LINUX.ORG.RU

В Google Chrome рассматривают меры постепенной блокировки всех CA Symantec

 , , , ,


3

1

Разработчики Google Chrome рассматривают меры снижения доверия и постепенную блокировку сертификатов (через снижение срока их действия), выданных подконтрольными Symantec центрами сертификации. Недовольство и опасения вызвала политика выдачи сертификатов, которые компания проводила предыдущие несколько лет. Symantec недостаточно тщательно контролировала процесс выдачи сертификатов, что привело к снижению безопасности пользователей Google Chrome.

Такие «мягкие» меры объясняются тем, что подконтрольные Symantec центры занимают значительную долю: по разным данным 30-40% всех проверок касаются сертификатов выданных проблемными CA.

Предлагаемые меры:

  • EV-сертификаты предлагается рассматривать как DV сроком на год. Если не будет предпринято мер по исправлению ситуации со стороны CA, политика снижения доверия продолжит действовать.
  • В Chrome 59 значение максимального срока действия сертификатов Symantec планируется ограничить 33 месяцами, Chrome 60 — 27 месяцами, Chrome 61 — 21, и в итоге в Chrome 64 — 9 месяцами. Кроме того, для всех новых сертификатов предлагается сразу ограничить срок действия 9 месяцами.

За это время CA подконтрольным Symantec (Symantec, Thawte, GeoTrust) предлагается заменить все «малодоверенные» сертификаты и устранить недостатки в процессах их выдачи.

>>> Подробности

★★★★★

Проверено: Shaman007 ()
Последнее исправление: CYB3R (всего исправлений: 7)

Ответ на: комментарий от vzzo

Покажи сертификат, а не запись в CT-логе.

Странное требование. Сертификат получает тот, кто его заказал. Пока он его не выложит где-нибудь, его никто не увидит. Из того, что сертификата нет в свободном доступе, никак не следует, что его нет.

Запись в логе однозначно подтверждает, что сертификат был выписан? Этого достаточно. Не надо ждать, пока злоумышленник воспользуется им.

AVL2 ★★★★★
()
Ответ на: комментарий от Rinaldus

Насколько я знаю это

1. Симантек, включая verisign, geotrustm tawte итд (америка)

2 wosign, включая startssl (китай)

3. comodo (америка)

4. godaddy (америка)

ну и можно упомянуть let's encrypt, у которого есть свои преимущества, но и возможностей минимум.

AVL2 ★★★★★
()
Ответ на: комментарий от vzzo

Thawte и Geotrust были давным-давно куплены Symantec'ом (точнее они были куплены Verisign'ом, который потом купил Symantec), и находятся на одной инфраструктуре.

Гугль забанит половину интернетов?

Suigintou ★★★★★
()
Последнее исправление: Suigintou (всего исправлений: 1)
Ответ на: комментарий от h578b1bde

Съешь ещё нашего безопасного HTTPS и купи больше электронного воздуха.

Какие альтернативы TLS предложишь? Бесспорно, идея не идеальна, а капиталисты, которые управляют разными CA имеют интересы далекие от интересов пользователей. Но... Какие альтернативы вот прямо сейчас можно использовать?

Мне нужно чтобы на мой сайт могли заходить пользователи из разных мест и что-то делать на моем сайте. Данные которые они получают и передают должны видеть только я (мой сайт) и пользователь (и никакой ушлый безопасник у транзитного провайдера, который решил поиграться с новомодной системой инспекции трафика не должен знать, какими данными обменивается). От NSA и касперского на машине пользователя я не пытаюсь защититься - бесполезно. Пустой трындеж про продавцов воздуха прокатит, только если вот прям щас тебе никакой TLS вовсе не нужен. А когда нужен, то ситуация простая - жри то, что есть и не трынди, потому что другого выбора просто нет.

Так какие альтернативы TLS ты предложишь?

anonymous
()

IMHO, самый действенный способ борьбы с такими «коммерсантами» - сделать доступным из JavaScript сертификат подключения. Таким образом из браузера его можно будет отправить скриптом обратно на сервер и сравнить, насколько он соответствует оригиналу. В результате все CA, которые раздают сертификаты налево станут быстро известны и всеми «любимы».

