17 Январь 2017, 18:07

Цитата дня:

Единственный способ установить границы возможного - это выйти за них в невозможное. Закон Кларка


За что наказали WoSign и StartCom

Автор Уваров А.С., 27 Октябрь 2016, 10:31

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

Вниз

Уваров А.С.

На блоге уже поднимали тему прекращения доверия к сертификатам WoSign и StartCom. Для многих это не очень хорошая новость, так как бесплатные сертификаты от китайцев выглядели весьма и весьма привлекательно.

Чтобы понять суть конфликта и смысл претензий рекомендуем сначала прочитать статью: https://geektimes.ru/post/281188/

А теперь коротко и по пунктам, в чем таки провинились китайцы:

  • Уязвимость, позволяющая владельцу поддомена получить сертификат на весь домен.
  • После проверки основного домена, остальные можно было добавить в мультидоменный сертификат без всяких проверок.  :W


Остальное на этом фоне - мелочи, такие как выпуск SHA-сертификатов задним числом, чтобы продлить срок их действия, тем более регламентами это не запрещено.

Второй косяк вышел с приобретенным "по-тихому" StartCom, их сервис автоматической выдачи сертификатов содержал две  серьезных уязвимости:

  • Для подтверждения владения доменом проверочный файл можно было разместить где угодно и получить сертификат для этого домена. Т.е. залили на Дропбокс - получили сертификат для Дропбокса.
  • Дырка в OAuth 2.0  позволяла получить сертификат для любого сайта его использующего.


Как видно из этих примеров, никакой политики или сговоров в данном решении нет, а есть вопиющее техническое раздолбайство со стороны китайских товарищей, поэтому решение о прекращении доверия к сертификатам этих CA выглядит вполне обосновано. В тоже время китайцы имеют все возможности устранить все уязвимости, пройти аудит и продолжить работу выпустив новые корневые сертификаты, к которым снова будет доверие.



OnkelV

Если про SSL, то
https://letsencrypt.org/
подают надежды...

НО, покамест, я для фирмы купил на год. Сервер админят нам удалённо и за установку сертификата всё одно платить надо.
Установка гораздо дороже сертификата.
Компьютеры крепкие, а софт можно переустановить!

Вверх