LINUX.ORG.RU

В Google Chrome рассматривают меры постепенной блокировки всех CA Symantec

 , , , ,


3

1

Разработчики Google Chrome рассматривают меры снижения доверия и постепенную блокировку сертификатов (через снижение срока их действия), выданных подконтрольными Symantec центрами сертификации. Недовольство и опасения вызвала политика выдачи сертификатов, которые компания проводила предыдущие несколько лет. Symantec недостаточно тщательно контролировала процесс выдачи сертификатов, что привело к снижению безопасности пользователей Google Chrome.

Такие «мягкие» меры объясняются тем, что подконтрольные Symantec центры занимают значительную долю: по разным данным 30-40% всех проверок касаются сертификатов выданных проблемными CA.

Предлагаемые меры:

  • EV-сертификаты предлагается рассматривать как DV сроком на год. Если не будет предпринято мер по исправлению ситуации со стороны CA, политика снижения доверия продолжит действовать.
  • В Chrome 59 значение максимального срока действия сертификатов Symantec планируется ограничить 33 месяцами, Chrome 60 — 27 месяцами, Chrome 61 — 21, и в итоге в Chrome 64 — 9 месяцами. Кроме того, для всех новых сертификатов предлагается сразу ограничить срок действия 9 месяцами.

За это время CA подконтрольным Symantec (Symantec, Thawte, GeoTrust) предлагается заменить все «малодоверенные» сертификаты и устранить недостатки в процессах их выдачи.

>>> Подробности

★★★★★

Проверено: Shaman007 ()
Последнее исправление: CYB3R (всего исправлений: 7)

Гуглу нужно открыть свой центр сертификации и блочить всех кроме себя. Хомячки прогнутся и будут жрать хром дальше. Это просто бизнес-план. Надеюсь гугл мне за него заплатит чуток. А симантек да, начудили чуток, а теперь вот

Promusik ★★★★★
()
Последнее исправление: Promusik (всего исправлений: 1)

из-за недовольство

политикой ... которые компания проводила

fasepulm

Проверено: Shaman007

А, не, всё в порядке.

utf8nowhere ★★★
()

Наглое 4.2: https://groups.google.com/a/chromium.org/d/msg/blink-dev/eUAKwjihhBs/WGN1Uhxs...

Один разработчик (правда, отвечающий за шифрование в хромиуме) предложил описанную в статье процедуру. Её должны подтвердить ещё три разработчика, владеющие движком. Пока никто не подтвердил. При этом есть шанс, что изменение посчитают затрагивающим не только Blink, а вообще весь браузер, и будет проходить по более усложнённой процедуре.

Я уверен на 100%, что и не подтвердят, но созданный в интернетике хайп уже снизит доверие к Symantec, чего этот разработчик и добивался.

vzzo ★★★
()
Последнее исправление: vzzo (всего исправлений: 1)
Ответ на: комментарий от zgen

Т.е. симантек выпускающий левые серты для домена Google - это фигня? O_O

Покажи сертификат, а не запись в CT-логе.

vzzo ★★★
()

На симантек как-то пофиг, сто лет от них ничего не слышал. А вот каким боком там Thawte, поясните в двух словах.

l0stparadise ★★★★★
()
Ответ на: комментарий от mandala

Погугли, чем «found in the wild» кейсы с сертификатами отличаются от того, на который ссылаются в сообщении выше, и почему у одних импакт намного выше.

vzzo ★★★
()
Ответ на: комментарий от l0stparadise

Thawte и Geotrust были давным-давно куплены Symantec'ом (точнее они были куплены Verisign'ом, который потом купил Symantec), и находятся на одной инфраструктуре.

vzzo ★★★
()
Ответ на: комментарий от vzzo

Ну отлично, а можно мне тогда сертификат гугла, яндекса, вконтактика и т.д. — таких, про какие говорится выше?

mandala ★★★★★
()
Ответ на: комментарий от mandala

Ну отлично, а можно мне тогда сертификат гугла, яндекса, вконтактика и т.д. — таких, про какие говорится выше?

