA) выпускаются. для не-компаний - на 90 дней. выпуск через заявку через госуслуги, в течении рабочего дня (реально - не всегда).
API? А что это?
Всё что необходимо сделать это автоматизацию обновления сертификатов без боли, страданий и максимально. У меня, к сожалению, так и не получилось это всё настроить, особенно когда на сервере порт 443 занят, а веб сервер работает только на 80 порту, но в Интернет работает только по https.
В общем да, правильно я через групповые политики отключаю онлайн валидацию сертификатов, потому что, то что описано в статье это уже край маразма и паранойи.
Предложение Mozilla по отзыву случайных сертификатов