Есть конечно шанс, что на MITM устройстве будет подменен не только сертификат, но и код, его анализирующий, но для этого на этом устройстве придется реализовать искусственный интеллект, который удалит код анализа, но оставит код нужный для работы сайта.

anonymous
()
Ответ на: комментарий от anonymous

какие альтернативы TLS ты предложишь?
если вот прям щас

HTTP, никаких других альтернатив в браузеры пока не завезли.

другого выбора просто нет

Сам спросил — сам ответил.

h578b1bde ★☆
()
Ответ на: комментарий от AVL2

Не надо ждать, пока злоумышленник воспользуется им.

В Chrome 59 значение максимального срока действия сертификатов Symantec планируется ограничить 33 месяцами, Chrome 60 — 27 месяцами, Chrome 61 — 21, и в итоге в Chrome 64 — 9 месяцами. Кроме того, для всех новых сертификатов предлагается сразу ограничить срок действия 9 месяцами.

http://www.mk.ru/upload/entities/2017/02/02/articles/detailPicture/91/7e/d3/2...

h578b1bde ★☆
()
Ответ на: комментарий от Suigintou

Гугль забанит половину интернетов?

30-40% по оценке. Именно по этому у них не хватило духу сразу это сделать — хром просто выкинут тогда.

mandala ★★★★★
()
Ответ на: комментарий от h578b1bde

И что? Претензии были к процедуре ev.

«EV-сертификаты предлагается рассматривать как DV сроком на год.»

Другими словами, забанили сразу и всех.

AVL2 ★★★★★
()
Ответ на: комментарий от h578b1bde

HTTP

ты уже работаешь с банком через этот протокол?

никаких других альтернатив в браузеры пока не завезли.

сноси устаревший браузер и ставь нормальный

NextGenenration ★★
()
Ответ на: комментарий от Rinaldus

Достаточно сделать один-единственный центр, но чтобы он был 100% доверенный и непогрешимый.

Он повернулся к пульту.

- Есть ли бог?

Могущественный голос раздался сразу.

- ДА. ТЕПЕРЬ БОГ ЕСТЬ!

Двар Эв понял не сразу, но потом страх исказил его лицо - он бросился к выключателю...

Молния сорвалась с безоблачного неба и испепелила его на месте, намертво запаяв соединение.

Neurotizer
()
Ответ на: комментарий от Rinaldus

По мне так центры сертификации должны быть крупнейшими мировыми компаниями: Google, Яндекс и даже Microsoft и Apple.

Qihoo360 вполне себе крупная, крупнее Яндекса и чем все закончилось?

Neurotizer
()
Ответ на: комментарий от cheshire_cat

Так пусть производители браузеров и будут одновременно центрами сертификации. Что может быть логичнее? Они и протокол HTTPS смогут спокойно продвигать и раздавать сертификаты. Цены на сертификаты можно было бы сделать не дороже цен за домены. Ведь 500-600 рублей в год - это приемлемо и каждому по карману.

Rinaldus ★★★★★
()
Ответ на: комментарий от NextGenenration

ты уже работаешь с банком через этот протокол?

Даже с HTTPS никто тебе не даст гарантии что ты работаешь с банком ибо ничто не мешает очередному доверенному CA выдать Васяну валидный сертификат твоего банка для MitM.

сноси устаревший браузер и ставь нормальный

Какой? Будь добр, заодно укажи название этой альтернативы.

h578b1bde ★☆
()
Ответ на: комментарий от Rinaldus

Так пусть производители браузеров и будут одновременно центрами сертификации

Не вижу каких-либо принципиальных различий с текущей системой, кроме того что производители браузеров смогут откусывать рынок друг друга с помощью аннулирования сертификатов конкурента.

h578b1bde ★☆
()
Ответ на: комментарий от h578b1bde

Даже с HTTPS никто тебе не даст гарантии что ты работаешь с банком ибо ничто не мешает очередному доверенному CA выдать Васяну валидный сертификат твоего банка для MitM.

Какова вероятность митм в нормальных условиях? А вот вероятность того что в незащищённое соединение кто-то влезет слишком велика. всякие наздзоры не дремлют.

Какой? Будь добр, заодно укажи название этой альтернативы.

фокс прекрасно работает с https. Жаль, если в палемун это не осилили.