В смысле seen in the wild? Открой https://google.com, нажми кнопочку «посмотреть сертификат» - «подробности» - «экспортировать».

vzzo ★★★
()

это случится примерно через год

Съешь ещё нашего безопасного HTTPS и купи больше электронного воздуха.

h578b1bde ★☆
()
Ответ на: комментарий от anonymous

привело к снижению безопасности пользователей
но это случится примерно через год

Google всё делает правильно

Любители зондов такие смешные.

h578b1bde ★☆
()

На выкинуть все лишние конторы с рынка сертификатов, заблокировать в браузерах http. И мелкие типа буржуа отправятся на завод писать код за 15 тыс руб, где окажутся на своём месте.

steemandlinux ★★★★★
()
Ответ на: комментарий от vzzo

Ну насмешил. Конкретно что случилось тогда, с теми сертификатами: https://security.googleblog.com/2015/09/improved-digital-certificate-security... Т.е. были выпущены сертификаты гугла без ведома гугла. Нормально, да? Конкретно этот случай не сильно криминальный, но если такое допускается, что там еще твориться может?

Конкретно сейчас: Symantec клали на нормальную верификацию. и что там навыпущено одному богу известно.

Понятно что это всё воздух, но если допускать такую хрень, то можно все эти центры сертификации вообще слать лесом.

mandala ★★★★★
()
Ответ на: комментарий от h578b1bde

Особенно умиляют вот эти все красивые зеленые замочки, надписи «защищенное соединение» и т.д. Блин, да писали бы — зашифровано, не зашифровано. А кто там на том конце? Гугл вроде, а может и не гугл...

mandala ★★★★★
()
Ответ на: комментарий от steemandlinux

Что-то я сегодня туплю. Где связь между первым и вторым?

Zmicier ★★★★★
()

Хм... в ситуации «все браузеры с сайтом работают, хром не работает» будет выкинут хром, а не сайт.

monk ★★★★★
()
Ответ на: комментарий от mandala

Ты бы хоть читал ссылки, которые даёшь.

«On September 14, around 19:20 GMT, Symantec’s Thawte-branded CA issued an Extended Validation (EV) pre-certificate for the domains google.com and http://www.google.com. This pre-certificate was neither requested nor authorized by Google.».

Видишь разницу между pre-certificate (то есть записью в certificate transparency логе) и сертификатом?

vzzo ★★★
()

При таком раскладе их бизнес как центр сертификации может легко вылететь в трубу.

Deathstalker ★★★★★
()
Ответ на: комментарий от vzzo

А, типа всё норм. Если это норм, то что завтра выкинет этот CA или соседний? И о каком доверии к CA может идти речь?

mandala ★★★★★
()
Ответ на: комментарий от mandala

Т.е. были выпущены сертификаты гугла без ведома гугла

Левые дяди кинули гугл, насильно пихающий всем HTTPS? Как это мило.

h578b1bde ★☆
()
Ответ на: комментарий от mandala

Я не говорю, что это норм. Просто правильная формулировка инцидента звучит не как «symantec выпустил сертификат для google.com без разрешения», а как «в результате внутреннего тестирования в ct-логе symantec появилась запись google.com, сертификат не был обнаружен в интернете».

Равно как и правильная формулировка сегодняшнего топика звучит не как «В Google Chrome в ближайшее время будет отозван CA Symantec», а как «один из разработчиков chrome предложил снизить максимально доверяемый срок действия сертификатов symantec до 9 месяцев в релизе хрома, который выйдет через полгода, но его пока никто не поддержал».

vzzo ★★★
()
Ответ на: комментарий от vzzo

Ну вот, а с желтизной я и сам уже устал бороться. Особенно когда говорят «источник не лучше». Можно попробовать поправить новость до вменяемого состояния через спецтему.

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 1)

Ну и отлично. Больше гвоздей в гроб очередной проворовавшейся проприетарной шарашки, больше недовольства в сторону корпорашки зла, и меньше доверия неработающей централизованной недосистеме сертификатов. В помойку этому всему и дорога.

anonymous
()

Решето. Уже кто-то писал про это?

rinsvid ★★
()

Thawte был одним из самых доверенных центров сертификации, и что теперь? Из-за всех этих игр и интриг с центрами сертификации теряется весь смысл HTTPS. Достаточно сделать один-единственный центр, но чтобы он был 100% доверенный и непогрешимый. А что сейчас делать всем клиентам Thawte? Это касается и фирмы, в которой я подрабатываю и для которой я лично приобретал сертификаты в Thawte.

