За что наказали WoSign и StartCom

[Уваров А.С.]

На блоге уже поднимали тему прекращения доверия к сертификатам WoSign и StartCom. Для многих это не очень хорошая новость, так как бесплатные сертификаты от китайцев выглядели весьма и весьма привлекательно.

Чтобы понять суть конфликта и смысл претензий рекомендуем сначала прочитать статью: https://geektimes.ru/post/281188/

А теперь коротко и по пунктам, в чем таки провинились китайцы:

• Уязвимость, позволяющая владельцу поддомена получить сертификат на весь домен.
• После проверки основного домена, остальные можно было добавить в мультидоменный сертификат без всяких проверок. 

Остальное на этом фоне - мелочи, такие как выпуск SHA-сертификатов задним числом, чтобы продлить срок их действия, тем более регламентами это не запрещено.

Второй косяк вышел с приобретенным "по-тихому" StartCom, их сервис автоматической выдачи сертификатов содержал две  серьезных уязвимости:

• Для подтверждения владения доменом проверочный файл можно было разместить где угодно и получить сертификат для этого домена. Т.е. залили на Дропбокс - получили сертификат для Дропбокса.
• Дырка в OAuth 2.0  позволяла получить сертификат для любого сайта его использующего.

Как видно из этих примеров, никакой политики или сговоров в данном решении нет, а есть вопиющее техническое раздолбайство со стороны китайских товарищей, поэтому решение о прекращении доверия к сертификатам этих CA выглядит вполне обосновано. В тоже время китайцы имеют все возможности устранить все уязвимости, пройти аудит и продолжить работу выпустив новые корневые сертификаты, к которым снова будет доверие.

[OnkelV]

Если про SSL, то
https://letsencrypt.org/
подают надежды...

НО, покамест, я для фирмы купил на год. Сервер админят нам удалённо и за установку сертификата всё одно платить надо.
Установка гораздо дороже сертификата.