NextGenenration ★★
()
Ответ на: комментарий от NextGenenration

всякие наздзоры не дремлют

В моей стране нету всяких надзоров, так что пофиг. А в тех что есть — вполне могут законодательно обязать пользователей устанавливать самоподписанный сертификат, иначе не будет интернетов, так что пофиг вдвойне.

фокс прекрасно работает с https

Палемун тоже. Чувак спрашивал об альтернативе.

h578b1bde ★☆
()
Последнее исправление: h578b1bde (всего исправлений: 1)
Ответ на: комментарий от h578b1bde

А вот такое нужно запретить. На каком-нибудь законодательном общемировом уровне. Если у какого-нибудь разработчика браузера, которым пользуются более 10% общей аудитории, есть собственный центр сертификации, все остальные конкуренты обязаны добавить его CA в свои браузеры и ни в коем случае не удалять. Это конечно требует дальнейшей шлифовки и продумывания, но общая мысль надеюсь ясна.
Но вообще разработчик браузера, устраняющий конкурента путем удаления его CA - это дикость, на мой взгляд. Это равносильно тому, если бы из Chrome нельзя было бы попасть на сайт Firefox, из Firefox - на Chrome и т.д. Никому ведь и в голову не приходит блокировать в своих браузерах сайты конкурентов.

Rinaldus ★★★★★
()
Ответ на: комментарий от Rinaldus

А вот такое нужно запретить. На каком-нибудь законодательном общемировом уровне. Если у какого-нибудь разработчика браузера, которым пользуются более 10% общей аудитории, есть собственный центр сертификации, все остальные конкуренты обязаны добавить его CA в свои браузеры и ни в коем случае не удалять.

А никто и не будет удалять просто потому что это конкурент. Будут придумывать какие-либо обоснования, например что конкурент при выдаче сертификата плохо придерживается какой-либо формальной процедуры. В случае если же такие обоснования имеют под собой здравые аргументы, проблемы вроде сабжа это никак не решает.

h578b1bde ★☆
()
Ответ на: комментарий от Rinaldus

А вот такое нужно запретить

Вон, сколько сайтов уже запретили для борьбы с врагами детей и врагами государства... Неужели это ещё ничего не показало?

NextGenenration ★★
()
Ответ на: комментарий от NextGenenration

Доверяешь провайдеру?

Конечно, иначе бы уже давно сменил.

Общественному вайфаю?

Я по общественному вайфаю на сайты банков хожу лишь разве что с целью текущий курс валют посмотреть.

h578b1bde ★☆
()
Ответ на: комментарий от h578b1bde

Будут придумывать какие-либо обоснования, например что конкурент при выдаче сертификата плохо придерживается какой-либо формальной процедуры.

Может тогда сформировать перечень требований ко всем центрам сертификации, которому они будут обязаны следовать? Что-то вроде ГОСТа.

Rinaldus ★★★★★
()
Ответ на: комментарий от Rinaldus

Может тогда сформировать перечень требований ко всем центрам сертификации, которому они будут обязаны следовать? Что-то вроде ГОСТа.

И как это всё на практике решит проблему пренебрежения вопросами безопасности со стороны CA? Всё равно ведь придётся делать отзыв сертификатов по такой же процедуре как сейчас, шило на мыло получается в общем.

h578b1bde ★☆
()
Ответ на: комментарий от Rinaldus

Если у какого-нибудь разработчика браузера, которым пользуются более 10% общей аудитории, есть собственный центр сертификации, все остальные конкуренты обязаны добавить его CA в свои браузеры и ни в коем случае не удалять.

Уверен, количество пользователей (если считать по количеству установок) какого-нибудь Амиго в странах СНГ наверняка превышает 10%, но при этом доверять выданным Mail.ru сертификатам я бы точно не стал.

h578b1bde ★☆
()
Ответ на: комментарий от Rinaldus

Кому это надо, если по статистике хромой в абсолютном большинстве? Тем более, зачем для самой обычной домохозяйки зачем-то платить 500-600 рублей за какие-то непонятные сертификаты? И даже с точки зрения обычного пользователя никто не должен платить больше чем за услуги провайдера. Да хоть рубль в год - бред.

cheshire_cat ★★
()
Ответ на: комментарий от cheshire_cat

Тем более, зачем для самой обычной домохозяйки зачем-то платить 500-600 рублей за какие-то непонятные сертификаты?