Rinaldus ★★★★★
()

Symantec недостаточно тщательно контролировала процесс выдачи сертификатов

Это как? Я когда сертификат покупал (не помню в какой конторе, но не думаю что это важно) просто подтвердил владение доменом и получил свои ключи. Что по мнению Google продавец сертификатов должен делать помимо этого? Или symantec просто так без подтверждения их раздавала?

alozovskoy ★★★★★
()
Ответ на: комментарий от alozovskoy

Если человек не из гугла может подтвердить владение доменом гугла, значит какая-то у них плохая система подтверждения.

К тому же EV-сертификат вроде как требует более сложной схемы подтверждения, чем обычный. Скорее всего ты должен предоставить документы, что ты не только владелец домена, но и владелец фирмы, которой этот домен принадлежит.

KivApple ★★★★★
()
Ответ на: комментарий от Deathstalker

Можешь мотивировать?
По мне так центры сертификации должны быть крупнейшими мировыми компаниями: Google, Яндекс и даже Microsoft и Apple. Только так можно кому-то доверять, таких крупных компаний не должны банить. Ну и конечно если нужно только HTTPS и больше ничего, то такие сертификаты должны выдаваться бесплатно.

Rinaldus ★★★★★
()
Ответ на: комментарий от Deathstalker

Кто даст гарантии, что завтра не будет таких же проблем с Let's Encrypt? Браузерам-монополистам закон не писан. А что касается Thawte, если за сертификаты деньги заплачены, то по-хорошему они должны возвращать деньги своим клиентам за оставшиеся сроки действия сертификатов по первому требованию.

Rinaldus ★★★★★
()
Ответ на: комментарий от Deathstalker

Сертификаты у той фирмы, про которую я говорил, истекают в конце июля. Т.е уже достаточно скоро. Я пока не буду ничего предпринимать, но ближе к тому времени как следует изучу этот вопрос, у каких центров лучше всего приобрести сертификаты, чтобы не облажаться.

Rinaldus ★★★★★
()
Ответ на: комментарий от Rinaldus

А что сейчас делать всем клиентам Thawte?

Предлагаю вдоль.

imul ★★★★★
()
Ответ на: комментарий от alozovskoy

Я когда сертификат покупал (не помню в какой конторе, но не думаю что это важно) просто подтвердил владение доменом и получил свои ключи.

Как раз на такой уровень доверия и предлагают понизить все сертификаты (DV, Domain validation). Основная претензия к процедуре для EV (Extended Validation) — т.е. когда ты хочешь чтобы сертификат удостоверял не только домен, но и имя (обычно юридическое). По правилам такая проверка (да и по здравому смыслу) должна осуществляться путем прямого взаимодействия центра сертификации с уполномоченным представителем юр.лица, в идеале — посещение офиса и предоставление документов.

А общее игнорирование CA в этом случае — мера принуждения. Да и особого смысла только DV-сертефикаты не имеют, их получают скриптом по крону.

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 2)

корпорация зла через свой IE уже начинает диктовать человечеству, как ему жить. тьфу. m$ были честнее — играли гада в открытую, без мерзкого лицемерия.

anonymous
()

Вот реально уже достали. Пусть хотя бы раскрывают аффилированность центров сертификации!

Сначала брал сертификаты startssl и wosign. Недавно выяснилось, что последняя купила первую и обоих забанили разом.

Ладно, купил два сертификата - tawte и geotrust. За деньги, думаю уж тут все будет хорошо. Нате, опять оба под санкциями!

Я уж не говорю, что российских центров вообще ноль...

AVL2 ★★★★★
()
Ответ на: комментарий от Rinaldus

Да ты никак ничего не предугадаешь. Этих центров реально четыре штуки. Все остальные пара десятков от них кормятся. Все центры амерские, недорогие из них вообще одно лицо.

Просто жесть...

AVL2 ★★★★★
()
Ответ на: комментарий от alozovskoy

Ты купил сертификат на домен. А тут речь про сертификат на фирму. Они должны были проверить документы фирмы и что это она сделала запрос, а не кто-то еще.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Этих центров реально четыре штуки.

Можешь полностью перечислить, пожалуйста? Это мне поможет, когда я буду подбирать, чем заменить Thawte.

Rinaldus ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.