И что? Разница-то?

Они просто божественные адмиралы очевиндости.

А уже для Chrome 41 (релиз которого намечен на первый квартал 2015 года), такие сайты будут считаться небезопасными.

такие - это которые без шифрования (без https)?
упоролись шоле?

Такие, это которые с шифрованием, но с SHA-1

А что в этом плохого? Пользователь видит, что соединение не безопасно и дважды думает перед тем как отправлять важные данные.

Хитрый план

Гугль постепенно забанит все общепринятые алгоритмы шифрования и пересадит всех на свой собственный, секьюрненький, чтобы было проще данные в NSA сливать.

тогда тут надо что-то подправить:

В Chrome 40 сайты без шифрования будут отмечены новым «нейтральным» индикатором.
А уже для Chrome 41 такие сайты будут считаться небезопасными.

«без шифрования» != SHA-1

обеими руками за https во все поля, но при текущей стоимости сертификатов такая идея слишком утопична

обеими руками за https во все поля, но при текущей стоимости сертификатов такая идея слишком утопична

Да ладно. Стоимость их начинается с «бесплатно для частных лиц».

А что касается паники, то, по идее, если на сайте шифрование есть, но в нём сбой, то и Хром, и Файрфокс всегда поднимают бо́льшую тревогу, чем если его нет.

После того, как trustwave продала корневой сертификат сторонней конторе, и ей за это ничего не было, говорить о безопасности алгоритмов вообще смешно. Тут вся система не работает, а они про хэши.

бесплатно для частных лиц

да-да, конечно. startssl? но и тот на год максимум (был по-крайней мере)

А что касается паники, то, по идее

не новость. и это правильно. речь же идет о «сайты без шифрования», если судить из текста новости.

sudo cast cetjs2

Просто в 40й версии эти сайты будут приравнены к таким, где шифрование не используется ;)

Если корректор посчитает нужным - пусть поправит новость.

Все работает, главное научить большинство админов и покупателей сертификатов создавать CSR вручную, а не через веб-форму на том же сайте где подписывают.
Да, гугл стал продвигать усилено https не потому-что они так заботятся о безопасности, а просто потому-что им нужно больше личных данных и нужно еще больше продвигать свой сервис для продажи доменов. И в большинстве случаев сертификаты пойдут подписывать к ним, потому-что они одни из немногих кто предоставляет private к регистрации бесплатно.

После того, как trustwave продала корневой сертификат сторонней конторе, и ей за это ничего не было

Во-первых, твоё утверждение показывает, что ой как было: теперь об этом весь интернет знает. Во-вторых, они сохранили подобие приличия: продали не свой корневой сертификат, а подсертификат, только для частного использования и не в виде файла, а виде железяки, встраиваемой в локальную сеть.

Система трещит по швам, но работает. Пока никто не придумал никакой другой рабочей системы.

Так же, как, например, OpenSSL. Все говорят, что, мол, «код глючный, бажный, непроверенный», недавно Heartbleed был, а пользуются.

да-да, конечно. startssl?

Ну а чего? Он принимается в большинстве браузеров, нет разве? Ещё Namecheap перепродаёт сертификаты от разных центров дёшево (иногда дешевле, чем в самих центрах).

пару лет назад firefox ненавидел их, сейчас не знаю, продлить больше чем на год не удалось (не помню уже почему). про мобильные вообще молчу. ну и самое главное - скольких владельцев сайтов вам удалось уговорить поставить шифрование за надцать долларов в год? ;) я много раз сталкивался с серым непониманием этого.

за namecheap - thx, PositiveSSL по $9 это хорошо.

Во-первых, твоё утверждение показывает, что ой как было: теперь об этом весь интернет знает.

Знают только немногие, кто интересуется.

продали не свой корневой сертификат, а подсертификат, только для частного использования и не в виде файла, а виде железяки, встраиваемой в локальную сеть.

Суть в том, что они сказали, что сделали именно так, и больше ничего другого не делали. И им как бы поверили.

А других CA просто никто пока за руку не поймал. Но что будет, если поймают?

По факту мы имеем то, что доверенный центр может выдать сертификат для mitm за деньги, и пользователь даже не заметит, что сертификат поменялся (про certificate pinning задумались только сейчас).

В идеале, после одного такого происшествия провинившаяся контора должна быть навсегда исключена из системы. Да, куча народу пострадает от того, что их сертификат на сайте внезапно перестал работать как надо, да, это выглядит радикально, но зато другие поймут, что можно лишиться бизнеса в один момент из-за того, что не соблюдаешь условия. А что случилось с trustwave? Живут себе спокойно. И другие видят, что им ничего за это не будет (как посмеет mozilla отрубить сертификаты thawte, например?), и наверняка гонят сертификаты на сторону.

