Комментарии 18
Правильно ли я понимаю, что теперь устройства и программы, которые по каким-то причинам остались без сопровождения и не получают обновления сертификатов, будут превращаться в тыкву не через 7-10 лет как ранее, а через полгода?
Я так понял, тут речь о пользовательских сертификатах, корневые сертификаты удостоверяющих центров должны жить дольше.
Уверены? В HTTPS цепочку промежуточных сертификатов отдают с сервера. Исключения могут быть только для кросс-сертификации УЦ, но на то оно и исключение...
ну, собственно, если посмотреть на новость от глобалсайна на которую ссылаются в статье https://support.globalsign.com/atlas/atlas-tls/atlas-tls-ica-rotations-2021 и посмотреть какие сертификаты будут обновлены - речь о промежуточных центрах.
Теперь при замене сертификатов на серверах надо будет думать еще и об обновлении цепочки
Откуда 7-10 лет? И не вижу никаких проблем в том что не обслуживаемо нечто, которое должно вызывать у пользователей "доверие" по факту ни кем 10 лет не осблуживается. Да и не совсем понятно, если настроено автоматическое автопродление сертификатов, то может так же нпродолжать никем не обслуживаться как и раньше. Разница только в актуальных реквизитах владельца домена, а это дыра в безопасности как бы.
Это как эцп юрлица которое уже 10 лет не существует, а эцп действует, не отозвано и кто то ее использует для махинаций.
И не вижу никаких проблем в том что не обслуживаемо нечто, которое должно вызывать у пользователей "доверие" по факту ни кем 10 лет не осблуживается.
А как же NAS и интернет вещей, который снимают с поддержки года через два после выпуска?
А они тут причем? Вы помоему сильно путаетесь в понятиях.
Потому что они тоже пытаются подключаться к разным сервисам, в том числе и через SSL. И если раньше они ломались, когда менялся сертификат с долгим сроком жизни, сейчас это точно произойдёт быстрее.
Те же NAS вполне могут использоваться долго, как и разнообразные устройства типа sonoff.
Ну по идее это может решаться добавлением штампов доверенного времени (TSP)
Если вы способны разместить файл в определённом каталоге веб-сайта, это «демонстрирует» контроль над доменом.
...или над каналом связи
Но подождите: сертификаты же потому и придумали, что мы не доверяем каналам связи.
В общем случае задача не имеет решения, вспоминается Задача двух генералов
А если он сам инициирует выпуск сертификата и соответсвенно получит и имя файла и содержимое которое ему нужно будет отдать центру сертификации? MitM это не только пассивный перехват но и подмена и блокировка.
Ну может это к лучшему. Пользуюсь летсенкриптом, у меня провайдер заблочил 80 порт, а 443 открыт. Ну я через alpn их получаю автоматически и кустарно
А смысл от платных сертификатов, если они ничем не будут лучше халявных?
Грядущие изменения в сертификатах TLS: удаление поля OU, сокращение сроков, ротация центров, автоматизация