Платят не домохозяйки, платят владельцы веб-сайтов и прочих бложиков.

h578b1bde ★☆
()
Ответ на: комментарий от mandala

И о каком доверии к CA может идти речь?

Об очень слабом и ограниченном. Как и последние лет 10 - 20. Тоже мне Америку открыли, система публичных CA — решето, ну кто бы мог подумать?

MrClon ★★★★★
()

Как безответвственно со стороны Symantec

Latynyna
()
Ответ на: комментарий от Rinaldus

Так пусть производители браузеров и будут одновременно центрами сертификации

Уже. Mozilla спонсирует Let's Encrypt.

the_electric_hand ★★
()
Ответ на: комментарий от Rinaldus

Скоро всплывёт всё это дерьмо, которое американцы и китайцы проворачивают с поддельными сертификатами, что их корневые удост. центры все продажные и выписывают на любой домен нужный сертификат. Ясен пень, что это много кому не нравится, люди верят в HTTPS.

menangen ★★★★★
()

имхо это корпоративный терроризм помноженый на монопольное положение. гугл уже давно находится в каком-то непонятном положении. непонятно, способствует ли эта компания развитию интернета или вредит. как в общем-то и некоторые другие корпорации.

anonymous
()
Ответ на: комментарий от h578b1bde

Уверен, количество пользователей (если считать по количеству установок) какого-нибудь Амиго в странах СНГ наверняка превышает 10%, но при этом доверять выданным Mail.ru сертификатам я бы точно не стал.

а какой тогда вообще смысл во всех этих сертификатах и довереных центрах сертификации? чем google.com лучше mail.ru и почему я должен доверять сертификатам первого, а не второго?

anonymous
()
Ответ на: комментарий от Neurotizer

А чем все кончилось? Не слышал даже про неё.

AVL2 ★★★★★
()

Все понимают, что выдача сертификатов - это развод на деньги и создание ауры мнимой безопасности. Почему бы производителям браузеров не использовать сертификаты (в том числе самоподписные) по прямому назначению - для шифрования данных, и не забивать голову пользователям всплывающими окнами с тупыми текстами вроде «Уходим отсюда»? Накой мне уходить с сайта, который мне нужен, и который предоставляет услугу шифрования трафика? Проверять нужно точное имя домена. Проверка через сертификат - это же как сверять личность человека по бирке на его штанах.

annonymous ★★
()

CA подконтрольным Symantec (Symantec, Thawte, GeoTrust)

Verisign и Equifax тоже.

Adjkru ★★★★★
()
Ответ на: комментарий от onlybugs

Ну верит человек что прямо нигде его не подслушают, ну с кем не бывает?

NextGenenration ★★
()

Местные фанатики-идиоты с невежества и зависти как всегда, везде видят заговоры клятых монополистов и кровожадного гугля.
Необучаемые и сейчас продолжают верить в мантру «враг моего врага — мой друг», даже после выдачи липовых сертификатов хер знает кому.

anonymous
()
Ответ на: комментарий от the_electric_hand

Да вот совершенно не факт, что это не очередное подставное лицо все того же верисайна.

Ну и ценник у них негуманный. Вайлдкард у геотраста шест тыр, а у глобала заявлено от 30 тыр. Естественно, наверняка у них есть демпингующие реселлеры, но я как то сразу не нашёл.

AVL2 ★★★★★
()
Ответ на: комментарий от annonymous

Ересь. Наукой тебе шифрование, если ты даже не знаешь, кто перед тобой? Сайт, который ты открываешь, или ближайший шлюз в твоей сетке?

AVL2 ★★★★★
()
Ответ на: комментарий от anonymous

Ну отчасти ответ очевиден. Гугла занимается вычесыванием блох в виде левых центров сертификации и т.д. а мейла ру вообще сертификатами не занимается, а даже и занималась бы, в продвижении технологий и инфраструктуры она особо не замечена.

Но в целом надо понимать, что гугл строит своё будущее на доверии клиентов и поэтому он борется за чистоту самого слабого звена - са центров. Вот поэтому ему и доверия больше, чем другим.

AVL2 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.