То есть вся эта система защищает от Васи-хакера, который из локалки пытается трафик до вконтактика сломать, но не против крупной конторы-работодателя, прослушивающего сотрудников, и уж тем более не против NSA.

Пока никто не придумал никакой другой рабочей системы.

Да, к сожалению, это так.

пару лет назад firefox ненавидел их, сейчас не знаю. про мобильные вообще молчу

Вроде Firefox их теперь принимает. Более того, я сейчас почитал, что про них в интернете пишут, и выяснил, что даже после их некрасивого поведения после Heartbleed и жалоб пользователей их не исключили из списка доверенных. Хотя, конечно, такое поведение и плата за отзыв сертификата заставляют задуматься, стоит ли у них брать бесплатный сертификат. Но, опять же, есть дешёвые, но нормальные.

поставить шифрование за надцать долларов в год?

А если сравнить цену сертификата с ценой хостинга в год?

Потом, тот человек, который предлагал паниковать на всех недоверенных сайтах по-своему прав. Сколько человек перестали бы проявлять «серое непонимание», если при отказе от шифрования каждый браузер бы начинал отговаривать посетителе идти на их сайт?

Да ладно. Стоимость их начинается с «бесплатно для частных лиц».

где?

провинившаяся контора должна быть навсегда исключена из системы

Речь идёт о крупных суммах денег. Это как сказать: «За агрессию против Укр... Южного Тудыстана Латверия должна быть навсегда исключена из мирового сообщества». Так просто не исключишь.

против крупной конторы-работодателя, прослушивающего сотрудников

Ну, защититься от такой прослушки не всегда возможно (особенно если компы на рабочих местах сотрудников принадлежат конторе), да и вряд ли это должно быть в приоритете для разработчиков систем безопасности.

и уж тем более не против NSA.

Да, вот это действительно проблема. Однако придумать систему, способную защитить от государственных шпионов в любом случае довольно трудно, если хотя бы на одном конце находится компания, базирующаяся в этом государстве.

Впрочем, кто знает? Теперь народ особенно крепко задумывается о подобных проблемах. Может, и придумает кто-нибудь чего-нибудь.

где?

startssl.com
Только осторожно, там плата за отзыв, оказывается.

И это дорого. В два раза можно взять дешевле. А иногда и за 1$.

А если для подписи используется и SHA-1 и SHA-256, то гугл будет считать его безопасным?

Речь идёт о крупных суммах денег.

В том и проблема. Если ты крупный и богатый, то делай что хочешь, и тебе ничего не будет. А все продавцы сертификатов крупные и богатые.

Это как сказать: «За агрессию против

Это ещё не совсем хорошая аналогия: агрессии периодически происходят, и это серьёзное, но таки вполне «обычное» дело. А вот для центра, выдающего сертификаты, обсуждаемое поведение противоречит самим основам системы.

Лучше подошла бы аналогия с милиционером, который после совершения преступления остаётся на службе, и все об этом знают.

Ну, защититься от такой прослушки не всегда возможно (особенно если компы на рабочих местах сотрудников принадлежат конторе), да и вряд ли это должно быть в приоритете для разработчиков систем безопасности.

Работодатель - всего один из примеров. Тут главное то, что не только NSA имеет возможность запустить свои грязные руки в чужой трафик (про них и так знали), но и вполне обычная коммерческая структура. Например, крупный провайдер, у которого уже достаточно денег для покупки такой штуки.

Ахах)))

Как страшно:)

Ну не будет сайт доверенным и что? Если пользователь захочет, то проигнорирует. А полностью выпиливать алгоритм глупо учитывая что есть сайты где его вовсе нет.

Вообще хром никогда не любил из-за паранойи в безопасности браузера. Я конечно все понимаю, но мне нужно еще и работать, а не заборы обходить.

Лучше подошла бы аналогия с милиционером, который после совершения преступления остаётся на службе, и все об этом знают.

Так ведь один из самых крупных браузеров разрабатывает некоммерческая организация. Так ли просто уволить со службы милиционера, который, например, пожертвовал миллион долларов в бюджет страны?

Например, крупный провайдер, у которого уже достаточно денег для покупки такой штуки.

Я надеюсь, что никакой CA, в котором руководство ещё не совсем лишилось ума, не выдаст такую штуку провайдеру ни за какие деньги. Разве что за сумму, превышающую ту, за которую провайдер мог бы купить весь CA, если бы сделал предложение открыто. Это же не супермаркет всё-таки.

спасибо

Лучше подошла бы аналогия с милиционером, который после совершения преступления остаётся на службе, и все об этом знают.

Ты же не в России живёшь, да? ☺

Скорее всего, да. Хотя, чтоб точно пишите Гуглу :)

Да, к сожалению, это так.

http://namecoin.info/

У некоторых провайдеров есть промежуточные сертификаты, которыми можно выдать валидный конечный сертификат. Например, у Etisalat, который подозревали в установке всякой фигни на смартфоны клиентов :)

И чем можно это объяснить? Если есть подпись SHA-256, то наличие подписи SHA-1 не уменьшает безопасность. Речь ведь идёт о подписи, а не о шифровании, где наличие стойкого и менее стойкого криптотекста очевидно бы свело все старания к менее стойкому.

Я надеюсь, что никакой CA, в котором руководство ещё не совсем лишилось ума, не выдаст такую штуку провайдеру ни за какие деньги. Разве что за сумму, превышающую ту, за которую провайдер мог бы купить весь CA, если бы сделал предложение открыто. Это же не супермаркет всё-таки.

Стоит добавить еще что сертификаты регулярно удаляют из trusted store, по крайней мере в firefox, попасть туда сложно, вылететь легко. И если информация всплывет, то деньги потеряет как СA, так и заказчит, который получил бесполезный. воздух за n миллионов.
А c массовым внедрением Public key pinning и DNSSEC (последний все-таки предпочтительней, но первый это больше забота о рядовом пользователе, чтобы twitter или fb не подменили) никто не сможет подменить сертификат и остать незамеченным. А вообще это доступно уже сейчас. Просто нужно удалить все сертификаты из trusted store, и добавлять их вручную, что сделает все сертификаты подписанными неизвестными личностями, где они будут сохраняться в cert_override.txt. Но конечно тогда работа с браузером превратится в испытание, поэтому для дополнительной проверки используют OSCP и SSL Observatory.

+1`Где`доказательства`незащищенности`алгоритма?

Гугл говорит: «каг бе вот!» :D

Помнится мне, даже свежий IE вообще не мог открыть сайт, когда его сертификат был с SHA-256. С совершенно невнятным сообщением типа «ничо не знаю, там ничего нет».

Так не обязательно же всем переходить на https из за того что в хроме отмеченны не безопасными, или я ошибаюсь и отметка «не безопасный» это не просто приписка в адрес-баре, а какая нибудь блокировка?

но при текущей стоимости сертификатов такая идея слишком утопична

3-5 доллара за домен в год - это слишком много?

Придумали, DANE http://en.m.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities

Судя по тексту новости блокировок быть не должно только приписка.

sudo cast Wizard_

Завтра я положу удостоверение грамма-наци Вам на стол.

Столько очепяток ться/тся.

Позор на мои седины!

Ничего, бывает.

чем он задумывался разработчиками в 2005 году

1995

Просто этот год в оригинальном посте блога.

Можно самоподписные сертификаты использовать.

продлить больше чем на год не удалось (не помню уже почему)

Там логин только по клиентскому сертификату. Скорее всего ты просто не обновил его в срок и зайти на сайт больше не смог. Какой-либо процедуры восстановления нет.
У меня тоже такое было.

Кстати, в Firefox как раз постепенно удаляют 1024-разрядные RSA-сертификаты из числа доверенных, поскольку уже несколько лет как этот алгоритм признан недостаточно стойким и не рекомендуется к использованию. В результате, сертификаты около 100 тысяч сайтов будут считаться невалидными (правда, с оговоркой, что на 70 тысячах из 100 срок действия таких сертификатов уже истёк). По сути, это даже хорошо, раньше такие сертификаты вводили в заблуждение (мол, сертификат истёк - считай, что его и нет, но формально он есть и создаёт ложное ощущение безопасности).

очевиндости

прикольное слово :3

в жопу этот гугл. они мой сайт нa Adsense забанили вместе с акком на пожизненно видите ли им показалось что на сайте есть недостоверные клики торрет с релизом репака линукс качают от 1000 до 5000 раз сидеров куча сидит, постоянно сайт кто то смотрит постоянно сыплются вопросы как из рога изобилися и им чето показалось.

мошенников им побольше желаю и взломов, корпорации добра хреновой. последний источник доп дохода отобрали уроды.